Politie roept slachtoffers Log4j-kwetsbaarheid op om aangifte te doen
De politie roept bedrijven en organisaties op die slachtoffer van de Log4j-kwetsbaarheid zijn geworden om aangifte te doen. Tot op heden kwamen erbij de Nederlandse politie nog geen aangiftes van dergelijke slachtoffers binnen. De politie is naar aanleiding van het beveiligingslek naar eigen zeggen extra waakzaam.
"Door de Log4j-kwetsbaarheid lopen wereldwijd veel bedrijven risico om slachtoffer te worden van onder andere ransomware, ceo-fraude en dergelijke", aldus de politie. Sinds het bekend worden van de kwetsbaarheid houden de regionale cybercrimeteams en het Team High Tech Crime (THTC) van de politie in de gaten of er meldingen of aangiften zijn van aanvallen waarbij de Log4j-kwetsbaarheid mogelijk is gebruikt. Die zijn nog niet binnengekomen.
De politie stelt dat aangiftes niet alleen belangrijk voor de Nederlandse politie zijn, maar ook voor internationale partners de puzzelstukjes vormen waarmee mogelijk nader onderzoek kan worden gedaan. Door uit de aangiftes gegevens van verschillende aanvallen te verzamelen, zoals gebruikte ip-adressen en walletadressen, krijgt de politie naar eigen zeggen zicht op de werkwijze achter de aanvallen.
Verder wordt met buitenlandse politieorganisaties permanent het beeld van het veronderstelde en denkbare effect van de Log4j-kwetsbaarheid gevolgd en gedeeld. Dit gebeurt zowel via Europol als via rechtstreekse contacten met de andere landen.
Als het alternatief is tonnen of miljoenen aan schade te lijden, na een inbraak en/of gijzeling -- plus de nog bijkomende reputatie schade en verlies van klanten --, dan ben je met een tijdige en extra security audit een stuk goedkoper uit.
Merry Christmas
Risico van het vak als je software gebruikt dat door derden is ontwikkeld en blijkbaar daar geen goede administratie van bijhoudt, zou ik denken.
Risico van het vak als je software gebruikt dat door derden is ontwikkeld en blijkbaar daar geen goede administratie van bijhoudt, zou ik denken.
Aha, daar hebben we weer iemand met nul praktijk ervaring. Ik ben er zeker van dat jij zelfs prive niet eens weet welke software je allemaal gebruikt en de versienummers daarvan incl. ingebouwde libraries en versie nummers daarvan.
Laat staan dat je dat voor een bedrijf van 100.000 werknemers geregistreerd hebt staan.
Als het alternatief is tonnen of miljoenen aan schade te lijden, na een inbraak en/of gijzeling -- plus de nog bijkomende reputatie schade en verlies van klanten --, dan ben je met een tijdige en extra security audit een stuk goedkoper uit.
Merry Christmas
Dat is niet de vraag, een ZZP'er met een lekke webserver heeft bij een ransomware aanval b.v. 5000,- schade wegens gederfde inkomsten en het opnieuw opzetten van de server. Die wordt dan gezien als slachtoffer maar een bedrijf wat voorkomen heeft om schade op te lopen door er manuren aan te verspijkeren is dan geen slachtoffer?
"Oh, dus nu willen ze ineens IP adressen e.d. hebben. Maar als ik aangifte wil doen van een oplichter die via sms bezig is mag ik niet aangeven welk telefoonnummer ze gebruiken want dat is privacy schending... Make up your mind, politie..."
Amen (excollega)
Achterstallig onderhoud op een zero day?
Ik ken je aversie tegen alles wat geen Windows is maar hier laat je weer blijken daf je maar gewoon een roeptoeter bent.
Achterstallig onderhoud op een zero day?
Ik ken je aversie tegen alles wat geen Windows is maar hier laat je weer blijken daf je maar gewoon een roeptoeter bent.
Ik ben niet Karma4 maar in de kern heeft die gelijk.
Al die zero days zijn het gevolg van het gebrek aan onderzoek.
1) Het gebrek aan het scannen op
2) Het gebrek aan tools hiervoor
3) Een gebrekkig ontwerp dat zoiets tot toegang leidt En nee we gaan niet OS Bashen dat is zo 1990.
4) Het gebrek aan prioritisering..
Je moet tegenwoordig heel precies weten wat je hebt draaien en direct de deur dicht doen als er iets is. Want de snelheid van cybercriminelen ...je kan zeggen wat je wilt is een stuk efficiënter dan welk bedrijf of instantie dan ook. Maar dat is lastig he met die resultaat, beschikbaarheids, contract verplichtingen
5) De enorme behoefte om belangrijke diensten via het internet aan te bieden terwijl de technologie daarvoor eigenlijk ... nee ik zeg het gewoon totaal niet veilig is.
Maar oud ITérs zoals ik worden weggehoond door anderen die snel willen scoren en er geld in zien. PUNT Ik ben niet tegen vooruitgang.. maar wat ik tegenwoordig merk is dat de collaterale damage alleen maar toeneemt.
Maar daar is vast weer een hoogleraar voor nodig met interessante modellen en machine learning ideetjes en big data nodig om dit vast te stellen..
Dus er zit wel degelijk wat in de achterstallig onderhoud uitspraak.
Verbazingwekkend he? dat we zoveel issues hebben?
En het gaat maar door...en met zijn allen raken we in een stroomversnelling waar straks 25 miljard zonder concrete plannen niet meer voor voldoende is.
We veranderen te veel en dit leidt altijd tot reacties. Maar een maatschappij met een geheugen van 3 dagen die alleen maar vooruit wil, is gedoemd om te eindigen in standje zero. Hardlopers zijn doodlopers.
Zomaar wat fris fruitige boeren verstand opmerkingen.
Lets face it. ( niet op facebook graag)
Even kijken of ik nu die cap t.cha code wel goed kan in typen
Achterstallig onderhoud op een zero day?
Ik ken je aversie tegen alles wat geen Windows is maar hier laat je weer blijken daf je maar gewoon een roeptoeter bent.
ik denk dat als je goed nadenkt is het 'niet meer van deze tijd' dat je meer dan een week nodig hebt een patch integraal door te voeren. ik denk dus dat menig organisatie minder complex/buraucratisch en kaarten huizen moeten gaan zijn in de huidige wereld. Je kunt er van alles op mitsen en maren, maar ik verzeker je die criminelen en hackertjes die trekken zich daar NIETS van aan. en wat dat betreft gaat het ook een feesje worden bij MS want die is ook 'log' (pun intended).
Bijv.: https://www.sonarqube.org/features/multi-languages/javascript/
luntrus
Achterstallig onderhoud op een zero day?
Ik ken je aversie tegen alles wat geen Windows is maar hier laat je weer blijken daf je maar gewoon een roeptoeter bent.
Precies... Je houdt fouten in software nooit helemaal tegen en het enige dat je kan doen als ze er onvermijdelijk toch doorsijpelen in de vorm van zero days, is je systemen en omgeving zo indelen dat je snel en afdoende patches kan doorvoeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.