Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 104 reacties
Submitter: luuj

Een Franse beveiligingsonderzoeker heeft software ontwikkeld waarmee gebruikers van Windows XP de encryptie van de WannaCry-ransomware ongedaan kunnen maken. Er zijn wel een aantal beperkingen wat betreft de bruikbaarheid.

Beveiligingsonderzoeker Adrien Guinet van Quarkslab ontdekte dat de priemgetallen die WannaCry gebruikt om de rsa-sleutel te genereren, te achterhalen zijn in het geheugen. WannaCry gebruikt deze sleutel om bestanden te versleutelen. Guinet ontwikkelde de tool WannaKey om de priemgetallen aan het geheugen te onttrekken zodat gebruikers de versleuteling ongedaan kunnen maken zonder te betalen.

De werking is wel gelimiteerd. Zo functioneert WannaKey alleen bij Windows XP. Bij de overige kwetsbare Windows-versies ruimt WannaCry de priemgetallen uit het geheugen netjes op. Niet in alle omstandigheden lijkt de tool te werken. Zo kreeg Matt Suiche, beveiligingsonderzoeker van Comae Technologies, de tool niet werkend.

Verder benadrukt Guinet zelf dat systemen geen reboot gehad mogen hebben en dat gebruikers geluk moeten hebben dat het geheugen niet opnieuw gealloceerd of om andere redenen gewist is. Grootste obstakel voor daadwerkelijke inzet op dit moment is dat de WannaCry-aanval tot nu toe geen Windows XP-systemen trof. De ransomware werkt wel op XP, maar de worm richtte zich niet op het OS. Bij mogelijke aanvallen in de toekomst zou WannaKey wel van dienst kunnen zijn.

WannaKey

Moderatie-faq Wijzig weergave

Reacties (104)

Ik las nu net een gerelateerd artikel
“Why would you have a key destruction function that doesn’t destroy the keys?” asks Mikko Hypponen
Waarom? Omdat de NSA je dit vroeg te doen? Ik kan mij niet voorstellen dat ze bij Microsoft zoooo stom zijn (al weet je het maar nooit).
Welnee, dat artikel is wat misleidend. Wat die Mikko bedoelt is dat het slordig was van de auteurs van WannaCry om alleen maar een "Microsoft-designed deletion function" (gewoon een API-call dus) aan te roepen in hun code om de key te verwijderen, en niet de moeite namen om zelf eerst de key te overschrijven of te vernietigen. Het is heel normaal dat een delete-functie alleen de handle van een variabele op nul zet en de inhoud daarna vrij in het geheugen laat zweven. Als de auteurs van WannaCry echt een goede "key destruction code" hadden geprogrammeerd, hadden ze zelf een stukje programma moeten schrijven om die variabele uit het geheugen te wissen, in plaats van daarvoor een simpele "delete" te gebruiken.
Laat ons eerlijk zijn. WannaCry zit vol met beginnersfouten. Eentje meer of minder mag niet verbazen.
Exact, vrij uitzonderlijk dat dit zoveel attentie krijgt, ik kan me veel complexere en zwaardere aanvallen bedenken dan letterlijk eentje uit een handboek van NSA... Dit heeft niks weg van een professionele aanval.
Is dat ook niet juist wat dit griezelig maakt ? Zelfs een aanval die aan verschillende kanten rammelt richt bijzonder veel schade aan. Ik vrees dat dit nog maar het begin is van veel vervelendere virussen.

Aan de andere kant: we mogen blij zijn dat we op déze manier wakker geschud werden, en niet met een aanval die 20x meer impact had...
Dit is iets waar experten al enkele jaren voor waarschuwen, de oplossing is zo eenvoudig ... dat de getroffenen enkel eigen schuld treffen.

- updaten
- backups
backups ?

Ik heb al jaren geen kapotte HDD gehad. En SSDs kunnen al helemaal niet kapot. (Toen ik begon, hadden HDDs een MTBF van 5 jaar of zo. Als je machines met 100 HDDs te beheren had, dan gingen er iedere maand 2-3 stuk).

Waarom zou ik mijn eigen PC backuppen ? Veelsteveel werk.

(Half een grap, maar half ook serieus. Backups maken is een hoop gedoe. Backups terugzetten is nog lastiger. Zeker als je het niet professioneel doet. Ik denk dat ik geen particulieren ken (mensen die niet professioneel beheerder/ontwikkelaar zijn) die zelf backups maken. Ja, misschien 1x per jaar hun fotos op een USB-externe disk zetten. Maar dan houdt het wel op.
Backups maken een hoop gedoe?

Als je de Spullen van Windows10 zelf gebruikt kan je gewoon file hisory gebruiken, als alternatief kan je een (off-site) backup maken bijv. mbt acronis (evt incombinatie met de secure site, is een hidden partition welke windows on-default niet ziet), in combinatie met de boot-manager kan je zo altijd een image terug zetten als je windows bijv. niet meer laad (of losse files vanuit de image restoren).

Voor thuis een externe hdd nodig en/of een NAS als je heb centraal wilt doe.
Maar als je permanent een NAS (of externe schijf) aan de PC gekoppeld hebt... Is het dan niet gemakkelijk voor WannaCry & co. om óók in die bestanden te duiken? :'(

Hoe lossen we dat op?
(Serieuze vraag).

Misschien op bepaalde tijden de "file share" open zetten. Maar dat is weer extra lastig voor de gemiddelde gebruiker :?

[Reactie gewijzigd door NetAmp op 19 mei 2017 17:26]

Een NAS is juist een device om te Backuppen. heb al zo vaak gezien dat mensen dachten dat data veilig was op een NAS. 1 Blikseminslag (bij de buurt) en je bent je data kwijt. Of systeemboard van NAS kapot en dataset is niet meer te importeren. Of... of.... of.....
Die hidden partition bijv. via acronis, die zie je ook niet, dus 't virus ook niet.
Maar als je permanent een NAS (of externe schijf) aan de PC gekoppeld hebt... Is het dan niet gemakkelijk voor WannaCry & co. om óók in die bestanden te duiken? :'(
Ja en dat doen ze ook al een tijdje. Sommige viseren ze zelfs speciaal (https://www.cybereason.co...es-cloud-backup-services/). Die file shares hebben dus ook backups nodig.
Heel eenvoudig. Een Raspberry Pi met een externe HD. Op die RPI installeer je Seafile Server, en op je PCs installeer je de Seafile client. Werkt net zoals een cloud synchronistatie dienst, met bestandshistoriek en je PC kan niet rechtstreeks aan de bestanden op je RPI. Bij Seafile kan je dan ook nog eens terugdraaien naar een bepaalde datum, dus voor je ransomware aanval.
Hoe is dat alles "geen gedoe" voor de normale man in de straat ?
Het is 1x instellen niet meer naar om hoeven te kijken, als DAT al te veel is, tsjah... "jammer dan" en op de blaren zitten...
Is File History zo goed ? Want met Windows 7 Backup heb ik geen goede ervaringen.
Je kan gewoon instellen wat je retention is, wanneer een backup loopt e.d.

Bij een toch wel grote klant waar ik momenteel voor werk is dit de eerste backup/restore optie (operationeel in nederland)

En restoren is easy..

Rechtermuis knop op de map --> bestands history, selecteer de datum en kies voor herstellen, openen of kopiëren.
Wie heeft het over particulieren? Ik vind dat (bijvoorbeeld) ziekenhuizen best mogen backuppen om dit soort ongein te voorkomen.
Dat is zeker waar.
maar wat doe je dan met bankafschriften en andere zaken die je minimaal 5 jaar lang moet bewaren. met belangrijke brieven een aankoop facturen van je producten. zonder backup heb je dus niets... en laten we eerlijk zijn hoeveel moeite is een backup nu echt... stel een programmatje in de de map 'belangrijk' een keer per maand even naar je stack je dropbox of je crashplan kopieert. dat je geen backup maakt van shit die je gewoon opnieuw kunt downloaden is prima maar op mijn pc staat in ieder geval genoeg spul dat bijzonder pijnlijk is als ik het kwijt zou zijn.
Back-ups heb je voor het moment dat het onverwachte gebeurt. Dat oh-shit moment.

Ze staan heel lang niks te doen, en dan ineens heb je het nodig. Het is een verzekering waar je elke maand aan betaalt, en je afvraagt waarom je zoveel geld eraan uitgeeft.

Totdat je een ambulance moet hebben. NU.

Back-ups gaan al lang niet meer over - wanneer je harde schijf kapot gaat. Daar hebben we RAID arrays voor. Gewoon hot-swappen.

Back-ups gaan over wanneer je software-installatie kapot gaat.
Auch, ik beheer zo'n 20 tal servers en ik mag toch gemiddeld wel een schijf per maand vervangen. Ook moet ik met schaamrood toegeven dat ik al wel eens een "rm -rf /*" gelopen heb. Thank god for backups.

Backups zijn essentieel, nu zeker, schijven gaan tot 10TB, dat is een compleet levenswerk aan data.

Consumers kunnen mogelijks nog domheid faken, maar KMO en grote bedrijven dienen een backup plan te hebben. Het argument dat kost geld gaat niet op, hoeveel kost het als al je data weg is ?

Er zijn tal van oplossingen mogelijk, van heel simpele tot "complexe" maar backuppen is nog steeds essentieel.
Hier is die ene particulier dan toch! heb 3 4TB schijven en maar bijna iedere twee weken een backup en heb ongeveer 1,5TB aan documenten en 500GB aan muzak en groeit nog steeds. Zinvol, Ja als je een keer een kapotte schijf hebt gehad leer je heel snel. :( 8)7
Ik hoop dat je hem bij iemand anders in bewaring hebt, zodat als je brand hebt (hopelijk nooit) je ook een backup hebt.
Tip, neem een stack account en backup gewoon elke dag daarheen.
Jij bent niet de enige. Ik heb ook al veel last gehad van defecte schijven, van allerlei makkelij trouwens. Dus nu centraliseer ik mijn data op een NAS (DS410) en backup ik de NAS iedere week 2 keer volautomatisch op een overwegend koude machine (ZFS-ZoL) en iedere 1-2 weken manueel op geencrypteerde externe schijven (cryptsetup - AES). Ik heb 2 schijven voor ieder datastuk.
hier nog een hoor

ik heb 3 NASjes. aan 2 hangt een USB drive van 5TB en elke week wordt er een rsync gedaan met de data. Mocht ik een fout maken met het verwijderen of er gaat wat mis, dan kan ik terug naar de backup die is gemaakt, daarnaast worden al mijn vmware machines ook gebackupped zodat bij een crash deze ook nog veilig zijn ..

Het grootste probleem bij een particulier is dat als je 3TB aan data hebt en je wil uitbreiden dan moet je best wel wat investeren om en je data over te kunnen zetten en dan nog eens te kunnen blijven beheren.
En SSDs kunnen al helemaal niet kapot.
Whahahaha hahaha haha ehm haha, sure.

Trek de stroom er maar af op het verkeerde tijdstip en je block reallocation table is dermate corrupt dat het al bijzonder lastig wordt om veel van je data nog correct terug te vinden (meeste consumenten hebben geen SSD met capacitor iig).

Flash chips en electronica gaan ook wel degelijk kapot. Heb al defecte SSD's gehad.
Waarom zou ik mijn eigen PC backuppen ?
Tja, als je data niet belangrijk is en de moeite te veel is, is daar eigenlijk geen reden voor. Vooral niet doen dus.
Het ligt er maar aan wat je een backup noemt...
Persoonlijk ben ik er vrij goed in (denk ik), heb meerdere hd's in mijn computer liggen en sync al mijn gebruikersmapjes (datamapjes dus) ook naar een archiefmap op een andere schijf.
Dit gebeurt ook regelmatig met mijn stack (zo'n 1 x per week).

Vervolgens wordt er ook 1 x per week een disk image gemaakt van mijn windows en dataschijf naar een andere schijf.
Dit gooi ik 1 x per maand ofzo een keer naar een externe harddisk..

Het lijkt veel werk, maar het gebeurt bijna allemaal automatisch. Enige wat ik af en toe hoef te doen, is mijn stack drive mappen aan mijn computer of mijn usb schijf eraan te hangen en te wachten...

De windows meuk en programma's hoef ik eigenlijk niet te backuppen, want bij een crash vind ik het wel een mooi moment om windows 's opnieuw te installeren, maar moet er niet aan denken 10 jaar foto's of belangrijke papieren kwijt te zijn...dat heb ik al genoeg gezien om me heen...
Koop eens een hdd waar achteraf van blijkt dat het een bad batch is. Hoor ik u graag weer.
- stemmen op partijen die geheime diensten niet de vrije hand geven rond zero days
En alléén geheime diensten kunnen zero days vinden ?

Aan zero days kan jij als gebruiker niets verhelpen... aan een correct patch management wel. Zielig dus dat nog steeds mensen vinden dat ze Windows updates moeten uitschakelen omdat ze het allemaal beter weten.
Nee maar alleen geheime diensten en criminelen houden deze geheim. In casu vijf jaar.
Dus ga je op een partij stemmen die criminelen gaat verbieden... ik niet dat dat veel criminelen gaat stoppen, dus nogmaals zero days zullen er altijd zijn.
Vooral op een partij die crimineel gedrag gefinancieerd met belastinggeld tegengaat, ja. Dat zou al heel wat schelen.

Er zijn maar weinig buitenstatelijke crimenele groepen die dergelijke operaties kunnen opzetten.

Wetten stoppen niet alleen brave mensen, maar ook goede regeringen / overheden. Daar wringt het wel een beetje.
Wetten stoppen alleen de brave mensen. Als je werkelijk schade wil berokkenen, houd je alsnog je 0-days geheim.
Het is echt een illusie dat als je een zero-day meldt dat hier altijd adequaat mee wordt omgegaan.

Soms meld je ze zelfs aan de CEO of CSO en krijg je als antwoord dat ze door certificeringen heen zijn en dus veilig genoeg zijn.

Daar sta je dan met een mogelijkheid om in 8 uur van miljoenen gebruikers alle account data (incl. wachtwoord decrypted) te verkrijgen.

Soms laat een patch 4 jaar op zich wachten. Dus dan maar hopen dat niemand anders ze ook vindt dan wel de communicatie er over weet te vinden.
Zo simpel is het niet. Voor de de doorsnee gebruiker mss wel maar ik werk in de grafische sector en we hebben te vaak meegemaakt dat updates onze workflow compleet overhoop hebben gehaald vanwege bijv ongevraagde driver updates of wat dan ook. Dat heeft ons dan vaak uren tijd gekost om alles weer in orde te krijgen (lees:backup restore etc) Zelfs opnieuw installeren is voor een doorsnee gebruiker mss niet eens zo'n heel groot probleem. Bij ons is het een ramp, alle programma's en het OS zijn getweaked voor optimale performance met instellingen en settings. Dat kost minstens een dag om alles weer op de rails te krijgen en dan nog kom je de week eropvolgend zaken tegen die nog opnieuw ingesteld moeten worden. En als je dit alles afweegt tegen het gevaar dat je loopt. Ik persoonlijk kan me niet herinneren in de 30 jaren dat ik werk een probleem te hebben gehad dat te wijten was aan een gebrek aan beveiliging. Dan is de keuze snel gemaakt. Als alles perfect werkt blijf er dan vooral vanaf dus ook geen updates!
Dat deden we wel elk jaar een weekje voor de zomervakantie na een grondige backup van alle systemen. Uiteraard wel een goede firewall anti virus en gezond verstand natuurlijk!
Dan maak je toch een image van het systeem als deze vers is geďnstalleerd met alle tweaks die je nodig hebt? Dit is zo terug te plaatsen en je hoeft niet te rommelen met alles opnieuw tweaken.

Mijns inziens is het willens en wetens niet installeren van updates best wel een enge gedachte.
Ik vermoed dat je met je wagen ook op onderhoud gaat... ondanks dat hij perfect werkt, een PC is in dat opzicht niet anders. Maar ik begrijp je argument, daarom dat je in een kritische omgeving dit eerst doet op een test systeem, en pas na validatie op de rest.
Wellicht kun je de configuratie tweaks scripten?
Met puppet of een andere tool, zodat je altijd met een druk op de knop een optimaal werkend systeem krijgt.

Dan kun je desnoods een systeem reserve houden, die je gebruikt als een update de boel verstierd. Dan kun jij verder terwijl het script de configuratie weer goed zet.
Geheime diensten hebben een groot voordeel: ze hebben inzicht in de code van Windows en kunnen op basis daarvan specifieke zaken ontwikkelen.
Weet je zeker dat ze daar inzicht in hebben? En zijn dat dan alleen de NSA en de CIA?
Alle staten kunnen op verzoek inzage krijgen in de brondcode van Windows. Daar is een speciaal programma voor.
Eh, dat heeft iedereen : https://github.com/Microsoft

Ja, Microsoft is cool. Had ik ook nooit gedacht ooit uit m'n strot te krijgen. Maar ze bouwen hard aan alles open maken en veel gebruik van open op hun cloud.
Correct, er is eenzelfde:

https://www.proofpoint.co...-eternalblue-doublepulsar

Leuke is dat deze het lek in windows eerst dicht zodat wannacry geen vat meer heeft.
We mogen inderdaad van geluk spreken dat dit "amateuristisch" is uitgevoerd. Op het moment van schrijven zijn er bijzonder weinig slachtoffers overgegaan tot betaling, te zien door de andere fout om een vast drietal bitcoin adressen te gebruiken:Totaal van 47.2 BTC, nu ongeveer 77.644 81591.33 euro.
(aanpassing n.a.v. reactie @svennd, bedrag is inderdaad 4k hoger)

[Reactie gewijzigd door Pwigle op 19 mei 2017 12:39]

Dat vind ik ook maar het is iets meer :
The three bitcoin wallets tied to #WannaCry ransomware have received 288 payments totaling 47.12281135 BTC ($90,668.53 USD).
Ik vind het allemaal vrij logisch en in het beeld passen wat ik er van heb. De NSA heeft ooit delen van deze malware code geschreven en daar lag de nadruk op binnenkomen. De media blaast het enorm op en gaat er vanuit dat er een " wereldwijde cyberaanval" was en er zouden grote criminelen organisaties achter zitten of misschien wel Russische hackerz (oeh spannend) terwijl in werkelijkheid er wat delen met code (kant en klare modules) bij elkaar zijn geschraapt om deze cryptor te maken.

Hadden het professionals, hackers of programmeurs geweest dan zat de code wel goed in elkaar. Het schreeuwt "Ik ben 15 en ga rijk worden jajajajaja." Dat moet toch zweten zijn nu, wetende dat de halve wereld op zoek is......
Mwah, alleen een free doen en niet bedenken dat nullen verstandig zou zijn. Zo'n foutje is zo gemaakt als dat blijkbaar optioneel is.
Deze tool is dus nauwelijks bruikbaar. Het eerste advies bij ransomware is altijd het uitschakelen van de bron, dan is het dus al einde verhaal.
Is dat niet als je echt op een bedrijfsnetwerk zit? Denk dat het voor thuisgebruikers misschien niet altijd nodig is.
Een thuisgebruiker heeft ook niet smbv1 open staan naar het internet toe denk ik ;)
Windows zet smb v1/2/3 by default aan - en er zijn genoeg semi-hobbyisten die z'n eigen PC meteen in de DMZ zetten want dat is zo makkelijk (en natuurlijk windows firewall uit).
Als je dat met xp doet staat je systeem binnen enkele uren vol met malware. Ik neem aan dat deze praktijk niet meer plaatsvind.
Hoe check je eigenlijk op een computer of die dingen aan staan? Ik op een website laten scannen naar open poorten op mijn ip-adres, en alles was dicht (heb ik misschien ooit zelf dicht gezet, kan het me niet meer herinneren).

[Reactie gewijzigd door Cerberus_tm op 19 mei 2017 16:10]

in windows - cmd prompt en doe netstat -a -- daar zie je alle open/verbonden connecties.

Maar een firewall / router die tevens firewall heeft is normaliter voor de particulier voldoende beveiliging. (En natuurlijk antivirus software + Cybereason Ransomfree bijv.).
O, dank! Dat is wel handig. Maar ik zie daar nergens SMB staan: betekent dat dat ik veilig ben?
*zucht*
Leuk, maar netstat -a is compleet kansloos als je niet doorhebt dat loopback ook ports aangeeft die (omdat je standaard firewall settings dat bevatten) niet benaderbaar zijn van buiten je systeem.
ps: SMB = port 445

[Reactie gewijzigd door alt-92 op 20 mei 2017 09:30]

Nee je moet nu leren 'connecties' lezen. Er is ook tcpview (Sysinternals) als je ook een GUI wilt. SMB beweegt zich over verschillende poorten, afhankelijk van de configuratie (TCP:445,139,... & UDP: 135,137,138,139, ...). Waar mogelijk disable ik de "server" service en ontkoppel ik die van de netwerk interfaces op de workstations. Maar ik heb geen idee hoe effectief dit is in het stoppen van ... noch of dit een aanbevolen methode is.

[Reactie gewijzigd door goarilla op 20 mei 2017 11:54]

Je wilt niet weten hoeveel zomaar heel wat poorten opzetten
Ik heb hier zelf in mijn thuisnetwerk 4 pc's/laptops draaien. Als er iets dergelijks zou gebeuren, hout vast houden dat het niet zo is, hoop ik dat het bij eentje blijft. Hier draait nu wel een backup naar een nas, en van de nas naar de cloud, maar toch.
En als jij je NAS via drive letter gekoppeld hebt aan je PC.. ben je ook je bestanden kwijt op je NAS..

NFS met scheduled task is dan net iets handiger. Als is dat voor normale gebruikers ondoenlijk om zelf te doen.
Heb me niet helemaal goed ingelezen, maar op de nas instellen dat deze alleen via SMBv3 is te benaderen, is misschien al wel voldoende om je nas iig veilig te houden?
Nee, dat betekent enkel dat de worm zichzelf niet door kan sturen naar je nas (hetgeen waarschijnlijk toch al niet gebeurt, want hoogstwaarschijnlijk draait je nas niet op een of andere windowsversie).
Als je nas gemount is op je besmette pc (je hebt een driver letter op je pc er bij), zal je pc ook alle bestanden op je netwerk versleutelen.
Via een drive letter gekoppeld klinkt niet als een backup maar een sync / copy.
Er zijn genoeg mensen met een NAS. Die al hun bestanden kopieeren naar de NAS en dat zien als BackUp.. Of naar een externe schijf.

Een Back-up is niets meer dan een kopie van bestanden verspreiden over meerdere apparaten.. Of de bestanden dan ingepakt worden. Robocopy actie of gewoon drag en drop.. Kan je allemaal zien als een Back-up..
Had nog even met MS support gesproken en die liet weten dat je usb backup schijf met de 'WindowsImageBackup' en 'FileHistory' mappen veilig zijn voor encryptie. Dit omdat je als gebruiker geen rechten hebt om de inhoud te bekijken...Toch twijfel ik wel.
Zodra je je pc uitzet stopt de verspreiding en het encrypten logischerwijs. Dus als dat nog niet gedaan cq. voltooid is, is het advies om je pc uit te zetten.
Netwerkkabel uit de pc halen voorkomt verdere spreiding ook. ;)
Netwerkkabel uit de pc halen voorkomt verdere spreiding ook. ;)
Ja want een netwerkkabel uit je pc halen voorkomt ook dat er eventueel nog meer van je bestanden de dupe worden |:(
Ja want een netwerkkabel uit je pc halen voorkomt ook dat er eventueel nog meer van je bestanden de dupe worden |:(
Neen, verspreiding naar andere computers in je netwerk. Dat zegt @CH40S in feite.
Lees even de originele post van Johan9711:
Deze tool is dus nauwelijks bruikbaar. Het eerste advies bij ransomware is altijd het uitschakelen van de bron, dan is het dus al einde verhaal.
Het is duidelijk wat CH40S bedoelt, maar de opmerking sluit niet aan op de post.
Als IT de zaken een beetje goed op orde heeft met backups, homefolders en roaming profiles dan zou dat niks uit moeten maken. Dan ben je alleen de data kwijt sinds de laatste backup.
Inderdaad, als je nog op XP zit kunnen we wifi uitsluiten en zal een kabel verwijderen werken ;)

De stroomkabel lijkt me een beter plan, de pc kun je aanbieden bij de plaatselijke inzameldepots voor recycling.
PC's worden op meer plaatsen gebruikt dan in een prive omgeving. Mag hopen dat een zakelijke PC niet via wifi verbinding maakt met het netwerk. ;)
Zou niet weten waarom niet. WPA2 & radius, certificate based, no problem.
Ik snap dat het qua beveiliging op zich prima kan. Echter is een wired verbinding veel praktischer, stabieler en tegenwoordig toch wel sneller in veel gevallen, zeker voor vaste PC's. Maar hoopte dat ik dat eigenlijk niet zou hoeven uitleggen op deze site. :)
Wij doen niet meer aan desktops. 15.000 userbase enterprise env.
Desktops zijn zoooo 1990...
Dat maakt voor mijn punt verder natuurlijk niets uit. Ook terminals sluit ik namelijk liever wired aan dan wireless.
Je mag ook hopen dat zakelijke omgevingen niet meer op XP draaien anno 2017 ;)
Klopt, volgens nu.nl zou de opvolger van WannaCry geen killswitch en etc meer hebben. Onder andere daardoor zou WannaKey bij toekomstige versies van WannaCry al niet meer werken (volgens tweakers.net dan weer wel mja :P)

Volgende aanval

Beveiligingsexperts menen dat een volgende aanval met een verbeterde versie van de ransomware WannaCry veel meer gebruikers kan raken. De gevolgen zouden dan ook groter zijn. In een dergelijke versie zouden de kwetsbaarheden van de huidige variant, zoals een kill-switch, weg zijn gehaald.


In deze kan je beter meer in het bericht van nu.nl geloven dan in die van tweakers.net, puur voor de zekerheid.

@ShadowBumble onder mij, ja ik verwijs je dan ook door naar het WannaCry - WannaKey artikel op nu.nl, die komt iets beter overheen met de waarheid en de feiten.
WannaKey heeft helemaal niks te maken met een eventuele killswitch... En nu.nl (of welke andere media dan ook) zuigt dat verhaal over een opvolger natuurlijk volledig uit de dikke duim. Of denk je echt dat ze contact hebben gehad met de maker van de opvolger? Tuurlijk is dat te verwachten maar meer ook niet...
Dat is inderdaad iets waar ik ook vraagtekens bij heb, hoe weet nu.nl of deze ''decrypter'' wat en hoe de opvolger zal zijn. Is het een verwachting (ja dan is het logisch, want elk virus en etc wordt steeds fijner (in de zin van beter gespecialiseerd) en beter), of is dit gewoon wederom zo'n onderonsje namens 1 of ander land (land ergens in het westen van ons) wat dit verspreid?

[Reactie gewijzigd door LopendeVogel op 19 mei 2017 08:51]

Of NSA heeft ergens aangegeven dat er een nog veel ergere versie van EternalBlue is gelekt en mogelijk zelfs al in gebruik is.

Ook speculatie natuurlijk, maar gezien het gros van hun exploits, het zijn geen scriptkiddies, lijkt het me wel iets om rekening mee te houden. EternalBlue werd al door medewerkers verbasterd naar EternalBluescreen omdat het zo buggy is. Het is dus heel goed mogelijk dat ze ooit een verbeterde versie hebben geschreven en dat die ook in de Shadow Brokers release staat.

[Reactie gewijzigd door FvdM op 19 mei 2017 14:54]

Dat eerste advies is in heel veel gevallen erg gevaarlijk. Raadt nooit zomaar mensen aan om hun PC uit te schakelen, je weet nooit wat dat met de virussen of de apparatuur doet.

Zoals in dit verhaal: tijdens de infectie maakt Wannacry RSA keys aan in het geheugen. Worden deze keys niet opgeruimd, dan kan je ze dus terug halen. Als je je PC herstart zijn ze altijd kwijt. Veel andere malware werkt net zo. Dan heb je dus je enige kans om de key terug te halen verprutst met "de eerste regel van malware".

Als je dit binnen een bedrijf doet loop je ook de kans dat je geen idee hebt wat er gebeurd is. Dit kan voor je security en/of legal-team problemen opleveren. Er is sinds een paar jaar veel malware actief wat enkel in je geheugen zit, wat nooit naar disk toeschrijft.
Stel dat je bij een bank werkt, en je merkt dat je met iets geinfecteerd bent, dan zal je security team heel graag willen weten WAT er aan de hand is. Is het een virus dat informatie uitleest, steelt het gegevens, wat doet het? Die informatie is verschrikkelijk belangrijk. Als je je PC herstart ben je dat allemaal kwijt, en heb je dus geen idee wat er gebeurd is. Hoe ga je jezelf beschermen tegen volgende besmettingen? Hoe leg je dat uit aan je mogelijk getroffen klanten?

Dus ga niet tegen mensen roepen dat ze bij besmetting altijd hun PC moeten herstarten. Je eigen thuis-PC mag je uiteraard mee doen wat je wil, maar op kantoor is dat mogelijk zeer onwenselijk. Ethernet-kabel eruit trekken kan wel (om verspreiding te voorkomen), maar geef de besmetting eerst aan bij mensen die zulke beslissingen mogen maken voordat je een gedetailleerd onderzoek onmogelijk maakt.

[Reactie gewijzigd door anargeek op 19 mei 2017 14:00]

Adrien Guinet van Quarkslab ontdekte dat de priemgetallen die WannaCry gebruikt om de rsa-sleutel te genereren
RSA gebruikt toch altijd priemgetallen om zijn vergelijkingen te maken ? De formule is gebouwd juist voor priem getallen.

EDIT:
Verkeerd gelezen hij is achter de (P/Q) priemgetallen gekomen om deze uit te lezen in het geheugen,

EDIT2:
Hmm volgens het oorspronkelijk artikel zitten er best nog wel wat voorwaarden aan en is er bovendien een gedeeltelijke sleutel gevonden ( dus niet de gehele sleutel). Met deze gedeeltelijk sleutel is het wel aanzienlijk eenvoudiger om het missende gedeelte "aan te vullen".

Ook is je kans bij een reboot al verkeken om dit te doen, klein saillant detail is wel dat Adrien Guinet zelf al aangeeft dat hij nog niet succesvol is geweest met het decrypten en dat dit een theoretische aangelegenheid is op basis van de half gevonden sleutel. De reden voor Windows XP is overigens dat deze systemen de malware niet kunnen verspreiden omdat het systeem crasht voordat verspreiding plaats kan vinden.

[Reactie gewijzigd door ShadowBumble op 19 mei 2017 08:15]

Eigenlijk heb je hier dus niet veel aan want toekomstige versies zullen nu wel aangepast worden.
Denk dat je beter de patch van Microsoft voor je Windows XP installatie kan gebruiken.
Dan ben je dus te laat. Deze tool is voor als je al besmet bent. De patch is om te voorkomen dat je besmet ráákt.
Maar er zijn nog geen besmettingen op XP. En was een reactie op de kans op besmetting door toekomstige versies.
Ik had begrepen dat XP wel besmet kan worden (data-encryption), maar niet verder kan besmetten (virus deel) omdat de boel crasht nog voor het virusdeel z'n werk doet.
Nou de patch is om te voorkomen dat je besmet geraakt vanaf netwerkbronnen. Als je zelf op een infected executable klikt, die niet tegengehouden wordt door een virusscanner, is je systeem alsnog besmet natuurlij.
Denk dat je beter eens een nieuwe OS op je pc kunt gaan zetten....
Dat is maar de vraag. Het virus richt zich niet op Windows XP, en op andere versies werkt het niet, dus ik zie niet in waarom de ontwikkelaar het zou aanpassen.

Je hebt er wel niks aan omdat de ransomware nu gedeactiveerd is, en nog niet naar Windows XP verspreid is, dus het dat waarschijnlijk nooit zal doen. En of WannaCry een terugkeer gaat maken in zijn huidige vorm maar dan zonder de killswitch is maar de vraag (als de ontwikkelaar dat zou willen, zou hij/zij dat eingenlijk al eerder gedaan moeten hebben).
Misschien dat Microsoft gebruik kan maken van deze gevonden info en een tijdelijk tool kan uitbrengen voor mensen die besmet zijn. Een tool (+ patch) die er voor zorgt dat de priemgetallen niet 'netjes' opgeruimd worden en de encryptie ongedaan maakt.

[Reactie gewijzigd door HerrPino op 19 mei 2017 08:11]

"Onmogelijk", geheugen wordt in nieuwere windows versies beter gebruikt en beter beschermd. Dit is redelijk technisch en weinig praktisch.
Sorry, what bullshit are you proposing?
8)7
De CryptoAPI v1 op XP is niet de beste, en biedt geen ondersteuning voor moderne encryptiemethodes (GCM, EC & AES > 256 ) die je tegenwoordig in het dagelijks leven gebruikt zonder dat je het doorhebt (bijvoorbeeld bij je internet bankieren)

Voor dat moderne, dagelijkse gebruik wil je JUIST dat de primes niet te retrieven zijn omdat dat nou juist de lekken vormen in je encryptie. Als je die kan terughalen, kan je je dataverkeer ook ontsleutelen en ligt je transactie op straat.
Wacht... Er zijn nog steeds mensen die een besturingssysteem uit 2001 gebruiken..?
Slechte grap!
Dat doet natuurlijk niemand, want je zou een volslagen debiel zijn als je dat doet....

Dan verdien je gewoon een enkeltje Mars }:O
Wie ontwikkelt er nog iets voor een 16 jaar oud OS.
Die gebruikers verdienen het niet meer!
Die gebruikers verdienen het niet meer!
En als je het gebruikt sluit het dan niet op het internet aan. En steek ook niet elke usb er in en nog meer van dat soort dingetjes.
Wie ontwikkelt er nog iets voor een 16 jaar oud OS.
Helaas blijkt het soms wel nodig.... maar mischien is het beter geweest om het niet te doen zodat ze het gelijk leren om het niet meer te gebruiken.


Om te kunnen reageren moet je ingelogd zijn



Nintendo Switch Samsung Galaxy S8+ LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One (Scorpio) Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True

*