Pentagon verbiedt alle externe opslagmedia na worminfectie
Het Pentagon heeft het gebruik van alle externe opslagmedia verboden. Het Amerikaanse ministerie van Defensie zegt tot het besluit te zijn gekomen vanwege een worm die binnen het militaire netwerk actief is.
De malware zou zich snel hebben weten te verspreiden binnen het als geheim aangemerkte Sipr-netwerk en het 'open' Nipr-netwerk. Over welk virus of worm het gaat en wat de mogelijke bron is, wil het Pentagon niets kwijt. Wired meldt echter dat het zou gaan om de Agent.bz, een worm die sinds 2005 bekend is en zich graag nestelt op externe media. Na een infectie downloadt de malware code van externe websites.
Pentagon-medewerkers zijn inmiddels begonnen met het inzamelen van flashdrives die in de loop der tijd waren aangekocht, nadat het defensiepersoneel is ingelicht over de maatregel. In een interne e-mail laat het Pentagon weten dat er geen garantie is dat het personeel de usb-sticks ooit terug zal zien, zo schrijft AP. Ook meldt het ministerie van Defensie dat er op de militaire netwerken intensief gescand zal worden naar elk spoor van de worm.
De Amerikaanse Defensie-staf lijkt tot de vergaande maatregelen te zijn gekomen, nadat de militaire netwerken diverse malen succesvol door hackers zijn aangevallen. Bovendien wil het Pentagon voorkomen dat door het intensieve gebruik van removables binnen defensie, de malware steeds weer de kop opsteekt.
Reacties (65)
Tsja, logisch. Of alle USB poorten met stalen poorten afdekken 
of via het bios usb poorten uitzetten, de meest logische optie, of dit op software nieuw doen door de driver uit te schakelen en geen admin rights aan users toe te kennen.
De usb poorten uitzetten waar de keyboard en mouse aan hangen, plus wsch hier en daar een printer? Handig hoor.
PS/2... 
Het mag dan misschien oud zijn, het zorgt er wel voor dat je 2 (of bij een desktopset 1) usb poort(en) meer over hebt.
Het mag dan misschien oud zijn, het zorgt er wel voor dat je 2 (of bij een desktopset 1) usb poort(en) meer over hebt.
op nieuwe Dell systemen zitten geen PS/2 poorten meer 
dan moet je ook geen dell kopen he
In een bedrijfsomgeving zitten printers niet op een USB poort hoor.
Soms wel nog een aparte printer voor een apart gescheiden netwerk. Gebeurd dus wel degelijk.
Met de schaal van defensie? Nee. Daar loont het om elk netwerk"je" zijn eigen hoeveelheid netwerkprinters te geven.
Bovendien zijn dergelijk organisaties zwaar gestandaariseerd en hebben dus nagenoeg geen "specials" binnen de omgevingen.
Bovendien zijn dergelijk organisaties zwaar gestandaariseerd en hebben dus nagenoeg geen "specials" binnen de omgevingen.
Ik gok dat ieder bedrijf, en zeker iets als het amerikaanse department of defense, naast netwerkprinters ook nog vele losse printers heeft, puur voor de veiligheid van sommige documenten. HR afdelingen hebben binnen bedrijven ook vaak hun eigen printers, je wil niet dat contracten of ontslagbrieven verstuurd worden over een open netwerk (intern kan eenieder de datastromen vaak zien) of bij een of andere netwerkprinter blijven liggen.
Gewoon autorun uitzetten. Zonder autorun kan de worm zichzelf niet opstarten van een extern medium.
Je kunt selectief autorun aan laten staan voor CD/DVD drives, ik snap dus eigenlijk niet zo goed waarom dat niet standaard uit staat voor ander media bij de meeste bedrijven en instellingen. Zeker bij zo iets als defensie.
Je kunt selectief autorun aan laten staan voor CD/DVD drives, ik snap dus eigenlijk niet zo goed waarom dat niet standaard uit staat voor ander media bij de meeste bedrijven en instellingen. Zeker bij zo iets als defensie.
Autorun uitschakelen belet natuurlijk niet dat werknemers besmette bestanden in het netwerk brengen.
Om maar één scenario te noemen: een werknemer moet dat éne documentje afhebben voor morgen, neemt het mee naar huis, bewerkt het daar op zijn privécomputer (die geïnfecteerd is met god-weet-ik-wat) en opent het document later op zijn werk...
Om maar één scenario te noemen: een werknemer moet dat éne documentje afhebben voor morgen, neemt het mee naar huis, bewerkt het daar op zijn privécomputer (die geïnfecteerd is met god-weet-ik-wat) en opent het document later op zijn werk...
Er zijn USB filterdrivers die flashdrives blokkeren. En die kunnen best lastig te verwijderen zijn.
Sinds 1996 virus vrij thuis, maar toch via een usb stick, waar ik moest (freelance) werken, weer geinfecteerd. vorig jaar.
Zet me wel aan het denken..
Zet me wel aan het denken..
Je kunt Windows in ieder geval instellen dat hij geen usb disken meer accepteerd en toegankelijk maakt.
Dat kan via GPO maar ook bv. door inzet van Powerfuse (of soortgelijk desktop-beheer-systeem).
Andere mogelijkheid is natuurlijk terminals met verbindingen via ica/rdp en het uitschakelen van drivekoppeling.
Ander punt is.. hoe kan in godsnaam een worm uit 2005 zich zo snel door het defensiesysteem verspreiden. Hebben die mensen nooit gehoord van virusscanners en/of malware scanners?? Je mag er toch vanuit gaan dat die hun systeem wat beter beveiligd hebben.
Dat kan via GPO maar ook bv. door inzet van Powerfuse (of soortgelijk desktop-beheer-systeem).
Andere mogelijkheid is natuurlijk terminals met verbindingen via ica/rdp en het uitschakelen van drivekoppeling.
Ander punt is.. hoe kan in godsnaam een worm uit 2005 zich zo snel door het defensiesysteem verspreiden. Hebben die mensen nooit gehoord van virusscanners en/of malware scanners?? Je mag er toch vanuit gaan dat die hun systeem wat beter beveiligd hebben.
Gebruiken hun gewoon dan een windows versie voor die netwerken?
Ik vind toch echt dat ze eigenlijk voor militaire netwerken (en andere belangrijke overheidsnetwerken) een soort van eigen besturingssysteem zouden moeten maken. Ik zou toch zeggen dat als je een andere structuur gebruikt die niet bekent is voor de buitenwereld het zoveel moeilijker zou zijn om het te hacken en of er een virus op los te laten.
Edit:
Trouwens hebben ze dan niet gewoon een virusscanner die alles controleert wat er aan de pc wordt gehangen?
Ik vind toch echt dat ze eigenlijk voor militaire netwerken (en andere belangrijke overheidsnetwerken) een soort van eigen besturingssysteem zouden moeten maken. Ik zou toch zeggen dat als je een andere structuur gebruikt die niet bekent is voor de buitenwereld het zoveel moeilijker zou zijn om het te hacken en of er een virus op los te laten.
Edit:
Trouwens hebben ze dan niet gewoon een virusscanner die alles controleert wat er aan de pc wordt gehangen?
[Reactie gewijzigd door SRI op zaterdag 22 november 2008 12:04]
Dat is security by obscurity. Geen garantie voor success. En ik zie niet in waarom het administratieve netwerk van een overheid geen regulier OS zou kunnen gebruiken. Je moet je eerder afvragen hoe het kan dat een worm zich verspreid op een netwerk. Dat lijkt te wijzen op een gebrek aan virusscanners etc.
Security through obscurity is geen garantie voor succes, maar biedt in dit geval drie voordelen:
- tijd. Omdat er minder mensen bezig zijn met een exploit voor $minder_gebruikte_OS duurt het langer voordat een willekeurige vulnerability gebreached is.
- minder kans op onbedoelde infectie. Deze malware is (hoogstwaarschijnlijk) niet als opzettelijke aanval op DoD gericht. Het is gewoon als standaardinfectie binnengekomen. Als je niet een standaard-OS draait gebeurt dat niet.
- duidelijkheid. Als je als Pentagon iemand betrapt op developen van een exploit voor $minder_gebruikte_OS weet je dat hij het op *jou* gemunt heeft en dat het niet een van de 1001 script kiddies of mafiosen is.
Kortom, het zou hier wel degelijk kunnen helpen. Niet tegen de doelgerichte aanvallen, want daar heeft obscurity geen toegevoegde waarde, wel tegen alle shit eromheen, wat precies is wat deze maatregel nodig gemaakt heeft
- tijd. Omdat er minder mensen bezig zijn met een exploit voor $minder_gebruikte_OS duurt het langer voordat een willekeurige vulnerability gebreached is.
- minder kans op onbedoelde infectie. Deze malware is (hoogstwaarschijnlijk) niet als opzettelijke aanval op DoD gericht. Het is gewoon als standaardinfectie binnengekomen. Als je niet een standaard-OS draait gebeurt dat niet.
- duidelijkheid. Als je als Pentagon iemand betrapt op developen van een exploit voor $minder_gebruikte_OS weet je dat hij het op *jou* gemunt heeft en dat het niet een van de 1001 script kiddies of mafiosen is.
Kortom, het zou hier wel degelijk kunnen helpen. Niet tegen de doelgerichte aanvallen, want daar heeft obscurity geen toegevoegde waarde, wel tegen alle shit eromheen, wat precies is wat deze maatregel nodig gemaakt heeft
Wat een onzin:
- tijd: Serieuze crackers hebben alle tijd van de wereld om zich op een bepaald probleem te storten. Zie RFID en Crypto1. Het heeft even geduurd, maar uit eindelijk werden de RFID chips bekent genoeg om er goedwillend en kwaadwillend onderzoek naar te doen. Dus de tijd kan worden versneld met de intresse in de techniek
- Als je een bruikbaar systeem wilt dat door de duizenden mensen wordt gebruikt, dan heb je al een heel aantal beperkingen, te weten de hardware, de kosten van het onderhoudt dat je nooit kan outsourcen en als je wilt interfacen ander speelgoed, dan loop je met je eigen OS al snel tegen probleempjes die bij anderen al zijn opgelost. Als dit een serieuze oplossing voor je moet zijn, dan raad ik je een versie van BSD aan (zoals FreeBSD. OpenBSD of NetBSD). Daar is veel tijd en energie ingestoken om veilig te zijn.
Het voldoet ook direct aan je eisen: Het is een vreemde eend in de bijt, dus weinig voor te vinden aan exploits. En het is van de grondaf (vooral OpenBSD) bedoelt als veilig en betrouwbaar platform.
- Zie punt 1 over tijd. Het ligt er maar net aan hoe interessant dat netwerk is. Het enige dat je bereikt hiermee is dat iemand het expliciet tegen je gemunt had. Prima, maar zo zijn er wel meer te bedenken en is dit niet het doel van de aanvaller en helpt het je ook niet in de verdediding. Als iemand het op je gemunt heeft, dan is het een kwestie van tijd tot iemand een lek gevonden heeft in het best denkbare systeem.
Er zijn voldoende mogelijkheden om je hier uit te redden zonder je eigen OS te maken tegenwoordig. Als je het helemaal goed wil proberen kan je je nog aansluiten bij Paranoid Linux. Meestal kunnen dit soort dingen gebeuren, doordat men bekende platformen gebruikt van Microsoft (zeer geliefd) en Linuxen zonder te updaten.
De meeste virussen hebben weinig effect op volledig gepatchde systemen. Dat scheelt aanzienlijk. En als je een vervelend platform gebruikt voor wat voor reden dan ook dat niet volledig zijn privieges overal kan scheiden, dan heb je al snel lapmiddelen als virusscanners nodig.
Virusscanners zijn handig als je al geinfecteerd bent of bijna gaat worden, aangezien het je computer al geraakt heeft. Virusscanner helpen bij je verdediging.
Obscure OS-en maken zijn gedoemt om te mislukken als je niet bereid bent om de eerste periode van tijd flink te moeten debuggen van verschillende aanvallen.
Het enige dat een obscure oplossing kan bieden is een warm en wollig gevoel. Lekker knus jezelf toedekken met propriataire veiligheid. Uiteindelijk zal je bruut gewekt worden uit je dromen
- tijd: Serieuze crackers hebben alle tijd van de wereld om zich op een bepaald probleem te storten. Zie RFID en Crypto1. Het heeft even geduurd, maar uit eindelijk werden de RFID chips bekent genoeg om er goedwillend en kwaadwillend onderzoek naar te doen. Dus de tijd kan worden versneld met de intresse in de techniek
- Als je een bruikbaar systeem wilt dat door de duizenden mensen wordt gebruikt, dan heb je al een heel aantal beperkingen, te weten de hardware, de kosten van het onderhoudt dat je nooit kan outsourcen en als je wilt interfacen ander speelgoed, dan loop je met je eigen OS al snel tegen probleempjes die bij anderen al zijn opgelost. Als dit een serieuze oplossing voor je moet zijn, dan raad ik je een versie van BSD aan (zoals FreeBSD. OpenBSD of NetBSD). Daar is veel tijd en energie ingestoken om veilig te zijn.
Het voldoet ook direct aan je eisen: Het is een vreemde eend in de bijt, dus weinig voor te vinden aan exploits. En het is van de grondaf (vooral OpenBSD) bedoelt als veilig en betrouwbaar platform.
- Zie punt 1 over tijd. Het ligt er maar net aan hoe interessant dat netwerk is. Het enige dat je bereikt hiermee is dat iemand het expliciet tegen je gemunt had. Prima, maar zo zijn er wel meer te bedenken en is dit niet het doel van de aanvaller en helpt het je ook niet in de verdediding. Als iemand het op je gemunt heeft, dan is het een kwestie van tijd tot iemand een lek gevonden heeft in het best denkbare systeem.
Er zijn voldoende mogelijkheden om je hier uit te redden zonder je eigen OS te maken tegenwoordig. Als je het helemaal goed wil proberen kan je je nog aansluiten bij Paranoid Linux. Meestal kunnen dit soort dingen gebeuren, doordat men bekende platformen gebruikt van Microsoft (zeer geliefd) en Linuxen zonder te updaten.
De meeste virussen hebben weinig effect op volledig gepatchde systemen. Dat scheelt aanzienlijk. En als je een vervelend platform gebruikt voor wat voor reden dan ook dat niet volledig zijn privieges overal kan scheiden, dan heb je al snel lapmiddelen als virusscanners nodig.
Virusscanners zijn handig als je al geinfecteerd bent of bijna gaat worden, aangezien het je computer al geraakt heeft. Virusscanner helpen bij je verdediging.
Obscure OS-en maken zijn gedoemt om te mislukken als je niet bereid bent om de eerste periode van tijd flink te moeten debuggen van verschillende aanvallen.
Het enige dat een obscure oplossing kan bieden is een warm en wollig gevoel. Lekker knus jezelf toedekken met propriataire veiligheid. Uiteindelijk zal je bruut gewekt worden uit je dromen
Hoe kom je erbij dat ik xBSD uitsluit? Ik heb juist geen naam genoemd om onzinnige BSD vs Linux vs OS/2(eComStation) vs wat dan ook discussie te voorkomen. BSD zou een prima optie zijn, het *is* juist (vergeleken met Windows) een obscure optie die 99.9% van het onzin dat op USB sticks binnenkomt de facto onschadelijk zou maken...
Aha, Ik lees je commentaar nog een keer en snap nu dat je BSD niet uitsluit
Maar dat neemt niet weg dat BSD (en de tools die het met zich meebrengt) flink zal worden uitgeplozen als een grote aantrekkelijke partij in eens voor BSD kiest. Dan geld mijn post weer van voor af aan
Maar dat neemt niet weg dat BSD (en de tools die het met zich meebrengt) flink zal worden uitgeplozen als een grote aantrekkelijke partij in eens voor BSD kiest. Dan geld mijn post weer van voor af aan
;-) Leuk idee. In het verleden is dit ook geprobeerd: Arpanet/Internet is gemaakt met defensiegeld.
Ik denk dat een eigen OS op zich wel kan helpen (security through obscurity) maar als iemand echt wil komt'ie er toch in. Ook gaat het niet werken om te communiceren met mensen buiten de overheid/defensie: jij gaat lekker met Microsoft Office aan de slag en stuurt een attachment naar de overheid. Die antwoord vervolgens: stuur maar in ASCII anders kunnen we het niet lezen. Gebruik thuis: ?? ASCII ?? Wat is dat....
Ik denk dat een eigen OS op zich wel kan helpen (security through obscurity) maar als iemand echt wil komt'ie er toch in. Ook gaat het niet werken om te communiceren met mensen buiten de overheid/defensie: jij gaat lekker met Microsoft Office aan de slag en stuurt een attachment naar de overheid. Die antwoord vervolgens: stuur maar in ASCII anders kunnen we het niet lezen. Gebruik thuis: ?? ASCII ?? Wat is dat....
Met security through obscurity had deze worm zich niet genesteld. Je krijgt dan alleen de aanvallen die zeer gericht zijn op het netwerk.
Je zegt het wat zwart-wit, maar inderdaad een apart OS bouwen heeft als gevolg dat je ook alle toepassingen moet herbouwen/aanpassen en dat is te veel werk.
Bij mij hebben ze de USB-poorten ook geblokkeerd op Windows-machines; ik heb erg veel beveiligingen kunnen omzeilen (want ik wil mijn mail kunnen checken), maar die USB-stick-beveiliging zit toch erg diep in de OS ingebouwd. Dus Ubuntu-live-CD erin en op die manier maar alles naar mijn sticky gekopieerd.
Hier wil ik dus mee zeggen dat elke *lokale* beveiliging is te omzeilen als iemand echt iets gedaan wil krijgen.
Je zegt het wat zwart-wit, maar inderdaad een apart OS bouwen heeft als gevolg dat je ook alle toepassingen moet herbouwen/aanpassen en dat is te veel werk.
Bij mij hebben ze de USB-poorten ook geblokkeerd op Windows-machines; ik heb erg veel beveiligingen kunnen omzeilen (want ik wil mijn mail kunnen checken), maar die USB-stick-beveiliging zit toch erg diep in de OS ingebouwd. Dus Ubuntu-live-CD erin en op die manier maar alles naar mijn sticky gekopieerd.
Hier wil ik dus mee zeggen dat elke *lokale* beveiliging is te omzeilen als iemand echt iets gedaan wil krijgen.
Daar heb je deels gelijk in, maar het kan relatief eenvoudig erg moeilijk gemaakt worden het te doen zonder sporen na te laten. Een afgesloten behuizing met intrusion detection, een beveilig bios en de mogelijkheid van externe bronnen te booten uitgeschakeld kan al genoeg zijn om medewerkers tegen te houden usb sticks te gebruiken.Hier wil ik dus mee zeggen dat elke *lokale* beveiliging is te omzeilen als iemand echt iets gedaan wil krijgen.
Als je perse de untrusted clients wilt beveiligen, dan moet het inderdaad gezocht worden in de hardware-matige beveiliging. Het blijft al je vrienden een roddel vertellen en zeggen dat je ze vertrouwt en dat ze het absoluut niet mogen doorvertellen. Het is inderdaad een moeilijk probleem, want de beveiliger van het bedrijf moet de grootste hacker van iedereen zijn, niet de 1-na-grootste.
@StGermain
Als je safeboot start vanaf de harde schijf dan kan je gewoon het lokale systeem virtualiseren, de USB-schijf gedeeltelijk als bijv. netwerk-drive laten verschijnen en kijken of ie hapt..
Als je de hele schijf door het bios laat encrypten/decrypten, dan is er helemaal niets aan het handje: wachtwoord intikken bij opstarten.
Netwerkschijven zijn trouwens ook een heerlijk opslagmedium; inpluggen, MAC-adres eventueel al goed in hebben gevuld en volpompen maar.
Ach, mail hebben we ook nog; zelfs bij de strengst beveiligde bedrijven kun je gewoon mailen.
Het is een wedloop en net zoals bij de "beveiliging" van de OV-chip, is de gedachte "zover gaan ze toch niet" altijd onjuist. De beveiliging hoort dan ook niet op de untrusted devices te staan, of er nu Windows, Linux of OSX op staat. Zo is mijn bedrijf compleet hulpeloos/hopeloos qua beveiliging als ik mijn laptop zou aansluiten met het gekloonde MAC-adres van mijn vaste pc aldaar.
@StGermain
Als je safeboot start vanaf de harde schijf dan kan je gewoon het lokale systeem virtualiseren, de USB-schijf gedeeltelijk als bijv. netwerk-drive laten verschijnen en kijken of ie hapt..
Als je de hele schijf door het bios laat encrypten/decrypten, dan is er helemaal niets aan het handje: wachtwoord intikken bij opstarten.
Netwerkschijven zijn trouwens ook een heerlijk opslagmedium; inpluggen, MAC-adres eventueel al goed in hebben gevuld en volpompen maar.
Ach, mail hebben we ook nog; zelfs bij de strengst beveiligde bedrijven kun je gewoon mailen.
Het is een wedloop en net zoals bij de "beveiliging" van de OV-chip, is de gedachte "zover gaan ze toch niet" altijd onjuist. De beveiliging hoort dan ook niet op de untrusted devices te staan, of er nu Windows, Linux of OSX op staat. Zo is mijn bedrijf compleet hulpeloos/hopeloos qua beveiliging als ik mijn laptop zou aansluiten met het gekloonde MAC-adres van mijn vaste pc aldaar.
[Reactie gewijzigd door Vincent77 op zaterdag 22 november 2008 13:37]
Als heel de schijf geëncrypteerd is met bvb safeboot dan kan je ook dat vergeten.
Het lijk me dat als je USB poorten afschermt je dan ook niet toestaat om CD's (of floppies of SD kaart lezers) te gebruiken, of enige andere manier van gegevens binnenhalen anders van via een versleutelde ethernet verbinding. Dus ook geen firewire, LPT en COM poorten (die laatste is er al meestal niet) of via een interface kaart in een PC slot, en uiteraard ook geen WLAN en Bluetooth. Dus alle stekkers, sloten en interfaces er afhalen. Dus 1 interface en verder niets.
Uiteraard moet het ook niet mogelijk zijn om de harddisk (tijdelijk) te verwijderen. Kan wel allemaal, die ethernet verbinding blijft natuurlijk wel een zwakke plek.
Wel lastig als je desondanks dat toch een besmetting oploopt die zich meester maakt van de enige nog overgebleven interface... Krijg die er dan maar weer eens af...
Het beste lijken mijn PC's met helemaal geen enkele storage die booten vanaf het netwerk (na legitimatie en alleen met een cold boot).
Uiteraard moet het ook niet mogelijk zijn om de harddisk (tijdelijk) te verwijderen. Kan wel allemaal, die ethernet verbinding blijft natuurlijk wel een zwakke plek.
Wel lastig als je desondanks dat toch een besmetting oploopt die zich meester maakt van de enige nog overgebleven interface... Krijg die er dan maar weer eens af...
Het beste lijken mijn PC's met helemaal geen enkele storage die booten vanaf het netwerk (na legitimatie en alleen met een cold boot).
Dan ga je weer terug naar een mainframe systeem , of bijv. thinclients.
Het probleem is dat als je je bios kan benaderen, je overal vanaf kan booten.
Vandaar de optie om alle randapparatuur te disablen in je bios en er dan een wachtwoord opzetten.
Het probleem is dat als je je bios kan benaderen, je overal vanaf kan booten.
Vandaar de optie om alle randapparatuur te disablen in je bios en er dan een wachtwoord opzetten.
Je kan je beveiliging nog zo goed opbouwen als er zo'n lulhannes intelligent persoon als jij rondloopt die de beveiliging van binnenuit saboteert dan blijf je natuurlijk bezig. Dus hup die stick in het beveiligde netwerk om je zeer belangrijke privé mail te kunnen lezen. Hoe kwam die worm ook al weer in het pentagon?
Het lijkt mij er eerder op dat je alles doet om geen werk gedaan te krijgen. Je wordt echt niet betaald om met je ubuntu-cdtjes en je USB-stickjes en je webmailtjes aan te zitten klooien. Als die emailtjes van je zo belangrijk zijn, moet je geen baan aannemen.Hier wil ik dus mee zeggen dat elke *lokale* beveiliging is te omzeilen als iemand echt iets gedaan wil krijgen.
Het OS is niet bepalend voor het formaat waarin documenten opgeslagen worden. Het is al jaren mogelijk documenten tussen verschillende operating systems uit te wisselen...
Maar aan de andere kant is het OS wel bepalend in hoeverre een virus zijn werk kan doen. Een keuze voor Windows levert meer risico op dan een keuze voor een Unix-variant, echter...
... mocht men Windows over boord zetten, dan betekent dat weer wel dat populaire Windows-only software niet zal gaan werken.
Al met al dus een lastige keuze, hoewel de meeste software ook voor een Linux/BSD/Unix/Mac OS X omgeving beschikbaar is.
... mocht men Windows over boord zetten, dan betekent dat weer wel dat populaire Windows-only software niet zal gaan werken.
Al met al dus een lastige keuze, hoewel de meeste software ook voor een Linux/BSD/Unix/Mac OS X omgeving beschikbaar is.
Dan maak je een wine-wrapper voor die Windows-programma's, zoals ze ook met Quake3 hebben gedaan. Sowieso aan te raden om oude, niet vertrouwde software te wrappen in wine, ook al draait de "host" onder Windows.
Ik denk dat ze na het virus op een SpaceShuttle-computer bij NASA en nu dit beetje zielige probleem wel wat meer na gaan denken over hoe het dan wel moet. Het is echter nauwelijks te doen om door het geld van MS heen te breken: ze investeren enorm om mensen op .NET te krijgen en weten haarfijn uit te leggen dat het goedkoper is Windows verder te patchen dan alle programma's om te schrijven naar C++ of Java en te compileren op een ander OS.
Weet je dat MS het nu erg goedkope India aan het opkopen is, door ontwikkelaars erg goedkoop te trainen? Zoek maar eens en je begrijpt meteen waarom we die erg vervelende Vendor-lockin zullen blijven houden de komende jaren.
Ik denk dat ze na het virus op een SpaceShuttle-computer bij NASA en nu dit beetje zielige probleem wel wat meer na gaan denken over hoe het dan wel moet. Het is echter nauwelijks te doen om door het geld van MS heen te breken: ze investeren enorm om mensen op .NET te krijgen en weten haarfijn uit te leggen dat het goedkoper is Windows verder te patchen dan alle programma's om te schrijven naar C++ of Java en te compileren op een ander OS.
Weet je dat MS het nu erg goedkope India aan het opkopen is, door ontwikkelaars erg goedkoop te trainen? Zoek maar eens en je begrijpt meteen waarom we die erg vervelende Vendor-lockin zullen blijven houden de komende jaren.
Die documenten zijn tegenwoordig vaak het probleem. Het is begonnen met het toestaan van scripting in documenten. Zelfs PDF is niet meer veilig. eMail was vroeger 100% veilig want je kon alleen plat ASCII gebruiken. Ik denk dat het bijna niet mogelijk is om met Eudora 2.0 een virus op te lopen door alleen naar een mail te kijken (hooguit door een overflow, maar om dan en programma te injecteren met alleen gebruik van ASCII lijkt me toch erg lastig).
Als defensie massaal overstapt op Notepad is er geen enkel probleem met het uitwisselen van tekst bestanden.
Je kan via attachments (die had je dus vroeger ook niet) gemakkelijk vanuit het ene OS een besmetting overbrengen op een ander OS. Een eigen OS is daarbij niet van belang, op een gegeven moment zul je het bestand willen openen en dan gaat het mis. Eigenlijk heb je dus ook overal je eigen applicaties voor nodig zodat op zijn minst de implementatie anders is dan het standaard programma.
Als defensie massaal overstapt op Notepad is er geen enkel probleem met het uitwisselen van tekst bestanden.
Je kan via attachments (die had je dus vroeger ook niet) gemakkelijk vanuit het ene OS een besmetting overbrengen op een ander OS. Een eigen OS is daarbij niet van belang, op een gegeven moment zul je het bestand willen openen en dan gaat het mis. Eigenlijk heb je dus ook overal je eigen applicaties voor nodig zodat op zijn minst de implementatie anders is dan het standaard programma.
Ik denk dat de kans dat er gaten in de beveiliging van een zelf gemaakt besturingssysteem zitten velen malen groter is dan dat er gaten in Windows zitten.
Ik zal dan eerder een unix/linux/etc achtig iets als basis nemen en daar wat aanpassingen op maken, maar je krijgt daarbij al snel tegenstand van een groot aantal gebruikers.
Opvallend vind ik dat zowel het sipr als het nipr netwerk besmet zijn, dan lijkt het erop dat deze niet goed genoeg gescheiden zijn. Daarnaast hebben deze computers kennelijk internet toegang, dus dan kunnen daar net zo goed virussen vandaan komen..
[edit]
Daarnaast is dit inderdaad natuurlijk gewoon een kwestie van een goede virusscanner! Dit virus is al een paar jaar oud! Die virusscanner zou er idd wel moeten zijn.. wellicht een gebruiker die op ignore heeft geklikt?
Ik zal dan eerder een unix/linux/etc achtig iets als basis nemen en daar wat aanpassingen op maken, maar je krijgt daarbij al snel tegenstand van een groot aantal gebruikers.
Opvallend vind ik dat zowel het sipr als het nipr netwerk besmet zijn, dan lijkt het erop dat deze niet goed genoeg gescheiden zijn. Daarnaast hebben deze computers kennelijk internet toegang, dus dan kunnen daar net zo goed virussen vandaan komen..
[edit]
Daarnaast is dit inderdaad natuurlijk gewoon een kwestie van een goede virusscanner! Dit virus is al een paar jaar oud! Die virusscanner zou er idd wel moeten zijn.. wellicht een gebruiker die op ignore heeft geklikt?
[Reactie gewijzigd door pietje63 op zaterdag 22 november 2008 12:10]
Ik denk niet dat 'normale' gebruikers binnen het pentagon het recht hebben om een virus removal te ignorenwellicht een gebruiker die op ignore heeft geklikt?
Een militair netwerk heeft zijn eigen besturingsysteem. Een gewone windows mag je niet gebruiken aangezien je dit niet mag gebruiken indien er sprake is van kritieke systemen. En ik vind in ieder geval dat een militair netwerk een kritiek systeem is. Welk besturingsysteem ze dan wel gebruiken weet ik niet maar als het een windows is dan spreken we over een windows embedded versie.
Fout!
Jouw consumentenversie mag je niet gebruiken, maar dat wil niet zeggen dat je als grote organisatie (en reken maar de de vs.mil groot is!) geen andere afspraken kan maken. Bovendien is lang niet elk systeem daar te bestempelen als kritiek. Dat zal in de praktijk maar een heel klein gedeelte zijn. Ze zetten vast geen windows in voor de besturing van hun kernraketten, maar voor het kantoorgebruik is er niet zo veel op tegen.
Jouw consumentenversie mag je niet gebruiken, maar dat wil niet zeggen dat je als grote organisatie (en reken maar de de vs.mil groot is!) geen andere afspraken kan maken. Bovendien is lang niet elk systeem daar te bestempelen als kritiek. Dat zal in de praktijk maar een heel klein gedeelte zijn. Ze zetten vast geen windows in voor de besturing van hun kernraketten, maar voor het kantoorgebruik is er niet zo veel op tegen.
Met zo'n bericht zie je maar weer dat (naar alle waarschijnlijkheid) de mens de 'zwakste schakel' is in verband met virussen en andere malware.
Zelfs al is je beveiliging zo goed in orde, dan nog kunnen virussen/spyware/malware er doorheen glippen met behulp van de gebruiker.
Zelfs al is je beveiliging zo goed in orde, dan nog kunnen virussen/spyware/malware er doorheen glippen met behulp van de gebruiker.
Weet niet wat ik erger vind: dat de mens de zwakste schakel is zoals jij omschrijft, of dat diezelfde virussen en malware ook door mensen gemaakt zijn... 
Ben ik niet mee eens. Het is absoluut niet moeilijk om een OS zodanig dicht te timmeren dat het moeilijk word om via memory sticks (en andere media of connecties) wormpjes en virussen binnen te halen. Systeem code moet niet verandaarbaar zijn, en alle applicaties moeten in een sandbox draaien. 90% van de software die je draait zou niet verder hoeven dan een bestand te openen (via een OS file-chooser, bewerken en weer wegschrijven. Voor alle andere taken moet het OS niet automatisch toestemming geven. Voor ieder programma krijg je een aparte security script (signed) die bepaald wat het programma eventueel extra nog moet kunnen. Zo'n beetje als Java doet, maar dan volledig uitgewerkt. Bij Java is het vaak of alles of niets, dat schiet natuurlijk niet op. Ik vertrouw in principe geen enkele software, dus waarom zou elk programma dat ik uitvoer, bij al mijn documenten moeten kunnen, of erger, zoals in Windows, bij mijn systeem bestanden? Totaal belachelijk!
Dat kan dus in .Net met de ingebouwde security rechten. Elke applicatie kan precies de hoeveelheid rechten krijgen die nodig is om te draaien en niet meer, al heeft de gebruiker zelf meer rechten, of is zelfs admin.Voor ieder programma krijg je een aparte security script (signed) die bepaald wat het programma eventueel extra nog moet kunnen. Zo'n beetje als Java doet, maar dan volledig uitgewerkt.
[Reactie gewijzigd door Xenan op zaterdag 22 november 2008 14:13]
Dat is wel moeilijk. Je kan nog zo mooi alles afschermen met goed uitgedachte user rechten, maar moderne exploits werken met 'vertrouwde' user data (pdf, jpegs) icm buffer overflows die dwars door je rechten afscheiding breken en code uitvoeren in geheugenruimte die wel alle rechten heeft. Alle veelgebruikte OS'en (Linux, Windows OS X, BSD) zijn kwetsbaar daarop, en daarom komen er ook telkens weer fixes voor allerhande apps en libraries.Het is absoluut niet moeilijk om een OS zodanig dicht te timmeren...
oud virus...typisch overheid, altijd een paar jaar trager dan de maatschappelijke ontwikkelingen. Ga maar na, deze zomer werd bij ministerie X aangekondigd dat SP1 van XP zou worden geïnstalleerd terwijl een paar maanden eerder SP3 al was uitgebracht. Het heeft alles te maken met geld, geld voor de licenties en daar zou je als defensie apparaat toch zeker niet afhankelijk moeten zijn. De mens als zwakste schakel? nee de PC zelf is de zwakste schakel. Het doet immers wat de mens wil? Het doet dus immers ook wat de kwaadwillende mens wil? Er was een zeer goede docu over dit onderwerp op de Belgische TV, hoe de Amerikanen en de Chinezen nu al oorlog aan het voeren zijn in- hoe zal ik het zeggen- cyberspace.
Servicepacks kosten geen geld zover ik weet dus da's geen ideaal voorbeeld. En als de PC doet wat de mens wil, dan is toch de mens de zwakste schakel?
Ik volg je betoog niet helemaal
Hun administrators moeten in ieder geval eens flink op de vingers getikt worden, dit had natuurlijk niet mogen gebeuren. Bij ons zijn ze een stuk sneller als dit soort dingen plaatsvinden. Bij ernstige dingen gooien ze zelfs gewoon even het netwerk plat totdat ze het kunnen fixen. Beetje drastisch, maar het werkt wel.
Ik volg je betoog niet helemaal
Hun administrators moeten in ieder geval eens flink op de vingers getikt worden, dit had natuurlijk niet mogen gebeuren. Bij ons zijn ze een stuk sneller als dit soort dingen plaatsvinden. Bij ernstige dingen gooien ze zelfs gewoon even het netwerk plat totdat ze het kunnen fixen. Beetje drastisch, maar het werkt wel.
Bij dergelijke grote netwerken kosten updates vaak wel geld, geen licentie geld maar eerder om het te testen en te implementeren. Tenslotte wil je gewoon niet dat als je een kruisraket wilt afschieten je opeens een foutmelding krijgt omdat je net SP3 had geïnstalleerd (oke beetje extreem voorbeeld (en waarschijnlijk niet helemaal realistisch) maar jullie snappen vast wel wat ik bedoel).
Of er geen geld is bij Darpa...
Wat dacht je van de problemen van het opnieuw opstarten na elke update. Ik krijg op mijn werk wel alle updates en ik heb mijn pc het langst 3 dagen aan kunnen laten hierdoor. Windows Server heeft zelfs ook de neiging om zichzelf opnieuw op te starten zonder aankondiging, als een update automatisch wordt geinstalleerd...
Wat dacht je van de problemen van het opnieuw opstarten na elke update. Ik krijg op mijn werk wel alle updates en ik heb mijn pc het langst 3 dagen aan kunnen laten hierdoor. Windows Server heeft zelfs ook de neiging om zichzelf opnieuw op te starten zonder aankondiging, als een update automatisch wordt geinstalleerd...
Het heeft dus niets met licentiegeld te maken als de installatie van SP1 uitgesteld wordt. Die servicepacks zijn namelijk gewoon gratis.
Misschien eens tijd om McAffee te updaten op elk werkstation.
Beetje noobish om een 3 jaar oud virus op je windows netwerk te laten glippen. Blijkbaar hebben ze niet helemaal door hoe het werkt daar.
Beetje noobish om een 3 jaar oud virus op je windows netwerk te laten glippen. Blijkbaar hebben ze niet helemaal door hoe het werkt daar.
Hier klopt iets niet.De Amerikaanse Defensie-staf lijkt tot de vergaande maatregelen te zijn gekomen, nadat de militaire netwerken diverse malen succesvol door hackers zijn aangevallen. Bovendien wil het Pentagon voorkomen dat door het intensieve gebruik van removables binnen defensie, de malware steeds weer de kop opsteekt.
Een militair (=geheim) netwerk hoort per definitie niet aan de buitenwereld te zitten.
Een gesloten netwerk is niet toegangkelijk voor buitenstaanders en hackers.
Nu kunnen in principe ook hackers vanuit de organisatie komen, maar die kans is gewoon veel kleiner als men de juiste beveiligingsmaatregelen neemt.
Het gebruik van removables zoals USB sticks, SD kaartjes, CD's, DVD's e.d. vallen daar ook onder. Dat moet dus verboden worden en ook onmogelijk gemaakt worden, door USB poorten te blokkeren en het booten van CD/DVD's niet toe te staan.
Het verwijderen van een CD/DVD drive zou ook wel eens kunnen helpen ....
Kortom, het is eigen schuld van defensie als dit soort incidenten voorkomen. Alles 100% uitsluiten zal altijd wel moeilijk blijven maar door de juiste maatregelen te nemen kun je veel problemen voorkomen.
Dit geldt niet alleen in de USA maar ook in Nederland.
Militair is niet per definitie geheim, en het mailt verdraait lastig naar de buitenwereld als er geen verbinding mee is.Een militair (=geheim) netwerk hoort per definitie niet aan de buitenwereld te zitten.
De vitale militaire netwerken zullen waarschijnlijk gescheiden zijn van internet (ff inlogen en raketten lanceren zoals in wargames zal niet gaan), maar het organisatorisch netwerk moet met de buitenwereld kunnen communiceren omdat men daar dagelijks mee te maken heeft.
Het militaire netwerk waar wij op werken is een 100% intranet waar we net dit jaar van W2K naar XP overgestapt zijn. Op dat intranet is er geen verbinding met het internet, geen e-mail online enz...
Lokaal zijn alle PC's zonder floppy drives, geen CD/DVD's (deze worden gewoonweg verwijderd bij aankoop), password protected bios, enz... Probleem bleek de USB aansluitingen te zijn. Schakel je die hardwarematig uit, dan heb je geen muis noch klavier meer dat werkt. Daartoe bestaat er echter software die deze laatste wel toelaat, maar elke andere vorm van USB connectie weigert.
Voor onze externe contacten hebben we een soort 'internet café' in een apart lokaal gemaakt waar je dan wel on-line kan met de buitenwereld, maar waar geen enkele intranet aansluiting te vinden is.
Er is op ons intranet welgeteld 1 PC waar je de data welke je gedownloadt hebt van het net kunt uploaden in het intranet. Dat gebeurt altijd door een sysadmin die je stick eerst vooraf op een stand-alone PC scant.
Tot op heden is ons intranet, virus en malware vrij gebleven en wekelijks worden de internet café PC's via een image terug op nul gezet.via een simpele batch restore.
Het kan dus wel om je systemen veilig te houden, maar het vraagt wat creativiteit van desysadmin en aanpassing van de gebruikers.
Lokaal zijn alle PC's zonder floppy drives, geen CD/DVD's (deze worden gewoonweg verwijderd bij aankoop), password protected bios, enz... Probleem bleek de USB aansluitingen te zijn. Schakel je die hardwarematig uit, dan heb je geen muis noch klavier meer dat werkt. Daartoe bestaat er echter software die deze laatste wel toelaat, maar elke andere vorm van USB connectie weigert.
Voor onze externe contacten hebben we een soort 'internet café' in een apart lokaal gemaakt waar je dan wel on-line kan met de buitenwereld, maar waar geen enkele intranet aansluiting te vinden is.
Er is op ons intranet welgeteld 1 PC waar je de data welke je gedownloadt hebt van het net kunt uploaden in het intranet. Dat gebeurt altijd door een sysadmin die je stick eerst vooraf op een stand-alone PC scant.
Tot op heden is ons intranet, virus en malware vrij gebleven en wekelijks worden de internet café PC's via een image terug op nul gezet.via een simpele batch restore.
Het kan dus wel om je systemen veilig te houden, maar het vraagt wat creativiteit van desysadmin en aanpassing van de gebruikers.
En er lopen geen mensen rond met laptops? Die ook wel eens buiten worden aangesloten of misschien via 3G en jullie interne netwerk functioneerd? Sorry maar bij mij gaat het er niet in dat er heden ten dagen nog netwerken bestaan die daadwerkelijk helemaal los staan van het internet. Al is er maar een onnozele stagiair of een schoonmaakster die wat doms doet, overal komen dit soort problemen voor. Het is dan ook niet altijd de onwillende admin maar simpelweg de eind gebruikers die de meeste problemen veroorzaken.
Wie herinnert zich nog het artikel op Wired waarbij een medewerker voor de grap een stuk of 10 usb sticks 'vergat' maar deze waren wel al voorzien van de nodige spyware. Iedere stick uiteindelijk resulteerde dus dan ook uiteindelijk doordat de gebruikers nieuwsgierig zijn dat ze deze even inprikte.
Ik geloof er dan ook niet in dat het Pentagon met tienduizenden (?) medewerkers daadwerkelijk zover krijgt dat dit soort issues niet meer voorkomen.
Wie herinnert zich nog het artikel op Wired waarbij een medewerker voor de grap een stuk of 10 usb sticks 'vergat' maar deze waren wel al voorzien van de nodige spyware. Iedere stick uiteindelijk resulteerde dus dan ook uiteindelijk doordat de gebruikers nieuwsgierig zijn dat ze deze even inprikte.
Ik geloof er dan ook niet in dat het Pentagon met tienduizenden (?) medewerkers daadwerkelijk zover krijgt dat dit soort issues niet meer voorkomen.
Helemaal los zal inderdaad niet werken. Ik werk zelf bij een financiele instelling en ik herken het verhaal van wamukota. Natuurlijk kun je niet alles 100% beveiligen, maar je kunt het wel zoveel mogelijk beperken.Sorry maar bij mij gaat het er niet in dat er heden ten dagen nog netwerken bestaan die daadwerkelijk helemaal los staan van het internet.
Dus geen CD-ROM/floppy drive in je werkplek, USB sticks werken niet, inloggen met een pasje met chip en een pincode ipv een wachtwoord. Dat pasje is gelijk je ID binnen het bedrijf dus als je van je werkplek wegloopt moet je dat ding meenemen => PC Automatisch gelockt.
Als je dan toch op het internet moet (software developers hebben daar nog wel eens een handje van
) dan moet je via een remote desktop op een speciale internet server inloggen die vervolgens helemaal dichtgetimmerd zit. Mail wordt van buitenaf wel toegelaten, maar de meeste attachments zoals word documenten en zip bestanden komen niet binnen. Op de werkplekken is de local admin uitgeschakeld en je kunt ook niks op de C-schijf zetten, en ga zo maar door.
De diensten die het bedrijf aanbiedt zijn ook via internet te bereiken maar daar zitten dan weer een aantal dikke firewalls omheen.
Schoonmakers en stagiaires kunnen hier echt niks "per ongeluk" doen
Dat bedoel ik dus.
Het KAN dus wel, en het gebeurt ook al.
Het KAN dus wel, en het gebeurt ook al.
Een worm uit 2005 moet toch echt wel opgemerkt worden door antivirus software lijkt mij. Of bezuinigen ze daarop?
sinds 2005 actief die worm en nu gaan ze alarm slaan, goh.. ze zijn wel snel bij dan...? Had toch allang een fix voor moeten zijn voor instellingen als het pentagon?
Het verbaast me dan ook niets dat ze osama nog steeds niet hebben kunnen vinden.
Het verbaast me dan ook niets dat ze osama nog steeds niet hebben kunnen vinden.
Op dit item kan niet meer gereageerd worden.
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Apple Microsoft Sony Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
