Huh? Backups?

http://www.volkskrant.nl/economie/rotterdamse-containerbedrijf-voor-cyberaanval-meermaals-gewaarschuwd-voor-gebrekkige-ict-beveiliging~a4505228/
.... https://www.security.nl/posting/522955/Gestolen+wachtwoord+systeembeheerder+gebruikt+voor+Petya-aanval tja

Op zich best humorvol. Waar ICT containerisatie zoals bij Maersk als vrij voorbeeld ziet. Gaat Maersk daaraan voorbij en handelt de ICT af op de manier zoals het in de middeleeuwen met een fluit ging.

http://www.volkskrant.nl/economie/rotterdamse-containerbedrijf-voor-cyberaanval-meermaals-gewaarschuwd-voor-gebrekkige-ict-beveiliging~a4505228/

"Een grote fout is ook dat er tot ver in 2015 geen zogeheten penetratietesten zijn geweest."

Zucht. Wat een flauwekul, door te inventariseren kun je nagaan wat er precies aan beveiliging moet gebeuren. Daar heb je helemaal geen penetratietests voor nodig. Met dit soort nepnieuws (aangepraat door mensen die geen security expertise hebben of met financiele belangen) wordt het publiek vals voorgelicht.

"Inderdaad. Bovendien geldt nog altijd een gouden regel in de ICT (al snappen veel "visual dit of dat" developers dat niet)
dat je met testen wel kunt aantonen dat iets FOUT is, maar dat je in gevallen waarin je niet alle cases kunt testen, zoals
ook penetratietesten, met testen NIET kunt aantonen dat iets GOED is. Als alle testen slagen kan dat gewoon betekenen
dat je de test die niet zou slagen niet gedaan hebt.

Van de data. Dat doe je namelijk na een herinstallatie. De malware zit in het programma, niet in de data.

Ik denk eerder dat er bedoeld werd: het terugzetten van een backup van het programma van VOOR het moment van
besmetting. De data ga je natuurlijk niet zomaar even terug zetten naar die van 3 maanden geleden, dat is bij een
financieel pakket normaal gesproken geen optie.

Een doosjes man ziet geen verschil in software of een database (data). Malware kan daar uitstekend gebruik van maken. Sla de software op in het deel waarvan men denkt dat het maar data is. Zolang je niet waar het zit blijf je met onzekerheid, weet je exact waar het zit dan kun je het ook zo wel verwijderen.
Een database terughalen van de boekhouding van voor het event en dan alles opnieuw proberen in te brengen. Niet echt een goed voorstel het lijkt op het verfoeide dubbel boekhouden..

Mee eens. Je ontwerp en bouwt het eerste veilig op en de pen-test is slechts een zeer beperkte second opinion of dat wel goed gedaan hebt. Het resultaat van een pen-test kan nooit een vervanging voor security- by design zijn.

Begin je met op de resultaten van een pen-test het ontwerp te doen dan ben je met een excuus truus aanpak bezig. Het zelfde als het afwerken van een vinkenlijstje van een auditor. Uit de oude doos een backup gemaakt ja dan ok, goh moest er een restore mogelijk zijn nee die doet het niet. Maakt niet uit de auditor is tevreden.

Overigens het ICT-personeel treft hier geen blaam. De leiding wilde de uptime van de terminals maximaal hebben,
en daarom was er geen tijd voor updates.

Als ik het niet dacht....

De Volkskrant komt weer met "documenten" die het zegt ingezien te hebben, en gesproken met "bronnen" waar wij niet van kunnen controleren hoe betrouwbaar die documenten en bronnen dan wel zijn.

In 1993 deed ze dat ook al met een paginagroot artikel gericht tegen ons kerkgenootschap. Probleem echter was dat het bericht door de journalist uit de dikke duim bleek te zijn gezogen. Het genoemde "bewijsmateriaal" en de "bronnen" bleken ook nog eens niet te bestaan. Wederhoor stond niet in hun krant, en ook bij APM-terminals vind je geen wederhoor (er wordt gesuggereerd dat dit door APM komt!), terwijl wederhoor wel in de journalistieke wereld een recht is. Zo krijg je automatisch een één-richtings-verkeer-conclusie en de lezer die dat leest, sluit zich automatisch aan bij het bericht van de Volkskrant. Zo kan je als krant altijd het gelijk aan je kant krijgen, zelfs als dit (zoals in ons geval) #nepnieuws blijkt te zijn.

Raadzaam is het daarom dat er een onafhankelijk onderzoek komt en dat niet een of andere krant de enige bron is van "onderzoek".

Ik ben het er mee eens dat het niet uitvoeren van pentests niet het grootste probleem hoeft te zijn. Maar ik sta er niet achter dat een zogenaamde security expert anderen probeert wijs te maken dat je aan in inventarisatie genoeg hebt. Met inventariseren zie je maar een beperkt deel van de risico's, met penetratietesten ook. Het vult elkaar aan. Het verschil kan van curciaal belang zijn voor de afweging van je risico's. En nee, verkondigen dat het dan aan de grondigheid of interpretatie van de resultaten ligt dekt dat verschil niet af.

Nou,dan moet ook de softwarefabrikant van deze software sneller met een update komen,dat bedrijf loopt ook schade op.
Dit omdat hun update van april niet veilig genoeg was.

Het is altijd raadzaam om geen vast geloof te hebben in beweringen als je zelf geen bewijs kan raadplegen. Helaas is dat bewijs niet altijd beschikbaar en onafhankelijk onderzoek niet altijd mogelijk. Continue wantrouwen naar een persoon of groep eerdere voorvallen is ook niet gezond. Misschien is het een optie om meer te letten op de boodschap en de sensatie er omheen te vergeten. Ik denk dat niemand vrij is van enige zucht naar sensatie om aandacht te krijgen, maar het trekt ook enige aandacht naar de boodschap.

Wow je hebt echt alles gemist. De software leveranciers hadden alles op orde. Alleen heeft een onbekende derde het voor elkaar gekregen gemanipuleerde updates te laten uitsturen. Bij de ontvangende p artikel zoals een container vervoerbedrijf te weinig containerisatie zodat de gehele vracht kelderde.

Dan lees jij dit anders dan ik deed :) Herinstalleer de software en restore de laatste data (als je application aware backups gebruikt doe je altijd een seperate backup van de database náást een snapshot van het systeem). Volgens mij zat de exploit namelijk in de applicatie, maar ik kan het heel goed mis hebben.

Jij leest : herinstalleer OS en restore de applicatie, dat kan inderdaad prima maar dan loop je dus wel 3 maanden achter in je boekhouding. Vandaar dat ik het anders las, ik ben geen boekhouder dus geen idee of dat destraseus is :)

Het Volkskrantverhaal, ja, ja mensen, blijft u allen kritisch in plaats van hard mee te roepen.. Ik lees iets over de situatie in 2015 en 2016, maar NIETS over de situatie op het moment van de Petya aanval. Geen harde feiten, maar gewoon slordige journalistiek.

Dat ik in tien jaar geleden mijn fiets niet op slot zette wil niet zeggen dat ik dat nu nog steeds doe. Als mijn fiets nu wordt gestolen en iemand gaat dan zeggen dat dit komt omdat ik tien jaar geleden mijn fiets niet op slot zette noem ik stemmingmakerij...

Er kunnen 2 backups gebruikt worden: die van toen er nog geen probleem was, maar daar heb je niks aan want die
zijn te oud. Of die van vandaag, nou dan hoef je de boel ook niet te wissen he? Dus waarom dan backups?

Het terugzetten van een systeem met een backup gaat er vanuit dat je de complete "state" van dat systeem terug
kunt zetten. Zodat het daarna weer een consitent geheel is. In geval van een database is dat niet alleen de data
in de database zelf, maar ook de relatie tot de omgeving. Is er niet zo'n relatie of is die niet zo belangrijk dan heb
je mazzel. Is de backup heel recent (bijvoorbeeld na een crash die meteen duidelijk is) dan weet je als het goed
is nog wat je na die backup gedaan hebt en kun je de backup terugzetten en die acties herhalen.

Heb je een boekhouding dan kun je wel je eigen database terug zetten, maar je kunt NIET de relatie met je omgeving
"restoren". Bijvoorbeeld je hebt een overboeking gedaan naar iemand anders, die staat in je eigen boekhouding, maar
er is ook een opdracht gedaan naar de bank en die heeft de boeking uitgevoerd. Als je nu je eigen database restored
klopt je eigen boekhouding niet meer met je saldo op de bank, en er staan boekingen bij de bank die je zelf niet
in je database hebt. Gaat het over een backup van 3 maanden geleden en een bedrijf dan zijn dat heel wat
boekingen. Dat is dus geen optie. De jongetjes die vinden dat "alles besmet kan zijn en dus moet worden
terug gezet naar een status van voor de besmetting" gaan dus af door de zijdeur. Dat werkt wel in je theorieboekje
in op je zolderkamertje maar niet in de praktijk.

De pers beschermt bronnen omdat ze niets meer zouden krijgen doorgespeeld als ze alles wat ze ontvangen maar op straat zouden gooien. Iemand die naar de pers lekt wil daarmee nog niet zijn baan verliezen. Ik weet toevallig iets over een misstand waar volledige openbaarmaking een heleboel mensen ernstig zou raken die zelf niets verkeerd gedaan hebben. Mensen die in een positie zijn om misstanden openbaar maken kunnen met heel lastige dilemma's te maken krijgen. Als de pers niets achter zou houden zouden ze niets meer te weten komen omdat iedereen die iets te melden heeft wel beter uit zou kijken. De pers kan dingen openbaren alleen omdat ze selectief openbaren.
Ja, dat kan gebeuren. Betekent dat ook meteen dat het alleen maar gebeurt, of zou het zo kunnen zijn dat het over het algemeen goed gaat? Dat je een voorbeeld van 24 jaar geleden aanhaalt suggereert niet dat het aan de lopende band misgaat. En hoe ging de Volkskrant er zelf destijds mee om? Probeerden ze het angstvallig stil te houden en te ontkennen of gingen ze met de billen bloot, plaatsten ze een rectificatie en verbraken ze de samenwerking met die journalist? Ik vermoed het laatste.
Ze suggereren neits, ze zeggen expliciet dat ze APM meer dan eens om een reactie hebben gevraagd en dat APM er niet op is ingegaan. Ze zeggen dat ze het recht op wederhoor toegepast en dat heeft APM geen gebruik gemaakt heeft van dat recht. Dat melden ze vervolgens weer netjes zodat jij als lezer snapt dat dit verhaal van één kant is gekomen. Ze hebben precies gedaan wat je van journalisten mag verwachten.
Kennelijk verwacht je dat dagelijks nieuws zo degelijk onderbouwd is dat je er een rechtzaak mee kan winnen of er wetenschap mee kan bedrijven. Dat kan helemaal niet, simpelweg omdat je nieuws dan pas maanden of jaren nadat iets is gebeurd pas zou horen. De pers moet altijd balanceren tussen grondigheid en snelheid, en dat doen ze door wederhoor toe te passen: ze zoeken niet alles tot op de bodem uit maar geven de partij waarover ze schrijven de kans om zelf informaite te geven en publiceren die, als die komt, ook. Als ze zonder die tegeninformatie niet zouden publiceren dan zou iedereen die iets in de doofpot te stoppen heeft een kinderlijk eenvoudig middel hebben om de pers monddood te maken.

En vraag je eens af of, als de Volkskrant het werkelijk zo slecht zou doen, jij met een 24 jaar oud voorbeeld van journalistieke fraude aan zou moeten komen dragen. Zou je dan niet ettelijke veel recentere voorbeelden hebben? Zou de Volkskrant de reputatie die het (net als andere grote landelijke dagbladen) heeft niet al lang en breed verspeeld hebben?

En kijk ook eens kritisch naar hoe je redeneert. Je noemt iets nepnieuws omdat je er geen keihard bewijs bij ontvangt dat het waar is. De afwezigheid van bewijs is geen bewijs van afwezigheid, weet je? Draai het eens om: je hebt ook geen keihard bewijs dat de Volkskrant hier liegt, en als je op dezelfde manier redeneert weet je daardoor zeker dat ze niet liegen. Oeps, dan is het tegelijk nepnieuws en echt nieuws. Dat kan niet allebei waar zijn. Je hebt een manier van redeneren die niet werkt.

Je wil harde feiten? Feit is dat de APM terminal twee weken down was vanwege een malware aanval waar al een tijdje een patch voor was. Dan kan je kletsen over stemmingmakerij, maar 't is een teken aan de wand dat management uptime prefereert boven patching. 't Zal lastig zijn een in-side verhaal te krijgen met alle details, maar de tekenen zijn niet goed.

Ik snap de rol van het NCSC niet zo...adviseren ze alleen maar issues die men al maanden weet nadat er al weken of maanden een issue met enorme koeienletters in elke krant of website heeft gestaan?
Kunnen ze niet iets eerder adviseren en wat meer concrete tips geven waar bedrijven wat aan hebben ipv die standaard ANP copy/paste acties te publiceren lang nadat het incident al heeft plaats gevonden.
Voelt altijd aan als zo een spuit 11 reactie van NCSC...