Gijzelvirus vermomt zich als Windows Update

Gisteren verzocht ik je nog om je pc up-to-date te houden als je veilig mijn blog wilt kunnen lezen en niet het risico wilt lopen om geïnfecteerd te raken. Want ja, met het lezen van blogs loop je meer risico dan bij het bekijken van pornosites (nou ja, op sommige gebieden loop je meer risico…maar goed, dat is een ander verhaal).

Maar toch wil ik je er ook voor waarschuwen dat je bij het ogenschijnlijk updaten van je pc goed op let.

In Duitsland is een nieuw gijzelvirus actief dat de computer kaapt en 50 euro losgeld vraagt. De ‘ransomware’ arriveert per e-mail en stelt dat de ontvanger zich voor een ‘Premium Mail’ account heeft aangemaakt. Daarbij zal er maandelijks zo’n 60 euro van de rekening worden afgeschreven. Voor meer informatie kan men de meegestuurde rechnung.zip openen (bron).

Een aantal weken geleden werden we ook al geconfronteerd met een virus dat de gegevens op je harde schijf gijzelt. Maar dit virus vermomd zichzelf als een Windows update. Ook dat is niet nieuw want een aantal jaar geleden waren er ook al virussen die zich vermomde als Windows update. Nu het storten van een bedrag kreeg je software om je pc weer virus vrij te maken. Flinke sommen geld zijn er toen naar de virusschrijvers overgemaakt want niemand zit te wachten op een virus en in alle wanhoop doe je er toch (bijna) alles aan om er weer vanaf te komen.

Voor zover ik me kan herinneren was dat vorige virus inderdaad een vervelend virus en de kans was dan ook groot dat je je pc beter kon formatteren dan dat je met allerlei tooltjes aan de slag moest gaan om het virus te verwijderen. Maar volgens mij was dat virus nog niet in staat om de gegevens op je harde schijf te gijzelen. Helaas, dit nieuwe virus kan dat wel.

Het is de komende tijd dus opletten geblazen en niet zomaar willekeurig op alle linkjes klikken. Ook niet als ze erg lijken op een Windows update. Nee, beter is om toch nog even uit te zoeken of het ook echt om een Windows update gaat. Maar goed, volgens mij ontvang je Windows updates niet via email maar gewoon omdat je pc met allerlei pop-ups komt. Een update via email kun je dus zeker als zeer verdacht aanmerken.

Nou, jullie zijn gewaarschuwd en ik wacht rustig tot jullie mij in alle wanhoop bellen omdat je niet meer bij je bestanden kunt. Misschien niet zo’n gek idee om toch maar even een extra backup te maken?

Negeren Windows updates nekt CheapTickets.nl

Gisteren hadden we het nog over de FBI-topman die graag een tweede internet wil omdat daar dan de kritieke systemen onderling veilig kunnen communiceren. Daarbij gaf ik ook al aan dat er naast zware technische aanvallen ook de simpelere aanvallen en fouten zorgen voor beveiligingslekken. Nu wil ik niet direct beweren dat CheapTickets tot de kritieke systemen moet worden gerekend, maar het onderbouwd wel het idee dat er nogal wat schort aan de basis van beveiliging bij bedrijven.

Door een niet gepatchte test-webserver lagen de gegevens van 715.000 klanten van CheapTickets.nl voor het grijpen, waaronder wachtwoorden en paspoortnummers. De Windows Server 2003 omgeving was niet up-to-date, waardoor een aanvaller via een lek uit 2009 toegang kreeg tot een back-up, met daarin de eerder genoemde gegevens, maar ook zaken als volledige naam, adres, woonplaats, maaltijdvoorkeur en telefoonnummer.

In een verklaring laat CheapTickets weten dat het om een testomgeving ging met consumentengegevens die gedurende de periode 2008 tot 2009 werden verzameld. De gegevens zouden inmiddels offline zijn gehaald. (bron)

Voor al die organisaties die besluiten om nog maar een dure firewall aan te schaffen moeten we natuurlijk eerst even op de rem gaan staan. Voordat je investeert in nog een technische maatregel moeten we eerst eens goed kijken naar de organisatorische en procedurele maatregelen.

De vragen die gesteld moeten worden zijn bijvoorbeeld:

  • Waarom was de Windows server niet up-to-date?
  • Waarom was de test omgeving gekoppeld aan het internet?
  • Waarom werd er gebruik gemaakt van echte gegevens en niet van fictieve gegevens?

Beantwoorden we die vragen dan zijn we op weg om de echte oorzaken van een dergelijk incident te achterhalen. De gevolgen mogen zich dan uitten in een security incident, de oorzaken liggen (zoals bij veel incidenten) buiten dit vakgebied.

Het betreft hier onder andere tekortkomingen in ontwikkeling en beheer. Misschien goed om toch nog eens te duiken in standaarden als de ITIL-processen en als we nog eens Googlen op best practices voor ontwikkeling en beheer dan vinden we ongetwijfeld ook nog wel wat slimme tips.

De lessen die wij zelf natuurlijk trekken is dat we updates sneller testen en doorvoeren, dat we de OTAP-omgevingen scheiden van de productie omgevingen en van het internet, dat we persoonsgegevens niet langer bewaren dan strikt noodzakelijk en dat als we dan toch willen testen we gebruik maken van fictieve gegevens. Doen we dat, dan zijn we al weer een aardig stuk op weg en had in ieder geval dit incident voorkomen kunnen worden.

Maar ja, misschien ook een goede les voor al die klanten. Beveiliging is een kwaliteitsaspect. Dan moet je niet gek opkijken dat je bij een prijsvechter een minder goede beveiliging kunt verwachten. Ze moeten het geld toch ergens vandaan halen en dat doen ze onder andere door weinig te investeren in informatiebeveiliging.

Helaas geldt dat niet alleen voor CheapTickets maar ook voor andere organisaties. De basis van beveiliging is (nog lang) niet op orde, maar met de huidige bezuinigingen en met de concurrentiestrategie die veel organisaties op dit moment voeren, wordt er niet geïnvesteerd in informatiebeveiliging en kunnen we dergelijke incidenten meer en meer verwachten.

Beveiliging door updates en patches

Hadden we het vorige week nog over onderhoud waar we met name doelen op de onderhoud van allerlei systemen om te voorkomen dat componenten de “end-of-life” status bereiken. Nu gaan we in op het onderhoud van de software en applicaties. De vraag is daarom:

Wordt er voor gezorgd dat de software altijd up-to-date is en dat de laatste patches op een veilige wijze zijn doorgevoerd?

Aan het doorvoeren van updates en patches zitten meerdere kanten, maar we belichten er twee, namelijk:

  • Waarom zouden we updates en patches doorvoeren?
  • Hoe kunnen we updates en patches doorvoeren?

 
Het waarom lijkt natuurlijk simpel. We willen ervoor zorgen dat er geen beveiligingslekken zitten in de software en applicaties die we gebruiken. Door verouderde software te gebruiken kunnen er lekken ontstaan waarmee ongeautoriseerde toegang tot onze informatie mogelijk wordt. Hoewel het antwoord simpel is, zien we nog te vaak dat updates en patches niet of veel te laat worden doorgevoerd. Enerzijds omdat we niet weten dat er een update of patch is, anderzijds omdat we het nogal lastig vinden om ze door te voeren: het werkt toch?

Daarmee belanden we bij de tweede vraag: Hoe kunnen we updates en patches doorvoeren? We richten daar natuurlijk het patchmanagement proces voor in. Daarvoor gebruiken we de formats van ITIL en klaar zijn we, toch? Nou niet helemaal. We moeten er bijvoorbeeld rekening mee houden dat het doorvoeren van updates en patches ook risico’s met zich meebrengt. Het kan zomaar zijn dat door een update het systeem niet meer werkt zoals we willen.

Het klinkt misschien wat cryptisch. Maar stel: je hebt een Iphone waarmee je uiteraard kunt bellen, je mail kunt lezen en nog wel wat meer “smart” dingen kunt doen. De batterij gaat lekker lang mee en je hoeft dus niet al te vaak op te laden. Je koppelt je Iphone aan je Itunes en ziet dat er (weer) een update is. Je besluit om maar even snel de update door te voeren zodat je weer helemaal bij bent. Halverwege de update loopt je Iphone vast en je moet het proces opnieuw herhalen (in de hoop dat het nu wel gaat lukken). Maar, ja hoor, na de tweede keer is het gelukt. Je kunt weer vrolijk bellen en mailen. Maar je constateert wel dat de batterij ineens een stuk minder lang meegaat dan je gewend bent.

Een voorbeeld dat we allemaal wel kennen, toch? Heb je geen Iphone? Dan geldt dit vast ook voor de Blackberry of Nokia. Geloof het of niet, maar een telefoon is voor vele mensen tegenwoordig toch echt een kritisch systeem, zonder telefoon weten we ons geen raad meer. Dit vergelijk kunnen we doortrekken naar de applicaties die we op ons netwerk hebben draaien. Het kan zomaar zijn dat een update of patch er voor zorgt dat het allemaal niet meer zo soepel wil werken, dat we niet meer bij de informatie kunnen en dat het proces tot stilstand komt.

Je moet er niet aan denken, toch? Dan maar liever geen update doorvoeren, maar ja, dan zitten we met het feit dat er gaten in onze software zitten waarmee we een gewild slachtoffer kunnen worden. Maar gelukkig is een een remedie. We testen updates en patches eerst in een test omgeving. We hebben niet voor niets de teststraat, toch?

Ook hiervoor geldt weer dat we keuzes zullen moeten maken. Is de patch zo kritisch dat we niet eerst uitgebreid kunnen testen (en er maar het beste van moeten hopen) of kan de update best een dagje wachten en kunnen we eerst een goede test uitvoeren? Dat is de vraag die we situationeel zullen moeten beantwoorden. Zaken om rekening mee te houden bij het opzetten van het patchmanagement proces.

Nep-virusscanner vermomt zich als Windows Update

Oh, nee, niet nog een. Ik denk dat jij en ik (als je tenminste ook altijd de gelukkige bent om de virussen van anderen te verwijderen omdat de computer het niet meer doet) het weer druk krijgen de komende weken. Veel mensen klikken sowieso op alles waar “ok” bij staat (getuige het grote aantal virussen dat mensen oplopen), maar heb je eindelijk een gebruiker uitgelegd dat hij toch echt eerst even moet kijken waar hij mee akkoord gaat en wat hij download…krijg je dit. Een nep virusscanner (gewoon een virus dus) die lijkt op een update voor Windows. Daar gaan dus weer veel mensen intrappen.

Er is een nieuwe nep-virusscanner in omloop die zich voordoet als Windows Update…Het scherm laat gebruikers geloven dat ze de Antimalware security update voor Windows XP moeten installeren, gevolgd door een echt bestaand KB artikel.

Het scherm in kwestie downloadt een DLL-bestand dat allerlei waarschuwingen toont en gebruikers aanmoedigt tot het activeren van de software. Deze activatie, waarvoor slachtoffers 40 of 60 euro voor betalen, lijkt erg veel op het activeren van Windows. In het geval van de gebruikersovereenkomst verwijst de nep-virusscanner zelfs naar de website van Microsoft (bron).