image

Volkskrant: criminelen eisen losgeld voor data Hof van Twente

maandag 7 december 2020, 09:11 door Redactie, 42 reacties

De gemeente Hof van Twente is vorige week slachtoffer van een aanval met ransomware geworden waarbij allerlei gegevens zijn versleuteld. De aanvallers claimen dat ze daarnaast veertig terabyte aan data van de gemeente hebben gestolen, zo laat de Volkskrant vandaag weten.

De criminelen achter de aanval eisen 800.000 euro voor het ontsleutelen van de data. Bij de aanval zouden 24 virtuele servers van de gemeente zijn vernietigd en back-upsystemen versleuteld. Voor het versleutelen werden er back-ups gestolen, zo beweren de aanvallers. Het zou gaan om de financiële administratie, e-mails en persoonlijke gegevens van burgers.

De Volkskrant zocht zelf contact met de criminelen. Volgens de krant zijn politie en de gemeente niet op de hoogte van de eisen van de groep. De criminelen lieten een bericht achter om contact op te nemen, maar op advies van de politie werd daar geen gehoor aan gegeven, laat burgemeester Ellen Nauta weten. "De politie heeft uitdrukkelijk verzocht om hen de tijd te geven onderzoek te doen. Dat advies heb ik gerespecteerd."

De burgemeester stelt dat het niet alleen aan haar is om met de criminelen te onderhandelen of het losgeld te betalen. "Daar heb ik geen antwoord op. Ik vind ook niet dat ik mijn eentje zo'n beslissing moet nemen. Daar wil ik met de fractievoorzitters over praten. En uiteindelijk gaat de gemeenteraad over de besteding van geld."

Vanwege de aanval moet de gemeente een compleet nieuwe ict-infrastructuur aanleggen. Hoe lang dat gaat duren is op dit moment nog onbekend. Allerlei diensten zijn voor burgers hierdoor niet beschikbaar. Zo is het nog altijd niet mogelijk om bijvoorbeeld een paspoort, rijbewijs of identiteitskaart aan te vragen of te verlengen. Ook het doorgeven van een verhuizing, het maken van afspraken of het aanvragen van een uittreksel uit het bevolkingsregister is op dit moment niet mogelijk.

Reacties (42)
07-12-2020, 09:22 door Anoniem
Je gaat het toch merken aan je beschikbare bandbreedte als iemand 40 terrabyte downloadt? Lijkt me dus gelogen. Sowieso geen geld richting criminelen, maar nu helemaal.
07-12-2020, 09:25 door Briolet
Lees ik een andere Volkskrant? In de versie van 4:00 uur staat bij mij 750 duizend euro.

Ik vraag me wel af hoezo de Volkskrant deze mensen weet te vinden, terwijl ze vanuit de gemeente geen aanwijzingen gehad hebben. En als ze al lang contact houden met deze hackers, is de Volkskrant dan niet ook medeplichtig aan computercriminaliteit door hun kennis over deze groep niet eerder met de opsporingsdiensten te delen?
07-12-2020, 09:30 door Anoniem
Door Briolet:
Ik vraag me wel af hoezo de Volkskrant deze mensen weet te vinden, terwijl ze vanuit de gemeente geen aanwijzingen gehad hebben.
Volgens Tweakers: 'De Volkskrant wist contact te leggen met de criminelen via het e-mailadres dat in de losgeldbrief stond.'
07-12-2020, 09:31 door Anoniem
De politie kan onderzoeken wat ze willen maar als het de groep is welke ik denk dat het is dan gaat de versleuteling er zonder betalen echt niet af. Tevens lopen ze hiermee het risco dat de data openbaar wordt.

"Vanwege de aanval moet de gemeente een compleet nieuwe ict-infrastructuur aanleggen." Tja, vanwege de aanval of slecht beheer/management? Uiteraard is het niet netjes dat een crimineel dit doet maar met een betere inrichting was het wel moeilijker geworden of was de impact lager. Ik heb eens door een dfir website gebladerd welke diverse ransomware aanvallen onderzochten en daar zijn zeer stabiele/generieke IOCs te vinden. Dan moet je natuurlijk wel je eventlogs, netwerkverkeer en host monitoren + meldingen opvolgen. Bij een deel van de bedrijven wordt dit als "te duur" ervaren.
07-12-2020, 09:43 door Anoniem
Er komt wel wat zorgelijke informatie boven door het graven van de Volkskrant. Van de burgemeester worden we niks wijzer die gaat liever zitten wachten op de politie.

Uit het artikel:
"Bronnen zeggen dat de criminelen toegang kregen via het Remote Desktop Protocol. Daarmee is het mogelijk om van afstand toegang te krijgen tot een andere computer. Ze zouden middels bruteforcen het wachtwoord hebben gekraakt."

Dus men heeft open en bloot RDP aan staan zonder bruteforce detectie of geo/ip-block.....

"De hackers claimen 40Tb aan informatie te bezitten. "

Dan heeft men dus een aardige upload (zelfs met compressie) naar buiten weten te krijgen zonder detectie...

"Digitale specialisten van de politie, die vanaf dinsdag waren ingelicht, konden dagenlang geen toegang krijgen tot de computersystemen. Tot frustratie van de politiemedewerkers wilde de it-leverancier van de gemeente, Switch IT Solutions uit Enschede, hen niet de gebruikersnamen en wachtwoorden verstrekken."

Fijne IT leverancier, je zou verwachten dat de gemeente in een contract of procedure iets over incident response/handling opneemt.
07-12-2020, 09:54 door Anoniem
Nieuwsgaring is een groot goed dat wij moeten behouden.
Maar vraag mij serieus af of de Volkskrant er goed aan gedaan heeft om contact te zoeken met een anoniem mailadres.
Misschien kan iemand hier dat toe lichten?
07-12-2020, 09:58 door Anoniem
"De Volkskrant zocht zelf contact met de criminelen."

Wat een armoede. Bij gebrek aan onderzoeksjournalistiek en overschot aan associetedpressknipsels -gelijk aan alle andere Belgische kranten in NL- dan maar sensatie creëren.
Zoals Briolet al aangeeft, maakt die krant zichzelf erg verdacht.
07-12-2020, 10:00 door Anoniem
Door Anoniem: Je gaat het toch merken aan je beschikbare bandbreedte als iemand 40 terrabyte downloadt? Lijkt me dus gelogen. Sowieso geen geld richting criminelen, maar nu helemaal.
Ik denk dat je dat onderschat. Die 40TB zal niet in één of twee nachten gedownload zijn. Dat hebben ze vermoedelijk gespreid over meerdere weken/maanden. Op basis van alleen bandbreedte ga je een goed georganiseerde hack niet detecteren. Daar zijn andere maatregelen voor nodig.
07-12-2020, 10:01 door Anoniem
Door Briolet: Lees ik een andere Volkskrant? In de versie van 4:00 uur staat bij mij 750 duizend euro.

Ik vraag me wel af hoezo de Volkskrant deze mensen weet te vinden, terwijl ze vanuit de gemeente geen aanwijzingen gehad hebben. En als ze al lang contact houden met deze hackers, is de Volkskrant dan niet ook medeplichtig aan computercriminaliteit door hun kennis over deze groep niet eerder met de opsporingsdiensten te delen?

De criminelen eisen 50 bitcoin, dat is nu 800.000 euro.
07-12-2020, 10:06 door Anoniem
Door Anoniem: Er komt wel wat zorgelijke informatie boven door het graven van de Volkskrant. Van de burgemeester worden we niks wijzer die gaat liever zitten wachten op de politie.

Uit het artikel:
"Bronnen zeggen dat de criminelen toegang kregen via het Remote Desktop Protocol. Daarmee is het mogelijk om van afstand toegang te krijgen tot een andere computer. Ze zouden middels bruteforcen het wachtwoord hebben gekraakt."

Dus men heeft open en bloot RDP aan staan zonder bruteforce detectie of geo/ip-block.....

"De hackers claimen 40Tb aan informatie te bezitten. "

Dan heeft men dus een aardige upload (zelfs met compressie) naar buiten weten te krijgen zonder detectie...

"Digitale specialisten van de politie, die vanaf dinsdag waren ingelicht, konden dagenlang geen toegang krijgen tot de computersystemen. Tot frustratie van de politiemedewerkers wilde de it-leverancier van de gemeente, Switch IT Solutions uit Enschede, hen niet de gebruikersnamen en wachtwoorden verstrekken."

Fijne IT leverancier, je zou verwachten dat de gemeente in een contract of procedure iets over incident response/handling opneemt.
Ik vrees dat bij veel gemeente de ICT op een hoog hobbygehalte kent. Maar laten we wel wezen, de huidige malware aanvallen zijn heel geraffineerd. Zelfs als je ICT wel professioneel is ingericht, is het nog geen garantie dat het jou niet overkomt. Enkel getroffen zijn door malware wil nog niet zeggen dat je ICT huishouding een rommeltje was.

Als blijkt dat RDP inderdaad gewoon publiek toegankelijk was, dan val je bij mij wel onder 'hobbyclub'
07-12-2020, 10:18 door Anoniem
Door Anoniem: Er komt wel wat zorgelijke informatie boven door het graven van de Volkskrant. Van de burgemeester worden we niks wijzer die gaat liever zitten wachten op de politie.

Uit het artikel:
......

"Digitale specialisten van de politie, die vanaf dinsdag waren ingelicht, konden dagenlang geen toegang krijgen tot de computersystemen. Tot frustratie van de politiemedewerkers wilde de it-leverancier van de gemeente, Switch IT Solutions uit Enschede, hen niet de gebruikersnamen en wachtwoorden verstrekken."
......
Ik vraag me af of de politie hier niet te ver buiten haar taakstelling gaat. Is de politie hier bezig met opsporing, of zijn ze consultancy diensten aan de gemeente aan het leveren om systemen operationeel te krijgen? Dat laatste is helemaal geen taak van de politie.

Voor wat betreft inlog, als politie daar van rechtswege recht op heeft, kan ze die gewoon vorderen. Aangezien ik hier lees 'tot frustratie van...' heeft de politie vermoedelijk helemaal geen rechtsgrond op deze gegevens. Dit sterkt mijn beeld dat de politie hier meer met consultancy bezig is dan met opsporing.

Als de gemeente aangifte doet, moeten ze het voor politie ook mogelijk maken onderzoek te doen. En de gemeente heeft een contract met de ICT leverancier, dus gemeente moet dat met zijn leverancier uitvechten, niet de politie.
07-12-2020, 10:21 door Ron625
Een backup hoort niet 24/7 aangesloten te zijn, hoe kan de backup nu onbruikbaar zijn?
Daar gaat toch iets fout in de organisatie, lijkt mij.
07-12-2020, 10:40 door Anoniem
Maakt wel weer duidelijk hoe kwetsbaar men is in tijden van cyber-oorlog, mocht die al niet uitgebroken zijn.
Hoe veilig zijn we achter de digi-dijken eigenlijk?

Als men niet echt aan een veiligheids-overhaul begint, zitten we nog wel een poosje met het ransomware debakel
(al ruim vijf jaar nu op deze schaal).

Oh, wacht eens even, uiteindelijk betaalt de burger het gelag, want de schade wordt gewoon doorgegeven.
Vandaar dat de aandeelhouders er niet happig op zijn echt maatregelen te nemen.
Kosten op het sterfhuis zogenaamd. Security as a last resort issue. Pas op de plaats laten maken.

Doe eens onderzoek hoe lang de daders aan voorbereiding hebben genomen om zo'n ransomware aanval te plannen.
Of was het gewoon een kwestie van de gelegenheid en het lage fruit zoekt de dief en brute-forcen het resultaat.

luntrus
07-12-2020, 11:26 door walmare
Door Anoniem:
Door Anoniem: Er komt wel wat zorgelijke informatie boven door het graven van de Volkskrant. Van de burgemeester worden we niks wijzer die gaat liever zitten wachten op de politie.

Uit het artikel:
"Bronnen zeggen dat de criminelen toegang kregen via het Remote Desktop Protocol. Daarmee is het mogelijk om van afstand toegang te krijgen tot een andere computer. Ze zouden middels bruteforcen het wachtwoord hebben gekraakt."

Dus men heeft open en bloot RDP aan staan zonder bruteforce detectie of geo/ip-block.....

"De hackers claimen 40Tb aan informatie te bezitten. "

Dan heeft men dus een aardige upload (zelfs met compressie) naar buiten weten te krijgen zonder detectie...

"Digitale specialisten van de politie, die vanaf dinsdag waren ingelicht, konden dagenlang geen toegang krijgen tot de computersystemen. Tot frustratie van de politiemedewerkers wilde de it-leverancier van de gemeente, Switch IT Solutions uit Enschede, hen niet de gebruikersnamen en wachtwoorden verstrekken."

Fijne IT leverancier, je zou verwachten dat de gemeente in een contract of procedure iets over incident response/handling opneemt.
Ik vrees dat bij veel gemeente de ICT op een hoog hobbygehalte kent. Maar laten we wel wezen, de huidige malware aanvallen zijn heel geraffineerd. Zelfs als je ICT wel professioneel is ingericht, is het nog geen garantie dat het jou niet overkomt. Enkel getroffen zijn door malware wil nog niet zeggen dat je ICT huishouding een rommeltje was.

Als blijkt dat RDP inderdaad gewoon publiek toegankelijk was, dan val je bij mij wel onder 'hobbyclub'
Wat is er mis met Microsoft technologie dan? Is SMB2/3 nu ook al lek dan? en kunnen we alleen nog maar SSH gebruiken.
07-12-2020, 11:28 door Anoniem
Door Anoniem: "Digitale specialisten van de politie, die vanaf dinsdag waren ingelicht, konden dagenlang geen toegang krijgen tot de computersystemen. Tot frustratie van de politiemedewerkers wilde de it-leverancier van de gemeente, Switch IT Solutions uit Enschede, hen niet de gebruikersnamen en wachtwoorden verstrekken."

Fijne IT leverancier, je zou verwachten dat de gemeente in een contract of procedure iets over incident response/handling opneemt.

Dit is een leuke reputatieschade voor deze It-leverancier:
- RDP-poort stond open voor de buitenwereld
- (Offline) Backups onbruikbaar
- Niet/slecht mee willen werken aan een politie-onderzoek (opdracht van de gemeente om de gebruikersnamen en wachtwoorden te vertsrekken had voldoende moeten zijn)

Hoe gaan hun andere klanten hier op reageren?
07-12-2020, 11:29 door Anoniem
Door Anoniem:
Ik vrees dat bij veel gemeente de ICT op een hoog hobbygehalte kent.
Je bedoelt zeker dat ze Windows gebruiken?
Want anders dan dat lijkt me dat dit zeker bij zo'n relatief kleine gemeente niet in-huis gedaan wordt en dus gewoon
valt onder "als je het uitbesteedt dan is het prima voor elkaar, want uitbesteed bij deskundigen".
07-12-2020, 11:40 door [Account Verwijderd] - Bijgewerkt: 07-12-2020, 11:40
Door Briolet: Lees ik een andere Volkskrant? In de versie van 4:00 uur staat bij mij 750 duizend euro.

Ik vraag me wel af hoezo de Volkskrant deze mensen weet te vinden, terwijl ze vanuit de gemeente geen aanwijzingen gehad hebben. En als ze al lang contact houden met deze hackers, is de Volkskrant dan niet ook medeplichtig aan computercriminaliteit door hun kennis over deze groep niet eerder met de opsporingsdiensten te delen?
Ik denk dat het eerder andersom is. Maar even daar gelaten, ik zou wel graag bewijs willen zien dat er met de juiste groep is gecommuniceerd. Iedereen kan namelijk zeggen ingebroken te hebben bij Hof van Twente.
07-12-2020, 11:43 door [Account Verwijderd]
Uit het artikel:
"Bronnen zeggen dat de criminelen toegang kregen via het Remote Desktop Protocol. Daarmee is het mogelijk om van afstand toegang te krijgen tot een andere computer. Ze zouden middels bruteforcen het wachtwoord hebben gekraakt."
En wie zijn dan die bronnen? Ik vind dit een redelijk vaag verhaal overigens.
07-12-2020, 11:44 door [Account Verwijderd]
Door Anoniem:
Door Briolet:
Ik vraag me wel af hoezo de Volkskrant deze mensen weet te vinden, terwijl ze vanuit de gemeente geen aanwijzingen gehad hebben.
Volgens Tweakers: 'De Volkskrant wist contact te leggen met de criminelen via het e-mailadres dat in de losgeldbrief stond.'
En hebben ze die brief ook gepubliceerd zodat we dit verhaal kunnen controleren? Als iemand een link heeft, dan graag.
07-12-2020, 11:50 door walmare
Elke gemeente in Nederland is gehackt, daar is geen RDP voor nodig.
Zo lang er een internetverbinding naar buiten mogelijk is kan een crimineel met remote portforwarding naar binnen terwijl de firewall naar binnen toe alle poorten dicht heeft staan.
De enige eis is vanaf een werkplek deze remote portforwarding open zetten. Dat gaat op een windowswerkplek schier eenvoudig via een officemacro of een drive-by incident. Vervolgens kan er met een beperkte bandbreedte van alles worden ge-upload door een ge-encrypte tunnel waar een firewall deep packet inspection niks mee kan. Ondertussen wordt het hele netwerk in kaart gebracht en is het wachten op de kritieke vulnerabilities die elke maand beschikbaar komen en niet direct worden gepatcht. De malware heeft een tijdslot van maar 5 min nodig.
Het faillissement van de windowswerkplek is pijnlijk zichtbaar. Het is niet te onderhouden in de boze buitenwereld.
07-12-2020, 12:03 door Anoniem
Door walmare: Elke gemeente in Nederland is gehackt, daar is geen RDP voor nodig.
Zo lang er een internetverbinding naar buiten mogelijk is kan een crimineel met remote portforwarding naar binnen terwijl de firewall naar binnen toe alle poorten dicht heeft staan.
De enige eis is vanaf een werkplek deze remote portforwarding open zetten. Dat gaat op een windowswerkplek schier eenvoudig via een officemacro of een drive-by incident. Vervolgens kan er met een beperkte bandbreedte van alles worden ge-upload door een ge-encrypte tunnel waar een firewall deep packet inspection niks mee kan. Ondertussen wordt het hele netwerk in kaart gebracht en is het wachten op de kritieke vulnerabilities die elke maand beschikbaar komen en niet direct worden gepatcht. De malware heeft een tijdslot van maar 5 min nodig.
Het faillissement van de windowswerkplek is pijnlijk zichtbaar. Het is niet te onderhouden in de boze buitenwereld.
Dat hangt er maar helemaal vanaf. Als die port forwarding inderdaad is geconfigureerd, en een aanvaller achter die instellingen komt, dan heb je inderdaad een heel groot probleem ja. Maar als portforwarding is uitgeschakeld, dan kan een aanvaller hier niets mee.
07-12-2020, 12:04 door -Peter-
Door Anoniem: Er komt wel wat zorgelijke informatie boven door het graven van de Volkskrant. Van de burgemeester worden we niks wijzer die gaat liever zitten wachten op de politie.

Uit het artikel:
"Bronnen zeggen dat de criminelen toegang kregen via het Remote Desktop Protocol. Daarmee is het mogelijk om van afstand toegang te krijgen tot een andere computer. Ze zouden middels bruteforcen het wachtwoord hebben gekraakt."

Dus men heeft open en bloot RDP aan staan zonder bruteforce detectie of geo/ip-block.....

Dat is niet echt een conclusie die ik zou trekken. Als een journalist brute-force gebruikt, wil dat vaak zeggen dat misbruik van de credentials niet door phishing is gedaan. Iedere andere manier, inclusief credential-stuffing, wordt door een journalist als brute-force gezien. Waarbij credential-stuffing best over enkele dagen of weken plaats heeft kunnen vinden.

Analyse van die aanvallen is dan bijna niet mogelijk. Uit het feit dat over RDP wordt gesproken, meen ik op te kunnen maken dat ze gebruik maken van Microsoft producten. Systemen loggen daarbij zo vaak in (voor iedere directory listing, file access en nog meer) dat je enkele GB's per dag aan data hebt. Als iemand een wachtwoord heeft gewijzigd, heb je enkele uren (en soms dagen) een storm aan foute inlogpogingen, totdat die persoon dat wachtwoord op al zijn devices heeft gewijzigd.

Ik ken gevallen waarbij dat maanden duurt, omdat personeel thuis zit en hun kantoorwerkplekkennog aanstaan en al die tijd met het verkeerde wachtwoord proberen in te loggen.

"De hackers claimen 40Tb aan informatie te bezitten. "

Dan heeft men dus een aardige upload (zelfs met compressie) naar buiten weten te krijgen zonder detectie...

Ik weet niet wat voor een aansluiting de gemeente heeft, maar als je hier enkele weken of maanden de tijd voor hebt, dan is dat kwa bandbreedte niet zo veel.

Ik kan me voorstellen dat een gemeente ook regelmatig grote hoeveelheden data uitwisselt met een centrale database. Of misschien hebben ze wel veel in de cloud staan. Als dat bijvoorbeeld naar een database in de AWS of Microsoft cloud is, kun je ook geen controle doen op vreemde IP adressen. Als aanvaller zou ik bij dezelfde cloud provider mijn dumpsite inrichten om detectie lastiger te maken.

"Digitale specialisten van de politie, die vanaf dinsdag waren ingelicht, konden dagenlang geen toegang krijgen tot de computersystemen. Tot frustratie van de politiemedewerkers wilde de it-leverancier van de gemeente, Switch IT Solutions uit Enschede, hen niet de gebruikersnamen en wachtwoorden verstrekken."

Fijne IT leverancier, je zou verwachten dat de gemeente in een contract of procedure iets over incident response/handling opneemt.

Dit is niet zo onverwacht. Switch heeft ook een taak. Ook zij zullen zich aan de wet moeten houden.
Hoogstwaarschijnlijk zullen juristen eerst hebben willen/moeten onderzoeken wat het betekent voor de privacy van alle inwoners en het personeel van de gemeente (en misschien zelfs Switch) als beheersaccounts worden verstrekt aan derden. Waarschijnlijk zal de politie er eerst naar gevraagd hebben. Dan moet je uitkijken, want dan ben jij verantwoordelijk als er data gelekt wordt. Dan kun je soms beter wachten op een vordering.

Enja, een politieagent kan gefrustreerd raken als hij een vordering moet regelen.

Als er een inbraak in mijn huis is geweest, dan zal ik ook aarzelen om maar gelijk mijn hele sleutelbos te geven. Ik zal zeker overleggen met mijn werkgever en mijn (schoon)ouders. Hun sleutels zitten er ook aan.

Door walmare: Elke gemeente in Nederland is gehackt, daar is geen RDP voor nodig.
Zo lang er een internetverbinding naar buiten mogelijk is kan een crimineel met remote portforwarding naar binnen terwijl de firewall naar binnen toe alle poorten dicht heeft staan.
De enige eis is vanaf een werkplek deze remote portforwarding open zetten. Dat gaat op een windowswerkplek schier eenvoudig via een officemacro of een drive-by incident. Vervolgens kan er met een beperkte bandbreedte van alles worden ge-upload door een ge-encrypte tunnel waar een firewall deep packet inspection niks mee kan. Ondertussen wordt het hele netwerk in kaart gebracht en is het wachten op de kritieke vulnerabilities die elke maand beschikbaar komen en niet direct worden gepatcht. De malware heeft een tijdslot van maar 5 min nodig.
Het faillissement van de windowswerkplek is pijnlijk zichtbaar. Het is niet te onderhouden in de boze buitenwereld.

Ik hoop toch echt dat een gemeente niet een simpel huis-tuin-en-keuken routertje heeft waarbij dit mogelijk is.
Ik weet niet bij wat voor een organisatie jij werkt, maar het is gebruikelijk om bij een organisatie met meer dan een paar mensen professionele routers in te zetten. In dat opzicht vertrouw ik Switch IT wel.

Peter
07-12-2020, 13:11 door Anoniem
Door Anoniem: De politie kan onderzoeken wat ze willen maar als het de groep is welke ik denk dat het is dan gaat de versleuteling er zonder betalen echt niet af. Tevens lopen ze hiermee het risco dat de data openbaar wordt.

"Vanwege de aanval moet de gemeente een compleet nieuwe ict-infrastructuur aanleggen." Tja, vanwege de aanval of slecht beheer/management? Uiteraard is het niet netjes dat een crimineel dit doet maar met een betere inrichting was het wel moeilijker geworden of was de impact lager. Ik heb eens door een dfir website gebladerd welke diverse ransomware aanvallen onderzochten en daar zijn zeer stabiele/generieke IOCs te vinden. Dan moet je natuurlijk wel je eventlogs, netwerkverkeer en host monitoren + meldingen opvolgen. Bij een deel van de bedrijven wordt dit als "te duur" ervaren.
Uh das niet waar. Het komt vaak genoeg voor dat de politie de dader hacked en achter de ransomware sleutel komt waardoor data ontsleuteld kan worden. Daarbij is betalen net zo min een garantie.
07-12-2020, 13:16 door Anoniem
Door walmare: Elke gemeente in Nederland is gehackt

<<< En tot die conclusie kom je omdat? Ik vind wel dat security een beetje harder kan maar een moeilijk complexe en onbegonnen zaak is soms. Maar dit soort dingen roepen gaat niemand helpen tot je met concrete punten komt.

- RAMLETHAL
07-12-2020, 13:29 door Anoniem
Ik vraag mij af of het niet praktisch zou zijn dat alle Nederlandse gemeentes de ICT ondersteuning gezamenlijk regelen. Een IT leverancier kan dan maatwerk in bulk leveren, ervan uitgaande dat de meeste gemeenten qua ICT behoefte op elkaar lijken. De schaal is dan ook groot genoeg om een eigen IT bedrijf in te richten, als men dat zou willen.
07-12-2020, 13:31 door walmare - Bijgewerkt: 07-12-2020, 13:42
Door -Peter-:

Door walmare: Elke gemeente in Nederland is gehackt, daar is geen RDP voor nodig.
Zo lang er een internetverbinding naar buiten mogelijk is kan een crimineel met remote portforwarding naar binnen terwijl de firewall naar binnen toe alle poorten dicht heeft staan.
De enige eis is vanaf een werkplek deze remote portforwarding open zetten. Dat gaat op een windowswerkplek schier eenvoudig via een officemacro of een drive-by incident. Vervolgens kan er met een beperkte bandbreedte van alles worden ge-upload door een ge-encrypte tunnel waar een firewall deep packet inspection niks mee kan. Ondertussen wordt het hele netwerk in kaart gebracht en is het wachten op de kritieke vulnerabilities die elke maand beschikbaar komen en niet direct worden gepatcht. De malware heeft een tijdslot van maar 5 min nodig.
Het faillissement van de windowswerkplek is pijnlijk zichtbaar. Het is niet te onderhouden in de boze buitenwereld.

Ik hoop toch echt dat een gemeente niet een simpel huis-tuin-en-keuken routertje heeft waarbij dit mogelijk is.
Ik weet niet bij wat voor een organisatie jij werkt, maar het is gebruikelijk om bij een organisatie met meer dan een paar mensen professionele routers in te zetten. In dat opzicht vertrouw ik Switch IT wel.

Peter
Wees gerust werkt ook met een professionele checkpoint firewall
Je moet iets aan de werkplek zelf doen! Bestudeer ook eens Sarwent als starter. Het echte beest vertel ik later.
07-12-2020, 13:42 door Anoniem
Door Anoniem: Ik vraag mij af of het niet praktisch zou zijn dat alle Nederlandse gemeentes de ICT ondersteuning gezamenlijk regelen. Een IT leverancier kan dan maatwerk in bulk leveren, ervan uitgaande dat de meeste gemeenten qua ICT behoefte op elkaar lijken. De schaal is dan ook groot genoeg om een eigen IT bedrijf in te richten, als men dat zou willen.

Ja goed idee. Misschien Centric. Kan Rian de security doen. :-)
07-12-2020, 14:40 door Anoniem
De leverancier van deze gemeente heeft al eerder het nieuws gehaald. Gemeente Lochem is ook klant van Switch. Ook daar kwam de ransomware aanval initieel vanuit RDP.
07-12-2020, 14:47 door walmare
Door Anoniem:
Door Anoniem: Ik vraag mij af of het niet praktisch zou zijn dat alle Nederlandse gemeentes de ICT ondersteuning gezamenlijk regelen. Een IT leverancier kan dan maatwerk in bulk leveren, ervan uitgaande dat de meeste gemeenten qua ICT behoefte op elkaar lijken. De schaal is dan ook groot genoeg om een eigen IT bedrijf in te richten, als men dat zou willen.

Ja goed idee. Misschien Centric. Kan Rian de security doen. :-)
Lol
07-12-2020, 15:56 door Anoniem
Door Briolet: Lees ik een andere Volkskrant? In de versie van 4:00 uur staat bij mij 750 duizend euro.

Ik vraag me wel af hoezo de Volkskrant deze mensen weet te vinden, terwijl ze vanuit de gemeente geen aanwijzingen gehad hebben. En als ze al lang contact houden met deze hackers, is de Volkskrant dan niet ook medeplichtig aan computercriminaliteit door hun kennis over deze groep niet eerder met de opsporingsdiensten te delen?
dit komt omdat er niet op het bericht is gereageerd vanuit de gemeente en hebben de hackers ook een beticht na volkskant gestuurd
07-12-2020, 16:01 door spatieman
sure RDP,, daar zal iemand zich wel achter de computer gezet hebben,want 40TB ,daamn..
dat duurt we effe.
07-12-2020, 16:34 door Anoniem
Door Anoniem:
Door Anoniem: "Digitale specialisten van de politie, die vanaf dinsdag waren ingelicht, konden dagenlang geen toegang krijgen tot de computersystemen. Tot frustratie van de politiemedewerkers wilde de it-leverancier van de gemeente, Switch IT Solutions uit Enschede, hen niet de gebruikersnamen en wachtwoorden verstrekken."

Fijne IT leverancier, je zou verwachten dat de gemeente in een contract of procedure iets over incident response/handling opneemt.

Dit is een leuke reputatieschade voor deze It-leverancier:
- RDP-poort stond open voor de buitenwereld
- (Offline) Backups onbruikbaar
- Niet/slecht mee willen werken aan een politie-onderzoek (opdracht van de gemeente om de gebruikersnamen en wachtwoorden te vertsrekken had voldoende moeten zijn)

Hoe gaan hun andere klanten hier op reageren?

Wie zegt dat de gemeente die opdracht heeft gegeven? Grote kans dat de leverancier zonder officieel verzoek de politie niets wilde geven, en terecht.
07-12-2020, 16:36 door Anoniem
Door Anoniem: Ik vraag mij af of het niet praktisch zou zijn dat alle Nederlandse gemeentes de ICT ondersteuning gezamenlijk regelen. Een IT leverancier kan dan maatwerk in bulk leveren, ervan uitgaande dat de meeste gemeenten qua ICT behoefte op elkaar lijken. De schaal is dan ook groot genoeg om een eigen IT bedrijf in te richten, als men dat zou willen.
Dat kan niet anders dan één grote puinbende worden. Niet alleen richten verschillende gemeentes hun processen heel anders in, ook zal het enthousiasme voor samenwerking onder nul liggen. Dat iemand anders iets te zeggen heeft over jouw gemeente wordt echt niet geaccepteerd.
07-12-2020, 16:57 door Ron625
Door Anoniem: Ik vraag mij af of het niet praktisch zou zijn dat alle Nederlandse gemeentes de ICT ondersteuning gezamenlijk regelen. Een IT leverancier kan dan maatwerk in bulk leveren, ervan uitgaande dat de meeste gemeenten qua ICT behoefte op elkaar lijken. De schaal is dan ook groot genoeg om een eigen IT bedrijf in te richten, als men dat zou willen.
Dan hebben we (weer) een vendor-lock-in, iets waar we juist vanaf willen.
Daarnaast hebben een aantal gemeenten al een gezamenlijk ICT bedrijf.
07-12-2020, 16:58 door Anoniem
Door walmare:
Door -Peter-:

Door walmare: Elke gemeente in Nederland is gehackt, daar is geen RDP voor nodig.
Zo lang er een internetverbinding naar buiten mogelijk is kan een crimineel met remote portforwarding naar binnen terwijl de firewall naar binnen toe alle poorten dicht heeft staan.
De enige eis is vanaf een werkplek deze remote portforwarding open zetten. Dat gaat op een windowswerkplek schier eenvoudig via een officemacro of een drive-by incident. Vervolgens kan er met een beperkte bandbreedte van alles worden ge-upload door een ge-encrypte tunnel waar een firewall deep packet inspection niks mee kan. Ondertussen wordt het hele netwerk in kaart gebracht en is het wachten op de kritieke vulnerabilities die elke maand beschikbaar komen en niet direct worden gepatcht. De malware heeft een tijdslot van maar 5 min nodig.
Het faillissement van de windowswerkplek is pijnlijk zichtbaar. Het is niet te onderhouden in de boze buitenwereld.

Ik hoop toch echt dat een gemeente niet een simpel huis-tuin-en-keuken routertje heeft waarbij dit mogelijk is.
Ik weet niet bij wat voor een organisatie jij werkt, maar het is gebruikelijk om bij een organisatie met meer dan een paar mensen professionele routers in te zetten. In dat opzicht vertrouw ik Switch IT wel.

Peter
Wees gerust werkt ook met een professionele checkpoint firewall
Je moet iets aan de werkplek zelf doen! Bestudeer ook eens Sarwent als starter. Het echte beest vertel ik later.

Wie heeft er nou (NAT)routing naar internet vanaf het LAN... dan moet je wel ERG naief zijn!
07-12-2020, 22:05 door Anoniem
Door Anoniem:
Als blijkt dat RDP inderdaad gewoon publiek toegankelijk was, dan val je bij mij wel onder 'hobbyclub'
Wat is er mis met Microsoft technologie dan? Is SMB2/3 nu ook al lek dan? en kunnen we alleen nog maar SSH gebruiken.
Je werkt vast bij zo'n gemeente. Ik wens je veel succes...
https://risksense.com/blog/rdp-exposures/
07-12-2020, 22:10 door Anoniem
Door Anoniem:
Door Anoniem:
Ik vrees dat bij veel gemeente de ICT op een hoog hobbygehalte kent.
...
Want anders dan dat lijkt me dat dit zeker bij zo'n relatief kleine gemeente niet in-huis gedaan wordt en dus gewoon
valt onder "als je het uitbesteedt dan is het prima voor elkaar, want uitbesteed bij deskundigen".
Er is iemand verantwoordelijk voor die uitbesteding. Je mag er niet klakkeloos van uitgaan dat het met de deskundigheid van de leveracier wel goed zit.
07-12-2020, 22:28 door Anoniem
Door Anoniem: Ik vraag mij af of het niet praktisch zou zijn dat alle Nederlandse gemeentes de ICT ondersteuning gezamenlijk regelen. Een IT leverancier kan dan maatwerk in bulk leveren, ervan uitgaande dat de meeste gemeenten qua ICT behoefte op elkaar lijken. De schaal is dan ook groot genoeg om een eigen IT bedrijf in te richten, als men dat zou willen.
Hier en daar doen men dat wel, maar de moeilijkheid is.....koninkrijkjes.
Kijk maar eens hoeveel samenwerkingsverbanden (Shared Services) tussen gemeentes moeizaam lopen of zelfs helemaal mislukken. Een willekeurig voorbeeld: https://www.computable.nl/artikel/nieuws/overheid/6870604/250449/gemeenten-trekken-stekker-uit-ssc-zuid-limburg.html
07-12-2020, 23:09 door -Peter-
Door Anoniem: Ik vraag mij af of het niet praktisch zou zijn dat alle Nederlandse gemeentes de ICT ondersteuning gezamenlijk regelen. Een IT leverancier kan dan maatwerk in bulk leveren, ervan uitgaande dat de meeste gemeenten qua ICT behoefte op elkaar lijken. De schaal is dan ook groot genoeg om een eigen IT bedrijf in te richten, als men dat zou willen.

Met als gevolg dat als ze bij 1 gemeente binnen zijn (ambtenaren zijn ook niet immuun tegen phishing) ze gelijk alle gemeenten te pakken hebben. Voor weinig extra moeite 100 keer zo veel opbrengst.

Peter
08-12-2020, 02:28 door Anoniem
Dit krijg je van decentraal beheer, dan kunnen ICT afdelingen aanprutsen.

Een paar voorbeelden:


- De grootste verzekeraar: Geen backups of antivirus

- Een stadsdeel van een grote gemeente: SNMP community naam "appel" wat ook het administrator wachtwoord voor alle Windows servers en workstations was. Geen NAC.
08-12-2020, 09:18 door Anoniem
Volgens mij is het grote probleem dat iedereen maar outsourced om ontzorgt te worden en vervolgens zelf niet meer nadenkt over IT

Als je een leverancier niet verteld hoe je iets wilt hebben, welke eisen je hebt over security of de adviezen die je terug krijgt niet begrijpt dan gaat het allemaal mis......

Achteraf dan ook niet zeuren over de externe partij. Je bent zelf verantwoordelijk voor eisen, design en controle erop

Helaas een trend die je steeds meer ziet.
08-12-2020, 10:24 door Anoniem
Door Anoniem: Volgens mij is het grote probleem dat iedereen maar outsourced om ontzorgt te worden en vervolgens zelf niet meer nadenkt over IT

Als je een leverancier niet verteld hoe je iets wilt hebben, welke eisen je hebt over security of de adviezen die je terug krijgt niet begrijpt dan gaat het allemaal mis......

Achteraf dan ook niet zeuren over de externe partij. Je bent zelf verantwoordelijk voor eisen, design en controle erop

Helaas een trend die je steeds meer ziet.

Iets van: "Not our core business", dus uitbesteden. "Ontzorgen" (tot de stront tegen het plafond aan zit)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.