Opstelten: Dorifel-uitbraak niet te voorkomen
De uitbraak van het Dorifel-virus was niet te voorkomen, zo laat minister Opstelten van Veiligheid en Justitie op vragen van PvdA-Kamerlid Pierre Heijnen weten. "De malware, zowel Dorifel als de Citadel variant, werden door anti-virus scanners niet herkend. Door de sterk wisselende verschijningsvormen van deze malware is het lastig om nieuwe besmettingsvormen nu en in de nabije toekomst snel te herkennen", aldus Opstelten.
Het virus wist 30 instellingen te besmetten, waaronder gemeenten, bedrijven en universiteiten. De Nederlandse overheid zou echter geen gericht doelwit zijn geweest. "Het virus heeft zowel overheid als bedrijfsleven getroffen, vermoedelijk evenredig. Er is op basis van de huidige informatie en signalen uit de community geen indicatie dat publiek zwaarder getroffen is dan privaat of andersom."
"Minister Opstelten heeft gelijk dat virusscanners niet alles detecteren. Daarom is het zo belangrijk dat iedereen zijn systeem up-to-date houdt en niet overal op klikt. Daarmee had je deze uitbraak wel kunnen voorkomen", zegt Frank van Vliet, CTO van Certified Secure.
Kosten
Opstelten laat in zijn antwoord verder weten dat de kosten van de uitbraak sterk samenhangen met hoe zwaar een gemeente is getroffen en welke maatregelen men heeft kunnen nemen. Enkele eerste schattingen lagen tussen de 10 000 en 50 000 euro.
"Voor zover bekend zitten de kosten in het de doen van onderzoek naar de besmetting, het blokkeren van de bronservers en het herstellen van de besmette bestanden. Dit maakt deel uit van reguliere bedrijfsvoering. Directe kosten zijn daarmee niet te kwantificeren. "
NCSC
Ook gaat de minister in op de rol van het Nationaal Cyber Security Center, dat uitgebreid onderzoek naar de malware uitvoerde, om zo de karakteristieken van het virus in kaart te brengen en meer inzicht te krijgen in de verspreidingsgraad.
"Verder heeft het NCSC in de periode van 10 tot 16 augustus actief de infrastructuur van een achterliggend Citadel botnet verstoord. In het totaal zijn op dit moment circa 60 domeinnamen die het botnet gebruikt aangepakt. Er zijn verder 10 Notice and Take Down verzoeken uitgegaan naar servers in Oostenrijk, VS, Vietnam en Rusland. Daarbij is samengewerkt met publieke en private organisaties om analyses en take downs uit te voeren. Daarnaast zijn slachtoffers binnen en buiten Nederland geïnformeerd."
Dat is ook helemaal de verkeerde aanpak, meneer Opstelten.
U moet die malware niet blokkeren door hem te herkennen als malware, maar door de PC's van uw dienaren zodanig te (laten) configureren dat de gebruikers niet in staat zijn om software te installeren en uit te voeren anders dan de door de ICT dienst voorgeinstalleerde en toegelaten software.
Het probleem met herkennen is namelijk dat je iets alleen kunt herkennen als je het eerder gezien hebt.
Daardoor zijn innovatieve hackers je altijd een stapje voor.
Dit zie ik ook te weining gebruikt worden bij bedrijven
Zie ik wel vaak dat er geen admin rechten zijn, maar zie ik overal van die Portable Apps op USB stick....
Makkelijk op te vangen met Applocker..
De vraag die gesteld had moeten worden is of er vooraf een risico-analyse is uitgevoerd, en of de daaruit voortvloeiende maatregelen daadwerkelijk zijn genomen en de afgesproken procedures werden nageleefd. Dan was/is er sprake van een acceptabel risico.
Waarom bij ICT een andere benadering dan bijvoorbeeld bij het uitschakelen van verlichting op snelwegen, met als verwacht gevolg er "iedere drie jaar één extra verkeersdode bij" (bron: http://www.nrc.nl/nieuws/2012/09/26/het-licht-gaat-s-nachts-uit-op-de-snelweg-vier-vragen-over-het-hoe-en-waarom/)?
Dat is ook helemaal de verkeerde aanpak, meneer Opstelten.
U moet die malware niet blokkeren door hem te herkennen als malware, maar door de PC's van uw dienaren zodanig te (laten) configureren dat de gebruikers niet in staat zijn om software te installeren en uit te voeren anders dan de door de ICT dienst voorgeinstalleerde en toegelaten software.
Het probleem met herkennen is namelijk dat je iets alleen kunt herkennen als je het eerder gezien hebt.
Daardoor zijn innovatieve hackers je altijd een stapje voor.
In het geval van Citadel, waren de systemen qua patches bijgewerkt zodanig dat bekende privilege escalation attacks niet konden worden toegepast?
Wie heeft hier ervaring mee?
In het geval van Citadel, waren de systemen qua patches bijgewerkt zodanig dat bekende privilege escalation attacks niet konden worden toegepast?
Jullie reaktie heeft mijn belangstelling.
Jullie zullen zeker op elkaar reageren, maar voor mij, graag niet in vaktaal?
Beschrijf, zoals jullie kunnen, op mijn nivo.
Tot horen.
Duvels, jullie reageren als nog voordat ik deze reaktie had geplaatst. :-))
Dorifel en dus ook de Citadel. Niet alle software is up to date, mede vanwege de brakke bedrijfskritische software die perse een Java variant vereist en altijd een paar maanden achterloopt met updaten. Helaas zijn er geen bruikbare alternatieven.
Begin dan in ieder geval met een software restriction policy die het uitvoeren van programma's verbiedt vanaf locaties waar de gebruiker de controle over heeft.
Daarmee voorkom je dat een gedownloade exploit wordt uitgevoerd en vervolgens een privilege escalation exploit doet.
(het is meestal al voldoende om software te verbieden in de directory waar de gebruikersprofielen staan omdat daar ook de TEMP en Tijdelijke Internet Bestanden directories in staan waar de meeste malware in gedownload wordt, maar als je het zuiver doet verbied je software in IEDERE writable directory dus ook op de netwerkshares)
Vooruitgang is erg kwetsbaar...
iets met Risk mitigation?
Het updaten, gebruikersrechten beperken enz. geven een extra hindernis. Dergelijke opties zou ik daarom wel gebruiken. Ook alternatieve browsers, verwijderen van Java en uitschakelen van Java-script in Adobe-Reader zijn goede opties.
En ja doe bankzaken thuis en niet op de zaak (zelf de groene balk kan worden nagemaakt). Je weet nooit wat een collega installeert.
Behalve deze dan:P
Dorifel en dus ook de Citadel. Niet alle software is up to date, mede vanwege de brakke bedrijfskritische software die perse een Java variant vereist en altijd een paar maanden achterloopt met updaten. Helaas zijn er geen bruikbare alternatieven.
Begin dan in ieder geval met een software restriction policy die het uitvoeren van programma's verbiedt vanaf locaties waar de gebruiker de controle over heeft.
Daarmee voorkom je dat een gedownloade exploit wordt uitgevoerd en vervolgens een privilege escalation exploit doet.
(het is meestal al voldoende om software te verbieden in de directory waar de gebruikersprofielen staan omdat daar ook de TEMP en Tijdelijke Internet Bestanden directories in staan waar de meeste malware in gedownload wordt, maar als je het zuiver doet verbied je software in IEDERE writable directory dus ook op de netwerkshares)
Onze organisatie blijkt erg interessant te zijn voor het testen van nieuwe malware en nieuwe exploids. Het is wat lastig uit te leggen, maar we hebben een groot publiek gedeelte (aka de speeltuin) wat we proberen gescheiden te houden van de andere netwerken, maar je voorkomt niet altijd het overspringen van ongedierte. Zeker niet omdat de medewerkers in beide omgevingen werkzaamheden hebben.
Dorifel en dus ook de Citadel. Niet alle software is up to date, mede vanwege de brakke bedrijfskritische software die perse een Java variant vereist en altijd een paar maanden achterloopt met updaten. Helaas zijn er geen bruikbare alternatieven.
Begin dan in ieder geval met een software restriction policy die het uitvoeren van programma's verbiedt vanaf locaties waar de gebruiker de controle over heeft.
Daarmee voorkom je dat een gedownloade exploit wordt uitgevoerd en vervolgens een privilege escalation exploit doet.
(het is meestal al voldoende om software te verbieden in de directory waar de gebruikersprofielen staan omdat daar ook de TEMP en Tijdelijke Internet Bestanden directories in staan waar de meeste malware in gedownload wordt, maar als je het zuiver doet verbied je software in IEDERE writable directory dus ook op de netwerkshares)
Onze organisatie blijkt erg interessant te zijn voor het testen van nieuwe malware en nieuwe exploids. Het is wat lastig uit te leggen, maar we hebben een groot publiek gedeelte (aka de speeltuin) wat we proberen gescheiden te houden van de andere netwerken, maar je voorkomt niet altijd het overspringen van ongedierte. Zeker niet omdat de medewerkers in beide omgevingen werkzaamheden hebben.
nouja, zo'n aanpak lijkt mij een beetje voorspelbaar (theoretisch gezien) ze hebben het gewoon niet echt goed aangepakt. (ook werd er in het begin gesproken van een gerichte aanval, en nu ineens niet) wat er gedaan werd zijn standaart procedures, maar zulke bedrijven in nederland krijgen niet gek vaak met die soort type malwares te maken, en ja standaart procedures hanteren is makkelijk want het boek vertelt je wat je moet doen. wat het boek je niet vertelt is hoe de nieuwste varianten werken en eventueel uit te schakelen zijn.
wat ik al helemaal niet snap is, waarom ze zo'n vrij belangrijk netwerk voor die gemeentes koppelen aan een total noob pc aka de secretaresse. wat ik gister ook al noemde in een soort gelijke discussie is dat de overheid een soort eigen omgeving moet creeëren waar internet niet van invloed is. een Secretaresse heeft internet nodig, maar maak die geen deel uit van een belangrijk netwerk. wat ik ze voor zou stellen is een groepje knappe koppen bijelkaar te zetten en ze een soort combi van Darknet, Dark internet, deep web & een variant van intranet bijv (roep de ideeën maar). zo is het alleen maar meer private omgeving, en kunnen invloedden van buitenaf je niet echt deren.
misschien zouden ze de 'prive' USB stickjes ook moeten verbiedden, en eventueel gecontroleert worden door een ervaren computer nerd.
en oh ja, virussen worden dan wel niet herkend door AV's d.m.v. crypting & binding maar wat mij elke keer weer verwondert is dat de overheid niet leert van bijv een ISP, wat ik laatst nog las hier op security.nl is dat als bijv een Client van bijv XS4ALL zijn computer heeft geïnfecteerd (perongeluk) en die is niet herkenbaar voor zijn AV, maar toch stuurt die ISP een vriendelijke brief om je pc te controleren en je verbinding in een soort quarantaine te zetten.
ik denk dan bij me zelf, waarom kunnen zij dit wel en een stoffige ouwe overheid niet?
ik zeg, weg met die opstelten en geef van mijn part brenno de winter de baan van ivo opstelten.
ik denk dat we daar beter af mee zijn dan ivo opstelten met zijn ict handleiding boekjes.
Dat kon wel eens de spijker op de kop zijn.
Neem Opstelten niets kwalijk, hij heeft nooit de idee gehad een ICT specialist te zijn. Wat hij zegt wordt hem aangereikt door zijn ICT. Wat hij roept zegt mogenlijk meer over zijn ICT mensen.
En "DE Overheid?" Die bestaat niet. Er zijn Overheden (een heleboel) die een behoorlijk mandaat hebben hun eigen mensen voor ICT in te huren. Hoe zouden die mensen van die Overheden kunnen inzien welke kwaliteit ze nodig hebben en voor welke taken?
De gevolgen van Lektober vorig jaar spraken wel voor zich zelf.
"....Darknet, Dark internet, deep web & een variant van intranet ......
Dat snap ik beter en waarom het niet gebeurd? Is dat eigenlijk wel zo, dat het niet gebeurd? Ik weet wel dat er in het verleden wel bij oa de politie sprake was van Intranet. Met een stand alone pc voor Internetgebruik.
Totdat iemand op het briljante idee kwam het Intranet te koppelen aan een toegang tot Internet.
Ben benieuwd wanneer iemand er in slaagt een aantal onderzoeksdossiers van de politie te kapen.
"....waarom kunnen zij dit wel en een {stoffige} ouwe overheid niet? Daarom juist niet. :-))
Mooi beschreven overigens dit alles, maar waar nou die Secretaresse vandaan komt?
Applocker, heel mooi. Werkt inderdaad goed. Kosten van beheer gegaan er alleen door omhoog., immers veel meer beheer.. Gebruikers kunnen minder. Business komt tot stilstand.
Wie gaat deze kosten betalen? De klant? De ICT leverancier? Wie gaat de klagende gebruikers helpen? Wie gaat die kosten betalen?
En inderdaad waren alle patches geinstalleerd? Neen. Java outdated, waarom omdat de business applicaties er moet mee overweg kunnen. Dus updaten, not approved. Tja zo is het blijven dweilen met de kraan open.
[Ironie aan]In Opstelten we trust[Ironie uit](to fail)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.