Peer-to-peer programma's gevaarlijk voor bedrijfsbeveiliging

Peer-to-peer-applicaties vormen een grote bedreiging voor de beveiliging van bedrijfsnetwerken, zo blijkt uit een onderzoek van beveiligingsspecialist TruSecure. Via deze programma's vinden veel virussen en wormen hun weg. Kazaa is daar een voorbeeld van: bijna de helft van alle downloads die met dit programma worden binnengehaald bevat een virus, trojaans paard of een backdoor. De schade die door virussen wordt aangericht kan enorm zijn: het bedrijf verwacht in 2004 weer een grote uitbraak die minimaal een miljard dollar zal gaan kosten. Vooral zich snel verspreidende typen zoals de Blaster worm zullen vaker gaan voorkomen dit jaar. Een besmet bestand is ook in staat tot het installeren van een zogenaamde open proxy, iets waar spammers graag gebruik van willen maken om de echte bron van hun mail te verhullen:

Continued increase in malware that installs open proxies on systems, especially targeting broadband users. The proxy hides the true origin of attacks whether from viruses, worms or spam. Many of the top viruses in 2003 used tactics like this, allowing spammers to send e-mail through these systems.

IT-banen

Reacties (54)

Falcon 8 januari 2004 08:38

Als systeembeheerder zul je ook zorgen dat sommige zaken niet te benaderen zijn van af een netwerk en ik denk zeker dat p2p daarbij hoord.

En trouwens internet is niet altijd nodig op een zaak en daarom hebben bij mij alleen de gebruikers die het ECHT nodig hebben voor hun functie.

Daarnaast zit ik er over te denken om speciaal ingerichte internet pc's hier te gaan plaatsen en dat deze niet op het netwerk aangesloten zitten. Als een gebruiker dan iets nodig moet hebben kan hij dit aanvragen bij IT.

/update:

Nu we overgegaan zijn naar Windows 2000 ADS kan ik eindelijk group policy's per OU aan maken, zodat een gebruiker gewoon GEEN software mag/kan installeren.

En ik moet zeggen het bevalt me nu na 2 dagen al prima! Wel verschillende klachten binnen gekregen, maar daarna nogmaals uitgelegd dat als ze programma's willen installeren een briefje mogen ondertekenen voor als de BSA langs komt. Mogen zij betalen.

Er komt steeds meer begrip voor van onze gebruikers dat we zo werken en mijn werk is er zo wel "preventiever" opgeworden.

Dit maakt voor mij ruimte vrij om te gaan kijken naar nieuwe mogelijkheden. 1 staat op mijn lijst en dat is Linux.

cdwave @Falcon • 8 januari 2004 10:50

Allemaal leuk en aardig, maar met zo'n aggressieve anti-internet policy kun je in een modern IT bedrijf echt niks beginnen. Dat heeft de IT afdeling niks anders te doen dan het afhandelen van Internet aanvragen...

Nee, ik zie meer heil in het beschermen van gebruikers tegen elkaar. Iedereen die hier inlogt op een van de NT systemen, of z'n laptop in de muur plugt en DHCP aanzet, kan internetten, mailen, radio luisteren en wat hij maar wil via het net.

En als hij/zij dan een worm o.i.d. binnenhaalt, is dat vooral zijn/haar eigen probleem. Bestanden op de server zijn beveiligd met toegangsrechten zodat hij/zij in den beginne alleen eigen spul sloopt.

De meest efficiente verdediging die ik hier hanteer is de doos met backup tapes (tot 16 weken terug). Er is nog wat eerstelijn spul (firewall, virusscanner op de mail enzo), maar ik weet toch wel dat dat niet heilig is.

Ik zie er echt geen heil in om een beetje big brother te spelen en iedereen die een keertje op tweakers zit te posten op z'n vingers te tikken. Als mensen willen lanterfanten onder werktijd, dan vinden ze toch wel een bezigheid.

De voordelen voor de ontwikkelaars en managers om snel toegang te hebben tot een wereld van informatie wegen ruimschoots op tegen het risico. Ik spendeer liever een keer een dagje aan het opruimen van een worm, dan elke dag een uur aan het verwerken van download aanvragen, internet access aanvragen, white-lists en wat dies nog meer zij.

nhimf @cdwave • 8 januari 2004 13:19

Bij mij op het bedrijf heeft lang niet iedereen internet nodig, dus zullen ze het ook niet krijgen.
Omdat wij een marktonderzoeksbureau zijn, worden er heel erg zware eisen gesteld op de beveiliging van de gegevens en dan is juist zo'n agressieve anti internet policy nodig.
Ook wij kunnen er niet onderuit om internet te gebruiken maar kazaa of andere applicaties zullen ze dus ook nooit kunnen gebruiken zolang ik er werk. Ook alle .scr en .pif bestanden gaan eraf zodra ik ze tegen kom.

Probleem is dat je niet alle gegevens kan beveiligen omdat veel gebruikers het recht moeten hebben om ze te kunnen wijzigen en daarmee ook de virussen die ze binnen halen. Zelfde geld voor lees rechten, als een gebruiker dat kan, dan kunnen de virii die ze binnen halen het ook. En ik denk niet dat onze opdrachtgevers het zullen waarderen als onderzoeken ineens vrijelijk beschikbaar zullen zijn op internet.

Zo is het bij ons en ik denk ook bij veel andere bedrijven. De beste beveiliging is geen internet, dus krijgen degene die het niet nodig hebben ook geen internet. Willen ze internetten, dan hebben wij daarvoor een pc zonder rechten waarop ze dat kunnen.

Ma_rK @nhimf • 9 januari 2004 11:05

Mag ik de mensen er even aan helpen herinneren dat email toch ook onder internet valt, en dat dat ook binnen kleine bedrijven toch echt heel makkelijk is. Ik denk dus dat er maar weinig bedrijven zijn die een NO Internet policy als cure gaan zien. Goed systeem beheer:
-zelf geen software installeren
-filters op non bedrijfs internet sites (ja die zijn niet waterdicht, maar ze vormen een begin)
-goede backups
-gebruik maken van os clones
-etc
Dat is uiteindelijk toch de enige oplossing.

Verwijderd @Falcon • 8 januari 2004 17:57

Ik snap ook niet waar dit nieuws op slaat. Moet er weer iemand moord en brand schreeuwen hoe gevaarlijk en slecht P2P wel niet software is?
Op een bedrijfsnetwerk hebben P2P programmas niks te zoeken.

Alleen:

Wel verschillende klachten binnen gekregen, maar daarna nogmaals uitgelegd dat als ze programma's willen installeren een briefje mogen ondertekenen voor als de BSA langs komt. Mogen zij betalen.

ik denk dat jij iets uit het oog verloren bent...
Als systeembeheerder heb jij een ondersteunende taak. Jij bent er voor hun en niet andersom. (Ik werk bij een facilitaire afdeling dus ik weet waar ik het over heb). Dat wil natuurlijk niet zeggen dat gebruikers zomaar alles mogen installeren om jou het leven zuur te maken. Het lijkt wel of je voordurend op voet van oorlog met je collegas leeft.

Bovendien stuit het me tegen de borst dat jij er blindelings van uitgaat dat alle geinstalleerde software illegaal is! Ik heb hier ook programmas geinstalleerd omdat die mijn productiviteit verhogen. Maar die heb ik wel zelf betaald (en in de licentie staat dat ik ze ook tevens op het werk mag gebruiken fyi).

Maar, nogmaals: P2P heeft op het wrk niks te zoeken.

Falcon @Verwijderd • 9 januari 2004 09:39

Dit was bij wijze van spreken.

Verwijderd 8 januari 2004 08:35

de virussen zitten vooral in appz en gamez die je download. In muziek ben ik nog nooit een virus tegengekomen. ik denk dat op werk mensen vooral muziek downloaden, en het dus best meevalt

Verwijderd @Verwijderd • 8 januari 2004 08:38

Problemen met computers en software wordt 9 van de 10 keer veroorzaakt voor onkunde van gebruikers. Dus ook in het geval wat je hierboven schetst. Robbie Williams - Come Undone.exe

Countess @Verwijderd • 8 januari 2004 12:01

zolang je oplet of de filesize een beetje klopt vind ik het erg moeilijk om een virus te vinden op kazaa eigenlijk.
als je ziet c&cgenerals.zip 3kb. dan weet je mdat het fout is.

AxiMaxi @Countess • 8 januari 2004 12:09

als je ziet c&cgenerals.zip 3kb. dan weet je mdat het fout is.

En wat dan bij Vegas4.0_keygen.zip van 12 kb of Winrarb30b3_patch.exe van 34 kb?

Ik gebruik Kazaa allang niet meer. In het geval van muziek download je 9 van de 10x bagger (lage kbps, afgebroken, slecht geript).

Nee, op ons bedrijfsnetwerk geen Kazaa!

Verwijderd @Verwijderd • 8 januari 2004 13:15

In een programma als Windows Media player of winamp, wat de meeste mensen gebruiken, zullen vast ok fouten zitten.
Microsoft heeft laatst nog een fout ontdekt in Windows media player tot versie 8. Een slimme virusschrijver kan een stukje code in z'n mp3'tje zetten waardoor media player op hol slaat, en het virus volledige toegang tot het systeem krijgt. Tot nu toe is het nog niemand gelukt, maar als micosoft aangeeft dat het mogelijk is....
Misschien dat er in 2004 wel zo'n virus uitbreekt, een programma als kazaa is een ideal distibutie middel.

Verwijderd @Verwijderd • 8 januari 2004 23:43

Ik moet je corrigeren. Zover ik het weet ging het hier om ASF bestanden. Dit zijn bestanden waar je video, geluid, plaatjes (kortom multimedia betanden) kunt koppelen en ook nog eens in kunt coden, daar zat een fout in. In MP3's zelf wordt geen code gerund dus zal het niet zo een buffer overrun veroorzaken of teveel permissies krijgen en schade aanrichten. MP3 worden alleen gedocodeerd, als je code kunt uitvoeren uit een MP3 is het zeer bagger geprogrameeerd, zoals de JPEG files die je met IE met HTML code kunt vullen...

cutter 8 januari 2004 09:02

Ik kan me niet voorstellen dat er nog bedrijven zijn die de kazaapoorten niet hebben dichtgezet. Probleem blijven de laptops gebruikers die de laptop thuis achter de adsl hangen en zo met kazaa de troep meenemen binnen de firewallomgeving van het bedrijf.

Probleem zal zich vooral voordoen bij de kleinere (MKB?) bedrijven die minder geneigd zijn geld te investreren in IT-oplossingen.

arnova @cutter • 8 januari 2004 17:45

KaZaa en consorten blocken kan alleen met een proxy. Met een (transparante) firewall zal je dat nooit en te nimmer lukken omdat zowel de locale als de remote port alle mogelijke combinaties kunnen hebben...

Blocken van unprivileged poorten helpt wel (een beetje) maar dan werken een heleboel andere internet applicaties meteen ook niet meer (ICQ, MSN bv.)

Verwijderd @cutter • 8 januari 2004 12:47

Volgens mij kan kazaa ook gewoon van bijv poort 80 gebruik maken. Dat zal dus zomaar niet lukken.

bramseltje 8 januari 2004 09:05

En daar komt dan nog bij dat een aantal van de pakketten die zeggen antivirus te zijn een groot aantal virussen niet tegenhoudt...

Zie ook: http://www.nu.nl/news.jsp?n=256429&c=50

Hier wordt onder andere gezegd dat AVG 4 vd 5 trojans doorlaat. En volgens mij is dit toch wel een programma dat door heel veel mensen gebruikt wordt.

Dus mensen die roepen 'Ja, maar ik heb toch een virusscanner?' zullen bedrogen uitkomen. En dit zal een mogelijke grote uitbraak natuurlijk alleen maar helpen...

Een vals gevoel van veiligheid is erger dan weten dat je kwetsbaar bent wordt er niet voor niets gezegd...

Verwijderd @bramseltje • 8 januari 2004 09:32

Ik denk dat de meeste mensen McAfee of Norton gebruiken. Wel of niet eerlijk verkregen. Deze pakketten doen wel goed hun werk. Wat het grootste probleem is bij de gewone consument is dat ze de virus definities niet uptodate hebben. Ik heb mensen meegemaakt waar de computer helemaal vol zat met virussen. terwijl er een virusscanner opzat. Vraag ik of ze het programma wel elke week updaten, zeggen ze tegen me met een verbaasde blik. Elke week? Dat hoeft toch maar 1 keer per jaar? Ze denken dat ze veilig zijn omdat er een scanner op zit. De mensen moeten wat dat betreft gewoon beter worden ingelicht.
En als je op een bedrijfs netwerk virussen binnen krijgt dan denk ik dat je als beheerder beter ander werk kan gaan zoeken, want dan doe je werk niet echt goed. Als je met gratis paketten gaat werken waarvan je niet zeker weet of de ondersteuning wel helemaal 100% is.

Verwijderd @Verwijderd • 8 januari 2004 10:57

euhh, AVG is misschien niet top en laat wat virussen en Trojans door, maar als je denkt dat Norton en McAfee niks doorlaten zit je er ook flink naast.

Kijk maar naar de testen in bv de c't

mjtdevries @Verwijderd • 8 januari 2004 15:46

De laatste test van c't die ik heb gezien bewees juist dat McAfee en Norton hun werk zeer goed doen.

Verwijderd @Verwijderd • 8 januari 2004 17:25

geen computer totaal maar c't is de volledig naam.

Verwijderd @Verwijderd • 8 januari 2004 17:26

Ja maar wat ik mij herinner niet het beste en iig niet 100% betrouwbaar. Zeker met onacces scans of archieven

arnova @Verwijderd • 8 januari 2004 17:48

Dit komt vooral omdat je met virus defenities altijd achter de feiten aanloopt: voordat een virus herkend kan worden moeten er eerst behoorlijk wat machines geinfecteerd zijn. Daarbij komt nog dat bv. McAfee altijd op vrijdag zijn virus defenities update. Als slimme virusschrijver breng je dus op zaterdag je nieuwe virusje uit wat vervolgens bijna een week lang zo ie zo vrij speelt heeft.

alm @Verwijderd • 8 januari 2004 23:08

Daarbij komt nog dat bv. McAfee altijd op vrijdag zijn virus defenities update.

De updates staan al op woensdagavond klaar hoor, maar je moet niet de Nederlandse DAT bestanden willen downloaden want de installers lopen een dag achter. Updaten doe je gewoon zoals het hoort via de Update functie vanuit McAfee VirusScan zelf...

Met de Mirror functie kun je heel mooi een mirror maken van de updates op de ftp site, zodat je een centraal distributiepunt op je LAN hebt. Kun je vanuit daar je clients updaten en scheelt je weer het nodige internetverkeer. Beheer met e-policy orchestrator maakt het ook weer eenvoudiger (mits goed ingericht).

kingfinn @Verwijderd • 8 januari 2004 17:23

Computer Totaal, nou DAN heb je een echt vakblad in handen zeg

World Citizen 8 januari 2004 08:52

Klopt allemaal, ik werk op de universiteit van Tilburg en hier mag je ook geen p2p programma's draaien, er zit alleen 1 maar aan. Er zijn leraren die af en toe dus reclame filmpjes gebruiken in hun college (vb he) en waar zijn die het beste te downloaden, bij Kazaa. En dan kan ik hoog en laag springen zoveel als ik wil maar die mensen blijven het toch gebruiken.

Verwijderd @World Citizen • 8 januari 2004 09:02

Dus blokeer je dat soort meuk op netwerkniveau, zoals Falcon al uitlegde.

World Citizen @Verwijderd • 8 januari 2004 09:26

Dan zou ik kunnen doen maar dan krijg ik het hele college bestuur op mijn dak omdat ik aaan werkbelemering doe. maar goed uiteindelijk kan en mag ik het dus niet tegen houden, het komt eropneer dat ik van die mensen elke 3 maanden hun pc terug krijg omdat hij voor geen meter meer loopt.

Vervelend

TheGhost @World Citizen • 8 januari 2004 09:28

Dan moet dat collegebestuur maar eens doorrekenen hoeveel tijd jij iedere 3 maanden aan die pc's kwijt bent, denk dat dat hard kan oplopen...

Dat het collegebestuur in zo'n geval dus voor het gevaar kiest is pure onwetendheid natuurlijk, daarom denk ik dat ze dan ook duidelijk op het gevaar gewezen moeten worden en mss moet het een keer uit de hand lopen en dat jij dan kan zeggen "zie je wel...."

iw@n @World Citizen • 8 januari 2004 09:57

Als een hoogleraar voor elk filmpje een half uur langer moet zoeken kost dat veel meer. OK in dit geval zal daar dan een studentassistent op komen maar dit is vanuit het onderwijs gezien een verslechtering. De docent weet percies wat die wil en het hulpje moet dat uit zijn opdracht zien te distilleren.

Het is niet dat iedereen zijn gang maar moet gaan maar je ziet vaak (zoals bij mij op de uni) dat systeembeheer veel belangrijk werk onmogelijk maakt door rare beveiligingen. (en telnet doet het wel) Ik kan bijvoorbeeld Visual Sudio niet gebruiken omdat die begint met een melding dat ik geen schrijfrechten heb op c:/temp en vervolgens netjes weer stopt.

Het beheren van de computers op onderwijsinstellingen is ondersteuning voor het echte werk, niet andersom.

comecme @World Citizen • 8 januari 2004 16:55

offtopic:
[quote]
dat ik geen schrijfrechten heb op c:/temp
[/quote]

Dan ligt dat waarschijnlijk aan Visual Studio. Als C:\Temp daadwerkelijk de TEMP-directory is van het systeem heb je daar vast wel schrijfrechten, anders zou bijna geen enkel programma het doen. Als je PC is ingesteld om een andere directory te gebruiken, dan is het fout dat Visual Studio blijkbaar keihard C:\Temp wil gebruiken.

Ik denk trouwens dat het beheren van de computers bij alle soorten bedrijven ondersteuning is voor het echte werk hoor, behalve dan voor een bedrijf dat alleen maar beheer doet natuurlijk.

Verwijderd @Verwijderd • 8 januari 2004 23:45

niet zo makkelijk als je denkt.. Het vindt zijn weg in Poort 80 met HTTP headers. Ik krijg van me firewall ook warnings met binary HTTP headers detected, maar als je dit blokkeerd, werken uploads via http ook niet meer, en dan wordt het dramatisch. Ja ze zoeken overal een gaatje in...

Falcon @World Citizen • 8 januari 2004 08:58

Dat mogen ze dan van mij lekker thuis gaan doen..

edit

hansg @Falcon • 8 januari 2004 10:53

Waar woon je?

dr snuggles 8 januari 2004 11:37

Kazaa is daar een voorbeeld van: bijna de helft van alle downloads die met dit programma worden binnengehaald bevat een virus, trojaans paard of een backdoor.

Jaja, de helft.. Waar zijn deze cijfers op gebaseerd?

Via kazaa worden veel mp3'tjes gedownload en ik kan me NIET voorstellen dat bij 1 op de 2 mp3'tjes een virus oid zit. Pertinente onzin / propaganda van de RIAA dus.

_Thanatos_ @dr snuggles • 8 januari 2004 12:43

Ja hoe wil je ook een virus in een mp3tje krijgen? Dat bestaat gewoon niet. Hooguit een security exploit van winamp. Bijv een buffer overflow misbruiken, maar ook dat vereist een goed staaltje programmeerwerk, als het al mogelijk is.

Maar vergeet niet dat je op Kazaa ook heel wat "bogus" bestanden tegenkomt. Zoals eerder aangegeven, een executable met een winamp- of meidaplayer-icoontje van 3MB. Op n00b-computers staan extensies uit, en dan zien ze het verschil totaal niet tussen een executable met een verschikkelijke trojan of worm of wat dan ook, en een echt mp3tje/filmpje.

hardwareaddict 8 januari 2004 12:28

Geen idee wat voor soort software/muziek deze heren downloaden, maar met actieve virusscanner vernam ik dat geen enkel virus op deze manier binnenkomt bij de gemiddelde gebruiker.

In elk geval een vrij standaard verhaaltje wat ze afdraaien. Toch is het ze weer gelukt in het nieuws te komen. Onterecht mensen bang maken werkt tegenwoordig goed om in de publiciteit te komen.

Triest maar wel waar.

Verwijderd @hardwareaddict • 8 januari 2004 15:48

Tis inderdaad een beetje bout stelling die men aanneemt, maar virussen via kazaa zijn er MEER dan genoeg (vooral in keygenereators enzo)

dj.verhulst 8 januari 2004 09:44

Het is best wel knudde als jij met jouw zorgvuldige geconfigueerde ISA server met firewal openBSD router tec.... mensen via een proxy client toch nog aan het MSN zijn of een P2P SW het knutselen zijn....

En wat al eerder gezegt is de laptops die elders(thuis) zult meenemen , kan je toch met een policy dicht spijkeren , dat een virusscanner verplicht updaten bij het inloggen ....

Verwijderd 8 januari 2004 09:48

Op een echt belangrijk netwerk zit of geen internet of is alleen poort 80 open.
Ja is dit niet zo dan kun je problemen verwachtten ik denk dat het hier op m`n stagebedrijf wel meevalt

Verwijderd @Verwijderd • 8 januari 2004 15:43

En jij denkt dat kazaa niet over poort 80 naar buiten kan???
Dachet wel

SPee 8 januari 2004 11:15

Als bedrijf heb je daar wel een policy voor.
Geen P2P en illegale software (vaak ook geen MSN).

En als dat wel op een PC bevindt kun je dan maatregelen treffen tegen die gebruiker.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (54)

Sorteer op:

Weergave: