e-mailen voor OM-medewerkers met de buitenwereld

Door Anoniem: Dat heeft lang geduurd zeg. Dat wisten we toch eigenlijk al. De vraag is en was hoe zit het met de rest?

Graag ook even melden waarom de al eerder verstuurde mail (die ergens is ge-queued) niet meer aankomt

Door The-Real-C:
Tot slot ontbreekt het in de verklaring van het OM aan enige vorm van reflectie of verantwoordelijkheid. Er wordt nauwelijks gerept over hoe het zover heeft kunnen komen,

of welke structurele tekortkomingen in beveiliging hieraan hebben bijgedragen. De vage verwijzing naar een lopend strafrechtelijk onderzoek werkt eerder verhullend dan geruststellend.

Dit incident legt niet alleen een technische kwetsbaarheid bloot, maar ook een bestuurlijke en communicatieve. Als het OM werkelijk lessen wil trekken uit deze crisis, begint dat met volledige openheid, zichtbare verbetering van de digitale infrastructuur, en het erkennen van de maatschappelijke gevolgen van het eigen falen. Alles minder dan dat is onvoldoende.

Door Tintin and Milou: Maar hier staan ook altijd de beste kapiteins..... Aan wal te verstaan.
Omdat ze volledig afgesloten zijn van het Internet, en wie zegt dat het ge-queued is? Hoe weet jij dat precies, of doe je gewoon aannames of heb toevallig inhoudelijke kennis van de omgeving (of ben je ook een kapitein die het allemaal beter weet?).

Misschien omdat het niet altijd verstandig is, om dit te communiceren, waar de zwakke punten zitten in de omgeving? Of misschien moet dit nog allemaal uitgezocht worden, wat ook allemaal tijd kost?
Of men is nog met crisismanagement bezig tijdens de crisis en is men bezig om hier eerst grip op te krijgen?

Je hebt ervaring als crisismanager? Lessons learned doe je meestal na de crisis, volledige openheid kan je pas geven, als alles bekend is, zichbareverbeteringen die je niet tijdens de crisis.

Maar hier staan ook altijd de beste kapiteins..... Aan wal te verstaan.

Je hebt ervaring als crisismanager? Lessons learned doe je meestal na de crisis, volledige openheid kan je pas geven, als alles bekend is, zichbareverbeteringen die je niet tijdens de crisis.

Door Anoniem: Wie beweert nu dat je tijdens een crisis geen lessen kunt leren? Op het moment dat mijn woning op punt stond te worden overstroomd door een Nederlandse rivier, moest er meteen worden opgetreden (alle draagbare spullen naar de bovenverdieping brengen). Dan wacht je echt geen 24 uur na de crisis om lessen te gaan leren!

Door Anoniem: Wie beweert nu dat je tijdens een crisis geen lessen kunt leren? Op het moment dat mijn woning op punt stond te worden overstroomd door een Nederlandse rivier, moest er meteen worden opgetreden (alle draagbare spullen naar de bovenverdieping brengen). Dan wacht je echt geen 24 uur na de crisis om lessen te gaan leren!

Door Anoniem: Interessant is de vraag; waren de daders wat kwajongens of waren het de Russen?

Door Anoniem: Interessant is de vraag; waren de daders wat kwajongens of waren het de Russen?

Door Anoniem: Dat heeft lang geduurd zeg. Dat wisten we toch eigenlijk al. De vraag is en was hoe zit het met de rest?
Graag ook even melden waarom de al eerder verstuurde mail (die ergens is ge-queued) niet meer aankomt

Door The-Real-C: Het artikel over de Citrix-inbraak bij het Openbaar Ministerie (OM) schetst een verontrustend, maar helaas niet uniek beeld van gebrekkige digitale paraatheid binnen een cruciale overheidsinstantie. Dat het OM pas weken na de inbraak publiekelijk bevestigt dat systemen daadwerkelijk zijn gecompromitteerd, roept serieuze vragen op over transparantie, crisiscommunicatie en verantwoordelijkheid richting de samenleving.

Allereerst is de late publieke erkenning zorgwekkend. In een tijd waarin cyberdreigingen voor vitale infrastructuur toenemen, mag van een overheidsinstantie verwacht worden dat zij helder, snel en volledig communiceert bij digitale incidenten. Het feit dat interne bevestigingen al eerder waren uitgelekt via media zoals NRC, maakt het gebrek aan een tijdige officiële verklaring des te kwalijker. Dit tast het vertrouwen aan in de bestuurlijke betrouwbaarheid van het OM.

Ten tweede getuigt het gebrek aan detail over de gebruikte kwetsbaarheden en het aantal getroffen systemen van een defensieve houding die niet past bij de huidige eisen aan cyberverantwoording. Juist door open te zijn over de aard van de aanval en de geleerde lessen, kan het OM bijdragen aan de collectieve weerbaarheid van de publieke sector. Nu blijft onduidelijk hoe ernstig de situatie werkelijk is, en of er adequate structurele maatregelen worden genomen om herhaling te voorkomen.

Bovendien is het frappant dat de gevolgen voor ketenpartners, waaronder advocaten en cliënten, slechts zijdelings worden genoemd. De onderbreking van juridische processen en communicatie is geen detail, maar raakt aan het recht op een eerlijk proces. De digitale kwetsbaarheid van het OM heeft daarmee directe maatschappelijke gevolgen, en de impact hiervan had sterker uitgelicht moeten worden in zowel de berichtgeving als de eigen communicatie van het OM.

Tot slot ontbreekt het in de verklaring van het OM aan enige vorm van reflectie of verantwoordelijkheid. Er wordt nauwelijks gerept over hoe het zover heeft kunnen komen, of welke structurele tekortkomingen in beveiliging hieraan hebben bijgedragen. De vage verwijzing naar een lopend strafrechtelijk onderzoek werkt eerder verhullend dan geruststellend.

Dit incident legt niet alleen een technische kwetsbaarheid bloot, maar ook een bestuurlijke en communicatieve. Als het OM werkelijk lessen wil trekken uit deze crisis, begint dat met volledige openheid, zichtbare verbetering van de digitale infrastructuur, en het erkennen van de maatschappelijke gevolgen van het eigen falen. Alles minder dan dat is onvoldoende.

Door Anoniem: Interessant is de vraag; waren de daders wat kwajongens of waren het de Russen?

Door Anoniem:
Die tweede groep (de Russen) daar kan je vanuit gaan dat die toch al in alle systemen rond hangen. Vroeg of laat triggeren die ergens iets zodra de tijd rijp is en ligt de infrastructuur plat. Dat ga je hoe dan ook niet tegen houden, die hebben gewoon tijd en alle denkbare financiele middelen om net zo lang te peuteren tot ze erin zijn.

Kwajongens... het kan, maar dat zijn behoorlijk slimme kwajongens geweest en ik vermoed dat eigenlijk niet.

Door The-Real-C: Het artikel over de Citrix-inbraak bij het Openbaar Ministerie (OM) schetst een verontrustend, maar helaas niet uniek beeld van gebrekkige digitale paraatheid binnen een cruciale overheidsinstantie. Dat het OM pas weken na de inbraak publiekelijk bevestigt dat systemen daadwerkelijk zijn gecompromitteerd, roept serieuze vragen op over transparantie, crisiscommunicatie en verantwoordelijkheid richting de samenleving.

Allereerst is de late publieke erkenning zorgwekkend. In een tijd waarin cyberdreigingen voor vitale infrastructuur toenemen, mag van een overheidsinstantie verwacht worden dat zij helder, snel en volledig communiceert bij digitale incidenten. Het feit dat interne bevestigingen al eerder waren uitgelekt via media zoals NRC, maakt het gebrek aan een tijdige officiële verklaring des te kwalijker. Dit tast het vertrouwen aan in de bestuurlijke betrouwbaarheid van het OM.

Ten tweede getuigt het gebrek aan detail over de gebruikte kwetsbaarheden en het aantal getroffen systemen van een defensieve houding die niet past bij de huidige eisen aan cyberverantwoording. Juist door open te zijn over de aard van de aanval en de geleerde lessen, kan het OM bijdragen aan de collectieve weerbaarheid van de publieke sector. Nu blijft onduidelijk hoe ernstig de situatie werkelijk is, en of er adequate structurele maatregelen worden genomen om herhaling te voorkomen.

Bovendien is het frappant dat de gevolgen voor ketenpartners, waaronder advocaten en cliënten, slechts zijdelings worden genoemd. De onderbreking van juridische processen en communicatie is geen detail, maar raakt aan het recht op een eerlijk proces. De digitale kwetsbaarheid van het OM heeft daarmee directe maatschappelijke gevolgen, en de impact hiervan had sterker uitgelicht moeten worden in zowel de berichtgeving als de eigen communicatie van het OM.

Tot slot ontbreekt het in de verklaring van het OM aan enige vorm van reflectie of verantwoordelijkheid. Er wordt nauwelijks gerept over hoe het zover heeft kunnen komen, of welke structurele tekortkomingen in beveiliging hieraan hebben bijgedragen. De vage verwijzing naar een lopend strafrechtelijk onderzoek werkt eerder verhullend dan geruststellend.

Dit incident legt niet alleen een technische kwetsbaarheid bloot, maar ook een bestuurlijke en communicatieve. Als het OM werkelijk lessen wil trekken uit deze crisis, begint dat met volledige openheid, zichtbare verbetering van de digitale infrastructuur, en het erkennen van de maatschappelijke gevolgen van het eigen falen. Alles minder dan dat is onvoldoende.

Door Anoniem: Wie beweert nu dat je tijdens een crisis geen lessen kunt leren? Op het moment dat mijn woning op punt stond te worden overstroomd door een Nederlandse rivier, moest er meteen worden opgetreden (alle draagbare spullen naar de bovenverdieping brengen). Dan wacht je echt geen 24 uur na de crisis om lessen te gaan leren!

Door Anoniem:
en de grootste piraat die zichzelf als kapitein ziet is er weer.... weer be je druk bezig het andere te vertellen he...

heb je al geleerd hoe routeren nu gaat?

hier een lesje in smtp en mail queues dan voor je:

https://en.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol [zoek op het woord bounce]

als een mail server mail verstuurd naar OM en geen verbinding krijgt, dan blijft die op de server in een queue staan. na enkele uren en pogingen krijgt de gebruiker dan een bounce.

en hier veel meer info hoe postfix dat dan doet: https://www.postfix.org/SCHEDULER_README.html

maargoed, dunning kruger he....

Door Anoniem: Dozen sjouwen lijkt me toch echt iets anders dan complexe ICT systemen. Iemand die dozen kan sjouwen zie ik nog geen Citrix systemen patchen.

Door Anoniem:
Helemaal mee eens.

Het gebrek aan openheid is ook het gevolg van de doofpot cultuur

van het windowsoligopolie dat hier slecht onderhoud heeft gepleegd.

Reken er maar op dat er meer is gehackt maar ze zullen het niet vertellen.

Als je het internet afsluit dan kunnen ze er niet meer omheen omdat iedereen het weet door diensten die het niet meer doen.

Door Anoniem: Rfc van SMTP (e-mail) schrijft voor dat als niet binnen bepaalde tijd kan worden afgeleverd het bericht geannuleerd wordt en afzender een NDR krijgt (non deliverable report). E-mail kan dus niet alsnog worden afgeleverd maar moet opnieuw worden verzonden.

Door Tintin and Milou: Dat jij het er mee eens bent, wil niet zeggen dat het ook de juiste manier is. Iets met stuurlui.

Openheid moet je pas geven als je alles goed en onderbouwd weet. 1/2 informatie of informatie op aannames geeft alleen maar ruimte voor speculatie.
Openheid kan ook juist een groot risico zijn, want de hackers krijgen ook deze informatie, en kunnen ook zo maar nog actief zijn.

Voor de rest is er nog weinig over te zeggen, men alles wel kan/mag/wil communiceren. Men is nog druk bezig om het op te lossen en hoever men exact is met inventariseren/analyseren/oplossing/herbouwen weten er maar weinig en zullen waarschijnlijk niet zomaar open en bloot mogen vertellen.

Gaap.

Ik kan nu trouwens ook wel een paar links posten, van Linux servers, die achterlopen van Exploits, zie met een paar hele simple commando's zo update kunnen worden. Infrastructuur dat niet standaard door Windows beheerders onderhouden wordt.

Dat is mogelijk, maar dat is nu nog niet bekend en of ze het bekend maken is ook een vraag.
Je eventuele vijand inzicht even, wat jij precies weet, is ook niet verstandig tijdens een crisis of calamiteit.


Internet volledig afsluiten is ook een hele logische stap bij dit soort calamiteiten.
Gewoon een harde rode knop en alles afsluiten en daarna onderzoeken.

Door Tintin and Milou: Dat jij het er mee eens bent, wil niet zeggen dat het ook de juiste manier is. Iets met stuurlui.

Hiervoor heb je crisismanagers of beleidmakers die dit bepalen en niet techneuten zonder inhoudelijke kennis.

Openheid moet je pas geven als je alles goed en onderbouwd weet. 1/2 informatie of informatie op aannames geeft alleen maar ruimte voor speculatie.
Openheid kan ook juist een groot risico zijn, want de hackers krijgen ook deze informatie, en kunnen ook zo maar nog actief zijn.

Voor de rest is er nog weinig over te zeggen, men alles wel kan/mag/wil communiceren. Men is nog druk bezig om het op te lossen en hoever men exact is met inventariseren/analyseren/oplossing/herbouwen weten er maar weinig en zullen waarschijnlijk niet zomaar open en bloot mogen vertellen.

Gaap.

Ik kan nu trouwens ook wel een paar links posten, van Linux servers, die achterlopen van Exploits, zie met een paar hele simple commando's zo update kunnen worden. Infrastructuur dat niet standaard door Windows beheerders onderhouden wordt.

Dat is mogelijk, maar dat is nu nog niet bekend en of ze het bekend maken is ook een vraag.
Je eventuele vijand inzicht even, wat jij precies weet, is ook niet verstandig tijdens een crisis of calamiteit.


Internet volledig afsluiten is ook een hele logische stap bij dit soort calamiteiten.
Gewoon een harde rode knop en alles afsluiten en daarna onderzoeken.

Door Tintin and Milou: Ik heb de nodige ervaringen met grote incidenten in grote omgevingen, dus misschien haal ik wel goede punten aan, omdat ik weet hoe (dit soort) calamiteit werken, ook bij overheden? Al is deze wel iets groter met een grotere impact.

En zoals je hieronder kunt zien, is er ook het nodige commentaar vanuit andere, die diverse punten die ik benoem.
Maar wat ik aandraag, is nu ook niet zo speciaal of specifiek. Dus ik denk dat mijn commentaar wel terecht is.
Maar je kunt altijd inhoudelijk reageren als je wilt.

Zeker, dat had ik ook al bevestigd mijn dat topic, waar ik fout zat.


Dank je voor deze nuttige informatie./s

Toevallig vandaag en gisteren op dit soort issues al mogen troubleshooten, vrij basic kennis trouwens voor iedereen die wel eens wat met mail gedaan heeft thuis.

Wel belangrijke voor de discussie, is dat de relay servers van het OM gewoon nog online zijn, dus je "eigen" mail server er niets meer mee zal doen, immers deze heeft de email al afgeleverd bij een betreffende email server.

Lesje: misschien om dit ook even te checken de volgende keer? Scheelt een discussie.

Meestal is retry queue 1 of 3 dagen (maximaal( en daarna krijg je een NDR, ALS je al een NDR krijgt. Dit hoeft niet, want kan ook uitgezet worden. Heb ik namelijk ook mee gemaakt vanuit een Security beleid bij een overheidsinstelling dat NDR's uitstonden op de mailbox servers.

In het vorige topic, had ik dit ook al aangedragen, dat vaak de mail relay appliances LDAP lookups uitvoeren, om te kijken waar de email specifiek afgeleverd moet of mag worden.
Met een complete afsluiting van het Internet, wat het OM dus heeft, is dat dus waarschijnlijk ook niet mogelijk en weet zo'n relay appliance ook niet waar de email naar afgeleverd moet worden, dus wat moet hij er dan mee doen? Mail Accepteren? Wat betekend dat misschien een verkeerd geadresseerde email toch niet aankomt? Of dat de specifieke mailbox vol zit? Of de gebruiker uitdients is?

Vanuit een juridisch en technisch standpunt is het dan ook niet verkeerd om gewoon te zeggen, geen enkele email komt aan. Kan je nooit een discussie krijgen of een specifieke email terug te halen is, of wanneer de email aangekomen is/was.
Ik ben er niet exact bekend mee, maar vanuit deze standpunten, kan ik het heel goed begrijpen dat men gewoon dit zegt, nog afgezien van de technische eigenschappen.

Maar ook dit soort appliances hebben maar een beperkte opslag, dus kunnen nooit alle email over zo'n lange periode goed bewaren en verwerken.

Wel apart dat mijn punten ook vanuit andere bevestig worden over communicatie, crisis management.
1/2 communicatie geeft alleen maar ruis en IT heeft het al druk genoeg. Als men al alles kan en mag uitleggen, doe je dat goed onderbouwd op (of richting) het einde van de crisis.

Maar goed.... Ach...... kleinigheden natuurlijk.

Toevallig vandaag en gisteren op dit soort issues al mogen troubleshooten, vrij basic kennis trouwens voor iedereen die wel eens wat met mail gedaan heeft thuis.

Omdat ze volledig afgesloten zijn van het Internet, en wie zegt dat het ge-queued is?

is dat de relay servers van het OM gewoon nog online zijn dus je "eigen" mail server er niets meer mee zal doen, immers deze heeft de email al afgeleverd bij een betreffende email server.

Op 17 juli besloot het OM uit voorzorg de interne systemen van het internet los te koppelen.

alles riekt er naar dat je een gesjeesde techneut met beperkte kennis van zaken en microsofty trained bent :P

Door Anoniem: Kan iemand vertellen waarom het OM geen DNS MX record meer heeft?

Door Anoniem:
Patchen had al moeten gebeuren! Vertellen wat ze aan het doen zijn en wat er is gevonden.

Ze wisten vanaf dag 1 dat er was ingebroken!

Reken maar dat die windows applicatie servers gescanned moesten worden maar niks zeggen er over is zo zielig en funest voor het vertrouwen.

Door Anoniem: Kan iemand vertellen waarom het OM geen DNS MX record meer heeft?

Door Anoniem:
Dat er slecht onderhoud is gepleegd is wel duidelijk en verdient geen gaap. Het internet compleet afsluiten is ook helemaal niet logisch, want er is ook ransomware die juist begint met versleutelen als er geen internet verbindig meer is.

Door Anoniem:
Typische reactie van een doofpot cultuur. Er zijn genoeg mooie voorbeelden waar men elke dag werd geïnformeerd over de vorderingen.

Door Anoniem:
Uit voorzorg? Maand lang je netscaler niet patchen en het dan noge ens uit voorzorg noemen? Laat me niet lachen Men is gewoon vies hard gehacked en wil het niet toegeven. Ben benieuwd hoe veel data is buitgemaakt (van burgers).

Door Anoniem:

sure dude.... whatever.....

nadat


en dan ineens

nogmaals lees over bounce en over het SMTP protocol en hoe [bij postfix] met mail queues om gaat... het punt is als er geen bounce is, de mail nog netjes in een queue ergens staat of reeds afgeleverd is.

https://en.wikipedia.org/wiki/Bounce_message

verder is een relay server eerder voor out-bound mail ipv inboud.

inbound worden de MX records gebruikt om te zien welke mail servers [dmv SMTP] voor een domein accepteren. die kunnen het dan wel verder intern door lussen/relayen, maar de mail is formeel geland in de organisatie in een queue.

accepteren die interne mail servers geen mail, dan krijg je alsnog een delivery failure / bounce message van de mail server die je via de MX record benaderd had.

alles riekt er naar dat je een gesjeesde techneut met beperkte kennis van zaken en microsofty trained bent :P

Aanname, want dat hoeft helemaal niet. Dit soort type mails kan je uitzetten, je kunt de email gewoon (silent) droppen

Door Anoniem: Wat een zwam reactie Als ik bewijsmateriaal opstuur naar het OM em het OM dropt deze email silently wat denk je dat er gebeurd?
Het OM gebruikt trouwens wel postfix. Zit in de mail gateway (linux) appliance van Symantec!. Check het maar bij Fujitsu. De beheerders van Fujitsu zitten trouwens in Polen ook zo iets lekkers. Gelukkig voor de belastingbetaler is het contract inmiddels opgezegd. Ben benieuwd wie er nu naar binnen gehengeld gaat worden. Is er iemand op de hoogte van de tender en waar deze gevonden kan worden?

Door Anoniem: hier wat reacties op het geraaskal van dat strip figuurtje:

- https://www.om.nl/ is het domein. MX gaf vamiddag nog een punt als antwoord. google verder maar wat dat betekent. nu krijgen we mail1.minjenv.nl. en mail2.minjenv.nl.

- NDR is dus de bounce [heeft niets met LDAP te maken] die je kreeg omdat de MX record nog een punt was bij versturen van mail.

- NDRs niet versturen is niet SMTP compliant.

- iedere MTA [of mail server; alles wat SMTP doet] heeft een queue. hoe anders kunnen ze overweg met greylisting [https://nl.wikipedia.org/wiki/Greylisting]?

je reacties geven duidelijk aan dat je maar matig inhoudelijk begrip van de technologie hebt en zijn vooral stoere praatjes waarbij je dan maar even vlug wat chatgtp / google raadpleegt als je bluffen ontmaskerd worden. je denkt het allemaal beter te weten maar dat is aantoonbaar niet zo.