Sinds een half uur worden vele spamberichten verzonden vanaf onze server. Op de server zelf zijn via het control panel (Plesk 7.5.4) de domeinen onbereikbaar geworden.

Dus dacht ik (simpel gedacht) de server uit te schakelen om zo het verzenden van Spam te stoppen.

Maar waar zit de uitknop? Of is er een betere (snelle) oplossing?

Kun je er met SSH nog wel bij dan?

Als je bent ingelogged kun je in ieder geval:

#>/etc/init.d/qmail stop

doen.

Mocht je willen dat ik er even naar kijk, laat het me dan maar weten.

Stop de mailserver en ga de logs bekijken. Daarna kun je bepalen welke vervolgstappen gewenst/vereist zijn. Mocht het stoppen van de mailserver niet voldoende zijn dan is het verstandig (tijdelijk) uitgaande verbindingen naar poort 25 te sluiten.

De hele server uitzetten kan ook (maar dan zijn ook de websites onbereikbaar).

Thanks! Ik stuur je een prive bericht.

Stop de mailserver en ga de logs bekijken. Daarna kun je bepalen welke vervolgstappen gewenst/vereist zijn. Mocht het stoppen van de mailserver niet voldoende zijn dan is het verstandig (tijdelijk) uitgaande verbindingen naar poort 25 te sluiten.

De hele server uitzetten kan ook (maar dan zijn ook de websites onbereikbaar).

Hoe zet je de server uit en aan? Het zijn wat prive websites en wat zakelijke die wel (eigen bedrijf) belangrijk zijn maar vanacht wel even uit kunnen om de Spammers te stoppen.

Althans voor even. Ik vermoed dat uiteindelijk meerdrastische maatregelen nodig zijn.

Hoe zet je de server uit en aan? Het zijn wat prive websites en wat zakelijke die wel (eigen bedrijf) belangrijk zijn maar vanacht wel even uit kunnen om de Spammers te stoppen.

Althans voor even. Ik vermoed dat uiteindelijk meerdrastische maatregelen nodig zijn.

Login in via ssh en zorg dat je root bent (of met sudo voldoende rechten hebt) en vervolgens voer je in: shutdown -h now

Login in via ssh en zorg dat je root bent (of met sudo voldoende rechten hebt) en vervolgens voer je in: shutdown -h now

Ik ben niet echt geweldig met SSH dingen. Dat kost me uren helaas........

...en vervolgens komt de server nooit meer terug, tenzij je er fysiek bij kan of in de bios staat ingesteld dat hij na powerdown automatisch weer aan gaat. ;-)

Als je nog kunt inloggen via SSH, laat het me dan weten, dan wil ik je wel een handje helpen.

...en vervolgens komt de server nooit meer terug, tenzij je er fysiek bij kan of in de bios staat ingesteld dat hij na powerdown automatisch weer aan gaat. ;-)

Als je nog kunt inloggen via SSH, laat het me dan weten, dan wil ik je wel een handje helpen.

Dan zou ik Putty weer eens moeten downloaden.....

Ik ben niet echt geweldig met SSH dingen. Dat kost me uren helaas........

Huur dan gewoon een beheerder in. Of is je huidige beheerder nu niet bereikbaar?
Het versturen van spam zal waarschijnlijk een direct gevolg zijn van slecht onderhoud (packages die niet up2date zijn of websites die lek zijn en users die niet geisoleerd draaien).

Huur dan gewoon een beheerder in. Of is je huidige beheerder nu niet bereikbaar?
Het versturen van spam zal waarschijnlijk een direct gevolg zijn van slecht onderhoud (packages die niet up2date zijn of websites die lek zijn en users die niet geisoleerd draaien).

Het betreft een dedicated server en de beheerder is inderdaad niet bereikbaar.

Om een of andere duistere reden kan ik geen PB's sturen.
Je kunt me eventueel even toevoegen op .... nevermind, al gefikst. ;)

Mm, je ontvangt mijn berichten niet?

Ben er nu wel in geslaagd via Plesk de email te deactiveren van het domein waarvan de Spam wordt verstuurd. Hopen maar dat het helpt...

Gefikst.

Er was een smtp-authenticated user wiens account blijkbaar gekaapt is. (Bruteforce, of iets anders...)
Wachtwoord van de user is gewijzigd, mailqueue is opgeschoond, kunnen we weer lekker rustig slapen. ;-)

RackWerk for President!

Thanks..

Plesk 7 is redelijk verouderd (8 jaar oud), waarschijnlijk je OS ook. Misschien een idee om dit allemaal te updaten. Ik vraag mij af of Plesk nog security updates uitbrengt voor Plesk 7.

Plesk 7 is redelijk verouderd (8 jaar oud), waarschijnlijk je OS ook. Misschien een idee om dit allemaal te updaten. Ik vraag mij af of Plesk nog security updates uitbrengt voor Plesk 7.

Das in elk geval besloten, we gaan updaten.

Dit komt vrij veel voor en kun je zelf vooraf weinig aan doen: klanten die hun password weggeven...

klanten die hun password weggeven...

Helaas zijn cliënten niet altijd zorgvuldig met de software die ze binnen halen of de links waar ze op klikken, waardoor ze verbaasd reageren als je hen er op wijst dat ze besmet zijn geraakt met viri, malware of spyware die hun inloggegevens naar een derde partij heeft doorgestuurd. Komt inderdaad geregeld voor!

Daar is zeker wel wat aan te doen. Met mod_geoip alle landen behalve Nederland blokkeren. En dan per user uitzonderingen toelaten. Ik heb ooit eens een wrapper geschreven voor proFTPd dus wellicht zou zoiets ook te implementeren zijn in de MTA. In Exim kun je prima Perl scripts gebruiken voor autorisatie. Bij DirectAdmin servers is dit zelfs de default.

Das in elk geval besloten, we gaan updaten.

Zou wel een goede zaak zijn om (snel) te upgraden naar nieuwere Plesk versie en zoals xaban ook al aangaf zal dit ook gelden voor de OS?

Plesk 7 is echt enorm EOL.
Volgens mij gaat Plesk 9 over een maandje ook al niet meer supported worden.

Het is overigens niet mogelijk om Plesk 7 nog 'ergens' naar toe te updaten. Plesk 11 (huidige versie) verwacht minimaal Plesk 9.5.4

Dit komt vrij veel voor en kun je zelf vooraf weinig aan doen: klanten die hun password weggeven...

Dat is niet gebeurd. Laat ik nou de enige zijn die toegang heeft tot dit domein dat spam begon te verzenden. Dat wachtwoord moet zijn gekraakt door een programma, zoiets.

Zou wel een goede zaak zijn om (snel) te upgraden naar nieuwere Plesk versie en zoals xaban ook al aangaf zal dit ook gelden voor de OS?

Gaan we doen. We zijn geen hoster trouwens. Gewoon een server voor de sites van ons bedrijf en wat privë sites van vrienden en bekenden. Draaide altijd als een zonnetje dus verder nooit gekeken naar versies en upgrades.

Zal eens een oproep doen in de betreffende rubriek hier.

Gaan we doen. We zijn geen hoster trouwens. Gewoon een server voor de sites van ons bedrijf en wat privë sites van vrienden en bekenden. Draaide altijd als een zonnetje dus verder nooit gekeken naar versies en upgrades.

Zal eens een oproep doen in de betreffende rubriek hier.

Ik zou eens je beheerder contacten! Die zal vast de nodige mogelijkheden voor je beschikbaar hebben.....

Dat is niet gebeurd. Laat ik nou de enige zijn die toegang heeft tot dit domein dat spam begon te verzenden. Dat wachtwoord moet zijn gekraakt door een programma, zoiets.

Gebruik je die account toevallig ook op je mobiel/laptop via hotspots, anders zou het wel eens een Man In The Middle attack geweest kunnen zijn. Want bruteforce attacks moet je toch al eerder kunnen opvangen met firewall of ze zouden het al na 10 keer geraden moeten hebben ofzo iets.

Dat wachtwoord moet zijn gekraakt door een programma, zoiets.

Dat zeggen ze nou altijd. 90% van de gevallen gewoon Windows gebruikt, 10% van de gevallen openbaar netwerk...

Dat zeggen ze nou altijd. 90% van de gevallen gewoon Windows gebruikt, 10% van de gevallen openbaar netwerk...

Windows gebruikt? Dat snap ik niet. Verder check ik ook email vanaf mijn mobiel en labtop. Nooit via hotspots of openbare netwerken, wel soms via wifi in hotels.

Dus of spammers bezoeken dezelfde hotels als ik of het wachtwoord was eenvoudig te raden (ingewikkeld was het in elk geval niet).

Windows gebruikt? Dat snap ik niet. Verder check ik ook email vanaf mijn mobiel en labtop. Nooit via hotspots of openbare netwerken, wel soms via wifi in hotels.

Wifi in hotels valt onder de noemer hotspots, je moet er vanuit gaan dat je geen enkele wifi access point mag betrouwen buiten je eigen beheerde dingen en dus best altijd via een vpn connectie maakt. Zo zijn er ook nog tal van tools en hardware beschikbaar die gewoon antwoorden op alle wifi request en zeggen dat ze dit netwerk zijn, als jij uit gebruiksgemak autoconnect hebt aanstaan connecteerd je device dus ook automatisch op deze access points en kunnen hackers ook je verbindingen onderscheppen.

Wifi in hotels valt onder de noemer hotspots, je moet er vanuit gaan dat je geen enkele wifi access point mag betrouwen buiten je eigen beheerde dingen en dus best altijd via een vpn connectie maakt. Zo zijn er ook nog tal van tools en hardware beschikbaar die gewoon antwoorden op alle wifi request en zeggen dat ze dit netwerk zijn, als jij uit gebruiksgemak autoconnect hebt aanstaan connecteerd je device dus ook automatisch op deze access points en kunnen hackers ook je verbindingen onderscheppen.

Ik twijfel toch wel een beetje aan al die 'hacker via wifi' verhalen qua risico profiel.
Ten eerste moet de vraag zijn 'meekijken met verkeer - so what ' . Oftewel, ook zonder VPN _zou_ verkeer al veilig moeten verlopen via SSL ,SSH/SFTP/SCP , IMAPS e.d. Dwz : zorg dat al je diensten/toegang een veilige methode bieden.
Dat moet gewoon _altijd_ zo gaan, zonder nadenken over 'zit ik misschien in of achter een hostile netwerk' .

Maar verder, wifi bekijken wil zeggen een persoon (of minimaal device) binnen pakweg een tiental meters .
_zo_ veel geïnteresseerde mensen zitten er echt niet continu op je hotel verdieping, in al die starbucks etc etc.
Mensen met enige technische kennis vinden is voldoende lastig dat ik niet zo hard geloof dat ze in elk hotel, starbucks en mcdonalds zomaar loslopen.
Natuurlijk _kan_ het, maar als kans op 'waar is het account geoogst' staat 'sniffer/man in the middle via publieke wifi' bij mij behoorlijk laag.

Als het account/password op de site simpel genoeg is en er geen anti-dictionary attack voorziening is lijkt dat me dat het meest voor de hand liggen;
Met dicht in de buurt een trojan op de laptop (eerder geïnstalleerd via een drive by download dan via 'mitm wifi' ) die gewoon alles aan accounts,passwords e.d. oogst .

TS doet er dan ook verstandig aan om z'n laptop (en feitelijk alle systemen vanaf waar de site wel eens benaderd is) heel grondig onder handen te nemen om het risico van een trojan verder uit te sluiten.

Eens met bovenstaande. Ik denk ook dat het overgrote deel gewoon word binnen gelepeld via een bruteforce/dictionary of een trojan.

Ik twijfel toch wel een beetje aan al die 'hacker via wifi' verhalen qua risico profiel.
Ten eerste moet de vraag zijn 'meekijken met verkeer - so what ' . Oftewel, ook zonder VPN _zou_ verkeer al veilig moeten verlopen via SSL ,SSH/SFTP/SCP , IMAPS e.d. Dwz : zorg dat al je diensten/toegang een veilige methode bieden.
Dat moet gewoon _altijd_ zo gaan, zonder nadenken over 'zit ik misschien in of achter een hostile netwerk' .

Maar verder, wifi bekijken wil zeggen een persoon (of minimaal device) binnen pakweg een tiental meters .
_zo_ veel geïnteresseerde mensen zitten er echt niet continu op je hotel verdieping, in al die starbucks etc etc.
Mensen met enige technische kennis vinden is voldoende lastig dat ik niet zo hard geloof dat ze in elk hotel, starbucks en mcdonalds zomaar loslopen.
Natuurlijk _kan_ het, maar als kans op 'waar is het account geoogst' staat 'sniffer/man in the middle via publieke wifi' bij mij behoorlijk laag.

Ik kan je uit ervaring vertellen dat als ik die methode in de zomer toepas ik duizenden devices per dag (week: afhankelijk van de toeristen) zie passeren in de log files, van iphones, ipads, ..., android tot blackberry waar 80% gewoon verbinding probeert te maken over een onbeveiligde imap of pop3. En ja dan moet je toevallig maar even passeren lang iemand die hier slechte bedoelingen mee heeft. En die pakweg binnen tiental meters klopt ook niet echt, ik heb bijvoorbeeld sterker signaal 3 winkels verder dan de access point in die winkel zelf, niet iedereen heeft maar een 3dbi of 5dbi antenne ;).

@The-BosS denk je echt dat er elke dag duizenden mensen jouw WiFi passeren? Dan zouden al die mensen handmatig jouw WiFi moeten aanvinken. En ja, of dat zin heeft voor die 10 seconden dat je langs het 'singnaal loopt'? Denk niet dat mensen voor 10 seconden een WiFi verbinding gaan opzetten.

@The-BosS denk je echt dat er elke dag duizenden mensen jouw WiFi passeren?
Moet je eens voor de lol in de trein je sniffer aanzetten... het zal je verbazen wat je allemaal tegenkomt.

Ik kan je uit ervaring vertellen dat als ik die methode in de zomer toepas ik duizenden devices per dag (week: afhankelijk van de toeristen) zie passeren in de log files, van iphones, ipads, ..., android tot blackberry waar 80% gewoon verbinding probeert te maken over een onbeveiligde imap of pop3. En ja dan moet je toevallig maar even passeren lang iemand die hier slechte bedoelingen mee heeft. En die pakweg binnen tiental meters klopt ook niet echt, ik heb bijvoorbeeld sterker signaal 3 winkels verder dan de access point in die winkel zelf, niet iedereen heeft maar een 3dbi of 5dbi antenne ;).

tiental of honderdtal meters, wat is het verschil. Wifi sniffende nerds zijn zeldzaam, trojans en login probers zijn dat niet.

Het is gewoon niet de grootste bron van hacks/password verliezen, ook al is het voor techneuten misschien een simpele, of fraaie, of spannende bron, of de manier die _zij_ zouden kiezen. In de fysieke wereld is lockpicking ook niet de methode van de meeste inbraken.
En in volgorde van rendement / risico raad ik TS dus _eerst_ aan om dictionary attacks op de site (lockout en lang/lastig password) en eventuele bots/trojans op de client PC(s) aan te pakken.
Het aanpassen wifi gedrag / risico (vpn, encrypted protocollen) is prima, vooral óók doen, maar eerst zorgen dat de endpoints (site en client PCs) [weer] vertrouwd kunnen worden.

Lijkt me toch sterk. Mijn nieuwe labtop is slechts twee maanden oud en tot nu toe slechts gebruikt in een hotel te Tunesië (dat dan weer wel :-).

En voorzien van firewall, virus scanners etc. Kan natuurlijk maar het lijkt me sterk dat er nu al een trojan in zit. De telefoon (alleen voor email gebruikt) is iets meer dan een half jaar oud.

Die Spam attack blijft bizar. Misschien toch het wachtwoord te simpel? Moet er toch iets op het internet rondwaren dat op zoek is naar zwakke wachtwoorden of zo....

Toevallig het wachtwoord op andere locaties gebruikt (eventueel icm je email adres, dat hoeft niet eens)? En ja er zijn constant systemen aan het scannen om binnen te komen en te gaan spammen.

Wifi sniffende nerds zijn zeldzaam

Je moet meer out of the box denken. Het gaat er om dat besmette Windows en Android systemen die op dat netwerk aanwezig zijn, continu staan te sniffen. Omdat de meeste access providers de smtp poort tegenwoordig dicht hebben staan kunnen die niet meer direct rechtstreeks spam versturen. Daarom dat de criminelen het password op een server nodig hebben om via die omweg spam te kunnen versturen.

Dat kan dus in de straat gebeuren, in de trein, in het hotel in Tunesië. Maar ook op het werk, waar misschien de PC in de postkamer staat te sniffen...

Klanten of gebruikers van je server die geen SSL gebruiken met het inloggen op de email accounts geven op die manier het wachtwoord weg.

Je moet meer out of the box denken. Het gaat er om dat besmette Windows en Android systemen die op dat netwerk aanwezig zijn, continu staan te sniffen. Omdat de meeste access providers de smtp poort tegenwoordig dicht hebben staan kunnen die niet meer direct rechtstreeks spam versturen. Daarom dat de criminelen het password op een server nodig hebben om via die omweg spam te kunnen versturen.

Dat kan dus in de straat gebeuren, in de trein, in het hotel in Tunesië. Maar ook op het werk, waar misschien de PC in de postkamer staat te sniffen...

Klanten of gebruikers van je server die geen SSL gebruiken met het inloggen op de email accounts geven op die manier het wachtwoord weg.

Heb je data _dat_ dit *gebruikelijk* is (trojaned devices die wifi sniffen), niet slechts dat het _mogelijk_ is ?

Met een klein google rondje vind ik wel genoeg trojan beschrijvingen met keyboard logging/password oogstende payload, maar weinig meer dan theorie ('het zou kunnen') voor wifi sniffende payload.

Met dingen zoals airsnarf kun je al ver komen door even een wireless hotspot met de index page van je hotel te lanceren. Kun je gewoon met in de lobby gaan zitten.
Maar landen waar 'IT beheerders' in 5 sterren hotels nog steeds maar een paar dollar/euro verdienen zijn ook al snel geneigd om voor een paar centen een tcpdump te verkopen, hoor ;)

@The-BosS denk je echt dat er elke dag duizenden mensen jouw WiFi passeren? Dan zouden al die mensen handmatig jouw WiFi moeten aanvinken. En ja, of dat zin heeft voor die 10 seconden dat je langs het 'singnaal loopt'? Denk niet dat mensen voor 10 seconden een WiFi verbinding gaan opzetten.

Wie zegt dat die personen mijn wifi moeten aanklikken, blijkbaar ken je het concept niet van deauth attacks samen met jasager en karma. Om het even simpel uit te leggen, iedereen zet in zijn device auto login aan op zijn wifi/ap uit gebruiksgemak. De attack vector in deze is dat de hacker/payload eerst een deauth attack uitvoert op de devices binnen zijn range (als dit al nodig zou zijn). Hierdoor wordt het target device dus van een bestaand punt gesmeten en maakt het terug connectie met het meest gebruikte/eerste in zijn lijst, meestal is dat dus zijn eigen wifi/ap. Nu is het zo dat jasager/karma gewoon op alle auth request JA antwoord in de zin van ik ben die AP je krijgt toegang (ongeacht of die WPA/WEP/... gebruikt), en wat doet een smartphone/laptop/ipad/... als die ziet dat er wifi verbinding is. Juist ja proberen e-mails en andere zaken binnen te halen, voila Man In The Middle attack zonder dat je er iets moet voor doen. En in die paar seconden dat ze passeren kun je nog eens automatisch payloads naar hun devices sturen.

En wat betreft die duizenden is zeker geen zever, vraag maar even aan bvb Kris (IT-worX) waar ik woon en dan snap je het wel. Drukke winkelstraat op 50 meter van het strand, met een hotel op de hoek, meerdere restaurants, cafe's, tea-rooms en dan nog vlak onder me een groot warenhuis. Bevolking buiten het seizoen 10.000 inwoners, in het seizoen 85.000 ;). En met mijn antenne heb ik bereik over de volledige blok, zoals ik dus al eerder zei heb ik betere ontvangst bij de bakker dan dan de bakker met zijn eigen linksys heeft. Ga maar eens na hoeveel mensen om brood/taartjes/... gaan of komen winkelen vlak onder me.

Even voor de duidelijk, als ik dit doe dan is het als proof of concept en dus niet met slechte bedoelingen, ik heb trouwens ook meerdere hotspot en daar zie ik zelf meer dan 90% van de mensen gewoon onbeveiligd surfen, e-mailen, ....

Tis dan ook geen huis/tuin/keuken antennetje dat je daar staan hebt ook hé :) Maar inderdaad, je woont in een immens drukke buurt zeker in de vakantieperiodes als iedereen "een weekendje naar zee" gaat!

Ook ik heb bij diverse mensen een Meraki geinstalleerd met zowel een privaat SSID, een trusted SSID en een public SSID. Telkens andere netwerksettings (firewall, ...) en maxima snelheden. En ook hier zie ik dagelijks mensen onbeveiligd inloggen :)

Oja : Private SSID = voor de bewoners van het huis/appartement, trusted SSID = WPA2 pass voor als vrienden op bezoek komen, public SSID = een 5mbit down/1mbit up verbindingetje voor passanten :)

Bij mij thuis zie ik bvb voor de maand januari de volgende cijfers:
Trusted : 29 aanmeldingen - 4.2GB down, 872MB up
Public : 1820 aanmeldingen - 22GB down, 1.44GB up

Vandaag was er carnaval in Merelbeke en de stoet staat te wachten voor mijn deur op het vertreksein (zowel de reclamestoet als de carnavalstoet zelf). Meer dan 400 aanmeldingen reeds vandaag!

De meeste die het public netwerk gebruiken, zijn mensen die in het bushokje staan te wachten (vrij druk bushokje) waar ze volop bereik hebben. Ik zie dan ook vooral smartphones aangemeld en af en toe eens een iPod of tabet. Aan de andere kant van mijn appartement (staat ook een hotspot) is er een kleine publieke parking voor een 20-tal auto's (carpooling projecten etc), dus daar zullen er ook wel connecties zijn.

Met dingen zoals airsnarf kun je al ver komen door even een wireless hotspot met de index page van je hotel te lanceren. Kun je gewoon met in de lobby gaan zitten.
Maar landen waar 'IT beheerders' in 5 sterren hotels nog steeds maar een paar dollar/euro verdienen zijn ook al snel geneigd om voor een paar centen een tcpdump te verkopen, hoor ;)

De keren dat ik in een hotel wifi gebruikte was ik al erg blij geweest als daar een beheerder had _gezeten_, laat staan één die voldoende capabel was om tcpdump te kennen.

De keren dat ik in een hotel wifi gebruikte was ik al erg blij geweest als daar een beheerder had _gezeten_, laat staan één die voldoende capabel was om tcpdump te kennen.

En dat is nu juist het probleem... want er is altijd wel iemand die het 'regelt' maar er is vaak niemand die er veranwoordelijk voor is of er naar omkijkt :)

Verleden jaar nog een hotel gehad waar alle Wifi routers voorzien waren van "alternatieve" software. Connecteerden met een ip in Oekraïne. De gasten hadden klachten over slechtere ontvangst in één deel van het hotel. Die bepaalde router was fout gelopen na de "update". Ergste was dat de leverancier van het netwerk niks kon vinden. Die vond zelfs dat de kreupele router goed werkte. Vermoedelijk dus alleen de ontvangst sterkte bekeken en dan niet doorgehad dat hij aanlogde op een andere router. Maar er is een historie van klachten over ontvangst en de leverancier is 't blijkbaar een beetje beu geworden.

Hoe lang dit geduurd heeft, weet ik niet. Geen RTC in de router en zeker al enkele keren stroomuitval geweest, dus logs ook weg.

En het gat in die routers is er nog steeds, want de fabrikant maakt geen firmware updates meer.

Wat mij verbaasd aan dit verhaal, is dat de websites plat gingen door de spamvloed. Trok die spamrun de volledige verbinding dicht waardoor de sites plat leken te zijn, of .. ?

Waar staat dat de websites down gingen? ;)

Daar is zeker wel wat aan te doen. Met mod_geoip alle landen behalve Nederland blokkeren. En dan per user uitzonderingen toelaten. Ik heb ooit eens een wrapper geschreven voor proFTPd dus wellicht zou zoiets ook te implementeren zijn in de MTA. In Exim kun je prima Perl scripts gebruiken voor autorisatie. Bij DirectAdmin servers is dit zelfs de default.

Dat vind ik een wat vreemde oplossing. Ten eerste ga je er dan van uit dat je enkel aan Nederlanders verkoopt, en ten tweede ga je er van uit dat Nederlanders nooit vanuit het buitenland inloggen.

Het is gewoon niet de grootste bron van hacks/password verliezen, ook al is het voor techneuten misschien een simpele, of fraaie, of spannende bron, of de manier die _zij_ zouden kiezen. In de fysieke wereld is lockpicking ook niet de methode van de meeste inbraken.

Dus doe jij maar een goedkoop slotje op je voordeur? Vreemde redenatie.

Ten eerste denk ik dat je grof onderschat hoeveel wifi sniffing en soortgelijke spionage voorkomt (zeker als je veel IT bijeenkomsten bezoekt, maar ook in het algemeen). Ten tweede; ook al is het niet de voornaamste manier van hacken.. dat is toch absoluut geen reden om er geen rekening mee te houden?

Dus doe jij maar een goedkoop slotje op je voordeur? Vreemde redenatie.



Is de meeste aandacht/investering richten op het grootste probleem nou een raar concept ?

Het grootste probleem qua inbraak risico is voor een normaal huis gewoon _niet_ de meester-lockpicker.
(Wel de koevoet, bahco op de cilinder, of uitboren). Hoe spannend (en makkelijk) picken er ook uit ziet in de film.

Gewoonlijk werk je zonder onbeperkt budget, en accepteer je ergens een resterend risico, en dan is een pick-proof cilinder in een deur zonder secustrips een heel domme keuze. Heb je genoeg geld en tijd om _alles_ perfect te doen, geweldig, leef je uit.

Of in server termen, eerst een dubbele harddisk , dubbele voeding, en de vraag hoe een (elk) DC ligt t.o.v. NAP komt pas een heel eind later.



Ten eerste denk ik dat je grof onderschat hoeveel wifi sniffing en soortgelijke spionage voorkomt (zeker als je veel IT bijeenkomsten bezoekt, maar ook in het algemeen). Ten tweede; ook al is het niet de voornaamste manier van hacken.. dat is toch absoluut geen reden om er geen rekening mee te houden?

Ik heb volgens mij de TS duidelijk genoeg aangeraden wat (volgens mij) zijn prioriteit zou moeten zijn :
Eerst de endpoints .

Als TS aanneemt dat het password verlies "vast wel vanwege wifi sniffen komt", omdat iedereen roeptoetert dat dat zo vaak gebeurt, dan is het password veranderen genoeg om dit probleem op te lossen. (en daarna het wifi verhaal oplossen)
En dan zou TS potentieel door blijven werken op een trojaned PC, of op een trojaned server.

Met een beetje pech qua aanwezige gegevens/accounts zou dat hem ECHT in de problemen kunnen brengen, veel zwaarder dan een password verlies waarmee een spamrunnetje gedaan kon worden.

Het is zeker goed om _ook_ te zorgen dat je geen risico loopt als mensen het netwerk verkeer tussen jou en je server sniffen , en dat heb ik ook geschreven.
Maar de eerste uitzoek/verbeterpunten moeten m.i. liggen op de plek waar het het vaakste misgaat, zolang je geen idee hebt waar het in jouw specifieke geval misgegaan is of waarom je een afwijkend risicoprofiel zou hebben.
En als je die meest waarschijnlijke probleempunten zou overslaan of een te lage prioriteit geven omdat je je aandacht onterecht richt op minder waarschijnlijke zaken is dat niet goed.

Voor wat betreft mijn natte vinger schatting van de relatieve frequentie van password verlies door dictionary botjes en trojans die oogsten op de pc versus wifi sniffing , van de eerste twee kun je massaal voorbeelden vinden _dat het ook zo gebeurt_.
Van de laatste hoofdzakelijk "het zou kunnen" en "als ik onethisch was zou ik het zo doen en dat zou werken".
_Dat_ het kan weet ik ook wel, en trek ik niet in twijfel. Voor de stelling dat het vaak en massaal gebeurt wil ik meer horen dan "ik zou het kunnen doen" .
(Rondlopen op een hacker beurs en dan gesniffed worden zijn geen ondersteuning voor een stelling dat sniffen _vaak_ gebeurt. CEO's van de fortune 500 hebben ook een bijzonder risico profiel.)

Dus nogmaals mijn advies voor TS : Ja, wees je óók bewust van de mogelijkheid van sniffers op een wifi (of tussenliggend) netwerk.
Gaan passwords daar plaintext overheen, los dat op.
Maar richt je eerst en vooral op je server en client(s) als risico factor.

Is de meeste aandacht/investering richten op het grootste probleem nou een raar concept ?

Nee, maar het gebruik van een VPN kost zeer weinig geld en tijd. Je kan dan wel een lang betoog houden over het idee dat het een laag risico is, maar het potentiele probleem is zo makkelijk op te lossen dat er geen enkele aanleiding is om er nog langer over na te denken. Jouw voorbeeld over lockpicking waar het grootste deel van je tijd en budget naar een pick-proof cilinder gaat, is wat dat betreft geen goede vergelijking.

Ik zie in mijn logfiles doorgaans geen brute force attacks op de SMTP accounts die misbruikt worden voor het versturen van spam. Eerste contact meteen ingelogd... Ze sniffen echt wel ergens het password, dat kan zowel op de client als op het netwerk gebeuren. Zelf heb ik van dichtbij meegemaakt dat het op het netwerk werd gesnifd, maar het merendeel zal inderdaad gewone Windows gebruikers betreffen.

Nee, maar het gebruik van een VPN kost zeer weinig geld en tijd. Je kan dan wel een lang betoog houden over het idee dat het een laag risico is, maar het potentiele probleem is zo makkelijk op te lossen dat er geen enkele aanleiding is om er nog langer over na te denken. Jouw voorbeeld over lockpicking waar het grootste deel van je tijd en budget naar een pick-proof cilinder gaat, is wat dat betreft geen goede vergelijking.

Aan analogie is nooit perfect, en inderdaad is zorgen dat er geen plaintext accounts over het netwerk gaan (wifi of niet) gelukkig wel goedkoop en redelijk eenvoudig.
Wel relevant in de analogie is dat focussen op één mogelijk lek en andere (veel voorkomende) lekken niet aanpakken niet handig is.
En dat ontbrak in de aanbevelingen van de 'het zal wel wifi geweest zijn want dat zou ik makkelijk kunnen' posters.