DigiProfs is partner van:

Nieuws

Microsoft: Grootste lek zit achter toetsenbord

Bookmark and Share

Bron: Security.nl - 31-05-2010
Veel consumenten zijn slechte bestuurders op het internet, waardoor Internet Explorer dagelijks drie miljoen malware aanvallen of kwaadaardige websites stopt. Volgens John Scarrow, Partner Group Program Manager, vormen niet drive-by downloads, maar social engineering aanvallen het grootste probleem. Het gaat dan om websites die codecs, nep-virusscanners en Trojaanse paarden in downloads aanbieden. Aanvallen die IE8 weet af te slaan via het SmartScreen filter, dat ook in andere diensten van Microsoft verwerkt zit. Tijdens een persbijeenkomst in Redmond besprak Scarrow het Smartscreen filter en Internet Explorer.

Conficker
De softwaregigant maakt duidelijk verschil tussen drive-by downloads en social engineering aanvallen, waarbij het zich vooral op de laatste richt. 'Het lek is niet de software, maar de persoon die achter het toetsenbord zit.' De meeste gebruikers denken hier niet over na en vinden zich een betere bestuurder dan gemiddeld, aldus Scarrow.

Hij wijst naar alle aandacht die de Conficker worm kreeg. De worm wist een kleine vijf miljoen machines te besmetten. 'Er werd meer over Conficker geschreven dan er besmette machines waren.' IE8 weet elke dag drie miljoen aanvallen te stoppen. De meeste mensen denken alleen aan beveiligingslekken en bedrijven moeten volgens Scarrow gevonden kwetsbaarheden zo snel als mogelijk updaten. 'Maar het echte probleem is het updaten van de persoon achter het toetsenbord.'

Infrastructuur
SmartScreen blokkeert ook phishingsites, maar dat aantal verbleekt met het aantal malware websites. 'We blokkeren honderd keer malware aanvallen', zegt Scarrow. Volgens hem zien veel mensen de ernst en omvang van de situatie niet. Dat wil niet zeggen dat drive-by download aanvallen niet belangrijk zijn, maar aan de hand van de gegevens die Microsoft verzamelde, gaf het social engineering een hogere prioriteit. Iets wat door alle blocks met IE8 wordt bevestigd. Het geeft tevens aan dat veel gebruikers niet zo kundig zijn als ze zelf denken, aldus Scarrow. Aan de ene kant zijn er wel mensen die alles versleutelen en zeer voorzichtig zijn, aan de andere kant is er online ook 'totale anarchie'. Mensen die zich nergens iets van aantrekken. 'De realiteit is dat we in het midden zitten, misschien iets richting anarchie.'

De oplossing van de problematiek ligt in het economisch onaantrekkelijk maken om malware te verspreiden. De filters die Microsoft hanteert kijken dan ook naar de hele infrastructuur. Het herkennen van malware speelt daarbij een belangrijke rol, maar virusscanners laten nogal wat door. Smartscreen brengt daarom ook bekende kwaadaardige domeinen, IP-adressen, ASN en hostingbedrijven in kaart. Zaken die in veel gevallen geld kosten. Door malware aan een van deze zaken te koppelen raakt men de cybercriminelen financieel. Daarnaast kan men ook nieuwe malware vanaf deze infrastructuur sneller detecteren. Ongeveer 25% tot 40% van alle malware die Microsoft met Smartscreen blokkeert, vindt plaats voordat anti-virusbedrijven de malware hebben geidentificeerd.

Blacklist
Alle informatie die Microsoft over de infrastructuur van cybercriminelen verzamelt wordt in een blacklist geplaatst. Het is echter niet mogelijk om deze informatie met Mozilla of Google te delen, aldus Scarrow. 'Als je niet het hele systeem in handen hebt, van het ontwerp tot het blokkeren, tot de feedback en het oplossen van de false positive, dan kan je aansprakelijk worden gehouden voor de manier waarop iemand het gebruikt, waar jij geen zicht op hebt.' De Microsoft manager erkent dat ook met Smartscreen false positives voorkomen het belangrijk is om die snel op te lossen.

Firefox
Sinds enige tijd controleert Mozilla kwetsbare plugins in Firefox en waarschuwt het gebruikers. Daarbij richt de opensource ontwikkelaar zich meer op drive-by download aanvallen. Een andere opvatting dan Microsoft en Scarrow begrijpt waarom. 'Hun databron kwam van een zoekmachine die zich druk maakt om drive-by aanvallen. Als je de zoekmachine bent en je bent niet de eigenaar van het platform waarop het wordt bekeken, dan zijn drive-by aanvallen belangrijk.' Uiteindelijk zullen ook andere browsers het lek achter het toetsenbord aanpakken, merkt Scarrow op. 'En vanuit een Windows standpunt gezien is dat fantastisch.' Het gaat er namelijk om dat mensen op een veilige manier Windows kunnen gebruiken, ongeacht met welke browser ze surfen.

ActiveX
Toch kampt ook Internet Explorer met de nodige drive-by aanvallen, voornamelijk veroorzaakt via de ActiveX-technologie in de browser. 'Ze pakken de populairste plugins.' Om misbruik tegen te gaan is er in IE8 een maatregel ingevoerd die gebruikers waarschuwt als er een ActiveX control van een ander domein wordt geladen. In plaats van de URLs aan te pakken die ActiveX-lekken misbruiken, is het volgens Scarrow zinvoller om de kwetsbare controls te monitoren. 'Ongeveer een dozijn ActiveX controls is voor 70% van de lekken verantwoordelijk.' Aangezien Microsoft het platform beheerst kan dit. Google kan zich daarentegen alleen op URLs richten. Een lastige taak, gezien het aantal drive-by download URLs, zo merkt Scarrow op.

Het is volgens hem niet zo dat IE-gebruikers kwetsbaarder zijn voor social engineering aanvallen. 'Het maakt niet uit of je Firefox of IE gebruikt. Mensen denken over het algemeen dat ze een betere bestuurder zijn en het gebeurt continu.' En deel van de problematiek is dat de pers het niet interessant genoeg vindt. 'Het is niet zo leuk om over te schrijven. Mensen willen liever inhakken op Adobe of Microsoft. Het is leuker om over te schrijven dan over het lek achter het toetsenbord.'


Is uw computer veilig? Laat uw computer checken door DigiProfs!

Meer nieuws? Meld u aan voor de maandelijkse nieuwsbrief van DigiProfs.

Overzicht Security Monitor