Sasser worm treft Amerikaans ministerie
Het is al bijna een half jaar geleden dat de Sasser worm voor het eerst verscheen, maar nog steeds is de worm niet uitgestorven, zoals het Amerikaanse ministerie van "Licensing" op donderdag ontdekte. Sasser wist eerst het voertuigregistratiesysteem te infecteren, waardoor het systeem zo'n zes uur niet bereikbaar was. Tegen het einde van de middag waren de meeste systemen weer online. Toch had men niet alle systemen gepatcht, want toen men vrijdag weer begon met werken wist de worm zich te verspreiden naar de afdeling die voor de rijbewijzen verantwoordelijk is. Het duurde ongeveer vier uur voordat de computers weer gebruikt konden worden, maar sommige afdelingen zouden nog steeds problemen hebben. Het ministerie was wel zo netjes om een bericht over de worminfectie op haar website te zetten.
The agency experienced sporadic network outages starting at about 10:30 am on Thursday, Oct. 7. Driver licensing offices were affected, as were vehicle subagent offices. The culprit was a computer virus — a variant of the Sasser Worm, which struck many agencies in May, causing statewide outages. DOL's technicians worked diligently throughout the night and this morning to bring all systems back online.
Maar waarom heeft het zover moeten komen, als er tijdig
gepatcht was...
instantie, uiterst voorzichtig moet zijn met de toepassing
van inferiere software voor bedrijfskrititsche processen. En
dat je patches al bijna geïnstalleerd moet hebben voor ze
uit zijn.
helemaal niet mogelijk.
Wat als je bijv. spefifiek voor jouw bedrijf geschreven software draait die er
niet tegen kan als er een bep. patch gedraaid wordt?..
Ze hadden wel de boel achter een firewall kunnen stoppen. Tis tegenwoordig
niet moeilijk om bepaalde aanvallen op een poort tegen te houden, en het
overige verkeer op die poort door te laten.
Dus die standaard antwoorden (of eigenlijk meer zeikopmerkingen) over
patchen kunnen beter bewaard worden voor de standaard office pctjes en
voor de pc van Jan & Miep & Kids.. daar zit veel meer gevaar dan de
ongepatchede machines die achter een goede firewall staan.
hebben staan, maar hebben vaak geen policy staan voor
laptop's, en dat deze gewoon op het netwerk aangesloten
worden, dit zijn vaak pc's vol met virussen en vaak hebben
deze mensen nog geen eens een virusscanner draaien.
Hierdoor hebben wij op de cisco switches port security
aangezet.. DIt betekent dat als je een netwerk kabel uit een
andere pc haalt en in jouw persoonlijke laptop zet dat de
netwerk connectie meteen gesloten wordt.
Enigste nadeel is dat wij weer de connectie handmatig moeten
open zetten, en dat het ook wat meer werk betekent. Maar
uit eindelijk hebben wij dit soort bovengenoemde onzin niet
meer.
Plus ik zie dat onze gebruikers sinds dien zich ook meer
security bewust zijn., en ze komen ook echt langs van is dit
wel veilig..
Het kost allemaal een hoop tijd, maar uiteindelijk scheelt
het ook ontzettend veel, het staat mij nog bij dat ik zo'n 4
jaar geleden een virus aanval in het bedrijf had en dat ik
ruim 2 dagen bezig was om alles weer recht te zetten.
Dus de PC kan dan niet het virus draaien, waarmee hij andere
pc's gaat besmetten, maar kan wel gewoon nogsteeds de code
ontvangen waarbij de windows service crashed, en
uiteindelijk je pc herstart.
Yep, maar de virusscanner gooit het gat niet dicht.. Dus de
PC kan dan niet het virus draaien, waarmee hij andere pc's
gaat besmetten, maar kan wel gewoon nogsteeds de code
ontvangen waarbij de windows service crashed, en
uiteindelijk je pc herstart.
en ook nog geactiveerd wordt?
bedrijfsnetwerk binnen de 5 minuten "spontaan" aan het rebooten zijn
vanwege Sasser. Het bedrijf neemt security niet serieus, en heeft de
prioriteiten op de verkeerde plek liggen. Het management gaat nat kan ik je
wel vertellen. Onze beheerders zijn nu eenmaal slim genoeg om de gegeven
instructies te bewaren om bij een escalatie duidelijk te kunnen laten zien aan
wie het ligt.
Yep, maar de virusscanner gooit het gat niet dicht.. Dus de
PC kan dan niet het virus draaien, waarmee hij andere pc's
gaat besmetten, maar kan wel gewoon nogsteeds de code
ontvangen waarbij de windows service crashed, en
uiteindelijk je pc herstart.
en ook nog geactiveerd wordt?
Zoals ik hier boven al gezegt heb nemen bedrijven externe
laptops zonder enig inzien op hun interne netwerk. Bij mij
hebben ze het ook gedaan en het is gelukkig verandert. Maar
denk dat dit soort dingen zeer regelmatig voorkomen op het
middel/klein bedrijf.
Ik werk dan in een globaal bedrijf en zie dit soort dingen
regelmatig tot zeervaak. Ook zoals de reactie boven me, heb
ik dit op het begin erg vaak gezien. Gelukkig is het flink
dicht gegooit sinds de afgelopen jaren. Maar denk dat dit
lang nog niet gebeurt bij vele andere bedrijven.
En kan niet zeggen dat dit alleen aan de beheerders kant
ligt. Vaak ligt het ook aan de kant van managment want die
vinden vaak de beheers pakketten zoals Microsoft SUS te duur
is om te implementeren. Vooral tegen woordig zie ik dat er
teveel gekeken wordt op het besparen op kort termijn, en
niet op lang termijn, waardoor ze dus het patchen en
secrurity op een risico vol punt nemen.
Nadeel is echter dat ze enkele uren downtime per jaar liever
zien dan zo'n dure investering zien als microsoft SUS,
waarmee dit meteen met een hoog percentage omlaag wordt
gebracht.
Cisco works is ook zo'n pakket, veel bedrijven zien
netwerkbeheerders liever zonder dit pakket dan met, omdat
het pakket bijna niet te betalen is, maar er wordt niet bij
nagedacht dat alle routers en switches 1 voor 1 updaten meer
geld kost door het aantal uren dat er geinvesteerd wordt.
Ach...helaas moet ik bekennen dat niet gepatchte machines in
ons bedrijfsnetwerk binnen de 5 minuten "spontaan" aan het
rebooten zijn vanwege Sasser. Het bedrijf neemt security
niet serieus, en heeft de prioriteiten op de verkeerde plek
liggen. Het management gaat nat kan ik je wel vertellen.
Onze beheerders zijn nu eenmaal slim genoeg om de gegeven
instructies te bewaren om bij een escalatie duidelijk te
kunnen laten zien aan wie het ligt.
kosten van down-time en herstelacties zijn (uren,
materialen) en daar tegenover de kosten van het tijdig
patchen van machines etc., dat je een stuk sterker staat.
Patchen moet je uiteindelijk toch doen trouwens dus die
kosten heb je altijd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.