Myndigheder og virksomheder overså slåfejl i phishing-øvelse fra CFCS

Nu må man antage at det er organisationer der har styr på at deres klienter er opdaterede.

Hvis browseren ikke er beskyttet mod et (zero-day) sikkerhedshul, så kan computeren overtages bare ved at følge et link, så det et successfuldt angreb!

Alle mails bør (læs: skal) være signeret f.eks. med PGP

Hvis de alene får vist siden men ikke interagerer med den mener jeg ikke det er et successfuldt angreb.

Jeg vil godt stille spørgsmål ved konklusionen om at de er gået i fælden alene fordi de har klikket på linket i mailen og dermed får vist hjemmesiden i en browser. Ideelt set burde medarbejderne selvfølgelig have spottet den allerede da de så mailen, men det er først i det tilfælde at man lokker nogen til at indtaste credentials eller andet på siden at man kan konkludere at de er gået i fælden. Hvis de alene får vist siden men ikke interagerer med den mener jeg ikke det er et successfuldt angreb.

den indeholdt et link, der henviste til en specifik ip-adresse og ikke et domænenavn

Vi kan ikke forvente, at folk uden for IT-branchen skal vide, at et link til en IP-adresse er mistænkeligt og vi behøver ikke at forvente det, når en firewall med URL Filtering kan håndtere det.

Den (den fingerede phishing-mail, red.) var afsendt fra en mailudbyder, der ikke var identisk med den organisation

Hvad nytter S/MIME, PGP, DKIM, DMARC og SPF hvis organisationen man forventer en email adresse fra, normalt sender fra john.doe@example.com, alt i mens phisihing emailen bliver sendt fra john.doe@example-group.com (eller john.doe@example.org for den sags skyld)?

Alle mails bør (læs: skal) være signeret f.eks. med PGP, så modtageren kan verificere afsender og indholdet (at det kommer fra afsenderen). Alt andet er amatøragtigt.

Mener du S/MIME? Her er jeg så uenig.

Jeg ved af erfaring at S/MIME er ikke triviel at sætte op. Jeg kunne få det til at virke, når jeg sendte mails fra min computer, men hvis jeg prøvede at sende mails fra mobiltelefonen eller tablet, så blev min signatur afvist.

DKIM derimod er mere enkel, fordi den er transparent for slutbrugeren.

Læg dertil at man via Author Domain Signing Practices kan fortælle omverdenen at "alle mails fra mit domæne er signeret med DKIM".

Når det hele bliver toppet af med DMARC, kan man udlede at hvis mailen er ikke signeret, så skal mailen smides ud.

Og så er det op til Google at tage ansvar, herunder at kontrollere validiteten af deres brugere - hvis man driver en mailserver, så skal man også have et vist ansvar.

Du kan ikke sende ubegræsnet antal mail fra gmail. Der er restiktioner.

Eller også så vil folk skifte til hotmail, fordi de tillader brugeren af modtage email fra alle.

Det vil også gøre deres tilværelse nemmere at hele spamhåndteringen gøres nemmere, plus det vil sænke trafikmængderne drastisk.

Problemet vil nok næppe være de store udbydere, men de mange firmaer og myndigheder med egne mailserver som hænger i dyndet - de ville så blive presset til at stramme op.

så hvis <a href="mailto:dumbruger@gmail.com">dumbruger@gmail.com</a&gt; sender dig spam, så vil du bare blokerer for gmail.com ?

Og så er det op til Google at tage ansvar, herunder at kontrollere validiteten af deres brugere - hvis man driver en mailserver, så skal man også have et vist ansvar.

Men hvis mailen kommer fra dumbruger@obskur.xxx, og denne ikke reagerer på anmeldelser, og dermed ikke lever op til sine forpligtelser, så kan man bede om at få domænet på en sortliste.

Jo, men løsningen skal være den rigtige i stedet for bare endnu et patch: <a href="https://xkcd.com/927/">https://xkcd.com/927/</a&gt;

Og en del af disse dårligdomme skyldes bla, at i starten så brugte man relaying, fordi nettet ikke kunne honorere kravene for end -to-end håndtering mellem to mailservere.

Men i dag er nettet blevet så godt, at vi sagtens kan forlade os på at der skal være tale om end-to-end transmissioner, og dermed burde vi genopfinde email med det som afsæt.

Selvfølgelig kan det laves om, og det er ovenikøbet ikke specielt svært - og hvis man laver det parallelt, således at man i en periode også kan modtage almindelig post, og de store som f.eks. Google efter et par år lukker for almindelig post, så vil det gå hurtigt.

Eller også så vil folk skifte til hotmail, fordi de tillader brugeren af modtage email fra alle.

og pludselig er man tilbage tilbge til email som det var i 1980, og det ville jo ikke have hjlupet noget, tværtimod

På den måde vil det altid kræve et fuldt kvalificeret domæne at sende og modtage post, men man ville undgå problematikken omkring reverse DNS, og hvis en postserver blev fanget i at sende spam og ondsindet mails, kunne den øjeblikkelig findes (og sortlistes).

så hvis dumbruger@gmail.com sender dig spam, så vil du bare blokerer for gmail.com ?

:-D Jeg er i princippet ligeglad - hm, nej det er jeg ikke,

Hvis nu du lige starter med af blive med dig selv, ville jeg kalde det en god start, og hvis du så derefter forlader papirkurven, så kan det være du er parat til af blive taget seriøs

Og på den måde kommer vi aldrig videre.

Jo, men løsningen skal være den rigtige i stedet for bare endnu et patch: https://xkcd.com/927/

Tanken er god, men den vil ikke fungere i en del situationer, hvorved den falder til jorden

Faktisk er det dybt bekymrende at man sidestiller de ting der i dag bruges på internettet med tyngdeloven, og siger at det kan ikke laves om (som når det offentlige laver en eller anden dybt tåbelig digitalisering, og ikke vil erkende det var en fejl).

Selvfølgelig kan det laves om, og det er ovenikøbet ikke specielt svært - og hvis man laver det parallelt, således at man i en periode også kan modtage almindelig post, og de store som f.eks. Google efter et par år lukker for almindelig post, så vil det gå hurtigt.

Hvis ikke der er en vilje, så er der ikke en vej, og så er vi dømt til i al evighed at svømme rundt i en suppedas der allerede nu er 30 år forældet.

Og selv om vi så havde en national dansk digital signatur, så vil der jo også være et behov for at modtage mails fra udlandet.

Helt enig, men alle usignerede mails, skal behandles som sådan - med en ildtang og alle URL'er må under ingen omstændigheder følges.

Skulle man lave om på det vil det være umådeligt svært for moster Gerda at sende et brev.

Moster Gerda skal selvfølgelig også kunne sende, men i denne situation vil hun aldrig sende noget, som er vigtigt, hvor en URL skal følges.

Jeg er helt på det rene med at kryptering og signering kan være rigtig godt, og bør bruges når det er påkrævet, på samme måde som man vil sende et anbefalet brev, men til udbredelse at almindelige ikke fortrolige informationer er det overkill, og det værste er at man risikere en Peter&Ulven effekt, hvor intet så vil blive taget alvorligt, eller man luller sig ind i en falsk sikkerhed.[quote]</p>
<p>Helt enig. Det er kun i denne situation, at sikkerheden skal strammes op.</p>
<p>[quote]de man (og det har jeg skrevet mange gange før, aner bare ikke hvordan man kan komme videre med det) ændre på hele postserver paradigmet, således at en postserver skulle være på et kvalificeret domæne, og al transport af post gik gennem et challenge-response system - jeg gentager lige:
...
Selvfølgelig kan dette ikke gøres fra dag til dag, og bør være parallelt i en overgangsperiode, men det er teknisk set meget lettere end at fedte med DKIM og DMARC, hvor man jo også på et tidspunkt bliver nødt til at trække en endelig streg i sandet hvis det rigtig skal virke.

Tanken er god, men den vil ikke fungere i en del situationer, hvorved den falder til jorden og DKIM &DMARC kan allerede implementeres i dag, med den eksisterende teknologi.

CFCS har besluttet, at en phishing-mail altid er forsynet med stavefjel, og det kun er hackere der ikke kan stafe.

Alle mails bør (læs: skal) være signeret f.eks. med PGP, så modtageren kan verificere afsender og indholdet (at det kommer fra afsenderen). Alt andet er amatøragtigt.

F.eks. har man her i landet jo besluttet at vi ikke skal have en ægte digital signatur, så allerede der er det op ad bakke.

Og selv om vi så havde en national dansk digital signatur, så vil der jo også være et behov for at modtage mails fra udlandet.

Hvis man sammenligner det med almindelig post, så dumper breve og postkort ukrypterede ned i den - det er så op til vores sunde fornuft at smide reklamer og uvedkommende bras i papirkurven. Skulle man lave om på det vil det være umådeligt svært for moster Gerda at sende et brev.

Jeg er helt på det rene med at kryptering og signering kan være rigtig godt, og bør bruges når det er påkrævet, på samme måde som man vil sende et anbefalet brev, men til udbredelse at almindelige ikke fortrolige informationer er det overkill, og det værste er at man risikere en Peter&Ulven effekt, hvor intet så vil blive taget alvorligt, eller man luller sig ind i en falsk sikkerhed.

Imo burde man (og det har jeg skrevet mange gange før, aner bare ikke hvordan man kan komme videre med det) ændre på hele postserver paradigmet, således at en postserver skulle være på et kvalificeret domæne, og al transport af post gik gennem et challenge-response system - jeg gentager lige:

Andrew har en postserver på domænet andrew.dk Christian har en postserver på domænet christian.dk

Jeg vil sende en mail til andrew, hvorfor jeg beder min postserver om at sende en mail til ar@andrew.dk.

Min postserver henveder sig så til (mail.)andrew.dk og fortæller at jeg cn@christian.dk har en mail til ar.

andrew.dk siger så til min postserver: OK, jeg vender tilbage.

andrew.dk laver så navneopslag, og kun hvis christian.dk er et validt domæne svarer den tilbage og spørger (mail.)christian.dk om hvorvidt der er en mail fra cn til an i kø.

Hvis (mail.)christian.dk så kan svare bekræftende på det, så beder (mail.)andrew.dk om at få posten.

På den måde vil det altid kræve et fuldt kvalificeret domæne at sende og modtage post, men man ville undgå problematikken omkring reverse DNS, og hvis en postserver blev fanget i at sende spam og ondsindet mails, kunne den øjeblikkelig findes (og sortlistes).

Selvfølgelig kan dette ikke gøres fra dag til dag, og bør være parallelt i en overgangsperiode, men det er teknisk set meget lettere end at fedte med DKIM og DMARC, hvor man jo også på et tidspunkt bliver nødt til at trække en endelig streg i sandet hvis det rigtig skal virke.

Men hvis vi for et øjebliket vender tilbage til virkeligheden, så må man bare indstille sig på af email ikke er krypteret, og det hjælper ikke af kalde folk for amatører, det eneste du får ud af det er jeg forstiller mig, du står i papirkurven og hopper af vrede, mens der står dampskyerererererer ud af ørene på dig.

:-D Jeg er i princippet ligeglad - hm, nej det er jeg ikke, men at stole på at hackere og andre laver stavefejl og andre fejl i phishing-mails er dybt amatør-agtigt - ja jeg bruger det ord igen, for det er så simpelt at beskytte sig i specielle situationer, som denne, hvor alle aktørerer er kendt.

Alle mails bør (læs: skal) være signeret f.eks. med PGP,

og der bør altid ligge sne på jorden 24. december ... og solen bør altid skinne på min fødselsdag

Men hvis vi for et øjebliket vender tilbage til virkeligheden, så må man bare indstille sig på af email ikke er krypteret, og det hjælper ikke af kalde folk for amatører, det eneste du får ud af det er jeg forstiller mig, du står i papirkurven og hopper af vrede, mens der står dampskyerererererer ud af ørene på dig.

Jeg fatter ikke at phishing mails overhovedet er et problem i denne sammenhæng. Alle mails bør (læs: skal) være signeret f.eks. med PGP, så modtageren kan verificere afsender og indholdet (at det kommer fra afsenderen). Alt andet er amatøragtigt.