Wel een mooi intrigerend huzarenstukje

Zijn dat dezelfde ATM;s die nog steeds op Windows XP draaien?
Manmanman.

Grappig is de aanbeveling om ook physical security aandacht te geven. Je weet wel datgene waar banken altijd in uitblonken, denk aan de enorme kluizen bijv.

Hoe is zo'n ATM netwerk niet volledig dicht getimmerd?
Ik zou verwachten dat alle alarmbellen afgaan zodra je een ongeautoriseerd apparaat aan zo'n netwerk hangt...

Uit het artikel:
Enkel blokkeren is te passief, je wilt ten minste ook alarmeren.
Je wilt daarnaast telemetrie hebben en als het even kan de desbetreffende binary veilig stellen voor analyse.

Blijkbaar doet deze bank niet aan netwerk monitoring of ze zijn blind. Die Raspberry Pi zal toch echt wel hebben zitten broadcasten. Brengt mij wel op een idee.

Alletwee weer wat geleerd. De dieven en de banken.

En dit is het zoveelste bewijs dat een groot deel van de bedrijven IT totaal niet serieus nemen, hoe kan een bank zo simpel met beveiliging omgaan anno 2025?

1. Een fysieke switch die toegankelijk is
2. Geen mac filtering op de switches
3. Geen actieve monitoring of er 'zomaar' nieuwe apparaten worden aangesloten
4. Geen segmentering op het netwerk, mail server bereikbaar vanaf een pin apparaat? Waarom? HELP

Dit soort bedrijven verdienen het gewoon om het een keer op te lopen, als je zo met IT security omgaat.....
Lachwekkend hoeveel bedrijven anno 2025 nog steeds een loopje nemen met security, NIS2 kan er voor mij niet snel genoeg doorheen zijn. Security niet op orde? Dikke boetes of zelfs sluiting bedrijf

Flappentappen worden regelmatig verwijderd, vervangen en bijgeplaatst. In het ideale geval matcht de lijst van de op het netwerk gevonden automaten met de plaatsingslijst, maar wanneer je een onverwachte ethernetkaart ziet wil je even wat extra onderzoek doen voordat je het apparaat afsluit.
Framboos gevonden is goed. Monitorservice gecorrumpeerd: pijnlijk! Intrusie op mailserver: niet leuk. (En waarom is er via de mailserver een pad van het Internet naar het "beveiligde" ATM netwerk?)

Dit klinkt als een zeer professionele aanval.

Vertel eens - wat kun JIJ bedenken als ik je uitdaag om een apparaat 'ongedetecteerd' aan het netwerk te hangen ?

Als het ding er op L2 tussen zit - en eigen verkeer met het mac (en IP) van de achterliggende client stuurt wordt detecteren echt een orde lastiger.

Voor aanvallers van dit kaliber verwacht je toch niet dat het apparaat "gewoon" met eigen mac, eigen dhcp request probeert "erbij" online te komen ?

Bedenk eens goed wat de woorden 'geauthoriseerd device' impliceren : HOE bepaal je dat ?

Je kunt wat dingen bedenken die kunnen helpen - maar "ATM netwerk" betekent dus "tig duizend apparaten in allerlei hokjes van banken, winkeltjes of gebouwtjes ergens" .

Ze doen hun best om fysieke toegang moeilijk te maken, maar in tegenstelling tot een paar dataruimtes is fysieke veiligheid daarvoor lastig om "overal perfect" te krijgen.


No shit...

Jongens, houd eens op.

IT (maak dit zo breed je wilt) is een kostenpost, niet meer en niet minder.
IT brengt niets op, dus kosten moeten zo laag mogelijk. De risico's zien we door de vingers.

De huidige directie krijgt een bonus, want winst verhoogd.
De gevolgen zijn voor de volgende directie.

Uitsluitend perimeter beveiling van een netwerk is zo 1990er jaren, toen was t de mode, en laten we wel wezen de enige mogelijkheid.
Sinds een jaar of 10 is de move naar zero trust...

Het is misschien niet makkelijk - maar als we jou CIO maken, wat ga jij doen om te garanderen dat _al die duizenden_ hokjes bij tankstations, voorportaal kantoor, winkeltjes en winkelcentra 100% ontoegankelijk zijn ?
Er zaten hier serieus criminelen achter - zijn _alle_ concierges, monteurs , gebouwbeheerders (of simpelweg sloten ) bestand tegen mensen die echt even het hokje in willen ?


Acht ja, want dit soort amateurs denkt er niet aan om het mac adres van de achterliggende ATM te spoofen ?
Zucht .

Zoveelste bewijs van forum posters die doen alsof ze wijsheid in pacht hebben.

Wie zegt dat de rPI zichtbaar werd als "nieuw" apparaat ? Ik denk dat ie er op L2 tussen zat.


Ga nou eens werken in de IT.

Bijvoorbeeld omdat de PIN terminal monitoring of logs per mail exporteert .

Kijk (zelfs) eens wat je in een ietwat moderne printer kunt instellen - allerlei exports , en mail is een vrij universeel medium dat makkelijk naar "overal" komt .

Of het nu een mail relay server "in" het afgeschermde segment is, of direct naar iets erbuiten, apparatuur in zo'n segment moet uiteindelijk communiceren met "de rest" , al dan niet via tussenstappen.
Linksom of rechtsom komen gegevens van "het ATM netwerk" terecht op NOCs die kijken of ze nog online zitten,in rapportages van gebruik/piektijden , vullingsgraad enz
Ergens zijn er bruggen tussen een (eventueel) ATM segment en "de IT omgeving" voor dat soort data.

Mag je allemaal mooi firewall en IDS noemen - maar de data stroomt.

Amateurs denken dat segmentering betekent "eiland zonder brug".


Beste Junior , uit de gegeven berichten kun je totaal niet afleiden of het goed of slecht ingeregeld was.

mr robot in real live ;)

De meeste beheerders van een bank weten dat allemaal best wel maar de tijd ontbreekt. Ze zijn te druk met patchen van Microsoft producten en worden ook nog eens opgeroepen voor helpdeskfuncries. Die taak moet echt gescheiden worden maar gebeurd vaak niet waardoor de beheerder niet goed kan beheren. Netwerkbeheer is zelfs extreem druk omdat er veel verloop is in personeel.

Alleen IP krijgen via DHCP met geregistreerd MAC adres. Maar goed die Linux framboos weet zelf wel een IP nummer in de juiste range te genereren om naar de mailserver te kunnen doorstoten. Allemaal te monitoren met checkmk.com en vele andere open source oplossingen die vervolgens een ticket inschiet in bv servicenow met niveau hoog of zo.

Zo gaat het precies. Daarom is ook de directie verantwoordelijk die vervolgens alles in het werk stelt om de beheerder de schuld te geven. Daarom laat ik de directie voor afwijkende zaken tekenen. Het maakt je niet populair (zal ongetwijfeld gevolgen hebben) maar ik heb er schijt aan. Zo heb ik met handtekening ook wel eens jaren geleden illegale autodesk geïnstalleerd. Dat zou ik nu nooit meer doen.

Wat een arrogantie. Heb je het echt nodig om iemand zo neer te sabelen?
Logs exporteren kan op verschillende manieren en hoeft echt niet alleen via smtp port (zal hier wel zo zijn omdat het om een oud windows ding gaat). Dan nog zal het openzetten van alleen de smtp port naar de mailserver niet zo snel tot een hack lijden (als de relay server geen exchange is). Er wordt ook wel eens gelogd via het internet (secure weliswaar) en niet via het interne netwerk.
De groeten, andere anoniem.

Als zo'n ding draadloos is verbonden is het mogelijk om een handshake te onderscheppen mits men toegang heeft tot het versleutelde netwerkverkeer.
Een (digitale, versleutelde) landline zal daarentegen echt niet veiliger zijn wat dat betreft.
Wel moet je een verdraaid goeie blackhat zijn om je dat te lukken.

Wat een reacties, bijna iedereen weet het beter. De bank heeft het toch optijd gevonden, ze gaan niet toevallig even naar de switch kijken of er iets aanhangt.
Ze hebben steken laten vallen inderdaad, maar blijkbaar is de j monitoring toch zo goed dat ze dit gezien hebben. Ze zullen dan ook zeker over een SOC beschikken die hiervan geleerd hebben en stappen zullen ondernemen.

Wat een rare definitie van arrogantie .
Omgekeerde wereld.

Iemand die van niks weet en zomaar poneert dat er van alles niet deugde vind je helemaal OK.

Maar als de arrogante nitwit die even kwam roepen dat het allemaal prutswerk was op z'n nummer gezet wordt is dat arrogantie ?!

In mijn wereld is binnenbanjeren en zonder benul roepen dat het ruk is - en zinloze maatregelen als verbetering presenteren het schoolvoorbeeld van arrogant .
Dus ja - die mag dan even bij de enkels afgezaagd worden. Hopelijk denkt junior dan later twee keer na om met veel aplomb zichzelf als expert te presenteren en een hem (haar?) onbekende situatie meteen af te zeiken .


Er zijn gewoonlijk meerdere manieren om iets gedaan te krijgen en logs/rapportages te exporteren .
In elk geval is 'logs exporteren' een heel reeele theorie waarom zo'n apparaat bij een mailserver kan .
Als het op een andere manier _gaat_ en de mailserver staat _nodeloos_ open voor dat ATM netwerk is dat wel een fout, maar dat is hier onbekend.

Kun je wel weer gaan zitten zeiken over het OS platform (als de mailrelay geen sendmail is ), maar er zijn niet zo gek veel universele "export data" opties ,zeker niet als het om meer dan een enkel IP frame aan payload gaat .
syslog of snmp vallen al snel af.
Je kunt van alles custom bouwen - maar mail is best een voorbeeld van iets wat 'gewoon overal' aanwezig is of kan zijn, uitstekend proxy-baar is en wat grotere payloads prima aankan.
Als IT organisatie word je ook niet altijd blij van vendoren die voor hun spul weer een speciale custom management server binnen moeten dragen omdat de boel (semi) custom protocollen praat .

Leestip : mac spoofing.

Echt jongens, doe eens wat beter je best wanneer je beveiliging wilt voorstellen tegen mensen die echt wat kunnen.

Je vergist je, dit zijn consultants die in loondienst 3.000 euro krijgen, en hun werkgever rekent 120 euro per uur aan klanten voor hun "expertise". Aka 20.000 eurootjes per maand.

Ttitel op visitekaartje: "certified Security specialist"

Rustig aan. Dat is om de script kiddies buiten te houden. Zero trust als basis hoort er ook bij, plus het checken van de ARP tables op inconsistencies zoals multiple IP addresses ge-linked aan een single (ge-spoofed) MAC address.
Ik gebruik al heel lang Arpwatch: https://www.tecmint.com/monitor-ethernet-activity-in-linux/
Het kan ook mail versturen als een pairing is veranderd en dus een alarm inschieten.

Bij de enkels afzagen heeft geen enkel zin. Je gedraagt je als een echte BOFH . Hij zei niks arrogants maar stelde reele vragen. Ik vroeg mij wel af wat hij bedoelde met:
"Het zoveelste bewijs dat een groot deel van de bedrijven IT totaal niet serieus nemen, hoe kan een bank zo simpel met beveiliging omgaan anno 2025? "
Dat is natuurlijk niet echt een bewijs maar een persoonlijk gevoel. Ik denk dat een groot deel van de bedrijven IT wel serieus neemt maar dat het eigenlijk niet kan met een Microsoft eco systeem. Te veel kritieke problemen elke maand en de talloze ransomware maakt het tot een nachtmerrie voor de beheerder.
ps sendmail gebruikt al jaren niemand meer, dat is toch echt postfix geworden.

Nou niet verzonnen verhalen in het echt na gaan spelen, dat is zo puberaal. Moet je anders gewoon om een receptje voor cake met frambozen-ananas saus op de daartoe bedoelde internetfora zetten. Krijg je vast visite van de operator, -of dit keer de politie- en kan je ook met ze meedoen, of ze nemen je mee.

Never spoil a good crisis, zal Group-IB gedacht hebben:

https://www.security.nl/posting/849688/Jaar+oud+Veeam-lek+opnieuw+gebruikt+bij+ransomware-aanvallen

Dat was...initial access via FortiGate SSL VPN. Wat een gedoe, dat FortiGate-gate bij NL Defensie toen.

Wat mij opvalt in de analyse van Group-IB is dat niet genoemd wordt in welk landen groep UNC2891 actief is. Misschien dat die landen wel aan attributie doen;)


Heeft iemand het Deens ministerie van digitalisering al gebeld? Eens kijken wat er vanavond bij de Nieuwsuurredactie aanschuift. Ik ga maar eens een cursus Deens volgen, en volgen hoe zij homemade Christiana fruitcakes decoreren.

Hahaha, dieven die bij dieven proberen te stelen. :-)

Het zijn natuurlijk geen vragen - maar impliciete stellingen dat dit ontbrak en dat het geholpen zou hebben.


En dat is ook geen (arrogante) conclusie dat de oorzaak van de bijna-breach lag in het ontbreken van de "simpele" vragen waarom dit of dat niet geimplementeerd was ?


Pakweg elke week wordt er door mijn linux distro's wel IETS geupdate op basis van security.

Je hebt overigens gezien dat geinstalleerde backdoor op een Linux systeem zat , voordat je weer in de bekende rant "het ligt aan Microsoft" vervalt ?

Ik denk (en hoop) altijd dat het scholieren zijn met een computerhobby .

Die doen ook irritant eigenwijs - en demonstreren meestal een gebrek aan praktijkervaring - maar dan mag je hopen dat ze wijzer worden als ze echt gaan werken, en zien dat de manier waarop je je hobby servertje beheert niet is hoe IT gedaan wordt.

Het zou meer jammer zijn als het mensen zijn die wel al een tijdje in een de een of andere medior IT/security rol zitten.

Als je dan nog steeds met oogkleppen op toetert dat het altijd aan het platform ligt, of uit een zeer highlevel omschrijving concludeert dat triviale maatregelen ontbraken en dat die de aanval voorkomen zouden hebben dan heb je een stuk minder hoop dat zo iemand op een beetje nivo in z'n beroep kan functioneren.

Op basis van de omschrijving is voor deze specifieke aanval gewoon nog niet te concluderen dat er van alles zwaar ondermaats was aan beheer of inrichting.

Er zat geen backdoor in een linux systeem. Die zat in een software testversie die niet eens in productie was genomen. Bij ms verzwijgen ze dat soort incidenten.
Bij linux komen fixes binnen als ze klaar zijn. Je hoeft ze niet te installeren . Je kan ook een maand wachten zoals bij Microsoft.

Het wordt als kostenpost opgevat, ja, maar als je al dat werk dat IT-systemen verzetten door mensen zou laten doen dan zou dat schrikbarend veel meer kosten. Zelfs toen IT nog schreeuwend duur was in vergelijking met nu loonde het al om het in te zetten.

De pest is dat iets dat door vernieuwingen en veranderingen goedkoper wordt meteen het prijsniveau bepaalt waarop concurrentie plaatsvindt; iedereen streeft naar dat lagere kostenniveau. Ik heb lang genoeg meegelopen om ettelijke malen te hebben gezien dat een substantiële verbetering in efficiëntie was bereikt (niet alleen door automatisering maar ook door wijzigingen in organisatie en functieinhoud) en de mensen van het type slagvaardige manager onmiddellijk deden alsof het nooit anders was geweest en slagvaardig gingen werken aan de volgende sprong vooruit, daarbij werkelijk totaal negerend dat het niet alleen wat oplevert maar ook iets kost. Als je bijvoorbeeld door functieverbreding een grotere flexibiliteit bereikt in de inzetbaarheid van je mensen is het voor mij nogal wiedes dat mensen die zich voortaan veel breder moeten oriënteren minder ruimte hebben voor een grote diepgang, je hebt de capaciteit van het menselijke denkvermogen namelijk niet vergroot. Dat soort dingen wordt door dat slag mensen typisch genegeerd. Dat verhoogt voor mensen de werkdruk, verlaagt het vermogen om het werk werkelijk goed te doen, en verlaagt dus de kwaliteit; ook de kwaliteit van de IT.

De wereld heeft een cultuur ontwikkeld (en ik denk dat dit een wereldcultuur is, zeker binnen het bedrijfsleven) die extreem op competitie gericht is en veel te weinig op kwaliteit, terwijl die kwaliteit wel nodig is voor de razend complexe dingen die we doen. Die eenzijdige blindheid leidt tot die opvatting dat IT alleen maar een kostenpost is en niets opbrengt, en tot de eindeloze stroom aan securitiy-incidenten waar deze site over bericht. Sta hier eens bij stil: als het waar zou zijn dat het niets opbracht dan zouden we het niet doen. Domweg niet, dan zou wat we geautomatiseerd doen allemaal door mensen gedaan kunnen worden. Maar dat kan niet, en we doen het wel, omdat het wel degelijk een hoop opbrengt.

Nee de monitoring was helemaal niet goed. Ze wisten de server voor netwerkmonitoring te compromitteren en de mailserver van een backdoor te voorzien. Pas toen ze een rootkit wilden installeren op een ATM switching server liepen ze tegen de lamp.

Men (althans onze architect) denkt vaak dat SCOM voldoende is. Wij gebruiken al heel lang Nedi (open source) met heel veel eigen perl scripts icm Yed en Checkmk. Dat zet je niet zo maar om omdat Mangement vindt dat alles over moet naar Windows ipv Linux VM.