woordenboek met het begrip malware

Weet u wat al deze security begrippen betekenen?

Met de komst van allerlei nieuwe technieken, bedreigingen en nieuwe wetgeving zijn er ook een hoop nieuwe begrippen en afkortingen geïntroduceerd. Te pas en te onpas worden deze door de media, verkopers, politici en allerlei experts gebruikt.

Ik heb hieronder een lijst opgesteld van begrippen en hun betekenis die ik met enige regelmaat tegen kom of gebruik. Mocht er nog iets ontbreken of een verklaring onduidelijk zijn, dan horen we dat graag zodat we dit overzicht kunnen verbeteren.

ACL (Access Control List)

De toegangscontrolelijst is een lijst waarop de toegangsrechten worden bijgehouden. Dit kan in de context van een firewall een lijst van IP adressen of poorten zijn, maar ook bijvoorbeeld de toegang tot een fysieke ruimte of de toegang tot een bestand.

AVG

Algemene Verordening Gegevensbescherming. De nieuwe Europese Privacy wetgeving die per 25 mei 2018 van toepassing zal zijn en verder gaat dan de huidige WbP.

Attack vector

Een aanvalsvector is de methode die een hacker gebruikt of kan gebruiken bij een aanval.

Autoriteit PersoonsgegevensAutoriteit Persoonsgegevens Logo

De toezichthouder op de WbP (en straks AVG) in Nederland. (Website Autoriteit Persoonsgegevens)

Back-up

Een back-up, ook wel reservekopie genoemd, is een kopie van gegevens die gebruikt kan worden voor het herstellen van de gegevens als deze verloren of beschadigd zijn geraakt.

“Gegevens” kan in deze context uitgelegd worden als losse bestanden, maar ook als een volledige back-up waarin naast de gegevens ook de bijbehorende programmabestanden zijn opgenomen.

Er zijn verschillende manieren een back-up te maken, die allemaal voor- én nadelen hebben. Om te bepalen welke techniek en methode voor u geschikt is worden begrippen RPO en RTO gebruikt.

Belangrijk is dat u er voor zorgt dat uw back-up ook offsite en offline is en dat het terug zetten van gegevens uit de back-up regelmatig getest wordt. Het is erg pijnlijk om er pas op het moment dat u de back-up nodig heeft, achter te komen dat u maanden of zelfs jaren aan onbruikbare back-up’s hebt gemaakt.

Bitcoin

Bitcoin Logo

Een digitale valuta die alleen in elektronische vorm bestaat en niet gekoppeld is met (of onder toezichtstaat van) een land. De Bitcoin is erg geliefd bij criminelen omdat het erg moeilijk is om de eigenaar te traceren. Bij ransomware wordt dan ook vaak gevraagd het losgeld in Bitcoins (BTC/XBT) te betalen.

Blacklist

Een zwarte lijst is een (vaak) openbaar register waarin ongewenste items worden opgenomen.

In het geval van Spam zijn dat bijvoorbeeld IP adressen, e-mailadressen of domeinnamen die gebruikt worden door spammers.

In UTM oplossingen worden ook lijsten bijgehouden met websites waarop ongewenste inhoud staat.

Botnet

Een verzameling computers of andere apparaten die geïnfecteerd zijn met malware en met behulp van die malware opdrachten uitvoeren. Hierbij gaat het meestal om het illegaal versturen van spam of meewerken aan een DDOS aanval. De eigenaar of gebruiker van de computer heeft in de meeste gevallen niet door dat zijn apparaat op de achtergrond bezig is de hackers of criminelen te helpen.

Brute force attack

Een methode waarbij het juiste wachtwoord of beveiligingssleutel gezocht wordt door met hoge snelheid alle mogelijke combinaties te proberen. Het langer en complexer de te vinden sleutel is, des te langer duurt het zoeken. Door de toename van rekenkracht kunnen brute force aanvallen steeds sneller uitgevoerd worden en moeten sleutels (wachtwoorden) steeds langer en/of complexer worden.

Buffer overflow

Het misbruiken van een bepaald type bug waarbij het in sommige gevallen mogelijk is om eigen programmacode door het systeem te laten uitvoeren. Dit kan door hackers gebruikt worden om toegang te krijgen tot een systeem of om het systeem te saboteren (DOS).

Bug

Een fout in een systeem. Bug is Engels voor insect. In de begindagen van de computer, toen computers nog hele gymzalen vulden, waren bugs echte insecten die kortsluiting of andere problemen veroorzaakten. Tegenwoordig gaat het om programmeerfouten in systemen.

CCA Record

Een CAA record is een DNS record dat gebruikt kan worden om aan te geven welke CA’s certificaten mogen uitgeven voor de desbetreffende domeinnaam. Het CAA record werd al in 2013 een erkende standaard. Ondanks dat het vaak wordt gebruikt, was het niet verplicht. Per september 2017 is het voor Certificaat uitgevers verplicht het CAA-record van een domeinnaam te controleren, als onderdeel van de uitgifte van een certificaat. Het is voor domeineigenaar niet verplicht het record te vullen.

Cross-site scripting

Een manier om kwaadaardige code in een website te injecteren.

DKIM

DomainKeys Identified Mail is een techniek waarmee de authenticiteit van een e-mail bewezen kan worden. Spamfilters zien bijvoorbeeld bij het versturen van een nieuwsbrief via een service zoals bijvoorbeeld MailChimp of MailPlus een geldige DKIM sleutel als positief, en daarmee wordt de kans groter dat een dergelijke e-mail door het spamfilter doorgelaten wordt. Vooral bij nieuwsbrieven kan dit helpen om te voorkomen dat een e-mail onterecht als spam wordt gezien.

DMZ (Demilitarized Zone)

Een afgescheiden deel van een netwerk waarin systemen worden geplaatst die vanuit internet benaderd kunnen worden maar geen of beperkte toegang tot het interne netwerk nodig hebben. Hierdoor wordt de kans verkleint dat een hacker, die toegang heeft verkregen tot een systeem binnen de DMZ, ook toegang krijgt tot de rest van het netwerk.

DOS

Een Denial-Of-Service aanval is een aanval op een (computer) systeem waarbij het doel is om de beschikbaarheid van het systeem te verstoren. Dat kan door bekende fouten in het systeem te misbruiken of door het systeem (ongeldige) aanvragen toe te sturen waardoor het systeem overbelast raakt.

DDOS

Een Distributed Denial-Of-Service aanval is de grote broer van de DOS. In de meeste gevallen wordt een Botnet gebruikt om de aanval grootschaliger te kunnen uitvoeren. Dit maakt het erg moeilijk om via firewalls het aanvalsverkeer te filteren, waardoor de impact van de aanval vaak groter is.

DPO

Data Protection Officer, of in het Nederlanders ook wel Functionaris Gegevensbescherming (FG). Deze persoon houdt zich bezig met de naleving van de privacy wetgeving in een bedrijf of instelling. Met de komst van de AVG is een benoeming van deze functionaris vanaf 25 mei 2018 verplicht in diverse situaties.

Drive-by-download

Het onbedoeld of ongemerkt automatisch installeren van software bij het bezoeken van een website. Hierbij kan het om legitieme plugins gaan zoals ActiveX of Java componenten. Hackers maken hier echter ook gebruik van, en daarbij gebruiken ze niet alleen de hiervoor bedoelde functies van de webbrowsers maar gebruiken vaak ook nog bekende bugs in de browsers. Vaak wordt er software geïnstalleerd die gebruikt kan worden voor MITM aanvallen.

Firewall

Een oplossing die netwerkverkeer tussen verschillende netwerken selectief door laat op basis van een set regels (policies). In deze regels wordt op basis van IP adressen, protocol en poort bepaald of het netwerkverkeer door mag gaan. Vaak bieden deze oplossingen ook VPN en NAT mogelijkheden

Hacker

Een inbreker/crimineel die zijn doel bereikt door gebruik te maken van zwakheden in computersystemen.

Heartbleed:

Een kwetsbaarheid in de veel gebruikte SSL implementatie OpenSSL. Door deze bug was het mogelijk om de sleutel uit het geheugen van een computer te lezen. Het heeft enkele maanden geduurd voordat er een update beschikbaar was om het probleem op te lossen.

Hoax

Een (e-mail)bericht met daarin een nep waarschuwing, of nep nieuws met een aanmoediging om het bericht door te sturen naar zoveel mogelijk andere mensen.

Honeypot

Om de activiteit en methodes van hackers te analyseren of hun aandacht af te leiden worden er soms extra systemen opgezet. Deze noemt men honeypots.

Hotfix

Een software-update waarmee een specifiek en/of acuut probleem in een applicatie of besturingssysteem opgelost wordt. Een hotfix is vaak nog niet volledig getest en kan in sommige situaties problemen opleveren.

IPv4

Internet Protocol versie 4. De vierde versie van het internet protocol uit 1981, maar de eerste versie die grootschalig gebruikt is (en nog steeds gebruikt wordt). IPv4 wordt zowel toegepast op het internet als op interne netwerken van bedrijven en particulieren. Een IPv4 adres is een 32bits nummer waardoor er in theorie maximaal 4.294.967.296 adressen mogelijk. Dat leek in 1981 ruim voldoende, echter is ondertussen duidelijk dat dit te weinig is om alle apparaten die we op het internet willen aansluiten een uniek adres te geven. Door middel van NAT hebben de behoefte aan unieke adressen kunnen beperken. Als definitieve oplossing is IPv6 ontwikkeld. Een IPv4 adres wordt geschreven in 4 octetten, bijvoorbeeld 192.168.1.1

IPv6

Internet Protocol versie 6. De opvolger van IPv4 die gebaseerd is op een 128bits nummer. Hierdoor zijn er ongeveer 3,4 x 1038 adressen mogelijk. Dat is 600 Biljard per vierkante millimeter aardoppervlakte. Een IPv6 adres wordt geschreven als 8 sets van 4 hexadecimale cijfers, bijvoorbeeld: 2001:0db8:85a3:08d3:1319:8a2e:0370:7344. Naast meer adressen zitter er in IPv6 nog aan aantal verbeteringen zoals ingebouwde versleutelingsmogelijkheden en automatische configuratie.

Malvertising

Malware via advertising. Het verspreiden van malware via drive-by download vanuit advertenties op legitieme, vertrouwde, websites.

Malware

Een programma dat geschreven is om computersystemen te infecteren en deze vervolgens te misbruiken voor niet gewenste taken zoals het versturen van spam, een MITM-aanval of een DDOS.

MITB

Een Man-in-the-browser-aanval is een techniek waarbij een hacker malware in de browser laat nestelen. Hierdoor is het soms zelfs mogelijk om heimelijk authenticatiegegevens en transactiegegevens af te vangen of aan te passen voordat deze versleuteld worden.

MITM

Een Man-in-the-middle aanval is een techniek waarbij een hacker zich als tussenpersoon in een verbinding tussen een gebruiker (slachtoffer) en een dienst (server) plaatst. De hacker kan in dat geval berichten tussen de gebruiker en de dienst (bijvoorbeeld internetbankieren) mee lezen en in sommige gevallen zelfs aanpassen. Zo kan het dan voor komen dat u transacties autoriseert die iets heel anders bewerkstelligen dan wat u zelf wilde (zo kan bijvoorbeeld het rekeningnummer van een transactie aangepast worden).

NAT

Network-Address-Translation is een techniek waarmee het mogelijk is om netwerken te verbergen achter 1 enkel IP adres. NAT is rond 1994 ontwikkeld om het tekort aan IP adressen op te lossen. Dit is breed toegepast in de IPv4 wereld en wordt door nagenoeg iedereen thuis en op kantoor gebruikt. Door NAT is het interne netwerk van buiten niet bereikbaar, tenzij daarvoor extra specifieke instellingen gedaan worden op de firewall. Met IPv6 is NAT niet meer nodig vanuit het oogpunt van besparing op het aantal IP adressen. Wel mis je dan een stuk ‘standaard’ beveiliging, wat vervolgens in de firewall opgelost moet worden.

Offline

Niet aangesloten op het netwerk of internet. Bij gebruik van deze term in het kader van een back-up, gaat het om een kopie die volledig losgekoppeld is van het netwerk en de stroomvoorziening. Het doel van deze back-up is om in het geval een een grote calamiteit, zoals bijvoorbeeld een brand, spanningspiek, blikseminslag of hack terug te kunnen vallen op deze kopie.

Offsite

Deze term wordt in het kader van een back-up gebruikt om aan te geven dat een back-up naar een andere locatie gemaakt wordt. Dat kan een tweede vestiging van het bedrijf zijn, maar ook een (Cloud)-provider kan faciliteiten hiervoor beschikbaar stellen.

Oplossing

Enkele jaren geleden werd functionaliteit vooral via fysieke apparaten toegevoegd aan netwerken. Deze fysieke apparaten worden ook wel appliances genoemd, waarbij de software op specifiek geoptimaliseerd hardware draait. Steeds vaker kan er ook voor een softwarematige oplossing gekozen worden waarbij de voordelen van bijvoorbeeld virtualisatie gebruikt kunnen worden. Bij de software oplossing vervalt echter de geoptimaliseerde hardware, wat ook weer nadelen kan hebben.

Phishing

Social engineering is methode waarbij wordt geprobeerd om gebruikers door middel van elektronische berichten (vaak e-mail) te verleiden om persoonlijke en/of vertrouwelijke informatie prijs te geven.

Ransomware

Een programma dat geschreven is om zich te verspreiden (zoals een virus) en als taak heeft om gegevens te gijzelen door middel van encryptie. Ransomware wordt vaak via een trojan binnen gebracht en er wordt losgeld (veelal in Bitcoins) gevraagd om weer toegang tot de gegevens te krijgen. Een goede, betrouwbare, offsite/offline back-up is vaak de enige route om aan de betaling van losgeld te ontkomen.

RPO

Het Recovery Point Objective is het beoogde herstelpunt dat door een back-up oplossing geboden wordt. Met het RPO wordt het tijdsbestek uitgedrukt waarvan u mutaties van uw data verliest als u hersteld op basis van de laatste back-up. Vaak lopen dagelijkse back-ups in de nacht en is de RPO maximaal 24 uur (terug naar gisteravond 23:00).

RTO

Het Recovery Time Objective is de beoogde herstelduur dat door een back-up oplossing geboden wordt. Met de RTO wordt bedoeld binnen welke tijdsbestek (dus hoe snel) de data uit de back-up teruggezet kan worden.

Afhankelijk van de gekozen methode kan het herstellen van een back-up soms binnen minuten geregeld zijn. Echter met de exponentieel groeiende hoeveelheid gegevens die er opgeslagen worden, wordt het moeilijk en duur om een korte RTO voor alle gegevens te realiseren. Het is vaak ook niet nodig om direct alle data weer beschikbaar te hebben, een RTO wordt dan ook vaak per applicatie bepaald.

Social Engineering

Het door middel van sociale contacten en bronnen vergaren van informatie over een aanvalsdoel door een hacker. Hierbij wordt de, in veel gevallen, zwakste schakel (de mens) gekraakt. Door slim in te spelen op de nieuwsgierigheid, het vertrouwen of de angst van een persoon kan een hacker gevoelige informatie krijgen of zelfs software installeren. Social engineering beperkt zich niet tot e-mails of telefoontjes, maar kan ook door plaats vinden door daadwerkelijke contacten of bezoek van een bedrijfslocatie.

Spam

Ongewenste e-mail. Een exacte definitie van spam is moeilijk maar het gaat in grote lijnen om e-mail

  • die naar heel veel ontvangers gaat,
  • waarin geprobeerd wordt iets te verkopen,
  • of waarvoor je nooit toestemming hebt gegeven of om hebt gevraagd.

De naam Spam komt is afgeleid van een bepaald soort ingeblikt vlees dat in Nederland bekent staat als Smac. In een sketch van Monty Python werd een toen actueel verbod op sluikreclame aan de kaak gesteld door in een lunchroom overal spam aan toe voegen waardoor een normale conversatie niet mogelijk is omdat er continu “Spam spam spam spam. Lovely spam! Wonderful spam!” gezongen wordt.

Ook spammers moeten geld verdienen. Het versturen van e-mail is zeer goedkoop in vergelijking met traditionele reclamemethodes zoals huis-aan-huis-bladen. Prijzen voor het versturen van 100.000 spam mails bevinden zich rond de € 1. Als er van die 100.000 e-mails slechts 0,01% reageert en het product koopt wordt er dus al geld verdient. Hackers die ransomware schrijven maken ook op deze manier gebruik van spam.

Het vesturen van spam is in Nederland verboden. Overtredingen kunnen gemeld worden bij de Autoriteit Consument & Markt en worden bestraft. Ook in diverse andere, maar lang niet alle, landen is er wetgeving die spam versturen verbiedt.

Om te voorkomen dat de mailbox overloopt van de ongewenste post maken veel bedrijven, providers en particulieren gebruik van spamfilters.

Spamfilter

Een spamfilter is een oplossing die binnenkomende (en steeds vaker ook uitgaande) e-mail filtert op ongewenste berichten (spam). Dit beperkt zich meestal niet tot het slim filteren van ongewenste reclame; ook andere onaangename verrassingen zoals virussen worden op afstand gehouden.

Voor het bepalen of een e-mail ongewenste reclame bevat worden diverse technieken gebruikt. Vroeger voldeden woordenlijsten. De spammers zijn tegenwoordig echter innovatief en ontwikkelen steeds nieuwe methodes om de filters om de tuin te leiden. De filters worden dus ook steeds uitgebreider en slimmer. De grootste uitdaging is het voorkomen van ‘false positives’, ofwel het onterecht classificeren van een e-mail als spam. Om de spamfilter te helpen zijn er diverse technieken zoals Blacklists, SPF en DKIM.

Spoofing

Het versturen van e-mail of andere elektronische informatie waarbij de afzenderinformatie onbekend blijft of van een ander afkomstig lijkt.

SPF

Sender Policy Framework. DPF is een methode om via DNS op een domein te configureren welke servers namens dit domein e-mail mogen versturen. Spamfilters gebruiken dit in hun beoordeling van e-mailberichten. Door SPF-records goed te configureren wordt het moeilijker om spam te versturen met als afzender het betreffende domein.

TrojanTrojaans paard

De techniek om virussen, malware, ransomware te verstoppen in legitiem ogende bestanden. Vaak worden deze via e-mail gestuurd en via Word-,pdf- of zip bestanden binnen gesmokkeld. Naast de echte inhoud bevatten deze bestanden dan kwaadaardige software. De nietsvermoedende gebruiker activeert vaak ongemerkt deze software. Het komt ook voor dat bij het downloaden van (illegale) kopieën van software, deze aangevuld zijn met kwaadaardige software en deze zo op je computer komt.

Virushex view bot code

Een programma dat geschreven is om computers te infecteren en daarop schade aan te richten.

VPN

Een Virtual Private Network is een verbinding tussen 2 (of meer) netwerken over een openbaar netwerk (internet). Een VPN is door middel van versleuteling en authenticatie beveiligd.

WbP

Wet bescherming Persoonsgegevens. De nationale wetgeving die gebaseerd is op de Europese privacy richtlijn uit 1995 en die opgevolgd wordt door de AVG.

UTM

Unified Threat Management. Een begrip dat sinds 2004/2005 gebruikt wordt voor de doorontwikkeling van firewalls. Een UTM is oplossing die actief het dataverkeer dat ze verwerkt monitort voor bedreigingen zoals bijvoorbeeld virussen, spam, inbraakpogingen en ongewenste websites.