• McAfee Email Gateway (MEG) 7.0.1 and earlier (HF MEG-7.0h759601-2151.119.zip)
• McAfee Email and Web Security (EWS) 5.6 Patch 3 and earlier (HF EWS-5.6h759921-2143.116.zip)
• McAfee Email and Web Security (EWS) 5.5 Patch 6 and earlier (HF EWS-5.5h759991-2146.112.zip)

De updates voor deze producten vallen gezien de ernst van de issues onder de noemer ‘Critical’. Een van de issues maakt het voor een aanvaller mogelijk de controle te nemen over de appliance. Twee andere issues maken het mogelijk om wachtwoorden te onthullen en een aanvaller JavaScript code uit te laten voeren vanuit de browser van de administrator.

Alle informatie over dit issue en de beschikbare hotfixes is terug te vinden in de McAfee KnowledgeBase, artikel SB10026. Lees voor het installeren van de hotfixes zorgvuldig de Release Notes door. Lees ook het artikel op ons forum over het installeren van updates op Email & Web Security en Email Gateway producten. Hier zitten namelijk wat haken en ogen aan. Op ons forum staat een procedure om een succesvolle update uit te voeren.

Oplossing

McAfee heeft de MVT inmiddels bijgewerkt. Als u de MVT gebruikt kunt u deze simpelweg handmatig even opstarten zodat deze automatisch zal updaten naar de laatste gepatchte versie. Als u de tool reeds verwijderd heeft, kunt u deze eenvoudig weer installeren via de McAfee website: http://mvt.mcafee.com/mvt.

Die uitspraak is heel treffend als we kijken naar operationele uitdagingen waar deze organisatie nu tegenaan loopt. En dan heb ik het, hoe basaal ook, over aanbestedingstrajecten die gestart worden voor security technologie. Ik vind het opmerkelijk hoe de overheid kennelijk zichzelf met de geldende aanbestedingsregels dwingt om security per point-product te bezien, in plaats van een brede strategie te kiezen. Ik heb het nu specifiek over het onderwerp van Anti-Malware. Net als security in brede zin is de strijd tegen malware (anti-malware) niet in 1 product te vatten. Daarbij zijn namelijk ook zaken als een goed en up-to-date overzicht van de inventaris, kennis van gebruikte besturingssystemen, software versies en kwetsbaarheden daarop, en actuele informatie over geldende bedreigingen van belang. En niet in de minste plaats natuurlijk adequaat en efficient beheer. Kortom: het SRM schema.

Het is natuurlijk heel logisch dat, wanneer we beseffen dat Anti-Malware niet een product is maar een combinatie van oplossingen, efficiency EN kwaliteit vergroot kan worden door de individuele componenten goed op elkaar aan te laten sluiten. Als we weten dat een laptop een oude Java versie heeft, maar beschermd is door middel van virtual patching, dan weten we dat het geen kwaad kan als het een geinfecteerde (NU.nl) website bezoekt, ook al is die malware nog niet bekend bij de virusscanner. Die zekerheid is OOK Anti-Malware.

Mensen die denken de strijd tegen malware (of cyberdreigingen in het algemeen) met individuele producten aan te kunnen, zijn nog in reactieve modus of willen alleen voldoen aan droge compliancyregels. Nog een uitspraak: Compliancy does not equal Security. Het wordt tijd dat men zich gaat inzetten om security te optimaliseren, en dus ook het inkoopbeleid hierop aanpast. Dat leidt in brede zin tot kostenbesparing EN betere controle.

Dus geen aanbesteding voor anti-virus, maar één die erop gericht is malware volgens algemene best practices te bestrijden, met nadrukkelijk oog voor total cost of ownership (TCO).

Eén van de belangrijkste aandachtsgebieden waar Medusoft zich op richt in security, is juist die total cost of ownership. Wij hebben dan ook ons portfolio samengesteld om juist al die verschillende taken en uitdagingen op security gebied op een efficiente en kwalitatief hoge manier aan te kunnen. Net als McAfee kiezen we daarin de samenwerking met andere partijen, maar laten we de beheermogelijkheden van ePolicy Orchestrator centraal staan. Tal van producenten hebben hun technologie aangemeld bij het Security Innovation Alliance programma van McAfee, waardoor het vanuit ePO te beheren is. Integratie is dan optimaal, en het beheer verloopt zo efficient mogelijk.

Zo zijn we in staat om elke mogelijke specifieke wens in te vullen en we dagen u dan ook uit om uw brede security uitdagingen aan ons voor te leggen.

Ondersteuning van ‘hardware-based’ encryptie

Met EEPC 6.2 kunnen nu ook Opal hard disks beheerd worden. Deze harde schijven hebben hun eigen technologie aan boord om de gegevens op de schijf te versleutelen. Bekende namen zoals Seagate, Hitachi en Samsung leveren dit soort schijven. Hoewel Opal schijven de encryptie zelf afhandelen en hier dus geen aanvullende software voor nodig hebben, moeten ze wel worden beheerd door software zoals EEPC in combinatie met ePO. EEPC 6.2 biedt deze mogelijkheid nu.

Encryptie van specifieke volumes afdwingen

Voorheen was het met Endpoint Encryption alleen mogelijk om alleen het systeem volume, alle volumes of geen een volume te versleutelen. In versie 6.2 van EEPC en EEMac kan nu opgegeven worden welke specifieke volumes met waardevolle data versleuteld dienen te worden. Zo kunt u bijvoorbeeld het C en D volume versleutelen, maar een eventueel aanwezig derde volume onversleuteld te laten.

Een overzicht van alle wijzigingen en nieuwe features is terug te vinden in de release notes van beide producten:

Endpoint Encryption for PC 6.2

Endpoint Encryption for Mac 6.2

Als u beschikt over een geldige licentie voor EEPC of EEMac kunt u de nieuwe software downloaden van de McAfee download site en upgraden. Voor hulp of meer informatie over Endpoint Encryption kunt u contact met ons opnemen.

In dit seminar gingen de sprekers onder andere in op de verregaande aanpassing van de Data Protection Wetgeving, die door Europese Commissie is aangekondigd. Doel van de nieuwe wetgeving is om onder andere de privacy van Europese burgers beter te beschermen. Een onderdeel van deze wetgeving is dat er boetes uitgedeeld kunnen worden aan organisaties die de privacy van burgers schenden. De hoogte van de boetes die organisaties opgelegd kunnen krijgen bij schending van de privacy, neemt sterk toe: maximaal 1.000.000 euro of 2% van de wereldwijde jaaromzet.

Paul Samwel, lead security architect bij de Rabobank, hield een presentatie over classificatie. De eerste en belangrijkste stap om data goed te beschermen.

De deelnemers aan het seminar waardeerden het seminar met een 8. We hebben een uitgebreid verslag geschreven over het seminar. Als u dit volledige verslag graag wilt lezen, kunt u het hier downloaden: Verslag Seminar Informatiebeveiliging (33)

Medusoft heeft ook een programma geschreven wat u helpt bij het opzetten van een gedegen databeveiliging binnen uw organisatie. U kunt dit GO>>Data programma hier downloaden: Medusoft GO Databeveiliging (17)

De verhoogde activiteit van dit moment toont opnieuw het gevaar aan van verouderde software. In dit geval gaat het voornamelijk om misbruik van lekken in Java Runtime Environment, Adobe Reader en Adobe Flash. Dit blijkt uit een whitepaper die security vendor Sophos vorige maand heeft uitgebracht.

Hoe kunt u zichzelf, en natuurlijk uw gebruikers, nou beschermen tegen dit soort exploit kits? (Kits, als in: meervoud?? Ja, Blackhole is helaas niet de enige…) Hieronder onze adviezen:

Vulnerability scanning

Een kit als Blackhole richt zich op specifieke kwetsbaarheden in oudere software. Maar waar bevinden de kwetsbaarheden zich in uw organisatie? Zoek dat maar eens uit voor de tientallen, zo niet honderden systemen in uw netwerk. Wat u hierbij kan helpen is een gedegen Vulnerability Scan. Zo’n scan brengt alle systemen in uw netwerk in kaart en laat u zien of er Windows, Linux of iets anders op draait en welke applicaties er op geïnstalleerd zijn.

Daarnaast informeert een Vulnerability Scan u over kwetsbaarheden op uw systemen. Deze informatie kunt u groeperen zodat er een helder overzicht ontstaat van waar dringende actie nodig is. Wij helpen u graag bij het uitvoeren van een passende Vulnerability Scan door middel van ons Vulnerability Assessment.

Patchen, patchen, patchen

Zorg er voor dat de software die binnen uw organisatie wordt gebruikt up to date is. Wacht niet weken met het uitrollen van patches, maar doe dit zo snel mogelijk na het uitkomen van een patch. U moet zich ook bedenken dat, zodra er een patch voor een bepaalde kwetsbaarheid is, malware schrijvers deze informatie ook hebben en dus precies weten welke kwetsbaarheden ze aan kunnen vallen.

Up to date software gaat u helaas niet gegarandeerd vrij van hacks en malwareinfecties houden, maar maakt uw organisatie in ieder geval een enorm stuk minder kwetsbaar. Des te minder kwetsbaarheden de software in uw netwerk heeft, des te minder groot is de kans dat een kit als Blackhole een voet aan de grond krijgt.

Virtueel patchen

Hier heeft u ons vaker over gehoord. Virtueel patchen houdt niets anders in dan voorkomen dat er misbruik gemaakt kan worden van bekende kwetsbaarheden met behulp van een beveiligingsoplossing. Intrusion Prevention is zo’n oplossing. IPS beschermt het netwerk of een specifiek systeem tegen kwaadaardig of verdacht gedrag en kan ook specifieke kwetsbaarheden in software beschermen.

Het toepassen van IPS, het zij als hardware oplossing in uw netwerk, het zij als software op de systemen van uw eindgebruikers, betekent niet dat u nooit meer hoeft te patchen. Het biedt u een buffer vanaf het bekend worden van een kwetsbaarheid tot het moment dat u een patch heeft uit kunnen rollen.

De complete whitepaper van Sophos over de Blackhole exploit kit is hier te vinden. Voor meer informatie over onze adviezen of een Vulnerability Scan en voor hulp bij het opsporen van de Blackhole exploit kit, neem contact met ons op: 0251-750250.

De Wet Bescherming Persoonsgegevens behandelt in artikel 49 de rechtsbescherming. Daarin staat dus wie aansprakelijk is in geval van dataverlies. De volgende subartikelen zijn daarin opgenomen:

Artikel 49

• 1. Indien iemand schade lijdt doordat ten opzichte van hem in strijd wordt gehandeld met de bij of krachtens deze wet gegeven voorschriften zijn de volgende leden van toepassing, onverminderd de aanspraken op grond van andere wettelijke regels.
• 2. Voor nadeel dat niet in vermogensschade bestaat, heeft de benadeelde recht op een naar billijkheid vast te stellen schadevergoeding.
• 3. De verantwoordelijke is aansprakelijk voor de schade of het nadeel, voortvloeiende uit het niet-nakomen van de in het eerste lid bedoelde voorschriften. De bewerker is aansprakelijk voor die schade of dat nadeel, voor zover ontstaan door zijn werkzaamheid.
• 4. De verantwoordelijke of de bewerker kan geheel of gedeeltelijk worden ontheven van deze aansprakelijkheid, indien hij bewijst dat de schade hem niet kan worden toegerekend.

Belangrijk is dus wie in de context van deze wet de verantwoordelijke en de bewerker zijn. Dat is te vinden in de Algemene Bepalingen:

• d. verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;
• e. bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen;

(bron: wetten.nl)

Het is duidelijk dat de primaire verantwoordelijkheid bij datalekken ligt bij de werkgever. Dat is ook logisch, want het zou niet voor de hand liggen om een slachtoffer (de betrokkene) te verplichten om de hele keten van ict-dienstverleners af te moeten om iemand aansprakelijk te kunnen stellen. Het is gebruikelijk dat een wet het slachtoffer daarin beschermt en dus de werkgever in dit geval als direct aansprakelijke definieert.

De bewerker in deze is waarschijnlijk VerzuimReductie. Aan de uitzending te zien bereid deze partij bij monde van diens woordvoerder zich voor om zich te beroepen op artikel 49 lid 4. Daarmee zijn zij echter hooguit in staat zich te ontdoen van aansprakelijkheid, maar de wet bepaalt mijns inziens niet dat die aansprakelijkheid dan automatisch doorvloeit naar VCD, de leverancier van de Humannet software.

Kortom: een heleboel getroffen werknemers kunnen zich nu richten tot hun werkgevers. En die kan zich weer beroepen op VerzuimReductie. Waar dat uiteindelijk op uit zal komen is de vraag. Ik wacht zeer geïnteresseerd af.

Kijk hier de Zembla uitzending terug.

Een stukje geschiedenis: Er bestaat al jaren anti-virus (of de laatste tijd: anti-malware) software voor Macs. Nog voordat McAfee van Intel werd (2010), nog voordat besloten werd Network Associates gewoon McAfee te noemen (2003), vormden McAfee, PGP, Sniffer, Magic Helpdesk en Gauntlet samen Network Associates (1996). Die samensmelting van het McAfee Associates van John McAfee en Network General kocht in die tijd het Britse “Dr. Solomon”. We schrijven 1998. En naast een beroemde anti-virus engine voor Windows-based computers beschikte Dr. Solomon al over Virex. Een anti-virus product voor Macintosh systemen.

Kortom: wij hebben dit product al vanaf het begin van ons bestaan (2001) in ons portfolio. Inmiddels hebben we het over Endpoint Protection for Mac en is het product net zo goed als alle andere McAfee Endpoint Security producten te beheren door middel van ePolicy Orchestrator. Geen enkel punt.

Dan blijft echter de vraag staan: hoe groot is nu dat risico? Mocht het u nog niet opgevallen zijn: er is een trojan actief die in termen van verspreiding behoorlijk succesvol is: Flashback. Specialisten buitelen over elkaar heen om het effect van deze trojan te benadrukken en te wijzen op de losgebroken malware explosie voor Mac. Dat mogen die specialisten echter niet van de Mac liefhebbers, want die vinden het FUD. De waarheid zal wel in het midden liggen, feit is wel dat er steeds meer Malware is voor Mac, mede gelet op de uitbraak van fake anti-virus malware vorig jaar. Hoe die hoeveelheid malware zich inmiddels verhoudt tot Windows malware, is helaas nog moeilijk te zeggen:

@erikremmelzwaal Hard to say. One large outbreak only, but that’s huge.

— Mikko Hypponen (@mikko) april 19, 2012

Dus, net als in alle andere security risico’s die kunnen opdoemen is het aan u om een beslissing te nemen over het al dan niet oplossen van dit risico. Als ik u was, zou ik voor beveiliging gaan (volgens mij mag ik zoveel wel zeggen). En de daad heb ik al sinds ik mijn geweldige MacBook Air heb, bij het woord gevoegd:

U kunt nu in ieder geval niet meer zeggen dat ik u niet op de mogelijkheden gewezen heb!

Daarom is het goed te weten dat een “quickwin” voor handen is die alle veel gebruikte database structuren (Microsoft SQL, Oracle, MySQL, e.a.) kan beschermen tegen SQL injection aanvallen. Die oplossing heet McAfee Database Security en komt voort uit de overname van het voormalige Sentrigo. Een uitleg en demonstratie van hoe deze oplossing werkt in geval van een MySQL server is beschikbaar in de vorm van het volgende filmpje:

Naast bescherming bieden tegen SQL injection aanvallen biedt McAfee Database Security ook andere vormen van beveiliging. Zoals Virtual Patching van databases zoals Oracle, waardoor de Oracle kan blijven draaien als er kwetsbaarheden in zijn ontdekt, zonder onnodig risico te lopen. Lees alle informatie over McAfee Database Security op deze locatie.

Op dit moment is bekend dat DAT update 6682 op Exchange en Domino servers  kan leiden tot systeemcrashes en het ongescand doorlaten van e-mail.

McAfee heeft DAT versie 6682 kort na de release teruggetrokken uit de auto-update servers, en heeft deze na grondige tests inmiddels vervangen door versie 6683. Deze versie zal door middel van de auto-update functie bij de eerstvolgende repository update binnengehaald worden.

Als u op dit moment al op DAT versie 6682 zit adviseren we u met klem om direct de volgende stappen uit te voeren (afkomstig uit McAfee KB artikel KB70380):

1. Log in to the ePO console.
2. Select Menu, Software, Master Repository.
3. From the Actions menu in the lower left, select Pull Now.
4. Click Next.
5. Choose Selected Packages.
6. Select DAT 6683.0000 from the list of Package types.
7. Click Next, then click Start Pull.
8. When the pull completes, select Menu, Software, Distributed Repositories.
9. Select Replicate Now from the Actions menu in the lower left.
10. Select all distributed repositories, then click Next.
11. Select Incremental as the replication type, then click Next.
12. Click Start Replication.

Als u tegen problemen aanloopt of hulp nodig heeft bij herstelwerkzaamheden of het uitvoeren van de DAT update, neem dan contact met onze supportdesk op: 0251-751100.

Update (16-4 9:49)
Mochten bovenstaande stappen niet voor de gewenste oplossing zorgen, zou het geforceerd uitrollen van McAfee’s SuperDAT 6683 (hier te downloaden) alsnog het probleem moeten verhelpen.