image

Virusscanners overheid handmatig bijgewerkt

maandag 22 augustus 2011, 14:10 door Redactie, 15 reacties

De databank telecomgegevens waar alle Nederlandse internet- en telefonieaanbieders dagelijks hun volledige klantenbestand moeten uploaden, wordt beschermd door virusscanners die één keer in de week worden bijgewerkt. Dit bijwerken gebeurt met de hand, zo blijkt uit het CIOT eindrapport. Het ministerie van Veiligheid en Justitie brengt elk jaar een rapport uit over het functioneren van het CIOT.

De norm is dat alle systemen zijn voorzien van antivirus-programmatuur, die voortdurend actueel is. Uit onderzoek blijkt dat de definities op wekelijkse basis geüpdatet worden. Deze update vindt manueel plaats. Het CIOT is echter van plan om het update proces te automatiseren, waarvoor een offerte is aangetroffen, zo staat in het rapport vermeld.

Risico
De opstellers van het eindrapport stellen dat het manueel updaten van de virusscanner het risico met zich meebrengt dat door bijvoorbeeld de afwezigheid van een beheerder, de virusscanners tijdelijk niet meer up to date zijn. Daarnaast is het door een onvolledige logging niet te controleren of het update proces het gehele jaar goed heeft gewerkt. "Aanbeveling is dan ook om het proces te automatiseren en de logging zo in te richten dat het proces ook controleerbaar is."

Het rapport werd openbaar naar een verzoek op grond van de Wet openbaarheid van bestuur van Bits of Freedom. Het rapport is inmiddels ook op de website van overheid gepubliceerd.

Reacties (15)
22-08-2011, 14:22 door Anoniem
1- Wekelijks updaten is tegenwoordig net zo erg als niet updaten.
2- Offerte voor automatisch updaten? Je zou ze toch..... Bij mijn werkgever is dat een kwestie van goed nadenken geweest, zodat het aantal systemen dat verbinding met internet moet hebben minimaal is. Alle andere systemen wijzen hier naartoe, via een DNS-alias. Zo zullen laptops, die niet op het eigen netwerk zitten, toch naar het internet gaan, maar al de rest gaat naar het centrale punt.

Zo overheid, maak de € 500.000,-- voor dit advies maar over naar het Rode Kruis.
22-08-2011, 14:41 door Bitwiper
De vaardigheden van virusscanners voor het detecteren van malware (met name "verse-" en helemaal van targeted malware) worden hopeloos overschat.

Daarbij komt dat het hier om data gaat die, naar ik aanneem, niet in Microsoft Office bestanden, PDF etc. wordt aangeleverd. Bij het virusscannen van logbestanden is de kans op false positives niet denkbeeldig. Beter is een dedicated applicatie die op basis van whitelists dergelijke input checkt. Hopelijk is daarnaar gekeken in plaats van naar onzin als virusscanners.

Los van dit alles is vorige week ook nog eens aangetoond dat een gecompromitteerde AV leverancier een prima route is om malware te introduceren (zie
http://www.security.nl/artikel/38084/1/35_miljoen_Koreanen_bestolen_via_Trojaanse_update.html).

Alleen al om die laatste reden is het ook belangrijk dat er niet zomaar verbindingen vanaf het netwerk -waar de gevoelige data zich bevindt- naar buiten kunnen worden gemaakt, en dat pogingen daartoe worden gedetecteerd (ik heb het rapport nog niet gelezen, doe dat zodra ik tijd heb).
22-08-2011, 15:52 door Anoniem
Bedenk wel dat deze systemen vanwege de veiligheid mogelijk helemaal losgekoppeld zijn van Internet. Automatisch updaten is dan niet triviaal.
22-08-2011, 18:48 door Anoniem
Ach een tijdje geleden gingen de automatisch geupdate virusscanners kritieke
windows bestanden wissen.
Handmatig is zo gek nog niet.
22-08-2011, 20:16 door Anoniem
Euh... ik zal maar voor me houden welke zaken "de overheid" nog meer klungelig heeft geregeld.... Dit bericht verbaast me echter niets.
23-08-2011, 09:00 door Anoniem
Gokje wagen... Telco's elke dat automatisch uploaden... Zou zomaar kunnen dat dat via internet gaat. Dus losgekoppeld?

We hebben zelf voor Big Brother gekozen (nou ja, jullie dan , ik ben er altijd op tegen geweest). Als die Telco's die data nou gewoon niet meer uploaden... Is het hele probleem toch opgelost? Oh, maar wacht even... dan kan Big Brother z'n werk niet meer doen.
23-08-2011, 09:23 door Anoniem
Waarom draait die databank op Windows ? Dat is toch vragen om problemen ?
Een beetje server draait Linux of een Unix variant.
23-08-2011, 10:22 door Above
Frappant dat andere mensen het altijd beter weten. Impulsief kritiek leveren en oordelen zijn we goed in. Vooral op berichten met halve waarheden of incomplete informatie. Lijkt wel alsof ze angst willen zaaien voor financiële doeleinden.
23-08-2011, 10:39 door blondie1970
Wat zegt dit nu allemaal? Er is een systeem, mogelijk (waarschijnlijk?) helemaal niet vatbaar voor allemaal Windows desktop malware en die moet volgens een interne standaard voorzien worden van een virusscanner.... Dit komt naar boven bij een audit en nu moet er geinvesteerd worden in een nutteloze virusscanner. Ik zou zeggen: beschrijf waarom er afgeweken wordt van de standaard en hand daar een impact analyse aan en laat dan nogmaals een audit uitvoeren. Klinkt een stuk pragmatischer en in ieder geval kostenbewuster....

m2c's
23-08-2011, 11:40 door Leonr
Door Anoniem: Bedenk wel dat deze systemen vanwege de veiligheid mogelijk helemaal losgekoppeld zijn van Internet. Automatisch updaten is dan niet triviaal.
Het lijkt me weinig zinvol om iets te gaan 'bedenken' als er feitelijk al in de informatie staat dat het een online systeem is (lijkt me we handig als providers iedere dag moeten uploaden zoals in het bericht staat. Ik vraag me trouwens af welke virusscanner tegenwoordig geen automatische update functie heeft, dat moet toch heel wat moeite hebben gekost om zoiets te vinden.
23-08-2011, 11:45 door Anoniem
Ik ben blij. Stel je voor dat die systemen voor de updates direct of indirect in verbinding staan met het internet....
23-08-2011, 12:21 door Leonr
Door Anoniem: Ik ben blij. Stel je voor dat die systemen voor de updates direct of indirect in verbinding staan met het internet....
Verbinding met internet lijkt me redelijk essentieel als je door deze gegevens wil grasduinen als politieagent. Het lijkt me niet echt de bedoeling dat iedere agent naar een centraal van internet gescheiden locatie moet gaan om te kunnen zoeken.
23-08-2011, 13:13 door Anoniem
Door Leonr:
Door Anoniem: Ik ben blij. Stel je voor dat die systemen voor de updates direct of indirect in verbinding staan met het internet....
Verbinding met internet lijkt me redelijk essentieel als je door deze gegevens wil grasduinen als politieagent. Het lijkt me niet echt de bedoeling dat iedere agent naar een centraal van internet gescheiden locatie moet gaan om te kunnen zoeken.
Er zit een verschil tussen bereikbaar zijn via het internet en direct aan t internet hangen. 25 politieregio’s, zes afdelingen van de Nationale Recherche, de Rijksrecherche, de KMAR, de KLPD, het Landelijk Parker van het Openbaar Ministerie, 112, de FIOD-ECD, de AID-DI, de VROM-IOD, de SIOD, de AIVD en de MIVD hebben toegang. De rest van de wereld heeft niets met de systemen te maken en hoort er niet eens bij te kunnen. Een onveilige manier van koppeling van die systemen is als ze direct aan het internet hangen omdat het anders te lastig is. Het gaat om zeer privacy gevoelige gegevens van iedereen die internet. Gegevens die het verschil maken of iemand verdacht is of opsporingsbeambten iets mee willen. Het maakt mij geen barst uit of het voor een opsporingsambtenaar te veel werk is om naar een apart werkstation te gaan - die gegevens moeten zo ver mogelijk bij het internet vandaan blijven en de toegang zo beperkt mogelijk zijn. Die systemen aan het internet hangen omdat de virusscanner anders niet up-to-date zou kunnen zijn is belachelijk. Laat ze maar een update server neerzetten als tussenstation.
23-08-2011, 13:31 door Leonr
Door Anoniem:
Door Leonr:
Door Anoniem: Ik ben blij. Stel je voor dat die systemen voor de updates direct of indirect in verbinding staan met het internet....
Verbinding met internet lijkt me redelijk essentieel als je door deze gegevens wil grasduinen als politieagent. Het lijkt me niet echt de bedoeling dat iedere agent naar een centraal van internet gescheiden locatie moet gaan om te kunnen zoeken.
Er zit een verschil tussen bereikbaar zijn via het internet en direct aan t internet hangen. 25 politieregio’s, zes afdelingen van de Nationale Recherche, de Rijksrecherche, de KMAR, de KLPD, het Landelijk Parker van het Openbaar Ministerie, 112, de FIOD-ECD, de AID-DI, de VROM-IOD, de SIOD, de AIVD en de MIVD hebben toegang. De rest van de wereld heeft niets met de systemen te maken en hoort er niet eens bij te kunnen. Een onveilige manier van koppeling van die systemen is als ze direct aan het internet hangen omdat het anders te lastig is. Het gaat om zeer privacy gevoelige gegevens van iedereen die internet. Gegevens die het verschil maken of iemand verdacht is of opsporingsbeambten iets mee willen. Het maakt mij geen barst uit of het voor een opsporingsambtenaar te veel werk is om naar een apart werkstation te gaan - die gegevens moeten zo ver mogelijk bij het internet vandaan blijven en de toegang zo beperkt mogelijk zijn. Die systemen aan het internet hangen omdat de virusscanner anders niet up-to-date zou kunnen zijn is belachelijk. Laat ze maar een update server neerzetten als tussenstation.
Ik kan niet anders dan me volledig aansluiten bij deze opmerking.
23-08-2011, 14:35 door Anoniem
Dat ben ik niet met je eens.

Oom agent kan vast ook via een politie intranet verbinding maken. En hopelijk hangt dat netwerk NIET aan het grote boze Internet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.