Vanveen informatica bv

QR codes komen op steeds meer plaatsen voor. Deze nieuwe vorm van  barcodes kunnen handig zijn maar kunnen ook misbruikt worden voor malware. QR codes worden vaak gebruikt voor URL’s. Met een smartphone of tablet kan de QR code gescand worden. De URL in deze code kan je direct leiden naar een website, kan direct software downloaden of kan andere gewenste maar ook ongewenste acties uitvoeren. Een URL kun je zelf tenminste nog lezen. Bij een QR code lukt dat niet meer.

Als bescherming tegen ongewenste acties is het aan te raden een App te gebruiken die na het scannen niet direct de URL volgt, maar deze eerste laat zien. Bijvoorbeeld QR Droid voor de Android. Je kunt dan zelf beslissen of je de URL volgt of niet. Als de URL een afgekorte URL is, kun je beter besluiten om de URL niet te volgen. Aan de URL is immers niet te zien waar deze naar toe gaat.

Een ander punt om op te letten, is de QR code zelf. Zomaar willekeurig QR codes scannen is geen goed idee. Hackers rekenen er op dat mensen nieuwsgierig zijn en toch de QR code scannen. Zelfs QR codes die op posters geplaatst zijn kunnen vervangen zijn door andere exemplaren. Let dus op of de plek waar de QR code zich bevindt er betrouwbaar uitziet.

Virus- en malwarescanning

Encryptie

Toegangsbeveiliging

Netwerkverbinding

Steeds meer applicaties zijn webbased applicaties. De applicaties draaien dan als webservices in het interne netwerk of worden gebruikt via internet. De webbrowser is dé applicatie die nodig is om gebruik te maken van webbased applicaties. Zonder webbrowser is het gebruik van webbased applicaties niet mogelijk. De webbrowser is daarmee het besturingssysteem geworden voor webbased applicaties. Met webbrowser bedoel ik dan de webbrowser inclusief alle plug-ins en add-ons. Dit zijn kleine programma's die gekoppeld zijn aan de webbrowser en die de functionaliteit van de webbrowser uitbreiden. Voorbeelden hiervan zijn Adobe Flash Player, Apple QuickTime, Java en Microsoft Silverlight.

Net zoals een besturingssysteem up-to-date gehouden moet worden, zal ook een webbrowser up-to-date gehouden moeten worden. Een up-to-date webbrowser is misschien nog wel belangrijker dan een up-to-date besturingssysteem. De webbrowser is de toegangsportal naar internet en loopt daardoor meer risico om betrokken te raken in een aanval dan het besturingssysteem. De hiërarchische gelaagdheid tussen de onderdelen is als volgt:

Met ontwikkelingen zoals Chromium OS (http://www.chromium.org/chromium-os) komen de webbrowser en het besturingssysteem steeds dichter bij elkaar te liggen. Ook in Windows zijn Internet Explorer en het besturingssysteem Windows sterk geïntegreerd.

De meeste webbrowsers hebben de mogelijkheid om te laten zien welke add-ons en welke versie ervan in gebruik zijn. Sommige plug-ins updaten zich zelf, soms voert de webbrowser deze taak uit en in een enkel geval is een handmatige update vereist. In het laatste geval is het nodig om te weten welke versie in gebruik is en zul je zelf in de gaten moeten houden wanneer er een nieuwe versie is.

Mozilla Firefox

Mozilla heeft voor Firefox een website die plug-ins detecteert en een link geeft naar updates. http://www.mozilla.org/en-US/plugincheck

Voor add-ons heeft Firefox in het menu de Add-onbeheerder zitten:

Chrome

Chrome schakelt verouderde plug-ins automatisch uit en verwijst naar de website waar een nieuwe versie gedownload kan worden (http://www.google.com/support/chrome/bin/answer.py?answer=1181003). Voor Chrome is ook een plug-in beschikbaar die periodiek controleert of plug-ins up-to-date zijn (https://chrome.google.com/webstore/detail/pgkcfihepeihdlfphbndagmompiakeci?hl=nl&hc=search&hcp=main).

Qualys heeft een website https://browsercheck.qualys.com waarmee een security scan kan worden uitgevoerd op de webbrowser. Deze scan kan vanuit de website uitgevoerd worden of kan als plug-in gebruikt worden. Met de plug-in kan een uitgebreidere scan uitgevoerd worden.

Naast het up-to-date houden van het besturingssysteem is een periodieke controle en beheer van de webbrowser noodzakelijk.

 

Morto is een worm die zichzelf verspreid via Remote Desktop Connection. Dit RDP protocol gebruikt op het netwerk TCP-poort 3389. Dit is een veel gebruikt protocol wat vooral gebruikt wordt voor het afstand beheren van computers en voor werkplekken die op afstand gebruikt worden.

Deze worm probeert met een aantal vooraf gedefinieerde accounts en wachtwoorden in te loggen op computers en zo toegang te krijgen. De accounts die de worm daarvoor gebruikt zijn voor de hand liggende accounts voor beheer- en testdoeleinden. Dit zijn accounts zoals administrator, test, user, admin, root, sys etc. De wachtwoorden zijn eenvoudig te raden wachtwoorden zoals 123123, abc123, password etc. De worm voert daarmee een dictionary attack uit. Het is niet ondenkbaar dat er binnenkort nieuwe varianten van de worm komen die andere accounts en wachtwoorden proberen.

Welke maatregelen zijn er te nemen tegen de worm en dictionary attacks die op Remote Desktop uitgevoerd kunnen worden.

1. Beperk de toegang tot Remote Desktop. Als via internet geen toegang tot Remote Desktop nodig is, stel de firewall dan zo in dat RDP vanaf het internet naar het eigen netwerk niet wordt toegestaan. Wanneer Remote Desktop via internet gebruikt wordt dan is het aan te raden om eerst een VPN-verbinding met het netwerk op te zetten en dan RDP via die VPN-verbinding te gebruiken. Op computers waar geen Remote Desktop nodig kan dit uitgeschakeld worden. Ook kan met behulp van de Windows Firewall de toegang tot Remote Desktop beperkt worden.
2. Gebruik geen accounts op computers die een algemene term zoals admin, test, user etc. zijn. Gebruikt accounts die herleidbaar zijn naar een persoon. Handelingen zijn daarbij ook te herleiden naar een persoon. Geef personen daarbij ook meerdere accounts zodat de verschillende rollen die personen hebben ook door middel van autorisatie gescheiden zijn. Bijvoorbeeld:
   • JansenJ is het account wat de persoon J. Jansen gebruikt voor zijn dagelijkse kantoorwerkzaamheden zoals e-mail lezen, documenten schrijven en informatie op internet opzoeken. Dit account heeft niet meer rechten dan dat voor die werkzaamheden nodig zijn.
   • AdminJansenJ is het account wat administratorrechten heeft en gebruikt wordt voor het uitvoeren van beheerwerkzaamheden.
   • TestJansenJ is het account wat gebruikt wordt om mee te testen. In het ideale geval wordt dit in een afgescheiden testomgeving uitgevoerd.
3. Gebruikt een wachtwoordbeleid waarmee voorkomen wordt dat er eenvoudige wachten in gebruik zijn voor de accounts. Hiermee worden sterke wachtwoorden afgedwongen.
4. Stel een account lock-out policy in. Als door middel van een dictionary of brute force attack te vaak geprobeerd wordt om het wachtwoord van een account te raden wordt het account geblokkeerd. Verdere inlogpogingen door zowel de gebruiker als de worm leiden dan niet tot toegang tot de computer.
5. Zorg ervoor dat de computer en de virusscanner up-to-date zijn.
6. Monitor de Event Viewer logs. Mocht de worm of een hacker er toch in geslaagd zijn om in te loggen dan zijn de aanwijzingen dat dit gelukt is terug te vinden in de Event Viewer. Ook account lock-outs zijn hier terug te vinden.