Universiteit Maastricht werd besmet via phishingmail en verouderde software
De aanvaller die systemen van de Universiteit Maastricht met ransomware infecteerde wist binnen te komen via een phishingmail en verouderde software. Daarnaast heeft de universiteit 197.000 euro losgeld betaald dat de aanvaller vroeg voor het ontsleutelen van bestanden. Dat lieten de universiteit en securitybedrijf Fox-IT vandaag weten tijdens een symposium over de ransomware-aanval dat de universiteit organiseerde.
De aanvaller verstuurde op 15 en 16 oktober e-mails met het onderwerp "Documents" die naar een kwaadardig document linkten. Via dit document, waarvan hieronder een screenshot is te zien, werd het eerste systeem op 15 oktober besmet. Door een ongepatcht besturingssysteem op twee servers kon de aanvaller vervolgens op 21 november het volledige netwerk compromitteren en zich lateraal door het netwerk bewegen. Op deze twee servers waren bepaalde beveiligingsupdates niet doorgevoerd. Om welke verouderd besturingssysteem het ging is niet gemeld.
Uiteindelijk werden 267 servers en 2 werkstations gecompromitteerd, waaronder ook een archiefsysteem. De aanvaller was voor het uitrollen van de ransomware afhankelijk van bepaalde software. Die werd echter door de antivirussoftware van de universiteit gedetecteerd. Daarop besloot de aanvaller de antivirussoftware te deïnstalleren. Vervolgens werd op 23 december de ransomware uitgerold. Alle getroffen systemen werden binnen 50 minuten versleuteld, aldus de universiteit.
Awareness
De universiteit stelt dat de aanval laat zien hoe belangrijk awareness is. Iets waar de organisatie zich meer op wil gaan richten. In het geval van de phishingmails die de aanvaller in oktober verstuurde hebben twee mensen die bij de servicedesk van de universiteit gemeld. De aanvaller had in deze twee gerapporteerde phishingmails twee verschillende links gebruikt. De servicedesk dacht dat het om twee dezelfde links ging. Daarop werd alleen één link geblokkeerd en bleef de andere link werken. Verder stelt de universiteit dat het had moeten detecteren dat de antivirussoftware was uitgeschakeld.
De universiteit bevestigt dat ook de back-ups werden versleuteld. "Voor een aantal back-ups hadden wij online back-ups", aldus de universiteit. De universiteit had dit gedaan om snel data in het geval van een incident terug te kunnen zetten. De aanvaller wisten echter toegang tot de online back-ups te krijgen en konden die vervolgens versleutelen. Er was van een ander systeem wel een offline back-up, maar die bleek zes maanden oud. "Een lacune", aldus de universiteit.
Betaling losgeld
De universiteit laat verder weten dat het in kader van de continuïteit heeft besloten om op 29 december 197.000 euro (30 bitcoin) losgeld te betalen. Dit in het belang van de studenten, medewerkers en de universiteit zelf, zo laat de organisatie weten. Over het bedrag werd niet onderhandeld. Voordat er werd betaald verstuurde de universiteit versleutelde bestanden die de aanvaller ontsleuteld terugstuurde. De decryptor die de aanvaller uiteindelijk verstrekte werkte en zorgde ervoor dat bestanden konden worden ontsleuteld. Hierdoor konden alle systemen veel sneller worden hersteld dan wanneer er niet was betaald, aldus de universiteit. Daarnaast zou het onderwijs mogelijk maanden zijn verstoord wanneer er niet tot betalen was overgegaan.
De universiteit herhaalt dat de menselijke factor, awareness het belangrijkst is en dat studenten en medewerkers in staat moeten zijn om phishingmails te herkennen. Verder wordt gesteld dat het tijdig installeren van beveiligingsupdates, het juist omgaan met rechten, netwerkscheiding en een betere back-upstrategie de belangrijkste geleerde lessen zijn. De totale kosten van het incident zijn nog niet bekend.
Reacties (66)
05-02-2020, 14:36 door
Bitje-scheef
MS Office.... kill VBS en kill macros (unsigned).
MS Office ?, als het om "documenten" gaat kun je tog niet zien dat het MS office is geweest ?
Ik dacht na lezen van de kop in een flits: Is het nu alweer raak?!?
Misschien goed om de kop te herzien naar de verleden tijd:
Universiteit Maastricht was besmet via phishingmail en verouderde software.
Misschien goed om de kop te herzien naar de verleden tijd:
Universiteit Maastricht was besmet via phishingmail en verouderde software.
05-02-2020, 15:08 door
spatieman
toch wel erg, dat zelf tot nu, een beetje virus een virusscanner de nek om kan draaien, programierschlamperei dus.
05-02-2020, 15:08 door
Marcel de Haas
Door Bitje-scheef: MS Office.... kill VBS en kill macros (unsigned).
Is dit een inhoudelijke reactie of gewoon afgeven op MS Office? Ja dit is zeker een vector die je moet belichten maar deze contextloze opmerking voegt niet veel toe aan een betere strategie. Oogklepjes af en vooral blijven nadenken en daarbij deze bevindingen meenemen.
Door spatieman: toch wel erg, dat zelf tot nu, een beetje virus een virusscanner de nek om kan draaien, programierschlamperei dus.
"Een beetje virus" kan dat niet, maar iemand die root is op een server kan in principe gewoon alles op die server. Dat heeft niks met een virus te maken.De eerste fout zit dus op het klikken van een link in e-mail.
Daar zou de beveiliging verhoogd moeten worden.
Daar zou de beveiliging verhoogd moeten worden.
Ik neem aan dat OC&W die 197.000 kort op de bijdrage van 2020 of 2021... Ik snap de overwegingen van Maastricht, maar Ransomware houdt alleen op als het businessmodel verdwijnt.
Goede samenvatting van de redactie (en snel).
Verder werd als aanvallende groep "Grace-RAT a.k.a. TA505" genoemd, actief sinds 2014, sinds een tijdje met CLOP ransomware, met 150+ slachtoffers sinds februari 2019, Oost-Europees, "Russische taal sprekend".
Verder werd als aanvallende groep "Grace-RAT a.k.a. TA505" genoemd, actief sinds 2014, sinds een tijdje met CLOP ransomware, met 150+ slachtoffers sinds februari 2019, Oost-Europees, "Russische taal sprekend".
05-02-2020, 15:28 door
Bitje-scheef
Door Marcel de Haas:
Is dit een inhoudelijke reactie of gewoon afgeven op MS Office? Ja dit is zeker een vector die je moet belichten maar deze contextloze opmerking voegt niet veel toe aan een betere strategie. Oogklepjes af en vooral blijven nadenken en daarbij deze bevindingen meenemen.
Door Bitje-scheef: MS Office.... kill VBS en kill macros (unsigned).
Is dit een inhoudelijke reactie of gewoon afgeven op MS Office? Ja dit is zeker een vector die je moet belichten maar deze contextloze opmerking voegt niet veel toe aan een betere strategie. Oogklepjes af en vooral blijven nadenken en daarbij deze bevindingen meenemen.
95% van dit soort besmettingen beginnen met MS Office documenten... Dus is het dan inhoudelijk genoeg ?
Ja je kunt het deels dichtzetten, maar er blijven genoeg opties tot rotzooien over.
Tot op heden zijn er nog steeds organisaties
die hun beveiliging niet op orde hebben,en dit is dan het resultaat.
Excuses en excuses: We leren van onze fouten en we zijn open in hoe wij daarmee nu zullen omgaan
en geven nu ook lessen ter voorkoming van deze fouten.
De trend is we gaan criminelen maar betalen,want
we kunnen er niets aan doen,want "het is minder duur als wij ze niet zouden betalen",
onzin argumenten,je verheerlijkt hiermee de criminelen,want het levert ze juist geld op.
Patchen en update je software,
manage je personeel,en wijs ze op de gevaren van bijlages in email,
en phishingmails
En dit geeft de universiteit van maastricht nu ook toe
De universiteit herhaalt dat de menselijke factor, awareness het belangrijkst is en dat studenten en medewerkers in staat zijn om phishingmails te herkennen. Verder wordt gesteld dat het tijdig installeren van beveiligingsupdates, het juist omgaan met rechten, netwerkscheiding en een betere back-upstrategie de belangrijkste geleerde lessen zijn.
Prima,maar dit moet voor alle belangrijke organisaties gelden.
NL-NU2020
die hun beveiliging niet op orde hebben,en dit is dan het resultaat.
Excuses en excuses: We leren van onze fouten en we zijn open in hoe wij daarmee nu zullen omgaan
en geven nu ook lessen ter voorkoming van deze fouten.
De trend is we gaan criminelen maar betalen,want
we kunnen er niets aan doen,want "het is minder duur als wij ze niet zouden betalen",
onzin argumenten,je verheerlijkt hiermee de criminelen,want het levert ze juist geld op.
Patchen en update je software,
manage je personeel,en wijs ze op de gevaren van bijlages in email,
en phishingmails
En dit geeft de universiteit van maastricht nu ook toe
De universiteit herhaalt dat de menselijke factor, awareness het belangrijkst is en dat studenten en medewerkers in staat zijn om phishingmails te herkennen. Verder wordt gesteld dat het tijdig installeren van beveiligingsupdates, het juist omgaan met rechten, netwerkscheiding en een betere back-upstrategie de belangrijkste geleerde lessen zijn.
Prima,maar dit moet voor alle belangrijke organisaties gelden.
NL-NU2020
Zo te horen is de Windows-omgeving gecompromitteerd geweest, maar niet de Linux-omgeving.
"...het juist omgaan met rechten, netwerkscheiding en een betere back-upstrategie de belangrijkste geleerde lessen zijn"
Oh, de lessen zoals "wij" ze hier al jaren prediken?
Ik mis in die opmerking nog een fatsoenlijk patching beleid, dan heb je het aardig afgedenkt.
Helaas moest ik de live-stream missen maar ik hoop hem integraal ergens terug te kunnen zien.
Oh, de lessen zoals "wij" ze hier al jaren prediken?
Ik mis in die opmerking nog een fatsoenlijk patching beleid, dan heb je het aardig afgedenkt.
Helaas moest ik de live-stream missen maar ik hoop hem integraal ergens terug te kunnen zien.
Reactie op mijn eigen posting van een minuut geleden.
Beter lezen, patch policy wordt wel degelijk als leermoment benoemd, sorry UM.
Beter lezen, patch policy wordt wel degelijk als leermoment benoemd, sorry UM.
Integraale weergave: https://www.youtube.com/watch?v=ik-ZVvZ2-xU&feature=youtu.be
Door Advanced Encryption Standard: Zo te horen is de Windows-omgeving gecompromitteerd geweest, maar niet de Linux-omgeving.
Linux is geen kaas zonder gaten,meneer de voorzitter
De universiteit herhaalt dat de menselijke factor, awareness het belangrijkst is en dat studenten en medewerkers in staat moeten zijn om phishingmails te herkennen.
Oftewel "het belangrijkst is" dus "NIET KLIKKEN OP DIE EMAIL!!!1!eleventy!!1!".Een houding waar toch wel een en ander op aan te merken is.
Verder wordt gesteld dat het tijdig installeren van beveiligingsupdates, het juist omgaan met rechten, netwerkscheiding en een betere back-upstrategie de belangrijkste geleerde lessen zijn.
"Pappen en nathouden en verder op de oude voet doorrrrr."Voorzover de wijze lessen van mestreech joenieversietie.
Fijn dat ze er eerlijk over zijn, en leuk dat ze het en plein public doen, want vele organisaties doen het precies zo en zijn dus net zo hard nog steeds vatbaar na "herstel". Maar de bottom line is wel dat we met deze "best practices" van betalen en de deur voor de volgende infectie openhouden de oorlog gewoon niet gaan winnen. Waarvan akte.
Ik had niet anders verwacht maar ik ben toch wel een een beetje, een piepklein beetje, teleurgesteld in het academische.
Overigens complimenten aan de UM en Fox-IT voor het delen van deze informatie, dat mag ook wel een keer benoemd worden.
Door Anoniem: Ik neem aan dat OC&W die 197.000 kort op de bijdrage van 2020 of 2021... Ik snap de overwegingen van Maastricht, maar Ransomware houdt alleen op als het businessmodel verdwijnt.
Verkeersdoden houden ook op te vallen als we alle auto's stil zetten.
Soms moet je echt afwegingen maken en beslissingen nemen die indruisen tegen alles waar je voor staat.
Mijn complimenten aan de UM voor het organiseren van dit symposium en de betrachte openheid! Ik heb met belangstelling naar de live stream gekeken.
Goed ook om te zien dat zowel UM als Fox-IT niet back-ups als belangrijkste "preventieve" maatregel noemden. Doordat de aanvallers al snel het domain admin wachtwoord konden achterhalen en er kennelijk onvoldoende monitoring plaatsvond om dit te detecteren, konden "met een druk op de knop" (gebruikmakend van psexec) tegelijkertijd bestanden op (of benaderbaar vanaf) een groot aantal servers binnen 50 minuten worden versleuteld. We moeten beter ons best doen om te voorkomen dat deze mogelijkheid überhaupt bestaat. Systemen zoals LAPS van Microsoft kunnen helpen voorkomen dat aanvallers de "God-mode" loper te pakken krijgen.
Wat ik gemist heb, is een klip en klare waarschuwing dat steeds meer makers van ransomware, naar verluidt in toenemende mate, vertrouwelijke bestanden exfiltreren en dreigen die te verkopen en/of te publiceren als je niet betaalt. Een risico dat natuurlijk blijft bestaan indien je voor de decryptor betaalt.
Fox-IT gaf wel aan in dit geval geen aanwijzingen voor exfiltratie te hebben gevonden, maar vertelde daarbij dat het serieus zoeken naar dergelijke aanwijzingen wel tot 3 dagen per computer zou kunnen kosten. Ik kan daaraan toevoegen dat, als een aanvaller de hoogst mogelijke privileges heeft op zo'n systeem, hij al dat soort forensische sporen kan manipuleren of verwijderen. Met name in een universitaire omgeving (waar, zoals de sprekers aangaven, openheid essentieel is), is daarnaast exfiltratie op netwerkniveau lastig te detecteren (vooral als communicatie versluierd of versleuteld is en/of via meerdere "hops" plaatsvindt). Kortom, ga uit van exfiltratie, tenzij je overtuigende aanwijzingen hebt dat exfiltratie van vertrouwelijke gegevens (waar je mee gechanteerd kunt worden) niet heeft plaatsgevonden.
Zeer verstandig vond ik de manier waarop uiteindelijk het losgeld is betaald: namelijk zo zorgvuldig mogelijk vaststellen dat je met de daadwerkelijke daders communiceert - en niet met een partij die "piggy-backed" of een MitM aanval uitvoert op die communicatie (dat laatste is overigens zeer lastig vast te stellen, omdat de aanvallers natuurlijk anoniem willen blijven). Verstandig dus dat UM eerst een aantal versleutelde bestanden heeft opgestuurd met het verzoek om die te ontsleutelen, en begonnen is met een kleine deelbetaling en pas de rest betaalde nadat zij bevestigd had gekregen dat de deelbetaling was ontvangen.
Dergelijke checks bieden overigens nog steeds geen garantie dat er geen MitM aanval plaatsvindt. Namelijk waarbij die MitM een deel van de communicatie doorlaat, en een deel niet (voor een voorbeeld van een MitM aanval waar vermoedelijk slechts één criminele partij bij betrokken is, zie https://www.security.nl/posting/641798/Cybercriminelen+ontfutselen+bijna+3+miljoen+euro+van+Rijksmuseum+Twenthe); het risico dat je een andere dan de bedoelde partij betaalt moet je serieus in overweging nemen. Ik denk hierbij ook aan de aanvaller die kwetsbare Citrix "gateways" patchte en een backdoor achterliet: je kunt je ook de situatie voorstellen dat zo iemand niet patcht, maar wel een backdoor installeert - en later, nadat anderen ransomware hebben uitgevoerd, er met de buit vandoor gaat.
Een wellicht bizarre tip voor ransomwaremakers: met het systeem dat ik in https://www.security.nl/posting/628112/crypto+bewijs%3A+dezelfde+anoniem voorstelde, kun je bewijzen dat je nog steeds dezelfde anoniem bent waar jouw tegenpartij mee communiceert. Dat vereist natuurlijk wel dat er voldoende vertrouwen is dat er in eerste instantie met de "echte" partij wordt gecommuniceerd.
Goed ook om te zien dat zowel UM als Fox-IT niet back-ups als belangrijkste "preventieve" maatregel noemden. Doordat de aanvallers al snel het domain admin wachtwoord konden achterhalen en er kennelijk onvoldoende monitoring plaatsvond om dit te detecteren, konden "met een druk op de knop" (gebruikmakend van psexec) tegelijkertijd bestanden op (of benaderbaar vanaf) een groot aantal servers binnen 50 minuten worden versleuteld. We moeten beter ons best doen om te voorkomen dat deze mogelijkheid überhaupt bestaat. Systemen zoals LAPS van Microsoft kunnen helpen voorkomen dat aanvallers de "God-mode" loper te pakken krijgen.
Wat ik gemist heb, is een klip en klare waarschuwing dat steeds meer makers van ransomware, naar verluidt in toenemende mate, vertrouwelijke bestanden exfiltreren en dreigen die te verkopen en/of te publiceren als je niet betaalt. Een risico dat natuurlijk blijft bestaan indien je voor de decryptor betaalt.
Fox-IT gaf wel aan in dit geval geen aanwijzingen voor exfiltratie te hebben gevonden, maar vertelde daarbij dat het serieus zoeken naar dergelijke aanwijzingen wel tot 3 dagen per computer zou kunnen kosten. Ik kan daaraan toevoegen dat, als een aanvaller de hoogst mogelijke privileges heeft op zo'n systeem, hij al dat soort forensische sporen kan manipuleren of verwijderen. Met name in een universitaire omgeving (waar, zoals de sprekers aangaven, openheid essentieel is), is daarnaast exfiltratie op netwerkniveau lastig te detecteren (vooral als communicatie versluierd of versleuteld is en/of via meerdere "hops" plaatsvindt). Kortom, ga uit van exfiltratie, tenzij je overtuigende aanwijzingen hebt dat exfiltratie van vertrouwelijke gegevens (waar je mee gechanteerd kunt worden) niet heeft plaatsgevonden.
Zeer verstandig vond ik de manier waarop uiteindelijk het losgeld is betaald: namelijk zo zorgvuldig mogelijk vaststellen dat je met de daadwerkelijke daders communiceert - en niet met een partij die "piggy-backed" of een MitM aanval uitvoert op die communicatie (dat laatste is overigens zeer lastig vast te stellen, omdat de aanvallers natuurlijk anoniem willen blijven). Verstandig dus dat UM eerst een aantal versleutelde bestanden heeft opgestuurd met het verzoek om die te ontsleutelen, en begonnen is met een kleine deelbetaling en pas de rest betaalde nadat zij bevestigd had gekregen dat de deelbetaling was ontvangen.
Dergelijke checks bieden overigens nog steeds geen garantie dat er geen MitM aanval plaatsvindt. Namelijk waarbij die MitM een deel van de communicatie doorlaat, en een deel niet (voor een voorbeeld van een MitM aanval waar vermoedelijk slechts één criminele partij bij betrokken is, zie https://www.security.nl/posting/641798/Cybercriminelen+ontfutselen+bijna+3+miljoen+euro+van+Rijksmuseum+Twenthe); het risico dat je een andere dan de bedoelde partij betaalt moet je serieus in overweging nemen. Ik denk hierbij ook aan de aanvaller die kwetsbare Citrix "gateways" patchte en een backdoor achterliet: je kunt je ook de situatie voorstellen dat zo iemand niet patcht, maar wel een backdoor installeert - en later, nadat anderen ransomware hebben uitgevoerd, er met de buit vandoor gaat.
Een wellicht bizarre tip voor ransomwaremakers: met het systeem dat ik in https://www.security.nl/posting/628112/crypto+bewijs%3A+dezelfde+anoniem voorstelde, kun je bewijzen dat je nog steeds dezelfde anoniem bent waar jouw tegenpartij mee communiceert. Dat vereist natuurlijk wel dat er voldoende vertrouwen is dat er in eerste instantie met de "echte" partij wordt gecommuniceerd.
Door Advanced Encryption Standard: De eerste fout zit dus op het klikken van een link in e-mail.
Daar zou de beveiliging verhoogd moeten worden.
In dit geval was het een fishing mail, maar er zijn zoveel andere methodes om malware te installeren. Zeker als de motivatie 190.000 EUR is: een inside job, besmetting via gehackte websites, spearfishing, fysiek toegang verschaffen tot servers/netwerk, besmette USB-sticks, ... Nooit zal men kunnen voorkomen dat een toestel besmet geraakt. Daar zou de beveiliging verhoogd moeten worden.
De oplossing is structureel security meenemen bij het ontwerp van de infrastructuur:
# Steeds recente, geteste backups (offline, one-way backups of met revisions)
# Een netwerk-topologie die snelle verspreiding onmogelijk maakt
# 2FA voor alle accounts
# logging / opvolging / rapportering
Eens met @Erik maar in minder bewoordingen. :)
--
De enige echte betrouwbare anoniem. :)
--
De enige echte betrouwbare anoniem. :)
05-02-2020, 17:55 door
Martin B
Goed dat men de openbaarheid opzoekt. Op deze manier kunnen we leren van deze ervaring van MU.
Door Erik van Straten: Mijn complimenten aan de UM voor het organiseren van dit symposium en de betrachte openheid! Ik heb met belangstelling naar de live stream gekeken.
...
Goed ook om te zien dat zowel UM als Fox-IT niet back-ups als belangrijkste "preventieve" maatregel noemden. ..
..
Dat vereist natuurlijk wel dat er voldoende vertrouwen is dat er in eerste instantie met de "echte" partij wordt gecommuniceerd.
Opvallende de genoemde adviezen van fox-it die het UM ook noemt:...
Goed ook om te zien dat zowel UM als Fox-IT niet back-ups als belangrijkste "preventieve" maatregel noemden. ..
..
Dat vereist natuurlijk wel dat er voldoende vertrouwen is dat er in eerste instantie met de "echte" partij wordt gecommuniceerd.
- 4 de offline bacup full en incremental met de DR oefeningen
- 3 de segregatie van netwerken maar veel explicieter die van de service accounts beheerder
Er werd toch met een domain admin voor dagelijks werk gebruikt gemaakt ook al was dat niet de bedoeling.
- 2 Incident response met proactieve monitoring wat er gebeurt en welke machines welke status hebben.
Begin oktober was de inbraak die werd opgemerkt maar niet als gevaarlijk herkend, een maand later andere machines en servers weer een maand later eind december het encrypten als ransom.
- 1 Betere eerste lijns afvang, onderlinge afstemming met andere instanties.
Op de endpoints kon de detectie ongemerkt uitgeschakeld worden,
Het is de hele gangbare waslijst waar ik regelmatig op wijs. Leuk dat fox-it dezelfde adviezen geeft.
Geeft ook weer te denken over het niveau van de gangbare OS bashers. Totaal wereldvreemd en waarschijnlijk een oorzaak dat er te weinig doorkomt met informatieveiligheid.
Het aantal patches wat uitgevoerd wordt (30.000?) en aantal servers (honderden) geeft de omvangrijkheid aan wat er allemaal gebeuren moet. Dat gaat echt niet meer met handwerk.
Door Marcel de Haas:
Is dit een inhoudelijke reactie of gewoon afgeven op MS Office? Ja dit is zeker een vector die je moet belichten maar deze contextloze opmerking voegt niet veel toe aan een betere strategie. Oogklepjes af en vooral blijven nadenken en daarbij deze bevindingen meenemen.
Je hebt gelijk Marcel.Door Bitje-scheef: MS Office.... kill VBS en kill macros (unsigned).
Is dit een inhoudelijke reactie of gewoon afgeven op MS Office? Ja dit is zeker een vector die je moet belichten maar deze contextloze opmerking voegt niet veel toe aan een betere strategie. Oogklepjes af en vooral blijven nadenken en daarbij deze bevindingen meenemen.
Door Martin B: Goed dat men de openbaarheid opzoekt. Op deze manier kunnen we leren van deze ervaring van MU.
Dat is het beste wat er gebeurd is, het zou een standaard moeten zijn waar het om grotere en belangrijke organisaties gaat.Interessant was ook de bijdrage van Middeldorp van het NCSC 1:23:20-1:26:21 in de YouTube video
https://www.youtube.com/watch?v=ik-ZVvZ2-xU&feature=youtu.be
Een samenvatting:
- Het NCSC richt zich primair op vitaleprocessen en rijksoverheid "maar dat laat onverlet dat we andere organisaties zoals universiteiten kunnen bijstaan"
- Adviezen en richtlijnen van het NCSC staan op de website
- Onlangs is een aantal organisaties waaronder SURF aangewezen als organisatie waar we vertrouwelijke informatie over dreigingen en kwetsbaarheden mee kunnen delen, dus vertrouwelijke IoC (indicator of compromise) worden gedeeld via SURF zodat zij mitigerende maatregelen kunnen nemen
- Nu is een viertal organisaties aangewezen, dat willen we uitbreiden tot een landelijk dekkend stelsel van informatieknooppunten
- Ook werken we samen met SURF in een Nationaal Response Netwerk, samen met de Belasting, Rijkswaterstaat en Defensie, dat als een incident zich voordoet, we elkaar kunnen bijstaan met het verlenen van capaciteit en kennis.
Vraag: Heeft u dat in deze specifieke situatie ookgedaan?
Middeldorp: "Nee, want SURF was pas aangewezen als organisatie om informatie mee te delen nadat dit incident zich voordeed, en ook dat Nationaal Response Netwerk daar hebben we pas heel recent een convenant voor afgesloten."
De precieze tijdlijn en de exacte data van deze nieuwe afspraken worden dus niet genoemd door Middeldorp, maar het lijkt mij een goede reactie, in lijn met wat hierover op security.nl ook al is opgemerkt, namelijk dat het NCSC tot voor kort uitsluitend op de "vitale infrastructuur" gericht was. En ook andere organisaties kunnen met een kleine extra inspanning gewaarschuwd worden. Na uitbreiding van de bevoegdhedenvan het NCSC, zoals nu kennelijk geregeld is.
https://www.youtube.com/watch?v=ik-ZVvZ2-xU&feature=youtu.be
Een samenvatting:
- Het NCSC richt zich primair op vitaleprocessen en rijksoverheid "maar dat laat onverlet dat we andere organisaties zoals universiteiten kunnen bijstaan"
- Adviezen en richtlijnen van het NCSC staan op de website
- Onlangs is een aantal organisaties waaronder SURF aangewezen als organisatie waar we vertrouwelijke informatie over dreigingen en kwetsbaarheden mee kunnen delen, dus vertrouwelijke IoC (indicator of compromise) worden gedeeld via SURF zodat zij mitigerende maatregelen kunnen nemen
- Nu is een viertal organisaties aangewezen, dat willen we uitbreiden tot een landelijk dekkend stelsel van informatieknooppunten
- Ook werken we samen met SURF in een Nationaal Response Netwerk, samen met de Belasting, Rijkswaterstaat en Defensie, dat als een incident zich voordoet, we elkaar kunnen bijstaan met het verlenen van capaciteit en kennis.
Vraag: Heeft u dat in deze specifieke situatie ookgedaan?
Middeldorp: "Nee, want SURF was pas aangewezen als organisatie om informatie mee te delen nadat dit incident zich voordeed, en ook dat Nationaal Response Netwerk daar hebben we pas heel recent een convenant voor afgesloten."
De precieze tijdlijn en de exacte data van deze nieuwe afspraken worden dus niet genoemd door Middeldorp, maar het lijkt mij een goede reactie, in lijn met wat hierover op security.nl ook al is opgemerkt, namelijk dat het NCSC tot voor kort uitsluitend op de "vitale infrastructuur" gericht was. En ook andere organisaties kunnen met een kleine extra inspanning gewaarschuwd worden. Na uitbreiding van de bevoegdhedenvan het NCSC, zoals nu kennelijk geregeld is.
Alle stappen die ik zie waren bijna al strafbare feiten voordat de computer zelf uitgevonden werd. Dat laatste is alweer een tijdje geleden. Ik lees delict op delict en niet sinds gisteren delict.
De eerste vraag is daarmee al gesteld. Wat doet de afdeling opsporing en vervolging hier mee. En is dat kweenie, kannie, veelsteingewikkelt, geen budsjet, we zijne al overspanne genoeg, we zaten op cursus, de vervolgvraag ook.
Om te beginnen erg blij dat de universiteit zo openheid van zaken geeft. Menige firma had het liever voor zich gehouden. Wat dan natuurlijk weer erg gunstig is voor aangiftestatistiekjes.
Verder voor ons toch steeds weer leuk leesvoer.
Gisteren borrel met klant. Zelf weet ik al 40 jaar hoe je emails spooft. Maar met dat andere verhaal van dat schilderij en die 3 miljoen komt dan bij de borrel dan weer terug. Want klant doet grote zaken en bezig met nog groter. Zij wisten het niet, en ook van gsm en sms spoofing niet. De borrel liep daardoor ook weer wat uit. Maar meehelpen bij de grotere zaken zit nog beter in mijn zak. Beter zo, dan achteraf uitleggen hoe stom ze zelf zijn geweest. En dan je factuur er achteraan.
De eerste vraag is daarmee al gesteld. Wat doet de afdeling opsporing en vervolging hier mee. En is dat kweenie, kannie, veelsteingewikkelt, geen budsjet, we zijne al overspanne genoeg, we zaten op cursus, de vervolgvraag ook.
Om te beginnen erg blij dat de universiteit zo openheid van zaken geeft. Menige firma had het liever voor zich gehouden. Wat dan natuurlijk weer erg gunstig is voor aangiftestatistiekjes.
Verder voor ons toch steeds weer leuk leesvoer.
Gisteren borrel met klant. Zelf weet ik al 40 jaar hoe je emails spooft. Maar met dat andere verhaal van dat schilderij en die 3 miljoen komt dan bij de borrel dan weer terug. Want klant doet grote zaken en bezig met nog groter. Zij wisten het niet, en ook van gsm en sms spoofing niet. De borrel liep daardoor ook weer wat uit. Maar meehelpen bij de grotere zaken zit nog beter in mijn zak. Beter zo, dan achteraf uitleggen hoe stom ze zelf zijn geweest. En dan je factuur er achteraan.
Door Anoniem:
Linux is geen kaas zonder gaten,meneer de voorzitter
Dan begrijpt u er maar bar weinig van, want het gaat hier om het aanvalsoppervlak, dat vele malen kleiner is dan bij een Windows-omgeving. De aanval op de UM bewijst dat nog eens keihard.Door Advanced Encryption Standard: Zo te horen is de Windows-omgeving gecompromitteerd geweest, maar niet de Linux-omgeving.
Linux is geen kaas zonder gaten,meneer de voorzitter
Door Anoniem:
Linux is geen kaas zonder gaten,meneer de voorzitter
Dit is duidelijk iemand die de uitzending gemist heeft, want het is door het universiteitsteam wel degelijk gezegd.Door Advanced Encryption Standard: Zo te horen is de Windows-omgeving gecompromitteerd geweest, maar niet de Linux-omgeving.
Linux is geen kaas zonder gaten,meneer de voorzitter
Bovendien draait Clop-Ransomware op Windows en niet op Linux.
https://www.virustotal.com/gui/file/d529bf7e8bce6a2fcf002e4423d00b7cbf9b11564fec31d58d647e7ec31cf86f/details
Dit is eind januari bekend gemaakt. Zie https://zoek.officielebekendmakingen.nl/stcrt-2020-4410.html
05-02-2020, 20:19 door
karma4
Door Advanced Encryption Standard:
Dit is duidelijk iemand die de uitzending gemist heeft, want het is door het universiteitsteam wel degelijk gezegd.
Bovendien draait Clop-Ransomware op Windows en niet op Linux.
https://www.virustotal.com/gui/file/d529bf7e8bce6a2fcf002e4423d00b7cbf9b11564fec31d58d647e7ec31cf86f/details
Ik heb de uitzending niet gemist. Het is via endpoints binnen gekomen. Dit is duidelijk iemand die de uitzending gemist heeft, want het is door het universiteitsteam wel degelijk gezegd.
Bovendien draait Clop-Ransomware op Windows en niet op Linux.
https://www.virustotal.com/gui/file/d529bf7e8bce6a2fcf002e4423d00b7cbf9b11564fec31d58d647e7ec31cf86f/details
Reden de verleiding als mens als zwakste schakel in de keten en de massaliteit waardoor geavanceerde verdediging zoals een soc center nodig is. Het blijven hangen in os oorlogen van de jaren 90 lijkt een de achterliggende problemen te zijn. Genoeg van die gatenkaas in dat andere os te volgen.
Opvallend het noemen van dat gebruik van een account met alle rechten. Opvallend omdat er hier zo aan voorbij gegaan wordt.
Het kan aan mij liggen hoor, maar een mail met een link naar een kwaadaardig document is toch geen phishing mail?
Op iedere website waarin wordt uitgelegd wat phishing mail is, staat dat het mail is dat een persoon verleidt tot het afstaan van gevoelige gegevens.
Op iedere website waarin wordt uitgelegd wat phishing mail is, staat dat het mail is dat een persoon verleidt tot het afstaan van gevoelige gegevens.
@Root zie https://attack.mitre.org/techniques/T1192/
Spearphishing with a link is a specific variant of spearphishing. It is different from other forms of spearphishing in that it employs the use of links to download malware contained in email, instead of attaching malicious files to the email itself, to avoid defenses that may inspect email attachments.
Spearphishing with a link is a specific variant of spearphishing. It is different from other forms of spearphishing in that it employs the use of links to download malware contained in email, instead of attaching malicious files to the email itself, to avoid defenses that may inspect email attachments.
Door root: Het kan aan mij liggen hoor, maar een mail met een link naar een kwaadaardig document is toch geen phishing mail?
Bij een phishing mail wordt een persoon via mail verleid tot het afstaan van gevoelige gegevens.
Bij een phishing mail wordt een persoon via mail verleid tot het afstaan van gevoelige gegevens.
Niet per se, phishing wordt ingezet om mensen te verleiden dingen te doen waar de phisher beter van kan worden.
Door Anoniem: Overigens complimenten aan de UM en Fox-IT voor het delen van deze informatie, dat mag ook wel een keer benoemd worden.
EENS!!
05-02-2020, 21:39 door
souplost
Het window syndroom, een simpele drive by infectie, heeft weer toegeslagen. Men is in het nieuws blind voor de alternatieven. Een drive by infectie is op een Linux desktop nog nooit gelukt. Interessant is dan waarom dat niet wordt aanbevolen? Waarom holt iedereen achter die malwaregevoelige oude oplossingen aan?
Als je in die monocultuur blijf hangen weet je dat je vroeg of laat de klos bent. Met ezels heb ik geen medelijden. Blijft over wie gaat deze schade die richting het miljoen loopt betalen?
Als je in die monocultuur blijf hangen weet je dat je vroeg of laat de klos bent. Met ezels heb ik geen medelijden. Blijft over wie gaat deze schade die richting het miljoen loopt betalen?
Door root: Het kan aan mij liggen hoor, maar een mail met een link naar een kwaadaardig document is toch geen phishing mail?
Op iedere website waarin wordt uitgelegd wat phishing mail is, staat dat het mail is dat een persoon verleidt tot het afstaan van gevoelige gegevens.
Op iedere website waarin wordt uitgelegd wat phishing mail is, staat dat het mail is dat een persoon verleidt tot het afstaan van gevoelige gegevens.
En beide e-mails hadden spelfouten en waren merkwaardig. En toch geklikt. Elke awareness training die ik zie wijst mensen op o.a. die twee zaken. Dus had awareness training hier wellicht erg geholpen. Zoals ook door UM onderkend.
Door souplost: Het window syndroom, een simpele drive by infectie, heeft weer toegeslagen. Men is in het nieuws blind voor de alternatieven. Een drive by infectie is op een Linux desktop nog nooit gelukt. Interessant is dan waarom dat niet wordt aanbevolen? Waarom holt iedereen achter die malwaregevoelige oude oplossingen aan?
Als je in die monocultuur blijf hangen weet je dat je vroeg of laat de klos bent. Met ezels heb ik geen medelijden. Blijft over wie gaat deze schade die richting het miljoen loopt betalen?
Jij!Als je in die monocultuur blijf hangen weet je dat je vroeg of laat de klos bent. Met ezels heb ik geen medelijden. Blijft over wie gaat deze schade die richting het miljoen loopt betalen?
Of loop je in de steun?
Door Bitje-scheef:
95% van dit soort besmettingen beginnen met MS Office documenten... Dus is het dan inhoudelijk genoeg ?
Ja je kunt het deels dichtzetten, maar er blijven genoeg opties tot rotzooien over.
Door Marcel de Haas:
Is dit een inhoudelijke reactie of gewoon afgeven op MS Office? Ja dit is zeker een vector die je moet belichten maar deze contextloze opmerking voegt niet veel toe aan een betere strategie. Oogklepjes af en vooral blijven nadenken en daarbij deze bevindingen meenemen.
Door Bitje-scheef: MS Office.... kill VBS en kill macros (unsigned).
Is dit een inhoudelijke reactie of gewoon afgeven op MS Office? Ja dit is zeker een vector die je moet belichten maar deze contextloze opmerking voegt niet veel toe aan een betere strategie. Oogklepjes af en vooral blijven nadenken en daarbij deze bevindingen meenemen.
95% van dit soort besmettingen beginnen met MS Office documenten... Dus is het dan inhoudelijk genoeg ?
Ja je kunt het deels dichtzetten, maar er blijven genoeg opties tot rotzooien over.
Ik vrees dat je deze getallen niet in een betrouwbare bron hebt gevonden, nets iets minder dan de helft van de malware heeft Office documenten als drager. Het is erg makkelijk om je blind te staren op macro's in deze documenten. Helaas zijn er ook methodes om detectie te ontwijken en maatregelen te omzeilen. Een bredere blik is nodig om dekkende maatregelen te bedenken. Dat is alles wat ik wil zeggen.
05-02-2020, 23:47 door
Planeten Paultje
Door souplost: </> Blijft over wie gaat deze schade die richting het miljoen loopt betalen?
Uh, de belastingbetaler?Ben ik nu de enige die dit hele circus niet begrijp of wil men mij maar niet begrijpen?
Ja het zijn steeds weer de bekende ingesleten zwakheden, die steeds opnieuw als "features" worden bestempeld.
Wanneer wordt het dubbele extensie probleem nu eens opgelost door MS? Nog steeds is er niets gebeurd.
Toch raakt de gebruiker het vertrouwen niet kwijt. Een rare zaak na zoveel doorgezette onveiligheid.
Japan komt zelfs met een open source emotet scanner, om te scanner wat niet veilig en niet gesigneerd is.
Waar zitten nog steeds de onveilig gecodeerde interne http account sites bij de verschillende instituten?
Overal of toch of minstens wel veel te vaak een Hacker's Paradijs, man.
In maart gaat men weer PHP harden, maar het schiet nog steeds geen draad op met Esser's geharde PHP.
Het voetvolk doet het steeds verkeerd, maar de grote multinationale Big Tech corporaties blijven lekker buiten schot,
vanwege "too big to fail" en een collaborerende vol-graai-elite, maar aan de andere kant faalt het systeem constant.
Security as a last resort thing, again and again. We blijven in dezelfde tredmolen van onveiligheid ronddraaien.
luntrus
Ja het zijn steeds weer de bekende ingesleten zwakheden, die steeds opnieuw als "features" worden bestempeld.
Wanneer wordt het dubbele extensie probleem nu eens opgelost door MS? Nog steeds is er niets gebeurd.
Toch raakt de gebruiker het vertrouwen niet kwijt. Een rare zaak na zoveel doorgezette onveiligheid.
Japan komt zelfs met een open source emotet scanner, om te scanner wat niet veilig en niet gesigneerd is.
Waar zitten nog steeds de onveilig gecodeerde interne http account sites bij de verschillende instituten?
Overal of toch of minstens wel veel te vaak een Hacker's Paradijs, man.
In maart gaat men weer PHP harden, maar het schiet nog steeds geen draad op met Esser's geharde PHP.
Het voetvolk doet het steeds verkeerd, maar de grote multinationale Big Tech corporaties blijven lekker buiten schot,
vanwege "too big to fail" en een collaborerende vol-graai-elite, maar aan de andere kant faalt het systeem constant.
Security as a last resort thing, again and again. We blijven in dezelfde tredmolen van onveiligheid ronddraaien.
luntrus
Tja proberen het systeem veilig te houden zonder management support of budget en veel frustratie vs een kleine kans om gepakt te worden maar financieel binnen te lopen. Niet iedereen heeft dezelfde moraal.
30 bitcoin. Waar doet mij dat nou aan denken? 30 piece of silver (Judas)
Maar goed, ik ben het wel met de Linux gasten eens, alleen zouden die mensen toch echt eens OpenBSD moeten proberen, en dat geldt ook voor de mensen die werkzaam zijn op de uni.
Maar goed, ik ben het wel met de Linux gasten eens, alleen zouden die mensen toch echt eens OpenBSD moeten proberen, en dat geldt ook voor de mensen die werkzaam zijn op de uni.
06-02-2020, 07:25 door
karma4
Door donderslag: 30 bitcoin. Waar doet mij dat nou aan denken? 30 piece of silver (Judas)
Maar goed, ik ben het wel met de Linux gasten eens, alleen zouden die mensen toch echt eens OpenBSD moeten proberen, en dat geldt ook voor de mensen die werkzaam zijn op de uni.
BSD? Dat is dat Citrix lek. Je hebt echt niet door wat informatieveiligheid inhoud. Maar goed, ik ben het wel met de Linux gasten eens, alleen zouden die mensen toch echt eens OpenBSD moeten proberen, en dat geldt ook voor de mensen die werkzaam zijn op de uni.
Intussen dat rapport maar eens doorgenomen. Ze hadden Splunk met een heleboel logs, die zijn gebruikt om de gebeurtenissen te achterhalen. Het soc center hadden ze nog niet maar wel een zeer omvangrijke complexe omgeving.
Je hebt geautomatiseerde big data tools nodig om de grote hoeveelheden signalen en gebeurtenissen te kunnen verwerken en er op te acteren. Het wegwuiven dat het voor die andere beheerder is (not my problem) is nu dat grote probleem.
Wat zoiets met al die nadere maatregelen zal gaan kosten? Daar zou je wel eens behoorlijk van kunnen schrikken.
Het is niet voor niets dat er gezegd wordt dat het volledig uitsluiten niet mogelijk is.
Door karma4: Reden de verleiding als mens als zwakste schakel in de keten en de massaliteit waardoor geavanceerde verdediging zoals een soc center nodig is.
"NIET OP DIE EMAIL KLIKKEN" als best mogelijke verdediging en dan maar een klikpolitie instellen, want dat is "geavanceerde verdediging".Ik had toch echt beter verwacht van de automatiseringsjongens.
Het blijven hangen in os oorlogen van de jaren 90 lijkt een de achterliggende problemen te zijn. Genoeg van die gatenkaas in dat andere os te volgen.
Buiten dan dat ene detail dat deze ransomware niet op een ander OS werkt, dus valt je argument weer eens compleet in het water. Bovendien heb je boter op het hoofd want jij bent vaak de eerste die OSen te onpas er aan de haren bijtrekt en zodra er wel reden is om eens naar het OS te kijken begin je met "os oorlogen" of "evangelisten" of weetikhetwat te gillen.Door karma4:
Versimpeld komt jouw redenering neer op "product B leent code van product A. Hebben we het over product A? Dan gelden ook alle fouten in product B als argument tegen product A!" Dat is al geen valide logica, karma4. Daarnaast ben je er al eerder op gewezen dat "BSD" niet één pot nat is, wat ook betekent dat je hier onzin verkoopt.Maar goed, ik ben het wel met de Linux gasten eens, alleen zouden die mensen toch echt eens OpenBSD moeten proberen, en dat geldt ook voor de mensen die werkzaam zijn op de uni.
BSD? Dat is dat Citrix lek. Je hebt echt niet door wat informatieveiligheid inhoud. Het is niet voor niets dat er gezegd wordt dat het volledig uitsluiten niet mogelijk is.
Dat is net zoiets als zeggen als dat "ach, ook stenen huizen fikken wel eens af dus gaan we lekker doorrrrrr met huizen van stro en rijstpapier bouwen".En toch was het een goed idee om te herbouwen in steen in Londen na 1666. Wat hier dus niet gebeurd is, of zal gebeuren.
Door donderslag: 30 bitcoin. Waar doet mij dat nou aan denken? 30 piece of silver (Judas)
Maar goed, ik ben het wel met de Linux gasten eens, alleen zouden die mensen toch echt eens OpenBSD moeten proberen, en dat geldt ook voor de mensen die werkzaam zijn op de uni.
Maar goed, ik ben het wel met de Linux gasten eens, alleen zouden die mensen toch echt eens OpenBSD moeten proberen, en dat geldt ook voor de mensen die werkzaam zijn op de uni.
Hoewel mooi heeft OpenBSD ook nadelen. Zoals dat het base system van OpenBSD niet in packages zit (in tegenstelling tot Linux). Dus als je security updates op het base system krijgt dan moet je zelf source code gaan compileren. Dat kan je wel automatisch laten gebeuren maar - zeker op een oudere machine - kost het wel aardig wat tijd. Aantal punten en link naar bron hieronder.
https://cfenollosa.com/blog/openbsd-from-a-veteran-linux-user-perspective.html
OpenBSD has packages, like Linux. Unlike it, packages are only available for 3rd party software, not the base system.
...
As a colophon, if you're using x86 or amd64, m:tier provides binary updates for the base system and packages, much like Linux does. Otherwise, if there is any bug in the base system you'll need to recompile that part yourself. The amount of compiling needed will be determined by the patched component and any related software, so just read the instructions on the patch.
...
I feel that this needs to be more prominent in the OpenBSD docs, especially on the Migrating to OpenBSD section: if you want an updated and stable system you'll need to recompile stuff constantly, there is no equivalent to apt-get upgrade.
OpenBSD has packages, like Linux. Unlike it, packages are only available for 3rd party software, not the base system.
...
As a colophon, if you're using x86 or amd64, m:tier provides binary updates for the base system and packages, much like Linux does. Otherwise, if there is any bug in the base system you'll need to recompile that part yourself. The amount of compiling needed will be determined by the patched component and any related software, so just read the instructions on the patch.
...
I feel that this needs to be more prominent in the OpenBSD docs, especially on the Migrating to OpenBSD section: if you want an updated and stable system you'll need to recompile stuff constantly, there is no equivalent to apt-get upgrade.
Door The FOSS:
Hoewel mooi heeft OpenBSD ook nadelen. Zoals dat het base system van OpenBSD niet in packages zit (in tegenstelling tot Linux). Dus als je security updates op het base system krijgt dan moet je zelf source code gaan compileren. Dat kan je wel automatisch laten gebeuren maar - zeker op een oudere machine - kost het wel aardig wat tijd. Aantal punten en link naar bron hieronder.
Door donderslag: 30 bitcoin. Waar doet mij dat nou aan denken? 30 piece of silver (Judas)
Maar goed, ik ben het wel met de Linux gasten eens, alleen zouden die mensen toch echt eens OpenBSD moeten proberen, en dat geldt ook voor de mensen die werkzaam zijn op de uni.
Maar goed, ik ben het wel met de Linux gasten eens, alleen zouden die mensen toch echt eens OpenBSD moeten proberen, en dat geldt ook voor de mensen die werkzaam zijn op de uni.
Hoewel mooi heeft OpenBSD ook nadelen. Zoals dat het base system van OpenBSD niet in packages zit (in tegenstelling tot Linux). Dus als je security updates op het base system krijgt dan moet je zelf source code gaan compileren. Dat kan je wel automatisch laten gebeuren maar - zeker op een oudere machine - kost het wel aardig wat tijd. Aantal punten en link naar bron hieronder.
https://cfenollosa.com/blog/openbsd-from-a-veteran-linux-user-perspective.html
OpenBSD has packages, like Linux. Unlike it, packages are only available for 3rd party software, not the base system.
...
As a colophon, if you're using x86 or amd64, m:tier provides binary updates for the base system and packages, much like Linux does. Otherwise, if there is any bug in the base system you'll need to recompile that part yourself. The amount of compiling needed will be determined by the patched component and any related software, so just read the instructions on the patch.
...
I feel that this needs to be more prominent in the OpenBSD docs, especially on the Migrating to OpenBSD section: if you want an updated and stable system you'll need to recompile stuff constantly, there is no equivalent to apt-get upgrade.
OpenBSD has packages, like Linux. Unlike it, packages are only available for 3rd party software, not the base system.
...
As a colophon, if you're using x86 or amd64, m:tier provides binary updates for the base system and packages, much like Linux does. Otherwise, if there is any bug in the base system you'll need to recompile that part yourself. The amount of compiling needed will be determined by the patched component and any related software, so just read the instructions on the patch.
...
I feel that this needs to be more prominent in the OpenBSD docs, especially on the Migrating to OpenBSD section: if you want an updated and stable system you'll need to recompile stuff constantly, there is no equivalent to apt-get upgrade.
Er zal altijd wel ergens code draaien met een kwetsbaarheid. Medewerkers blijven voorlichten en investeren in serieuze DR.
Alles binnen 50 minuten versleuteld, nou dan heb ik respect voor de performance van die systemen, en zeker van
de storage! Dat zou bij ons niet kunnen hoor, alle data op de disken in 50 minuten door een proces halen.
Dit soort trojans (gebruik makend van een macro in een office document) zullen vrijwel altijd heel snel in het proces
een executable downloaden en uitvoeren, om uit de beperkingen van Office te ontsnappen.
Je kunt dit dan ook simpel voorkomen door je AppLocker policies zodanig in te regelen dat een gebruiker geen
executables mag uitvoeren vanaf locaties waar hij kan schrijven. Dus alleen vanaf vooraf bepaalde plekken zoals
Windows en Program Files waar de gebruiker niet mag schrijven.
Geeft dit te veel issues door jarenlang laks beheer dan kun je in ieder geval beginnen met executables in de Temp
en Download directories te verbieden, want daar komen ze in de praktijk meestal terecht.
de storage! Dat zou bij ons niet kunnen hoor, alle data op de disken in 50 minuten door een proces halen.
Dit soort trojans (gebruik makend van een macro in een office document) zullen vrijwel altijd heel snel in het proces
een executable downloaden en uitvoeren, om uit de beperkingen van Office te ontsnappen.
Je kunt dit dan ook simpel voorkomen door je AppLocker policies zodanig in te regelen dat een gebruiker geen
executables mag uitvoeren vanaf locaties waar hij kan schrijven. Dus alleen vanaf vooraf bepaalde plekken zoals
Windows en Program Files waar de gebruiker niet mag schrijven.
Geeft dit te veel issues door jarenlang laks beheer dan kun je in ieder geval beginnen met executables in de Temp
en Download directories te verbieden, want daar komen ze in de praktijk meestal terecht.
06-02-2020, 10:10 door
karma4
Door Anoniem: ….
Dat is net zoiets als zeggen als dat "ach, ook stenen huizen fikken wel eens af dus gaan we lekker doorrrrrr met huizen van stro en rijstpapier bouwen".
En toch was het een goed idee om te herbouwen in steen in Londen na 1666. Wat hier dus niet gebeurd is, of zal gebeuren.
Nope het is net zoiets als zeggen we geven de rivier deze ruimte, maken de dijken zo hoog, Dan hebben we een kans dat eens op de zoveel tijd het mis gaat. Daarmee ga je de klimaatverandering niet tegen en je geeft geen absolute zekerheid.Dat is net zoiets als zeggen als dat "ach, ook stenen huizen fikken wel eens af dus gaan we lekker doorrrrrr met huizen van stro en rijstpapier bouwen".
En toch was het een goed idee om te herbouwen in steen in Londen na 1666. Wat hier dus niet gebeurd is, of zal gebeuren.
Voor de aboslute zekerheid om niet onder water te lopen moet je het hoog en droog zoeken. Dan nog is niets zeker.
Zelfs in woestijnen verdrinken mensen.
Als je denkt dat bouwen in steen alle brand uitsluit dan heb je een goed voorbeeld waarom de os flaming nutteloos is.
Baksteen of beton maakt weinig verschil als je aan de buitenkant brandbaar kwetsbaar materiaal plaatst.
@ karma4, ik begin me te realiseren waarom veel mensen zo'n hekel aan jou hebben.
@ TheFOSS,
Maar dat gezegd hebbende, ik ben persoonlijk veel meer een voorstander van zoiets als plan9 dat zich in zijn geheel (inclusief compiler) compileert binnen 2 minuten. Dan zouden we tekst kunnen gaan updaten ipv binaire code en het lijkt mij dat tekst toch net iets beter te behappen is. Okay, ik weet dat het een utopie is maar wel eentje die ik nog heel graag zou willen zien.
@ TheFOSS,
Hoewel mooi heeft OpenBSD ook nadelen. Zoals dat het base system van OpenBSD niet in packages zit (in tegenstelling tot Linux). Dus als je security updates op het base system krijgt dan moet je zelf source code gaan compileren.
Wow, jij compileert jouw code zelf? Ik gebruik gewoon stable, ik ga niet verreken met het nieuwste en ach een keer een doas sysupgrade en klaar.Maar dat gezegd hebbende, ik ben persoonlijk veel meer een voorstander van zoiets als plan9 dat zich in zijn geheel (inclusief compiler) compileert binnen 2 minuten. Dan zouden we tekst kunnen gaan updaten ipv binaire code en het lijkt mij dat tekst toch net iets beter te behappen is. Okay, ik weet dat het een utopie is maar wel eentje die ik nog heel graag zou willen zien.
Door karma4: BSD? Dat is dat Citrix lek. Je hebt echt niet door wat informatieveiligheid inhoud.
En jij geeft er weer eens blijk van dat bij jou een basaal vermogen om te bevatten waar een probleem eigenlijk zit ontbreekt. Dat lek in Citrix is niet veroorzaakt door BSD, het is een lek in Citrix zelf. BSD "is" niet dat Citrix-lek.Ik zie niet in hoe informatieveiligheid onder jouw hoede goed kan gaan als je al met dit soort basale zaken de mist in gaat.
Door souplost: Het window syndroom, een simpele drive by infectie, heeft weer toegeslagen. Men is in het nieuws blind voor de alternatieven. Een drive by infectie is op een Linux desktop nog nooit gelukt. Interessant is dan waarom dat niet wordt aanbevolen? Waarom holt iedereen achter die malwaregevoelige oude oplossingen aan?
Als je in die monocultuur blijf hangen weet je dat je vroeg of laat de klos bent. Met ezels heb ik geen medelijden. Blijft over wie gaat deze schade die richting het miljoen loopt betalen?
En daar hebben we de gebruikte onzin posts weer. Helaas. Opmerkingen waar je niets aan hebt.Als je in die monocultuur blijf hangen weet je dat je vroeg of laat de klos bent. Met ezels heb ik geen medelijden. Blijft over wie gaat deze schade die richting het miljoen loopt betalen?
Door donderslag: 30 bitcoin. Waar doet mij dat nou aan denken? 30 piece of silver (Judas)
Maar goed, ik ben het wel met de Linux gasten eens, alleen zouden die mensen toch echt eens OpenBSD moeten proberen, en dat geldt ook voor de mensen die werkzaam zijn op de uni.
OpenBSD is een heel mooi systeem, maar ondersteuning is een drama. En daarom ongeschikt voor normale workloads.Maar goed, ik ben het wel met de Linux gasten eens, alleen zouden die mensen toch echt eens OpenBSD moeten proberen, en dat geldt ook voor de mensen die werkzaam zijn op de uni.
Door The FOSS: Hoewel mooi heeft OpenBSD ook nadelen. Zoals dat het base system van OpenBSD niet in packages zit (in tegenstelling tot Linux). Dus als je security updates op het base system krijgt dan moet je zelf source code gaan compileren.
Dit is niet waar. OpenBSD levert het base system als geheel in een archiefbestand, dat je in z'n geheel over het vorige basissysteem kan uitpakken. Als je niet van de erbijgeleverde infrastructuur gebruik wil maken die dat integreren netjes laat verlopen. Dus je hoeft niet zelf te compileren. Het kan wel, dus die vrijheid heb je, maar het hoeft niet.Wat mij betreft is dit dan ook een "linux veteraan" die hier even wat denkfouten maakt.
Het is wel weer zo dat je het base system liever in single user mode bijwerkt, dus even op de achtergrond een upgrade draaien vanuit cron die alle packages en het base system tegelijk bijwerkt, dat heb je niet. Zou ik ook niet willen want het gebeurt wel eens dat er dingen in /etc bijgewerkt moeten worden en daar wil ik als admin zelf bij zijn. Maar het compileerverhaal is onzin.
Door Anoniem: OpenBSD is een heel mooi systeem, maar ondersteuning is een drama. En daarom ongeschikt voor normale workloads.
In welk opzicht bedoel je dat?Volgens mij is de hardwareondersteuning niet slecht gezien de grootte van het project, en kun je prima verdere ondersteuning krijgen bij bedrijfjes die zich daarin specialiseren. Dat je die ondersteuning niet van microsoft of red hat-nu-ibm krijgt lijkt me geen argument in dezen.
Door Anoniem:
Door souplost: Het window syndroom, een simpele drive by infectie, heeft weer toegeslagen. Men is in het nieuws blind voor de alternatieven. Een drive by infectie is op een Linux desktop nog nooit gelukt. Interessant is dan waarom dat niet wordt aanbevolen? Waarom holt iedereen achter die malwaregevoelige oude oplossingen aan?
Als je in die monocultuur blijf hangen weet je dat je vroeg of laat de klos bent. Met ezels heb ik geen medelijden. Blijft over wie gaat deze schade die richting het miljoen loopt betalen?
En daar hebben we de gebruikte onzin posts weer. Helaas. Opmerkingen waar je niets aan hebt.Als je in die monocultuur blijf hangen weet je dat je vroeg of laat de klos bent. Met ezels heb ik geen medelijden. Blijft over wie gaat deze schade die richting het miljoen loopt betalen?
Door donderslag: 30 bitcoin. Waar doet mij dat nou aan denken? 30 piece of silver (Judas)
Maar goed, ik ben het wel met de Linux gasten eens, alleen zouden die mensen toch echt eens OpenBSD moeten proberen, en dat geldt ook voor de mensen die werkzaam zijn op de uni.
OpenBSD is een heel mooi systeem, maar ondersteuning is een drama. En daarom ongeschikt voor normale workloads.Maar goed, ik ben het wel met de Linux gasten eens, alleen zouden die mensen toch echt eens OpenBSD moeten proberen, en dat geldt ook voor de mensen die werkzaam zijn op de uni.
Ik ben het met je eens. Dus waarom gaan wij twee nou eens een keer niet een IT service bedrijf oprichten dat georiënteerd is rondom OpenBSD? Ik kan je garanderen dat het werk heel simpel en saai zal zijn en zich vooral rondom zaken als configuratiebeheer, puppet / ansibe, package management en backups omvat. En bovenal is het niet crisismanagement, dus ook geen overwerk. Deal?
Door Advanced Encryption Standard: Zo te horen is de Windows-omgeving gecompromitteerd geweest, maar niet de Linux-omgeving.
Zou ook de Linux omgeving, met de wetenschappelijke databases, zijn gecompromitteerd, dan waren de kroonjuwelen gegijzeld of hadden deze als gestolen moeten worden beschouwd. Het was dan niet bij een paar ton euro gebleven. De geleden financiële schade en het beschadigde imago van de universiteit, en het medisch centrum, zou dan niet te overzien zijn geweest. De afdeling ICTS was zo verstandig de kroonjuwelen niet aan Microsoft toe te vertrouwen.
Door Anoniem:
Zou ook de Linux omgeving, met de wetenschappelijke databases, zijn gecompromitteerd, dan waren de kroonjuwelen gegijzeld of hadden deze als gestolen moeten worden beschouwd.
Door Advanced Encryption Standard: Zo te horen is de Windows-omgeving gecompromitteerd geweest, maar niet de Linux-omgeving.
Zou ook de Linux omgeving, met de wetenschappelijke databases, zijn gecompromitteerd, dan waren de kroonjuwelen gegijzeld of hadden deze als gestolen moeten worden beschouwd.
Daarover is helaas nog weinig zekerheid verkregen. Zie de sectie met Conclusies in het door de UM gepubliceerde Fox-IT PDF rapport van d.d. 05-02-2020, pagina 29 van 38. Nader onderzoek is nodig om dat vast te stellen.
https://www.maastrichtuniversity.nl/file/foxitrapportreactieuniversiteitmaastricht2pdf
5. Zijn gegevens ingezien of ontvreemd van door Opdrachtgever geïdentificeerde kroonjuwelen?
Wat betreft de kroonjuwelen kan, technisch gezien, op het moment van schrijven gelet op de scope van het onderzoek niet met een grote mate van waarschijnlijk worden vastgesteld of data daarvan is ingezien, ontvreemd, of anderszins is verwerkt door de aanvaller. [...]
Wat betreft de kroonjuwelen kan, technisch gezien, op het moment van schrijven gelet op de scope van het onderzoek niet met een grote mate van waarschijnlijk worden vastgesteld of data daarvan is ingezien, ontvreemd, of anderszins is verwerkt door de aanvaller. [...]
Door Anoniem:
Ik zie niet in hoe informatieveiligheid onder jouw hoede goed kan gaan als je al met dit soort basale zaken de mist in gaat.
Door karma4: BSD? Dat is dat Citrix lek. Je hebt echt niet door wat informatieveiligheid inhoud.
En jij geeft er weer eens blijk van dat bij jou een basaal vermogen om te bevatten waar een probleem eigenlijk zit ontbreekt. Dat lek in Citrix is niet veroorzaakt door BSD, het is een lek in Citrix zelf. BSD "is" niet dat Citrix-lek.Ik zie niet in hoe informatieveiligheid onder jouw hoede goed kan gaan als je al met dit soort basale zaken de mist in gaat.
Helemaal eens, en ook als de relatie tussen Citrix en BSD meerdere keren wordt uitgelegd blijft Karma4 de relatie niet snappen en verkeerd interpreteren.
Bijvoorbeeld:
https://www.security.nl/posting/642145/Transportbedrijf+Toll+schakelt+systemen+uit+na+cyberincident
04-02-2020, 13:25 door Anoniem
https://www.security.nl/posting/640192/Grapperhaus%3A+Citrix-lek+laat+belang+digitale+veiligheid+zien
21-01-2020, 11:32 door Anoniem
https://www.security.nl/posting/639854/Microsoft+waarschuwt+voor+actief+aangevallen+lek+in+Internet+Explorer
20-01-2020, 14:24 door Anoniem
Door Advanced Encryption Standard: Zo te horen is de Windows-omgeving gecompromitteerd geweest, maar niet de Linux-omgeving.
De relevantie van deze opmerking ontgaat me volledig.Achteraf weet iedereen wat men had moeten doen. In deze cases dus patchen. Ik vermoed dat ze dit nu ook hebben gedaan.....
De penetratie van de diverse linux smaken is niet zo groot vandaar dat men ook malware voornamelijk ontwikkeld voor het platform met de grootste penetratie. (windows dus, linux op een profesionele desktop omgeving zie je niet zoveel) .
En hoe groot is de kans als iedereen, zoals de meeste opleidingsinstituten, Chromebooks had gebruikt?
07-02-2020, 12:24 door
souplost
Door SPer:
Achteraf weet iedereen wat men had moeten doen. In deze cases dus patchen. Ik vermoed dat ze dit nu ook hebben gedaan.....
De penetratie van de diverse linux smaken is niet zo groot vandaar dat men ook malware voornamelijk ontwikkeld voor het platform met de grootste penetratie. (windows dus, linux op een profesionele desktop omgeving zie je niet zoveel) .
Die stelling zit al lang in het rijk der fabeltjes. Linux is het meest gebruikte OS ter wereld en bijna alle kritische systemen worden daar aan toevertrouwd. Daar is dus het meest te halen.Door Advanced Encryption Standard: Zo te horen is de Windows-omgeving gecompromitteerd geweest, maar niet de Linux-omgeving.
De relevantie van deze opmerking ontgaat me volledig.Achteraf weet iedereen wat men had moeten doen. In deze cases dus patchen. Ik vermoed dat ze dit nu ook hebben gedaan.....
De penetratie van de diverse linux smaken is niet zo groot vandaar dat men ook malware voornamelijk ontwikkeld voor het platform met de grootste penetratie. (windows dus, linux op een profesionele desktop omgeving zie je niet zoveel) .
Door Anoniem: En hoe groot is de kans als iedereen, zoals de meeste opleidingsinstituten, Chromebooks had gebruikt?
Dan waren nu alle verzonden en ontvangen emails, uitgevoerde werkopdrachten, het studie- en lesmateriaal en de privégegevens van de studenten, docenten en medewerkers in het bezit van Google.
07-02-2020, 19:29 door
karma4
Door Anoniem:
Ik zie niet in hoe informatieveiligheid onder jouw hoede goed kan gaan als je al met dit soort basale zaken de mist in gaat.
De informatieveiligheid is zeker niet gebaat door die Linux en oss evangelisten die roepen dat alles aan het OS ligt en het management niet moet gaan werken en investeren in als die zaken welke fox-it nu weer een aangehaald heeft.Door karma4: BSD? Dat is dat Citrix lek. Je hebt echt niet door wat informatieveiligheid inhoud.
En jij geeft er weer eens blijk van dat bij jou een basaal vermogen om te bevatten waar een probleem eigenlijk zit ontbreekt. Dat lek in Citrix is niet veroorzaakt door BSD, het is een lek in Citrix zelf. BSD "is" niet dat Citrix-lek.Ik zie niet in hoe informatieveiligheid onder jouw hoede goed kan gaan als je al met dit soort basale zaken de mist in gaat.
Je doet aan kromredenering naar gelang je het uitkomt. Dat is een houding die een oorzaak bij veel rampen is.
Ik gaf één voorbeeld van problemen van dat os met Linux er zijn er legio. IoT vaste wachtwoorden, deze is ook recent:
https://www.security.nl/posting/642879/Androidgebruikers+gewaarschuwd+voor+ernstig+bluetooth-lek
@karma4 de objectieve feiten zijn dat afgerond 100 % (honderd procent) van de mal- en ransomwareproblemen het Windows besturingssysteem betreffen.
Door Anoniem: Nu nog een WhatsApp verbod voor de UM :)
Er zijn wel mensen die Signal hebben voorgesteld, maar 'Whatsapp is zo makkelijk'. Tja...Door Anoniem:
Dan waren nu alle verzonden en ontvangen emails, uitgevoerde werkopdrachten, het studie- en lesmateriaal en de privégegevens van de studenten, docenten en medewerkers in het bezit van Google.
Door Anoniem: En hoe groot is de kans als iedereen, zoals de meeste opleidingsinstituten, Chromebooks had gebruikt?
Dan waren nu alle verzonden en ontvangen emails, uitgevoerde werkopdrachten, het studie- en lesmateriaal en de privégegevens van de studenten, docenten en medewerkers in het bezit van Google.
Wat voor Google Education geldt, gaat ook op voor naïeve studenten die hun scriptie op een Chromebook schrijven:
Het gaat dan bijvoorbeeld om locatiegegevens, bezochte websites, zoekopdrachten, bekeken YouTube-video's, adresboeken, stemopnamen, opgeslagen wachtwoorden andere gedragsgegevens. De aanklacht stelt verder dat Google Education, dat onder andere uit Gmail en Google Docs bestaat, door Google als een goedaardige tool wordt aangeboden, maar in werkelijkheid in het geheim wordt gebruikt om kinderen te monitoren.
Google aangeklaagd voor verzamelen kinderdata via Chromebooks
vrijdag 21 februari 2020, door Redactie
https://www.security.nl/posting/645045/Google+aangeklaagd+voor+verzamelen+kinderdata+via+Chromebooks
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?