CDA wil opheldering van minister over Citrix-beveiligingslek
Het CDA heeft minister Grapperhaus van Justitie en Veiligheid opheldering gevraagd over de kwetsbaarheid in Citrix en de problemen die het beveiligingslek in Nederland veroorzaakte. Aanleiding voor de Kamervragen is een interview met Citrix-ceo Fermin Sera en de tijdelijke oplossing die het softwarebedrijf in december gaf om klanten te beschermen.
"Klopt het dat er op 17 december 2019 een tijdelijke oplossing van het beveiligingslek beschikbaar werd gesteld door Citrix en dat met deze oplossing, mits goed doorgevoerd, gebruikers van Citrix beschermd waren geweest tegen het beveiligingslek?", vragen CDA-Kamerleden Van Dam, Van den Berg en Van der Molen. Vervolgens willen de CDA'ers weten waarom de tijdelijke oplossing niet is doorgevoerd bij overheidsdiensten die gebruikmaken van Citrix.
Grapperhaus moet verder duidelijk maken of overheidsdiensten of semipublieke organisaties de tijdelijke oplossing verkeerd hebben doorgevoerd en of dit vanuit de overheid wordt onderzocht. Ook vragen Van Dam, Van den Berg en Van der Molen naar de impact van de kwetsbaarheid op Nederland. "Kunt u lering trekken uit de wijze waarop andere landen om zijn gegaan met dit beveiligingslek? Kunt u verklaren waarom met name in Nederland dit beveiligingslek tot grote problemen heeft geleid?" Eerder stelde Grapperhaus dat hij uit andere landen complimenten had ontvangen over de Nederlandse Citrix-aanpak.
De kwetsbaarheid in Citrix was door drie verschillende partijen aan Citrix gerapporteerd. Volgens Serna liet één van de drie beveiligingsbedrijven weten informatie over het beveiligingslek op 23 december te zullen publiceren, ongeacht of er een beveiligingsupdate beschikbaar was. "Hoe beoordeelt u de ongeschreven regel in de industrie die zegt dat er binnen 90 dagen nadat een beveiligingslek wordt gemeld, deze niet publiekelijk wordt gemaakt, zodat een bedrijf het lek kan dichten? Acht u het wenselijk dat een dergelijke periode formeel wordt vastgelegd, al dan niet op Europees niveau?", besluiten de Kamerleden hun vragen aan de minister. De vragen moeten binnen drie weken zijn beantwoord.
*kuch* vrijheid van meningsuiting *kuch*
En dan vragen we ons af, waarom de politiek zo weinig vertrouwen krijgt.
Hebben ze echt niets beters te doen?
Antwoord: Nee, want er draaiden overal nog stokoude Citrix "gateway" versies. Het toepassen van de workaround zou totaal zinloos zijn geweest, want die bood -zoals later bleek - geen enkele bescherming voor deze oude versies! Goed dat we er geen tijd aan verspild hebben, gagh gagh gagh. Daarbij had de rijkssysteembeheerder hier ook geen tijd voor, want hij was druk met het inplannen van het patchen van onze Pulse Secure servers, waar begin vorig jaar een update voor verschenen was. Een ding tegelijk graag!
Nog andere vragen?
Het klopt dat Citrix een tijdelijke oplossing beschikbaar stelde en daarmee meteen aan de hele wereld vertelde wat het beveiligingslek was.
De tijdelijke oplossing was echter "lek"; men had snel ontdekt dat door /vpns/ te vervangen door /vpn/../vpns/ het lek als nog misbruikt kon worden. Pas in een later niet vermelde update van de tijdelijke oplossing is dit gat gedicht.
Dat klopt! Dat klopt als een zwerende vinger!
Het was juist een mix van oud en niet oud wat patchbaar (11.1 en 12.0) en niet patchbaar was. Dat was juist het probleem, sommige nieuwere versies (12.1 en dacht ook 13 ) hadden een bug waardoor de aanbevolen aanpassing niet werkte.
https://www.security.nl/posting/639590/Citrix+waarschuwt+dat+workaround+voor+ernstig+lek+niet+altijd+werkt
Daarnaast was er ook een mogelijkheid op conflicterende policies waardoor alsnog e.a. niet werkte.
De mitigation werkte achteraf niet op twee specifieke builds binnen 2 versies. Hier is enorm veel paniek om gezaaid en foutieve informatie de wereld in geholpen. Oplossing was simpel: update naar een hogere build of versie en de mitigation werkte wel.
Wat er echter gebeurd is dat heel veel organisaties hebben liggen slapen en de mitigation niet hebben doorgevoerd of niet de commando juist hebben doorgevoerd: https://support.citrix.com/article/CTX267679
Security is niet een laag, maar meerdere. Een Palo Alto Networks had ik December reeds een signature die aanvallen ook al afsloeg. Als je als organisatie bent gehacked door dit lek, dan heb je echt wel wat uit te leggen en moet je echt even beter je security op orde hebben.
Het neemt uiteraard niet weg dat dit een zeer ernstig Citrix lek was en zeer kwalijke zaak is.
Laten we wel wezen: Het is een fact of life. MS heeft de afgelopen weken ook drie enorme lekken gehad en ook Apple met MacOS.
Hier nog meer info over de kwetsbaarheid en de patch timelines (allen al reeds gedaan): https://support.citrix.com/article/CTX267027
De vraag vanuit het CDA is een terechte, maar wellicht voor de show, zoals zoveel debatten. Laten we hopen dat men hier nu echt wat mee doet.
En dan vragen we ons af, waarom de politiek zo weinig vertrouwen krijgt.
Hebben ze echt niets beters te doen?
Politici komen uit dezelfde genenpool en zijn door ons gekozen. Dat de politiek in de volksmond minder vertrouwen krijgt is meer het gevolg van de overdreven assertieve, egoïstische burger en de eindeloze stroom opportune meningen op internet.
En dan vragen we ons af, waarom de politiek zo weinig vertrouwen krijgt.
Hebben ze echt niets beters te doen?
Politici komen uit dezelfde genenpool en zijn door ons gekozen. Dat de politiek in de volksmond minder vertrouwen krijgt is meer het gevolg van de overdreven assertieve, egoïstische burger en de eindeloze stroom opportune meningen op internet.
En dan vragen we ons af, waarom de politiek zo weinig vertrouwen krijgt.
Hebben ze echt niets beters te doen?
Ik heb later een baan gehad waarin ik, een keer per week, zelf misschien een vijfde van die hoeveelheid papier op mijn bureau kreeg, en daar dezelfde dag nog een mening over moest vormen zodat er besluiten over genomen konden worden. Het was volstrekt niet te doen voor me, het was veel meer informatie dan ik kan verwerken zonder de draad kwijt te raken.
Dan had ik te maken met dingen die binnen een bedrijf spelen. Kamerleden krijgen te maken met wat er in een heel land speelt. De onderwerpen lopen dan enorm uiteen.
Ik heb ernstige twijfels of het voor wie dan ook mogelijk is om dat te doen met maar bij benadering de diepgang en grondigheid die je toepast als je ergens onderaan de hiërarchie bungelt en daar uitvoerend werk doet. Ik neem tegelijk mijn petje af voor mensen die dit soort werk doen, zich daar staande in weten te houden, het ook nog redelijk goed weten te doen en dan ook nog dingen weten te bereiken.
Het is heel makkelijk om van de zijlijn te klagen over hoe incompetent onze volksvertegenwoordigers zijn. Maar vraag je eens af hoe je zelf zou functioneren als je voordurend dergelijke hoeveelheden informatie moet verwerken terwijl het tempo waarin grotendeels door debatagenda's wordt gedicteerd. Als je dat aankan zou je misschien een goede volksvertegenwoordiger kunnen worden, maar gezien je reactie was je vermoedelijk nog niet eens op het idee gekomen dat je je daar wat over zou kunnen afvragen.
Dit soort gedoe is nou eenmaal inherent aan IT. Je gaat het met regels niet oplossen. Je gaat het alleen onder controle houden met een stel vak-idioten. En die krijg je niet bij elkaar. Dus accepteer het gewoon als een gevolg van de door de Roverheid gevoerde digi-dwang.
Daar gaan we weer, de 'roverheid' kon weer eens ergens in een discussie geplempt worden. Met een hoofdletter nog wel.
*kuch* vrijheid van meningsuiting *kuch*
Er zijn grenzen aan een vrije meningsuiting. Het wereldkundig maken hoe je een bestaand systeem kunt hacken is in mijn optiek ook niet een mening, maar een oproep tot het bevorderen van een misdaad.
Wat mij betreft mag je het openbaren binnen de genoemde termijn van 90 dagen (of een andere redelijke tijd) na ontdekking, strafbaar stellen als het meehelpen met het inbreken op computersystemen.
Gagh is a dish best served live!
https://intl.startrek.com/database_article/gagh
Gagh is a dish best served live!
https://intl.startrek.com/database_article/gagh
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.