Beveiligingsbedrijf Kaspersky geïnfiltreerd met overheidsvirus - update

De makers van het Duqu-virus hebben ingebroken bij Kaspersky en hebben het netwerk van dat bedrijf geïnfecteerd met een nieuw virus. Dat zegt het bedrijf zelf. Ook zouden de makers van de software - mogelijk Israël of de VS - gesprekken tussen het westen en Iran hebben afgeluisterd.

Kaspersky kwam de infectie eerder dit jaar op het spoor, meldt het bedrijf in een rapport. De malware zou pas een paar maanden na de eerste infectie zijn ontdekt. Volgens Kaspersky gaat het om een heel geraffineerde aanval, waarbij in ieder geval één maar mogelijk zelfs drie zero-days zijn gebruikt. Dat zijn beveiligingsproblemen waarvoor nog geen patch beschikbaar is.

Kaspersky - dat claimt dat klanten van het bedrijf geen gevaar lopen, al weet het bedrijf die claim niet te staven - stelt dat waarschijnlijk dezelfde partij als die van het Duqu-virus achter de aanval zit. Het nieuwe virus heeft daarom de naam Duqu 2.0 gekregen. Ook beveiligingsbedrijf Crysys, dat Duqu 1.0 ontdekte, ziet veel overeenkomsten, onder meer in de manier van programmeren en compileren.

"De software was vrijwel onzichtbaar en heel moeilijk te ontdekken", zei directeur Eugene Kaspersky van het bedrijf. "Geen sporen in het register, slechts een klein programma in het geheugen." Volgens Kaspersky deed de software zich voor als een update-programma om zich in het netwerk te verspreiden.

Volgens Kaspersky waren de aanvallers geïnteresseerd in het onderzoek van het beveiligingsbedrijf. Het is onduidelijk of de aanvallers gevoelige gegevens hebben kunnen buitmaken, maar gezien ze een aantal maanden in het netwerk van Kaspersky hebben gezeten, is dat wel waarschijnlijk.

In de media wordt gewezen naar Israël als verantwoordelijke voor de aanval, maar Kaspersky wil dat niet bevestigen. Israël wordt vaak aangewezen als de verantwoordelijke voor het oorspronkelijke Duqu-virus. Het land heeft dat zelf nooit erkend. Ook wordt soms gewezen naar de Verenigde Staten; Duqu vertoont namelijk grote gelijkenissen met het Stuxnet-virus, dat was gericht op Iraanse nucleaire installaties. De Verenigde Staten worden gezien als verantwoordelijken voor dat virus.

Kaspersky heeft bij een klein deel van zijn klanten infecties gevonden van de malware. De meeste getroffen klanten bevonden zich buiten Europa. Omdat het gaat om een virus dat nog niet bekend was, werd het niet eerder gedetecteerd. Onder andere hotels waar het Westen met Iran diplomatieke onderhandelingen zou hebben gevoerd, zouden zijn getroffen door het virus. Daarbij zouden de aanvallers toegang hebben gehad tot de hele ict-infrastructuur. Israël was een fel tegenstander van die gesprekken.

De aanvallers zouden met behulp van het virus mogelijk ook hebben gespioneerd op de zeventigste verjaardag van de bevrijding van het concentratiekamp Auschwitz-Birkenau. Waarom Israël of de Verenigde Staten dat evenement zou hebben willen bespioneren, is onduidelijk.

Update, 16:35: Dit artikel meldde dat 270.000 infecties zijn waargenomen. Dat is echter het aantal klanten dat Kaspersky heeft, niet het aantal infecties. Het artikel is hierop aangepast.

IT-banen

Reacties (72)

Tox1city 10 juni 2015 16:19

3 Zero days, dat doet mij denken aan Stuxnet (hoewel deze er 10 had).

De Stuxnet-malware is inmiddels door verschillende beveiligingsbedrijven aandachtig bestudeerd en zij kwamen tot de conclusie dat het een zeer geavanceerde vorm van malware is, dat niet door iedereen kan zijn ontwikkeld.

Snowden heeft ook al aangegeven dat de VS hierbij een vinger in de pap had. Gezien een Zero Day erg hoge kosten met zich mee brengt zal het mij niets verbazen als dat met deze infectie ook het geval is.

TL;DR, Stuxnet en de kosten van Zero days: https://www.youtube.com/watch?v=scNkLWV7jSw

Verwijderd @Tox1city • 10 juni 2015 23:29

Zoveel kost een zero day nou ook weer niet. Paar ton, dat is best betaalbaar voor veel partijen.

Ballistic

10 juni 2015 15:57

Dat een bedrijf als Kaspersky getroffen is geeft in mijn ogen duidelijk aan wat de staat is van het internet: NIKS is echt veilig. je kan alles zo goed mogelijk beveiligen maar als je het echt veilig wil houden moet je het niet aan het internet knopen. (en dan nog)

spreekt wel voor een bedrijf als Kaspersky dat ondanks de infectie, ze wel toegeven dat ze geinfecteerd zijn geweest en ook dat het een half jaar geduurd heeft voor ze er achter waren. veel bedrijven zouden hier niet open/eerlijk over zijn... (om er toch nog een positieve zwaai aan te geven)

GewoonWatSpulle @Ballistic • 10 juni 2015 16:05

Je gaat wat kort door de bocht met "geeft in mijn ogen duidelijk aan wat de staat van het internet is" want mogelijk is de infiltratie middels een phishing e-mail verlopen.

The original infection vector for Duqu 2.0 is currently
unknown, although we suspect spear-phishing e-mails played an important role.

Al zijn ze er nog niet over uit dat dat de werkelijke eerste infectie was. Maar human-error is bijna geen enkel systeem tegen beveiligd.

Since the respective machines were fully
patched, we believe a zero-day exploit was used.

Ook hier, een vermoeden van zero-day exploit maar geen bevestiging.

Ballistic

@GewoonWatSpulle • 10 juni 2015 16:09

True true, moet ook toegeven dat het meer een gevoels opmerking is dan gebaseerd op harde feiten.
Het is meer zoals Tiny hier onder aangeeft: Als ze de focus op je hebben gericht is het een kwestie van tijd. en ja mensen zijn de zwakke schakel in het geheel.. vooral nieuwegierigheid is vaak een boosdoener (dit kom ik in de praktijk ook vaak tegen, "ik had al een vermoeden dat het niet te vertrouwen was" waarom klik je er dan op?)

Verwijderd @GewoonWatSpulle • 10 juni 2015 17:56

Spear-phishing...dat is wel interessant, want dat betekent dat ze Kaspersky echt getarget hebben en het niet een random infectie is.

computerjunky @Ballistic • 10 juni 2015 16:33

Idd ik heb 10 jaar lang zonder enige beveiliging op het internet rondgedwaald en heb nooit (behalve door mijn schuld) rotzooi op mijn pc gehad (verrekte game cracks haha).

Maar de afgelopen 2 maanden heb ik 2x troep op mijn pc gevonden waarna de browser niet meer normaal werkte zonder dat ik iets geïnstalleerd heb.
Dit is dus via de browser binnengekomen via een website zonder enig tussenkomen van mij als gebruiker.
Het liet geen herkenbaar proces achter het liet geen services achter maar het verstoorde wel je browse verkeer.
gelukkig was het verwijderen doodsimpel. (register linkjes en bestand renamen> verwijderen maar alsnog het feit dat het er in komt zegt mij genoeg en ik zal dan ook goed in de gaten houden hoe het erin komt en waarvandaan deze meuk komt.
Het was immers steeds hetzelfde zooitje.

dutch_camel @computerjunky • 10 juni 2015 16:48

Dan zou dit stukje je aan het denken moeten zetten:

De malware zou pas een paar maanden na de eerste infectie zijn ontdekt.

Er van uitgaande dat je ondertussen nog geen beveiligings maatregelen hebt genomen ...

De makers worden steeds slimmer/creatiever/more evil, pick one.
Nu is het nog een onschuldig malware dingetje in je browser.
Beveiligen van je PC is een must have, geen wanna have. Wij zijn mensen, en maken fouten. Beveiligingssoftware helpt je problemen te voorkomen na fouten.
Heb zelf ook KIS, en ben er na jaren nog steeds zeer blij mee. Euro's die ik graag en zonder enige moeite uitgeef.

Tiny @dutch_camel • 10 juni 2015 16:55

Ja, DIT!

Het is eigenlijk best onverantwoordelijk om geen enkele vorm van beveiliging te hebben.
Zij het niet voor jezelf, dan wel voor een ander. Je zou zonder het te weten een botje kunnen zijn in een Botnet.

En nee... alleen maar veilige pagina's bezoeken is ook niet meer afdoende.
Zoek maar eens op Drive-By Download infectie bijvoorbeeld.

Alfa1970 @Tiny • 10 juni 2015 17:20

Dat kan ook als je alle mogelijke beveiliging op je systeem hebt staan.
Ga maar eens kijken in je anti-virus product, en kijk goed naar de instellingen die je erin maakt.
Bijna 90% van de instellingen gaan over dingen die niet "moeten"worden gescanned.
En het meeste staat bij default aan..

Zelfs een domme malware schrijver weet wat hij moet doen om ongedetecteerd z'n gang te kunnen gaan.

Armin

Netwerk en systeembeheer

@Alfa1970 • 10 juni 2015 18:23

Bijna 90% van de instellingen gaan over dingen die niet "moeten"worden gescanned.
En het meeste staat bij default aan..

Hangt wel van je product af.

Bij Microsoft defender (de meest gebrikte scanenr ter wereld) staat standaard niets uit. En de betere pakketen zoals Kaspersky zelf hebben ook geen op-outs bij mijn weten.

Als een pakket veel 'uit' heeft staan is dat meestal een teken dat het of erg traag is of veel vals-positieven geeft en zou ik eens naar een andere product gaan kijken.

BenGenaaid @Armin • 10 juni 2015 21:28

Vind zelf de volgende combinatie wel afdoende:

Mozilla met ghostery en Adblock plus en Disconnect, aangevuld met getweakte useragent overider en Noscript en cookiemonster

Wat de ene niet pakt, pakt de ander wel, en zo niet is er ook nog Avast free (met browser integratie) Malwarebytes anti exploit free en PeerBlock.

Het duurt effe voor je alle settings zodanig goed hebt staan dat de sites die iets nodig hebben, het ook doen (met name peerblock met 11 filter lists geladen...paranoia mode zeg maar)

En als laatste Spybot search and destroy met TeaTimer (blokkeert register wijzigingen) geïntegreerd.

Ik heb toch de meest vieze geïnfecteerde crack sites bewandeld met mijn PC en toch nog nooit iets opgelopen (effe afkloppen). Wat misschien ook helpt is via een VPN over TOR surfen....al beschermt dit je niet direct natuurlijk..

Oh en alles is gratis natuurlijk. enne voor het gemak

de links.

https://www.mozilla.org/nl/firefox/new/
https://www.ghostery.com/nl/
https://noscript.net/
https://adblockplus.org/nl/
https://disconnect.me/
https://www.malwarebytes.org/antiexploit/
http://www.peerblock.com/
https://www.safer-networking.org/mirrors16/
https://www.avast.com/nl-nl/index

Armin

Netwerk en systeembeheer

@BenGenaaid • 10 juni 2015 22:19

Mozilla met ghostery en Adblock plus en Disconnect

Dat lijkt mij inderdaad wel afdoende.

Maar ... voor mensen die ietsje minder ver willen gaan

: gewoon IE11 (64bit mode en enhanced protected mode) plus EMET 5.2 in default settings werkt ook goed.

Die combo is namelijk nog nooit gehacked in een end-to-end hack en makkelijk in te stellen en configureren:

1) Tools -> Internet Options -> 64bit en enhanced protected mode aanzetten
2) Microsoft EMET 5.2

BenGenaaid @Armin • 11 juni 2015 20:48

Thanks ik zal eens kijken op mijn Win7 box, maar bovenstaande config is mijn supersnelle WinXP-kassa

en die heeft geen IE11 en geen 64 bit ook..

(maar update wel tot 2019

)

Is ook echt een box om op sites te gaan waarvan je weet dat je het oploopt... (heb een gekloonde HDD klaar liggen in het geval dat....maar... nog nooit nodig gehad).

Rest van de doosjes draaien Linux en BSD varianten ... die moet je gewoon op tijd patchen...

Verwijderd @BenGenaaid • 10 juni 2015 23:30

Totaal overbodig. Veel plezier met je trage firefox. Peerblock is fake security. En noscript, ghostery, adblock en disconnect kan ALLEMAAL vervangen worden door ublock origin.

BenGenaaid @Verwijderd • 11 juni 2015 20:56

Liever overbodig dan te weinig

Traagheid.... tja heb tijd genoeg, leven gaat al snel genoeg...internetten is mijn rust moment

Peerblock is ook alleen een aanvulling en zeer zeker geen dekkende security, je moest eens weten wat er allemaal wordt tegen gehouden nu, alleen al bij het opstarten van firefox worden al de nodige overbodige verbindingen gemaakt, laat staan surfen naar een pagina als de telegraaf / volkskrant / Nu punt nl etc.
Het is me ook opgevallen dat in idle toestand van de betreffende PC, er nog steeds een enorme hoeveelheid verbindingsverzoeken komen vanaf het internet en dan van zeer shady IP adressen (heb er eens een aantal opgezocht.)

Peerblock is eigenlijk niets anders dan een blacklist van IP adressen waar je geen verbinding mee wil maken..thats all..niets meer en niets minder.

Zal eens Ublock origin bekijken... thanks for he tip.

Verwijderd @BenGenaaid • 12 juni 2015 09:17

peerblock blokkeerd ook allemaal legitieme verbindingen van gwn normale mensen of bedrijven die niets fout doen. dat is dus het probleem van peerblock al de "false positives" op de blacklist

[Reactie gewijzigd door Verwijderd op 22 juli 2024 14:16]

Alfa1970 @Armin • 10 juni 2015 22:31

Ik doel niet zozeer op opties die uit staan, maar meer op opties die aan staan maar daarmee juist de beveiliging verminderen.

Zoals bijvoorbeeld het niet scannen van bestanden groter dan 1 MB of niet verder kijken naar een zip file als die uitgepakt groter dan 10 MB is.
Dit soort zaken staan altijd aan, maar hebben als effect dat de beveiliging nihil tot niet bestaand is.
Sommige a/v producten zoals die van McAfee laten dit niet eens zien.
Van McAfee is bijvoorbeeld bekend dat die niets scanned voorbij de10MB grens zelfs al heb je het zo geconfigureerd dat hij grotere bestanden moet scannen. Maar die limitatie zal je in de gui niet tegenkomen.
(Genoemde waarden zijn voorbeelden en zullen per merk/product/versie verschillend zijn.)

[Reactie gewijzigd door Alfa1970 op 22 juli 2024 14:16]

computerjunky @dutch_camel • 10 juni 2015 18:38

Ik vind het zelf toch echt niet zo boeiend.
Alle belangrijke dingen staan immers extern en losgekoppeld en als hij echt overhoop licht heb ik in 4 minuten van een externe usb de backup (windows image) terug gezet en draait ie weer prima.

Ik ben vooralsnog meer kwijtgeraakt door beveiligings software dan door rotzooi in mijn pc dus zo veel vertrouwen heb ik niet in deze software.
Ik draai af en toe een housecall x64 via het web en dat is meer als voldoende en afgelopen jaren kwam daar dan ook steen niets uit.
Ik kom er vanzelf wel achter welke website me deze meuk voorschotelt en dan ko ik daar gewoon niet meer.
er zijn mensen die hun hele pc zo beveiligen dat het hele systeem niet meer normaal werkbaar is en vervolgens ergeren ze zich de kleren en drukken per ongelijk of door onwetendheid op toestaan en nog zit er klerezooi in hun pc.

[Reactie gewijzigd door computerjunky op 22 juli 2024 14:16]

metalmania_666

@computerjunky • 11 juni 2015 12:16

Je weet dat als je geinfecteerd bent met een van de bankvirussen je zelf aansprakelijk wordt gesteld door de bank?

In hun voorwaarden staat duidelijk dat je je pc afdoende beschermd moet hebben.
Nu lijkt het mij moeilijk om aan te tonen dat je pc niet afdoende beveiligd is want dan moeten ze op je pc kijken, maar toch

computerjunky @metalmania_666 • 11 juni 2015 14:20

Jep maar doe zo goed als nooit aan telebankieren en als ik dat wel doe is het op mijn tablet tegenwoordig omdat het makkelijker is.

Op mijn pc is echt niet veel te vinden omdat ik vaak genoeg met een defecte schijf te maken gehad heb heb ik nu alles wat belangrijk is extern. Het enigste dat ik kwijt kan raken zijn mijn favorieten.

Verwijderd @computerjunky • 10 juni 2015 17:03

gelukkig was het verwijderen doodsimpel. (register linkjes en bestand renamen> verwijderen maar alsnog het feit dat het er in komt zegt mij genoeg

Als jij als piraat denkt veilig te zijn met alleen je computerkunde en geen bescherming gebruikt kunnen we er welgevoegelijk vanuit gaan dat jij wel meer infecties hebt die je zelf niet in de gaten KAN hebben.

Wel dapper hoor, daar niet van, maar vervelend voor de mensen in je omgeving die je hiermee ook blootsteld.

computerjunky @Verwijderd • 10 juni 2015 18:50

Ik heb niks op mijn pc dat linkt naar anderen bij mijn mail kunnen ze niet komen en de scan hier en daar vind niets. je moet alleen goed opletten waar je op klikt online dat is 99% van het gevaar en daarom is de statusbalk ook zo belangrijk.
Je kan dan immers zien waar het naar linkt voordat je er op klikt.

quintox @computerjunky • 11 juni 2015 10:12

Niet bij een javascript/ajax call, fake/short urls of als zelfs je hele browser ge-reroute wordt naar een phishing url op bijv een open wifi. What you see is not always what you get.

Vertrouwen op de statusbalk lijkt me daarom zeer onverstandig, gezond verstand is belangrijk om het gros van de problemen te voorkomen, maar het is niet waterdicht (dat is niks overigens). KIS triggert bij mij als bijv. een SSL certificaat niet matched of zelfs afwezig is op gevoelige pagina's, ondanks dat het vertrouwd aanvoelt.

computerjunky @quintox • 11 juni 2015 14:23

Javascript staat uitgeschakeld op mijn pc omdat dit in het verleden zo lek als een vergiet is gebleken.

en open wifi heb ik niks mee te maken met mijn pc en fake en short urls moet je ook niet zomaar op klikken. Deze kan je beter op een oude tablet testen zodat je weet of het een goede link is

En verkeerde/ontbrekende ssl certificaten heeft IE zelfs aan.

quintox @computerjunky • 11 juni 2015 14:44

Hoe kun jij in godsnaam gebruik maken van websites als je alle JS en Ajax blocked? lijkt me stug

Bijv. de moderate knoppen op Tweakers, ook dat wordt opgevangen middels JS/Ajax/Json. Dropdowns in het menu doen het niet, profiel settings, notificaties, berichten, meuktracker en zo kan ik nog wel even doorgaan.

Als je JS volledig blocked, dan werkt toch geen enkele website meer fatsoenlijk? Veilig, dat dan weer wel, maar je belemmert toch serieus het gebruiksgemak. Bij Tweakers valt het nog wel mee, maar er zijn genoeg sites die compleet breken.

"En verkeerde/ontbrekende ssl certificaten heeft IE zelfs aan". Dit wordt niet altijd correct opgevangen door de browser, een login pagina op http:// zal geen flag opgooien in je browser.

[Reactie gewijzigd door quintox op 22 juli 2024 14:16]

Verwijderd @computerjunky • 10 juni 2015 17:37

Idd ik heb 10 jaar lang zonder enige beveiliging op het internet rondgedwaald en heb nooit (behalve door mijn schuld) rotzooi op mijn pc gehad (verrekte game cracks haha).

Hoe weet je dat je nooit zooi op je pc had? Hoe heb je dat gecontroleerd? Niet alle schadelijke software doet dingen die je in je in het dagelijks gebruik merkt. Dus zeggen dat je nooit besmet bent geraakt is een loze opmerking.

Maar de afgelopen 2 maanden heb ik 2x troep op mijn pc gevonden waarna de browser niet meer normaal werkte zonder dat ik iets geïnstalleerd heb.
Dit is dus via de browser binnengekomen via een website zonder enig tussenkomen van mij als gebruiker.

Dat je browser niet meer werkt wil niet zeggen dat het ook via die weg is binnengekomen. Ten tweede heb jij er wel degelijk zelf de hand in gehad want jij hebt (als het via de browser is gegaan) bepaalde sites bezocht.

het feit dat het er in komt zegt mij genoeg en ik zal dan ook goed in de gaten houden hoe het erin komt en waarvandaan deze meuk komt.

Hoe wil jij dat gaan monitoren? Scanners houden lang niet alles tegen en zero-day al helemaal niet.

computerjunky @Verwijderd • 10 juni 2015 18:56

Hoe wil jij dat gaan monitoren? Scanners houden lang niet alles tegen en zero-day al helemaal niet

Ik weet nu waar het komt te staan dus laat bepaalde sites een paar dagen liggen en kijk continu of het er weer in zit en zo kan je het uitsluiten.

Niet de meest snelle manier maar het werkt en dat is waar het om gaat.

vervolgens iptje blocken in de router en klaar is kees.

Teijgetje @computerjunky • 10 juni 2015 18:38

Idd ik heb 10 jaar lang zonder enige beveiliging op het internet rondgedwaald en heb nooit (behalve door mijn schuld) rotzooi op mijn pc gehad (verrekte game cracks haha).

Tjonge wat een naïef gedrag spreid je hier ten toon.

Om dan even naar de bekende weg te vragen :
Maar dan scande je natuurlijk wel elke avond je pc met scanners als Malwarebytes, SuperantiSpyware, Hitman, en soortgelijken?
En lette je wel extreem op waar je was en wat je daar achterliet voor de hackers, op Google, met inloggen, etc?
Hield je dan wel minimaal alle poorten in de gaten op in- en uit-gaand verkeer, met een programmaatje dat dat logde?
En adviseerde je je omgeving ook misschien dat virusscanners onnodig waren, jij nog nooit besmet was geweest, die progjes op zich al virussen waren en ze je pc alleen maar langzaam maakten?
En automatisch updaten van Windows? Of is dat ook een silly question?

Vreemd dat je nooit sites bent tegen gekomen als Security.nl of SANS Internet Storm Center.
Al in 2005 was bekend dat een ongepatchte pc nog maar 12 minuten overlevingstijd had voordat deze overgenomen was.
Een onbeschermde pc had 40% kans om binnen 10 minuten besmet te raken, maar dat duurde hooguit 31 minuten, dat virus/malwarevrij zijn......

Omdat ik eigenlijk op alles een "nee" verwacht, behalve op het advies naar naasten, denk ik dat het volgende scenario het meest waarschijnlijke is.....

Dus heb je je hoogstwaarschijnlijk al die tijd gewoon ongemerkt laten besmetten, ben je ongemerkt gebruikt in een botnet om bv kinderporno te verspreiden of om duizenden mensen te duperen......
En ben je daar eigenlijk nog trots op ook omdat je dat nooit gemerkt hebt.

En tegenwoordig?
Nog steeds zo naïef (lees ik eigenlijk uit je reactie) ?
Of inmiddels toch maar wat beveiliging geïnstalleerd en gezorgd voor een up to date systeem?
En je mening inmiddels bijgesteld dat het niet aan jou hoeft te liggen om gebruikt te worden/ besmet te raken?

De huidige stand van zaken, qua risico`s als je niet patcht vind je hier

[Reactie gewijzigd door Teijgetje op 22 juli 2024 14:16]

GB2 @Teijgetje • 10 juni 2015 20:30

Daar ga je al ook al was je voorzien van alle patches dan nog was je geïnfecteerd met virusscanners loop je -altijd- achter de feiten aan ik draai het niet meer, wel EMET en gebruik voor af en toe een FixMeStick

Teijgetje @GB2 • 10 juni 2015 21:13

Leestekens en hoofdletters zijn wel makkelijk.
Ik snap niet helemaal waar " Daar ga je al" op slaat.
"ook al was je voorzien van alle patches dan nog was je geïnfecteerd met virusscanners" is een beetje raar.

"loop je -altijd- achter de feiten aan ik draai het niet meer, wel EMET en gebruik voor af en toe een FixMeStick "

Maar jij laat je dus liever ongemerkt infecteren, zelfs met stokoude malware en virussen, niet alleen door onbekende, die zodra het de cloud bereikt, bekend is?
Sorry, ik kan dat toch alleen maar zien als dom, altijd maar puinruimen achteraf.
Hopelijk kom je nooit goede bekende ransomware tegen.

[Reactie gewijzigd door Teijgetje op 22 juli 2024 14:16]

GB2 @Teijgetje • 10 juni 2015 23:59

Daar ga je al, slaat op het feit dat je met de laatste updates en een up to date virusscanner vandaag de dag echt niet -meer- goed beveiligd bent, ja met de laatste Java updates en de nieuwste Acrobat Reader en Flash Player wordt in eerste instantie veel afgevangen, maar tegen een zeroday gaat dat je echt niet helpen.

En hoewel misschien mijn spelling niet geheel zal voldoen, is begrijpend lezen ook een kunst want ik heb wel degelijk maatregelen getroffen via EMET en daarnaast doe ik geheel buiten Windows om zeer regelmatig een scan van alle disken middels een FixMeStick.
Uiteraard staan belangrijke gegevens op een externe disk (full image) en is er ook een kopie buiten de deur (offline disk in kluis bij familie) .

Wat een bedrijf als Kaspersky had kunnen doen hier tegen ? Dat is koffiedik kijken maar ik denk dat de oplossing ligt in deep Packet inspection over het gehele netwerk en aan de hand van verbanden die dan gevonden worden een alarm / melding maakt, Server xyz maakt iedere dag om 3:29 uur verbinding met een vaag ip adres wat in China staat, etc etc.

Teijgetje @GB2 • 11 juni 2015 01:02

O-day leaks zijn sowieso slecht af te schermen aangezien niemand ze weet, om dan een beschermingspakket dat de rest wel afvangt, en up to date zijn, als niet meer goed beschermd te bestempelen is wel erg simpel gesteld.

En natuurlijk begrijp ik je wel, maar het is een kleine moeite om normaal Nederlands te schrijven.

En een FixMeStick is een leuk hulpmiddel maar zeker geen afdoende enkele oplossing, het mist veel zoals rootkits en registerwijzigingen.
Ik zou dat toh samen met antivirussoftware gebruiken, niet alleen met EMET

Teijgetje @computerjunky • 10 juni 2015 20:11

Voor mij hoef je je niet te verdedigen hoor.
Het boeit me echt niet als je identiteit (of wat anders) gestolen wordt van je.

Ik heb alleen wel te doen met alle anderen die gedupeerd worden omdat jij je pc beschikbaar stelt voor malafide doeleinden.
Persoonlijk hoop ik echt dat er ooit nog eens boetes uitgedeeld kunnen, naar mate van benadeling, aan eigenaars van opgenomen bots die willens en wetens hun pc niet beveiligden, net zoals de bank je nu al niets vergoedt en zegt "eigen schuld" als je niet up to date bent en een goede virusbeveiliging draait.

Je antwoord is imo al een beetje brevet van onvermogen.

En sorry maar dingen die zooi verspreiden hebben processen en of services nodig dus wat je hier zegt is gewoon onzinnig aangezien ik deze dagelijks bekijk en meteen op zou merken.

Ah, net zoals Kaspersky hun processen in de gaten houdt, al doen zij het gemonitord dan, niet visueel zoals jij zegt te kunnen, en pas maanden later iets opmerkte dat bij een hidden proces hoorde.....
Misschien moet je een beveiligingsbedrijf beginnen, als je vrijwel onzichtbare onbekende software er direct uithaalt met een visuele scan.
Eugene zou blij met je zijn......en je een dik salaris bieden.

Goed gebruik kan 99% van alle rotzoot dan ook opmerken zonder enige vorm van beveiliging.

Nou dat is pas onzin.

Poorten en alle andere meuk word gewoon in de router geregeld dus daar heb ik geen omkijken naar. die staan allemaal dicht behalve als ik een bepaalde server opstart.

Als jouw pc iets wegstuurt, via een verborgen proces, via een poort die normaal niet gebruikt wordt, dan geeft je router dat gewoon door als jouw pc vertrouwd is.

En zolang jij niets logt qua verzenden/ontvangen zal dat kleine pakketje je nooit opvallen.

Je kan het naïef noemen maar het is net zo naïef om te denken dat al deze peperdure en gratis bloatware je beschermd als je namelijk zelf ok of negeren klikt ben je net zo zeer het haasje.

Ik was eigenlijk aardig, het is namelijk niet naïef, maar dom en haast crimineel, juist omdat anderen jouw pc, voor jou ongemerkt, voor malafide doeleinden kunnen gebruiken.
En inderdaad, ik ben niet zo naïef te denken dat ik ondanks al mijn bescherming overal maar op kan klikken en alles kan installeren.
Veel van wat bekend is wordt er wel uitgefilterd, en word ik real-time voor gewaarschuwd als ik naar een site ga, iets download of wil installeren.
Maar ik moet nog steeds zelfs op blijven letten wat ik doe en waar ik toestemming voor geef.

En de link is bijna allemaal software die door de normale gebruiker niet gebruikt word...

Ah, je bedoelt Windows dat de normale gebruiker niet gebruikt?

Het zijn de risico-analyses van de laatste updates van Microsoft.
Die van deze maand dus....
Jouw antwoord geeft een beetje aan dat je eigenlijk geen idee hebt waar je over praat.........

en nee ik heb nog niets veranderd ik probeer namelijk te achterhalen waar dit vandaan kwam zodat ik wat aan de oorzaak kan doen.
Misschien weet die hele website niet dat het gebeurd.

Welke website van alle websites waar je de afgelopen maanden geweest bent dan?
Het makkelijkst om wat aan de oorzaak, niet beveiligd zijn, te doen is je gewoon te beveiligen met een degelijke antivirus en wekelijkste scans, er zijn er zat die gratis zijn en goed werken.

Maar je kan natuurlijk ook naar je tobo processen gaan zitten staren tot je een virus ziet bewegen, zoals je zegt te kunnen.
Misschien kan je zelfs, als je de pc/laptop openmaakt, zien hoe die binnenkwam en dat gaatje dichten.......

[Reactie gewijzigd door Teijgetje op 22 juli 2024 14:16]

computerjunky @Teijgetje • 10 juni 2015 20:48

het mag dan wel het makkelijkste zijn om je te beveiligen maar het is ook meteen de enigste optie die niet goed is voor het totale probleem van klerezooi op het internet.
Als je de oorzaak vind en degene ervan op de hoogte brengt word het opgelost zo niet blijft die klerezooi bestaan op de achtergrond en het hele internet vertragen en besmetten.

Voorkomen bij de kern is de beste oplossing.

en iemand zijn pc ongemerkt gebruiken hoe scheel moet je zijn om dit niet op te merken. en crimineel... komop man je merkt het meteen als dit soort troep je pc bezet.
Toen ik nog beroepsmatig dit soort klerezooi van pc's haalde merkte je het meteen aan de pc omdat die traag en laggy worden doordat de cpu grootschalig gebruikt word.

Je blijkt zelf geen idee te hebben van hoe je dit moet opsporen en detecteren anders had je wel begrepen dat het zo te zien was. en verborgen processen bestaan niet in windows.
Van alles is te zien waar de herkomst is en naar welk bestand het linked.
Veel word dan ook onder rundll32 gedraait al tig jaar maar het is door het pad na te gaan meteen te zien of het wel of niet een windows process is.

ik heb er altijd 32 en dus is daaraan ook te zien of er meer bijkomen of niet.

en iets versturen via een poort die normaal niet gebruikt word?
Niet gebruikte poorten worden in de router dus gewoon geblokkeerd.

En verder staat mijn pc uit als ik m niet gebruik omdat we niet allemaal geld teveel hebben dus ook daar zullen ze niet veel aan hebben.

Teijgetje @computerjunky • 10 juni 2015 22:40

het mag dan wel het makkelijkste zijn om je te beveiligen maar het is ook meteen de enigste optie die niet goed is voor het totale probleem van klerezooi op het internet.
Als je de oorzaak vind en degene ervan op de hoogte brengt word het opgelost zo niet blijft die klerezooi bestaan op de achtergrond en het hele internet vertragen en besmetten.

Voorkomen bij de kern is de beste oplossing.

Je hebt gelijk, veel geluk met internet virus en malwarevrij maken........

Ik vertrouw toch grotendeels op mijn real-time beveiligingen, dat zie ik dan weer als voorkomen bij de kern, dat het niet op mijn pc komt.

Je blijkt zelf geen idee te hebben van hoe je dit moet opsporen en detecteren anders had je wel begrepen dat het zo te zien was. en verborgen processen bestaan niet in windows.
Van alles is te zien waar de herkomst is en naar welk bestand het linked.
Veel word dan ook onder rundll32 gedraait al tig jaar maar het is door het pad na te gaan meteen te zien of het wel of niet een windows process is.

ik heb er altijd 32 en dus is daaraan ook te zien of er meer bijkomen of niet.

Dat bedoel ik dus, jij hebt er altijd 32, ik heb W8.1Pro + Mediacenter en heb gedurende deze onderhoudende conversatie soms 28, meestal 29 en soms 30 Windows processen draaien ( en 5 toepassingen en 88, 89 of 90 achtergrond processen), dus heb ik er nu te weinig?
Of heb jij er teveel?

Ik bedoel, mijn Windows processen wisselen qua aantal, net als de achtergrond processen.
Heb jij een paar als Windows proces vermomde virussen draaien?

En natuurlijk kan ik elk proces gaan volgen of het klopt, na natuurlijk alle processen van alle gebruikers weer te laten geven, waaronder ook de verborgen processen..... voor de gewone gebruiker is dat niet te doen.
Die komt al niet door een pagina informatie als dit heen over hoe en wat met processen, software en virussen.

[Reactie gewijzigd door Teijgetje op 22 juli 2024 14:16]

computerjunky @Teijgetje • 11 juni 2015 14:25

Tja dat zijn aardig wat meer processen.
Ik draai dan ok een minimalistisch systeem met niks dan drivers. alle tools en meuk heb ik er niet in.

En nee het is niet voor iedereen een slimme optie sterker nog de meeste zijn beter af met bescherming maar dan moeten ze er wel naar luisteren want als ze op toch instaleren/uitvoeren/downloaden klikken schiet je er niks mee op natuurlijk.

De andere mensen hier in huis hebben gewoon meerdere firewalls naast de router (windows en een 3rd party en antivurus en realtime protection en toch zit ik regelmatig achter hun pc om er klerezooi vanaf te halen waarna ik voor de zekerheid (netwerk is uitgeschakeld maar toch) mijn pc kan gaan scannen zonder enig resultaat.

[Reactie gewijzigd door computerjunky op 22 juli 2024 14:16]

twilex @computerjunky • 11 juni 2015 14:22

Je bedoelt dat je het al die jaren nooit hebt ontdekt...

Verwijderd @Ballistic • 10 juni 2015 16:18

Ze zullen wel moeten, als dit bekend was geworden via een 3de partij, konden ze wel inpakken.

Armin

Netwerk en systeembeheer

@Ballistic • 10 juni 2015 18:20

NIKS is echt veilig

... indien een tegenstander voldoende middelen heeft.

Immers let wel het gaat niet om huis-tuin-en-keuken malware, maar een gerichte anaval van ewn nationstate met een miljoenenbudget en een tijdsspanne die maanden of langer mag betrekken.

Het is in de security wereld algemeen erkend dat inderdaad niets bestand is tegen zo'n aanval. Enkel zo vroeg mogelijke detectie en interne compartimenten om besmetting te vertragen en gevolgen te beperken zijn mogelijk als tegenstap.

Wij als gewone gebruikers hebben hier gelukkig niet zo veel last van. Immers wij zijn die financiele investering normaal gesproken niet waard.

pegagus 10 juni 2015 16:04

Hoe kan het bedrijf claimen dat klanten geen gevaar lopen en tegelijkertijd bij 270.000 gebruikers infecties vinden van de malware?

Sharky @pegagus • 10 juni 2015 16:18

Ik gok dat ze bedoelen dat het virus niet zozeer schade berokkent, maar (specifieke) informatie verzamelt. Dat kan uiteraard ook schadelijk zijn, maar het is geen ransomware of iets dergelijks.

trogdor @pegagus • 10 juni 2015 17:49

zie correctie in het artikel, dat getal zijn alle klanten of installaties.
Het verbaast me wel dat kaspersky maar 270k klanten heeft, ik dacht dat ze veel groter waren.
Of telt een grote instelling ook als 1 klant ?

ColdRain @trogdor • 10 juni 2015 18:21

Kaspersky heeft véél meer klanten dan 270k. Misschien moet de k een M zijn.

trogdor @ColdRain • 10 juni 2015 20:29

Dat lijkt me wel weer wat aan de hoge kant.

GeoBeo 10 juni 2015 22:44

Dit zijn de soort exploits waarover Snowden jaren geleden al berichtte.

De NSA is toch wel een van de weinige organisaties die de man-capaciteit (en het geld) heeft om dit soort virussen te ontwikkelen... Dit is het topje van de ijsberg natuurlijk als zelfs een anti-virus bedrijf er maanden over doet om dit te vinden.

Snowden kom er maar in?

CivLord

@GeoBeo • 11 juni 2015 09:40

De NSA is toch wel een van de weinige organisaties die de man-capaciteit (en het geld) heeft om dit soort virussen te ontwikkelen...

Ik vrees dat je dit erg onderschat. Elke organisatie die het zich kan veroorloven om een paar programmeurs/ beveiligingsexperts/ hackers een paar maanden ongestoord ergens op te laten broeden, kan veiligheidslekken opsporen. De ene organisatie heeft als doel deze lekken te dichten voordat ze misbruikt kunnen worden, de andere organisatie heeft als doel deze lekken te misbruiken voordat ze gedicht worden.
Vooral open source software is een dankbaar doelwit voor kwaadwillenden. De broncode is vrij beschikbaar voor iedereen, terwijl maar weinigen de moeite nemen (als ze de kennis al hebben) om deze te controleren op mogelijke veiligheidslekken en er zweeft een aura van veiligheid over.

GeoBeo @CivLord • 11 juni 2015 11:24

We hebben het bij de NSA niet over een groepje programmeurs die wat exploits zoeken. We hebben het over >30.000 man wereldwijd (waarvan ongetwijfeld een groot deel, zeer goede programmeurs zijn) met een totaal budget van 10 Miljard USD.

Dus nogmaals: als er een organisatie bestaat in de wereld die (onvindbare) exploits kan schrijven voor ALLES, dan is het wel de NSA. Snowden heeft dit ook heel duidelijk gemaakt door concrete voorbeelden te noemen van alles waar de NSA in zijn tijd al toegang tot had (al dan niet illegaal).

Bron: https://en.wikipedia.org/wiki/National_Security_Agency

[Reactie gewijzigd door GeoBeo op 22 juli 2024 14:16]

CivLord

@GeoBeo • 12 juni 2015 08:44

Ik zeg niet dat je ongelijk hebt. Ik zeg dat je lang niet de resources van een apparaat als de NSA nodig hebt om gericht naar exploits te zoeken.

Verwijderd 10 juni 2015 16:55

Een security bedrijf als Kaspersky dat zijn eigen falen toegeeft en publiek maakt ipv het onder het tapijt te vegen is verfrissend.

WhatsappHack

Netwerk en systeembeheer
Privacy

@Verwijderd • 10 juni 2015 20:08

Dat is zeker verfrissend!
Ik herinner me nog heel goed dat Avast! gehacked werd via hun forum, en de makers van het forum (SMF) voor de bus probeerden te gooien. Uiteindelijk bleek dat Avast! al jaren geen updates correct had geinstalleerd en dus gewoon een versie draaide waar een beveiligingsprobleem in zat dat al maaaaaanden ervoor gepatched was.

Avast! durfde het zelfs na volledige analyse niet toe te geven, best triest.

wesdude 10 juni 2015 17:55

Volgens wiki heeft kasperski over 300 milj. klanten wereldwijd

Armin

Netwerk en systeembeheer

@wesdude • 10 juni 2015 18:29

De verwarring is denk ik omdat Kaspersky Labs meer is dan enkel Kaspersky anti-virus. En één klant kan duizenden gebruikers hebben. Die 300M (hun eigen website meldt inmiddels zelfs 400M

) verwijst dan ook naar personen en geen klanten denk ik.

Banath

11 juni 2015 10:36

1. (delen van) stuxnet, duqu etc zijn gewoon te koop.
2. iedereen wijst weer naar Israel en/of de USA alsof het een kramp in de arm is
3. China en Rusland hebben een zeer actieve cyberwarfare dienst die letterlijk nergens voor terugdeinst.
4. NSA is echt niet de enige met mensen, machines en geld meer ... denk daar eens heel erg goed over na.

Verwijderd @Banath • 11 juni 2015 13:59

Maar waarom zou Rusland zichzelf gaan hacken? Als ze een geavanceerd virus als dit kunnen maken, hebben ze toch niet de onderzoeksgegevens van Kaspersky nodig?
Tenzij ze gewoon meer willen natuurlijk. Overigens denk ik ook dat er waarschijnlijk wel overheidsinstellingen van Rusland klant zijn bij Kaspersky, waardoor ze vooral zichzelf in hun voet zouden schieten.

Tiny 10 juni 2015 16:01

"OUCH!" is het eerst wat mij te binnen schiet.
Maar ik ben (helaas) van mening dat geen enkel network, wat aangesloten is op het internet, meer 100% te beveiligen is.
Op het moment dat hackers zich focussen op een bepaalde target.... dan is het een kwestie van tijd voordat er een gat is gevonden, danwel gemaakt.

xp2002 10 juni 2015 16:28

Virussen van de categorie Stuxnet zijn niet te onderschatten. De kracht in die virussen zit em o.a. dat deze zich goed kunnen verspreiden via andere wegen dan het internet. Denk removable media, blue tooth, mobile devices etc, lokale shares. Er hoeft maar 1 computer in het netwerk een usb stick te hebben en daar gaat ie mee.

Stuxnet is intussen al relatief "oud". Ik vraag me af wat tegenwoordig al mogelijk is.
Ik denk aan bijv. microcontrollers van portable harddisk, sdkaartjes, CFkaartjes.

Wat is nog veilig...?

Superblik 10 juni 2015 16:37

Ik heb hun eigen rapport doorgenomen en vond het onderstaande stukje, toch wel mooi dat het zo transparant is.

"For a security company, one of the most difficult things is to admit falling victim to a
malware attack. At Kaspersky Lab, we strongly believe in transparency, which is why
we are publishing the information herein. For us, the security of our users remains the
most important thing – and we will continue to work hard to maintain your trust and
confidence."

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (72)

Sorteer op:

Weergave: