"Thuis-PC gemiddeld elke minuut bedreigd"

Viruswaarschuwing De Telegraaf schrijft over een onderzoek dat virusspecialist Symantec recentelijk door OpenForFeedback heeft laten uitvoeren. Hieruit bleek, dat de internetgebruiker een stuk vaker met aanvallen van buitenaf bedreigd wordt dan men zou verwachten. Gemiddeld vindt er elke 55 seconde een "incident" plaats, aldus het onderzoek. Hierbij is ook gekeken naar het verschil tussen frequente computergebruikers en mensen die slechts een enkele keer online zijn, maar er werd praktisch geen verschil geconstateerd.

Om tot de resultaten te komen, werd van een betrekkelijk kleine groep internetters (68) gekeken naar logbestanden die de firewall in ruim 4,5 uur had gegenereerd. Hieruit bleek dat 52 procent van alle aanvallen afkomstig was van virussen zoals Nimda, Code Red en allerlei varianten op deze kwaadwillige programmatuur. Daarnaast werd ontdekt dat Sub Seven het meest gebruikte programma is voor Trojaanse scans. Ondanks de resultaten is het grootste gedeelte van de onderzochte groep mensen toch niet angstig voor de aanvallen, en verwacht men dat het allemaal wel mee zal vallen.

Het onderzoek werd ingestuurd door Verwijderd .

Lees meer

IT-banen

Reacties (69)

Atomsk 22 december 2001 11:15

Het aardige is dat als je firewallsoftware van bijv. symantec of mcafee installeerd, je nog gevoeliger bent voor aanvallen. Niet omdat er dan ingebroken kan worden, maar vanwege het auto-block feature van deze firewalls.

Zodra er een portscan komt van 1 of ander ip adres, blokkeerd de firewall dit automatisch en permanent. Dat lijkt handig, maar niet als die ipscan gespoofed wordt. Een scriptkiddie kan het dan makkelijk doen lijken alsof bijv. de DNS-server van je provider een portscan doet.. de firewall blokkeert dit en voila je kunt niet meer surfen omdat wwv.blabla.com niet meer kan worden omgezet naar een ip adres.

Verwijderd 22 december 2001 12:11

68 internetters is totaal niet representatief vind ik. het feit dat meer dan 90% van die 68 een "incident" had, zegt ook niks. dat ligt helemaal aan het milieu/omgeving waar die personen internetten/bevinden.

Het aantal incidenten, waarvan ik denk dat de onderzoekers dat wat te ruim hebben genomen, lijkt me wel wat extreem. Veel incidenten hangen bij dit onderzoek nogal van je contact list en naar wie je ooit een mail hebt verstuurd.

Daarnaast werd ontdekt dat Sub Seven het meest gebruikte programma is voor Trojaanse scans
ja duh, da's lekker makkelijk om mee te beginnen voor scriptkiddies. maar een beetje firewall/virusscan houdt dat wel tegen.

naar logbestanden die de firewall in ruim 4,5 uur had gegenereerd

wel 4,5 uur. dat is dus nog minder dan 1/5 van een dag. en daar trek je je conclusies uit?! En daar komt ook nog eens bij dat dat maar logbestanden waren van een zeer kleine groep (68).

ik vind deze getallen dan ook totaal niet opgaan voor de internetcommunity als geheel.

er wordt uiteraard veel gekloot op internet, maar je kan het overdrijven.

RagaBaSH 22 december 2001 09:47

Gemiddeld vindt er elke 55 seconde een "incident" plaats

ja, als je anonymous FTP login attempts meerekend...
al die scriptkiddies die denken dan ftpd op poort 21 warez gaat bevatten

* 786562 RagaBaSH

_Pussycat_ @RagaBaSH • 22 december 2001 10:17

al die scriptkiddies die denken dan ftpd op poort 21 warez gaat bevatten

Nee, wel zij die er gaan uppen. Scannen in de hoop een volle ftp te vinden is wel erg moeizaam. Bovendien is het niet echt vriendelijk om andermans com1's (e.d.) te kraken.

RagaBaSH @_Pussycat_ • 22 december 2001 17:20

Voor zover mijn logs gaan zie ik alleen eikeltjes met een @home en een Chello verbinding proberen in te loggen.
de rest scant mijn poorten en vertrekt weer zodra ze zien dat ik BSD draai.

maar af en toe is er een idioot die alle CampusNET login namen probeerd.
en dat zijn echt geen FXP'ers

Verwijderd @RagaBaSH • 22 december 2001 12:19

als je die meerekend zit ik nu op elke 5 sec een incident

Smarron 22 december 2001 09:53

Ik heb mijn PC vaak een aantal dagen non-stop aanstaan. Niet eens een virusscanner erop staan. Sorry, maar ik heb echt nog nooit last gehad van een virus. Wel via email, maar dan moet je hem zelf handmatig openen.

Heb ook weleens een firewall erop gezet, maar dan gaat dat ding inderdaad wel vaak piepen. Kijk je bij de uitleg om wat het kan gaan, staat er 99 van de 100 keer, dat het iets is om geen zorgen over te maken ...

Oftewel, ik vind die resultaten echt onzin, ze willen er gewoon weer geld aan verdienen.

memphis @Smarron • 22 december 2001 10:15

Zo onzinnig vind ik het niet.....
Dit geeft aan dat het internet te veel gebruikers bevat die dergelijke acties uitvoeren en dus providers wat meer actiever moet gaan ingrijpen bij hun klanten die dit doen.
Veel van dit soort figuren laten gewoon een script lopen naar alle mogelijke IP-adressen en de positieve antwoorden bekijken ze later nog een keer. Dergelijke figuren moeten gewoon direct verbannen worden.

TheDataDude @memphis • 22 december 2001 13:41

Dergelijke figuren moeten gewoon direct verbannen worden.

Idd, dat gebeurt ook bij sommige providers (bv. bij UPC moet je niet gaan portscannen) maar bij de meesten doen ze er niks tegen. De politiek moet hier eens wat aan gaan doen, portscan-scans verplichten ofzo

AntiChris @TheDataDude • 22 december 2001 14:19

Zeggeh, doe ff normaal... Ik portscan regelmatig en dat is verrekte handig als je weer eens niet weet op welke port een service draait...

Of als je je thuis-IP kwijt bent

ff nmap -p 22 <netwerk> en greppen op de interessante dingetjes

.

Die Windows-firewalls zijn veeel te paranoia, meteen zodra op 139 wordt geconnect gaat zo'n ding af met groot alarm. Of je wordt gepingd! Oei! Ik denk dat er een 'hacker' binnenkomt!

Dan heb je nog van die mensen die 4 firewalls achter elkaar installeren en vage dingetjes doen... Waarschijnlijk 1 teardrop/kod en zo'n bak ligt alsnog plat.

Leuk van die firewalls is dat ze een onschuldig connectje opblazen tot een aanval en op die manier dus je productiviteit net als met virusscanners enorm omlaag halen, want je moet helemaal je muis pakken om dan zo'n ding weg te klikken en allerlei instellingen doen enzo... PFffffff, veel te veel werk.

Een goede firewall logt alleen lijkt me. En dan is het de taak van de admin om die logs te analyseren en ook daar zijn progjes voor (ipchains en logcheck gaan goed samen)

blaatenator @TheDataDude • 22 december 2001 15:05

Voor logging moet je dus een IDS als Snort gebruiken, en dan iets als Snarf om dat spul te analyseren. Een alerter derbij als er iets abnormaals gebeurd, dan weet je iig wat er allemaal gaande is. De firewall moet je gewoon goed configureren, daarbij de logs van je IDS gebruiken om later bij te stellen.
En natuurlijk je OS/ servers goed patchen.
Dan zit je in 99/100 gevallen veilig

mxcreep @TheDataDude • 22 december 2001 20:11

Een goeie firewall loopt niet de hele tijd paniek te zaaien en te bleren, hij logt en zorgt ervoor dat alles aan de binnenkant transparant is, oftewel je kunt best services draaien, alleen ze zijn niet te zien aan de buitenkant...

Als je de boel een beetje voor elkaar wilt hebben zet je er gewoon een linuxbakkie voor als router/firewall.
Dat kan gewoon een oud bakkie zijn wat je over hebt.
Zet je er dan vervolgens ook nog eens squid op, dan heb je meteen een lekkere vlotte caching proxy, dus lekker snel browsen.
Liefst ook nog een caching nameserver, dan zijn je dns requests ook meteen wat vlotter.....

FF tijd in steken om uit te zoeken en dan is je internet een stuk veiliger en aangenamer om rond te hangen....

_JGC_ @TheDataDude • 22 december 2001 20:58

Ik kreeg gisteren van iemand een ICQ berichtje dat ik mn mysql wagenwijd open had staan en dat ie zo zonder password in mn database kon snuffelen. Ikke kijken: ja, klopt, root@% no password: full control

Heb ik die maar ff weggehaald, uiteindelijk zei ie dat ik maar es wat met iptables moest stoeien.
Nu een lekker veilig systeem met alleen 22,25,80 en 110 open

Verwijderd @TheDataDude • 22 december 2001 18:15

Dan zou er volgens het bovenstaande verhaaltje iedere 5500 seconden een succesvolle inbreuk op je systeem zijn.. Daarom denk ik dat het verhaal veel te veel opgeblazen is.

Zelf laat ik poortscans niet eens meer loggen. Ze krijgen toch geen reactie terug van mijn netwerk. Alleen de serieuze aanvallen laat ik registreren. En betreffende die serieuze aanvallen heb ik er voor het laatst 4 maanden terug een gehad.. (Een scriptkiddie op een hacker-forum boos gemaakt)

Verwijderd @Verwijderd • 23 december 2001 23:34

" wat denk je wat er gebeurd als jij aanlogt op internet ?? juist, je broadcast signalen... dus iedereen aan jou kant van de router (en misschien zelfs daarbuiten) krijgt jou signaal te verwerken..

Ik ben zelf IT-er."

Dan ben je wel een ontzettende n00b IT piepo.
Signalen broadcasten als je aanlogt op internet. Waar haaaal je het vandaan. (Goed geconfigde) Routers (en zeker die op het internet) laten broadcasts niet door.

En deze opmerkingen is ook al zo'n dijenkletser:
" Er zijn een aantal stappen, die je gemakkelijk kan doorlopen en wat 100% garantie geeft, dat je altijd snel online bent en altijd bij je bestanden kan..."
100% garantie. Ik neem meteen aandelen van elk bedrijf dat dit kan garanderen.

* 786562 saintnightmare

Verwijderd @Verwijderd • 24 december 2001 09:46

Ik zou niet vergeten om die ghost image te branden. Als iemand je PC sloopt dan zou hij namelijk ook wel eens je *.gho gewist kunnen hebben.

Daarnaast zal de gemiddelde tweaker toch wel flink sleutelen aan zijn systeem. Dus de image loopt altijd achter. Ben je toch nog uren bezig met herstel

webster 22 december 2001 10:18

De uitkomst van dit onderzoek verbaast mij niets.

Iedere dag zijn honderden/duizenden script-kiddies (scan-kids?) bezig reeksen ip-adressen te scannen op open pc's, trojans en andere zaken waar iets 'leuks' mee te doen is.

Als je over kabel/adsl beschikt moet je maar eens een dagje Snort draaien (gratis Intruder Detection System op www.snort.org). Reken maar dat je een flinke logfile overhoudt.

In het HoneyNet project (http://project.honeynet.org) is gebleken dat als je een ongepatchte server aan het Internet hangt, zelfs zonder deze ergens bekend te maken en zonder domeinnaam, deze binnen een kwartier gehackt is.

Tassadar @webster • 22 december 2001 10:26

In het HoneyNet project (http://project.honeynet.org) is gebleken dat als je een ongepatchte server aan het Internet hangt, zelfs zonder deze ergens bekend te maken en zonder domeinnaam, deze binnen een kwartier gehackt is

nou.....

Dat zal ook wel weer aan de situatie liggen he

Verwijderd @Tassadar • 22 december 2001 13:52

Welke situatie? het HoneyNET project probeert juist op willekeurige plaatsen te meten (ze heten geen hackme1 tm 10.honeynet.org oid)

Daarnaast; wat zijn incidenten. Een gemiddelde red worm attack bestaat uit 16 verschillende probes, dus als je die allemaal afzonderlijk meetelt dan gaat het wel hard.
(ik heb sinds begin aug. een redworm/nimda log bijgehouden over het aantal attacks: http://www.mindstudios.com/access.shtml . niet schrikken)

AntiChris @webster • 22 december 2001 14:25

Ik heb een bak op de TU/e staan, deze had zijn proftpd-config altijd zonder anonymous incoming staan. Dit veranderde ik op een keer, want hee, ik wil ook wel wat filmpjes enzo

. Na minder dan 1 dag was de incoming al gevuld.

Volgens mij zijn er gewoon mensen op deze aard' die niks anders te doen hebben dan de hele dag netwerken te scannen.

Tegenwoordig zie ik elke dag gemiddeld 3 IP's op de FTP connecten. Overigens helaas zonder er iets in te stoppen

_JGC_ @webster • 22 december 2001 21:01

Volgens ipchains met syslog-logging werd ik aangevallen door com21 modems in het sjello netwerk. Na een dag had je een dikke 10MB syslog bijelkaar gespaard. Ik zet dus ook nooit meer logging support aan in mn kernels.
Zal een n00b zo'n programma maar es onder win9x draaien en dan bij elke ARP van zo'n k*tmodem een waarschuwing geven, ben je de hele dag kwijt om ze weg te klikken.

Verwijderd 22 december 2001 10:30

Ik heb me pc bijna 24/7 aanstaan, en sinds 3 dagen toch maar eens een firewall geinstalleerd, nou en hij piept hooguit 3 of 4 keer per dag, en virussen via mail, ik weet niet hoe iedereen dat altijd voor elkaar krijgt maar ik krijg ze nooit

Dus de stelling in dit verhaal dat je elke minuut wordt aangevallen vind ik zware onzin.

TheDataDude @Verwijderd • 22 december 2001 13:45

Mijn firewall piept anders aardig wat keertjes per minuut, en in m'n mailbox zit minstens 1 virus per week... Het verschilt dus per persoon.

Verwijderd @Verwijderd • 24 december 2001 08:51

Hoi,

Zo'n virus krijg je snel als je, zoals ik, geabonnoneerd ben op maillists (ik heb er 3 lopen, meer dan 50 emails per dag). Als iemand uit die lijst besmet is, krijgt iedereen hem. Da's dus een nadeel van een maillist. Ik zit eraan te denken om dit soort mail dan maar via de browser te lezen, al is Hotmail ook gewoon onveilig. Of geen maillist abonnee meer zijn natuurlijk

Interstice @Verwijderd • 22 december 2001 23:07

Krijg jij niet genoeg virussen per e-mail jongen? Ik zal ze wel doorsturen jij ook weer blij

Verwijderd 22 december 2001 09:47

Als je een poortscan een bedreiging noemt... ik moet zeggen dat ik er niet wakker van kan liggen

Bovendien lijkt die testgroep van 68 gebruikers me wel erg klein.

TheGhostInc @Verwijderd • 23 december 2001 13:17

Vergeet niet het levensgevaarlijke "PING" commando....

Er zwerft gewoon een hoop zooi rond over internet, maar als je geen webserver draait, en geen trojans op je PC hebt staan dan hoef je eigenlijk al geen firewall meer te draaien.

Daarnaast vraag ik me wel af of die mensen die ze getest hebben, of die kabel of adsl of inbel verbindingen hadden, vaste lijnen worden zoiezo meer gescanned, zeker door mensen bij dezelfde provider?

el frikandel 22 december 2001 09:49

Volgens mij willen ze bij Symantec hun omzet wat omhoogdrijven!

sunturion 22 december 2001 10:16

ik vind dit eigenlijk een beetje te veel van het bs gehalte. ik heb al 3 jaar internet en m'n computer staat gemiddeld 20 uur per dag aan.
In die 3 jaar heb in totaal 2 virussen op m'n computer gehad.
de eerste keer omdat m'n moeder een document op haar besmette diskete wou openen en de 2 keer omdat m'n nicht een bestand uit haar e-mailbox ging openen.
elke keer werd besmetting verhinderd door NAV.
dus ik vind de stelling dat er elke 55 seconde een "incident" plaats een beet marketing strategie, ze willen gewoon meer geld gaan verdienen.
en een firewall vind ik voor de gewone gebruiker zonder een grote server voor bv een bedrijf al hellemaal overbodig.

Interstice 22 december 2001 23:33

Voor de zelfscan freaks en de mensen die graag een enorme logfile willen:

http://security.norton.com/default.asp?langid=us&ven id=sym

http://scan.sygatetech.com/

http://www.dslreports.com/scan

https://grc.com/x/ne.dll?bh0bkyd2

http://hackyourself.com:4000/startdemo.dyn
(Moet je zelf je ip geven)

En nog wat wijze woorden:

A FALSE sense of security
is worse than being unsure.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (69)

Sorteer op:

Weergave: