Virusschrijvers richten zich meer op zakelijke LAN's

De tactiek van virusschrijvers laat een verschuiving zien, zo schrijft een antivirusexpert bij Kaspersky: er wordt niet langer ingezet op aanvallen tegen alle gebruikers van internet, maar er wordt heel gericht een doelgroep gekozen. Een nieuwe worm als Bozori bijvoorbeeld wordt vooral aangetroffen op zakelijke netwerken, maar bereikt niet de grote massa. Bozori is alleen actief op Windows 2000, een besturingssysteem dat vooral binnen bedrijven gebruikt wordt, waaruit valt af te leiden dat de maker ervan zich niet in eerste instantie op de consument heeft gericht. De technologische ontwikkeling speelt een belangrijke rol hierin: zo hebben veel internetgebruikers inmiddels een firewall geïnstalleerd waardoor virussen minder makkelijk een heleboel computers tegelijk kunnen besmetten.

Computer / Worm / Virus Bedrijven vergeten echter de laptops die het bedrijf in- en uitgaan. Ze wanen zich redelijk veilig achter hun firewall, checken alle inkomende mail, maar realiseren zich te weinig dat een besmette laptop die aan het netwerk wordt gehangen ook een bron van chaos kan zijn. Werknemers letten vaak niet goed op wat ze openen op hun laptop en vormen daardoor een potentieel gevaar voor hun bedrijfsnetwerk. Vorige week nog werden bedrijven als CNN, The New York Times, General Electrics en DaimlerChrylser slachtoffer van de Zotob-worm.

IT-banen

Reacties (20)

WinL 22 augustus 2005 08:42

Effe een vraagje. Microsoft heeft een technologie (op basis van het AD) dat bepaalt met welke voorwaarden je een PC aan een netwerk mag pluggen. Dus dan wordt voor een laptop ook een beleid afgedwongen. Dit zorgt dan (mits goed geconfigureerd) voor meer veiligheid.

Weet iemand waarin Microsoft dit geïmplementeerd heeft? Windows 2003, Win2003 Release 2 of via een extra pakket (of Vista?).

PcDealer @WinL • 22 augustus 2005 08:53

Dat heet

Network Access Protection

en Vista ondersteunt het.

Voor vanderkruk:
Wanneer niet aan deze policy is voldaan, krijgt de laptop geen IP-adres.

Verwijderd @Verwijderd • 22 augustus 2005 12:01

Zelfs bij een wfi-verbinding met WPA wordt een verbinding aangemaakt na aanmelding. Geen aanmelding betekent dat er geen verkeer wordt doorgegeven.

Een aanmelding van iemand anders spoofen betekent instellingen van de andere kopieren, encryptie doorbreken en dat alles zonder dat alle sirenes afgaan.

Dat zou in de praktijk een klein obstakel kunnen zijn voor kwaadwillende individuen.

Het probleem is echter dat de persoon met de laptop gewoon het goede password intypt en in het netwerk zit. Feest voor virussen

Verwijderd @WinL • 22 augustus 2005 10:33

Onderdeel XP sp2 en bijbehorende pol-templates.

Verwijderd @WinL • 22 augustus 2005 08:47

Deze beveiliging heeft geen zin, op het moment dat de bewuste laptop een IP adres verkregen heeft kan het kwaad al geschied zijn. Voor het verkrijgen van een IP adres is helaas maar 1 gegeven van de laptop nodig: het MAC adres.

Verwijderd @WinL • 22 augustus 2005 11:57

Natuurlijk zakl Microsoft zeggen dat Vista veel beter is. Het probleem is niet dat de laptops niet beveiligd zijn, het probleem is dat de security niet goed is opgezet.

Enkele jaren geleden hoorde ik al van een systeem waarbij je je aanmeld, wat bepaalde typen verdacht netwerkverkeer monitort en wat pc's in een quarantaine stopt als ze dergelijk verkeer beginnen. In quarantaine kun je alleen bij enkele shares met antivirus en dergelijke (read-only).

In een goed opgezet netwerk is er verschil tussen DMZ, server, workstations, laptops (en pc's in quarantaine). Liefst worden de gebieden gescheiden door firewalls. Maar die firewalls moeten wel eerst goed worden ingesteld.

De reden om Vista te roepen als de oplossing is natuurlijk koren op de markitingmolen van Microsoft. Met de bestaande technieken is een veilig netwerk opzetten goed mogelijk. Moet natuurlijk wel kennis en budget voor zijn.

Veiligheid koop je niet. Het is een proces waarbij alle onderdelen samen een bepaald veiligheidsniveau opleveren.

Mijzelf 22 augustus 2005 11:29

Bozori is alleen actief op Windows 2000, een besturingssysteem dat vooral binnen bedrijven gebruikt wordt, waaruit valt af te leiden dat de maker ervan zich niet in eerste instantie op de consument heeft gericht.

Wat een onzinnige conclusie. De maker richt zich op een gat in de beveiliging, die toevallig alleen in W2000 zit. Hij heeft echt geen marktonderzoek gedaan om te kijken welk OS 'zijn doelgroep' draait om vervolgens daar gaten in te gaan zoeken.

grimson 22 augustus 2005 10:20

Mijn mening is dat Windows 2000 over het algemeen zakelijk veel gebruikt wordt. Uiteraard is het dan snel gezegd dat een worm/virus de zakelijke kant 'opwilt'.

Ik zou het liever omdraaien: deze worm is het meest gevaarlijk op Windows 2000 machines en die vind je het meest op zakelijke netwerken.
Vandaar dat zakelijke gebruikers een hoger risico zijn puur alleen omdat het gebruikte beturingssysteem.

Verwijderd 22 augustus 2005 08:34

Hmmm, Microsoft wilde toch dat mensen van 2000 naar 2003 zouden overstappen

Cameleon73 @Verwijderd • 22 augustus 2005 08:39

Vind ik nog niet eens zo'n onmogelijke gedachte... de vraag is natuurlijk hoe je elke link met Microsoft gaat verbergen. Ik neem aan dat er geen Microsoft EULA bij dit virus zat?

memphis @Cameleon73 • 22 augustus 2005 11:04

Van 2000 workstation naar 2003 Server

PcDealer 22 augustus 2005 08:42

Bedrijven vergeten echter de laptops die het bedrijf in- en uitgaan. Ze wanen zich redelijk veilig achter hun firewall, checken alle inkomende mail, maar realiseren zich te weinig dat een besmette laptop die aan het netwerk wordt gehangen ook een bron van chaos kan zijn. [...] Vorige week nog werden bedrijven als CNN, The New York Times, General Electrics en DaimlerChrylser slachtoffer van de Zotob-worm.

Ik vind het moeilijk te geloven dat die bedrijven die een top netwerk (moeten) kunnen beheren/beveiligen dit soort duidelijke gevaren over het hoofd zien.

Verwijderd @PcDealer • 22 augustus 2005 10:22

Ik ben ook nogal enigzins verbaasd. Bovendien is er voor dit geval nog een workaround ook: restrictanonymous. Iets wat je toch al aan had moeten zetten tenzij je een zeer goede reden had dat niet te doen.

Verwijderd @PcDealer • 22 augustus 2005 16:51

Er word wel rekening mee gehouden maar er is vaak niet veel aan te doen behalve ALLE pc's (op tijd) te patchen.

Laatste worm ging nog via een lek van Netwerkshares. Dus zelfs had iedere pc een firewall ben je nog de l*l.

Netwerkaansluitingen worden nog wel eens vergeten. Ik zat laatst bij de Notaris met me laptop en zag daar toen ook dat er een netwerkstekker vrij was (in de wachtruimte notebene) Vrolijk geinternet

Maar goed mijn ervaring is dat virussen eigenlijk nooit echt schade aanricht. Het is alleen VEEL werk om het er weer netjes af te krijgen.

dtech 22 augustus 2005 09:06

Ach, de "systeembeheerders" die soms op dat netwerk zitten...
Wij wilden thuis een WLAN, zeg ik tegen mn moeder "Ik installeer het wel even" "Nee.nee. niet doen, ik vraag het wel aan een van die jongens van de ICT afdeling van een niet nader te noemen belangrijke zorginstelling waar zij werkt"
Komt er iemand langs, aangelegd (had het trouwens op 11b gezet

) zeg ik "Waarom heb je het op 11b gezet en waarom niet beveiligd?" "11g geeft veel te veel compatibiliteitsproblemen en beveiliging is absoluut niet nodig, das alleen nodig voor bedrijven want normale mensen komen er toch niet in"
"Ik zet het wel even op 11g en beveilig het"
"Nee nee, doe ik wel"
Uiteindelijk vond hij een WEP 64-bit beveiliging voldoende en had hij het neit op 11g gezet

Toen hij weg was heb ik het maar even op WPA en 11g gezet.....

Tagga 22 augustus 2005 09:32

Waarom word dit soort berichten steeds als "normaal" gezien? Net alsof virusschijvers een normaal beroep is.
Wat doet u voor de dagelijkse kost? Oh, ik ben virusschrijver; Goh, wat leuk.

Ik moet je niet tegenkomen, dan zal ik zijn of haar simpele leven heel gecompliceerd maken.

dj.verhulst 22 augustus 2005 10:17

Ik weet dat veel bedrijven nauwelijks aandacht hebben voor de mogelijkheden die slim inrichten van je AD en het systeem van als je aan bepaalde voorwaarden voldoet dan krijg je pas dhcp aan je (al bekende ) mac adres.
Dat je virusscanner update is , en je bepaalde update heb en als je echt strak wil dat ie de log van de laptop bekijkt ,, van die is altijd update geweest etc.

Wat ik me afvraag zit dat al in w2k3 ? of moet je iets van de cd of downloaden ??

het nare is dat sommige laptops erg weinig binnen zijn en dat het dan lang kan duren eer ze online zijn ,, ik hoor het gescheld al op de telefoon

nu moeten ze eerst langs komen op de helpdesk , draaien we een stinger en een poortscan , en checken we manueel zaken als update virusscanner en ms update

Movinghead 22 augustus 2005 11:39

Dit is iets wat al steeds duidelijker werd. een manier om dit aan te pakken bied Cisco samen met Trend Micro al gelukkig.
Het is mogelijk om te scannen op switch niveau en bij detectie te verbinding met die pc te verbreken. Ook is het mogelijk om die pc via Trend volledig te isoleren en pas weer kan communiceren met het netwerk als deze virusvrij is.

Het klopt dat de meeste liever zware firewalls leggen wat filters ertussen en "we zijn veilig" maar de meeste vergeten eigenlijk het echte gevaar want dat ligt achter je firewall en misschien wel een kamer verder.

Verwijderd 22 augustus 2005 15:55

Ik vrees dat de gedachte achter 'business worm' en 'social dynamics' verloren is gegaan in de vertaling.

Er is een reden waarom de business worm 'ontstaat', niet 'andersom'.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (20)

Sorteer op:

Weergave: