Overheden willen einde aan standaard wachtwoorden in vitale sectoren
Opsporingsdiensten, ministeries en cyberagentschappen uit een groot aantal landen hebben leveranciers van vitale sectoren opgeroepen om te stoppen met het gebruik van standaard wachtwoorden in hun producten. Daarnaast worden vitale organisaties opgeroepen om standaard wachtwoorden binnen hun systemen te wijzigen. Aanleiding zijn aanvallen op vitale systemen waarbij aanvallers door middel van standaard wachtwoorden wisten binnen te dringen.
De oproep is afkomstig van de FBI, de Amerikaanse geheime dienst NSA, verschillende Amerikaanse ministeries, Europol, Eurojust, en cyberagentschappen en opsporingsdiensten uit Australië, Canada, Tsjechië, Frankrijk, Duitsland, Italië, Letland, Litouwen, Nieuw-Zeeland, Roemenië, Spanje, Zweden en het Verenigd Koninkrijk. Volgens de diensten maken de aanvallers gebruik van redelijk eenvoudige methodes om systemen aan te vallen.
Zo worden scanners als Nmap en OpenVAS gebruikt om naar vanaf het internet toegankelijke VNC-services te zoeken. Vervolgens wordt er geprobeerd om via standaard of zwakke wachtwoorden op deze systemen in te loggen. De aanvallers zoeken specifiek naar poort 5900, gebruikt voor VNC. Virtual Network Computing (VNC) is software om op afstand systemen mee te kunnen bedienen. Het doel van de aanvallers zijn Human Machine Interfaces (HMI's) waarmee industriële systemen worden bediend.
De nu waargenomen aanvallen hebben nog geen grote impact gehad, maar volgens de overheidsdiensten is er een risico dat de aanvallen in de toekomst wel ernstige schade kunnen aanrichten, met echte, fysieke gevolgen. In de waarschuwing wordt vooral gewezen naar het belang om de authenticatie van vitale systemen goed te beveiligen en ervoor te zorgen dat ze niet direct vanaf het internet toegankelijk zijn als dat niet nodig is.
Vitale organisaties worden dan ook opgeroepen om systemen van het publieke internet af te halen, multifactorauthenticatie (MFA) toe te passen en alle standaard wachtwoorden binnen hun systemen aan te passen. Aan de andere kant worden systeemleveranciers van vitale sectoren verzocht om ervoor te zorgen dat hun apparatuur geen standaard wachtwoorden gebruikt. "Het gebruik van standaard wachtwoorden is de voornaamste kwetsbaarheid waarvan aanvallers misbruik maken om toegang tot systemen te krijgen", aldus de diensten.
Valt mij ook op, de oproep de standaard wachtwoorden in vitale organisaties te vervangen.
Staat niet in het artikel, maar gaat over activiteiten van de GRU, met pro-Russische hacktivist groepen. Die zullen wel world-wide te vinden zijn.
Het is een hele waslijst aan partners in dat samenwerkingsverband achter deze oproep, maar Nederland en Belgie staan er niet bij, wel Europol en Eurojust, en een een paar Europese organisaties, waaronder de Tsjechische militaire inlichtingendienst. Daar hebben ze een paar maanden terug (okt) verkiezingen gehad, dus die valt mij op.
U.S. Department of Energy (DOE)
U.S. Environmental Protection Agency (EPA)
U.S. Department of Defense Cyber Crime Center (DC3)
Europol European Cybercrime Centre (EC3)
EUROJUST – European Union Agency for Criminal Justice Cooperation
Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC)
Canadian Centre for Cyber Security (Cyber Centre)
Canadian Security Intelligence Service (CSIS)
Czech Republic Military Intelligence (VZ)
Czech Republic National Cyber and Information Security Agency (NÚKIB)
Czech Republic National Centre Against Terrorism, Extremism, and Cyber Crime (NCTEKK)
French National Cybercrime Unit – Gendarmerie Nationale (UNC)
French National Jurisdiction for the Fight Against Organized Crime (JUNALCO)
German Federal Office for Information Security (BSI)
Italian State Police (PS)
Latvian State Police (VP)
Lithuanian Criminal Police Bureau (LKPB)
New Zealand National Cyber Security Centre (NCSC-NZ)
Romanian National Police (PR)
Spanish Civil Guard (GC)
Spanish National Police (CNP)
Swedish Polisen (SC3)
United Kingdom National Cyber Security Centre (NCSC-UK)
Ze zijn niet de enige...
Als het 'vitaal' is, dan regel je dat nationaal. En is dat niet in handen van een commercieel bedrijf. En ja, als het door de overheid geregeld wordt, is het dus inefficiënt, onhandig en duur. En dan werkt het ook niet - overheid en 'kennis' gaat niet zo vaak samen.
Hang de meuk nou gewoon eens niet aan internet. 98% van het probleem opgelost.
Dat is vitalerer - en de afdelingen van de organisaties die de oproep doen gaan _daar_over.
De dingen waar de KNVB voor oproept zijn meestal ook goed als ze elders ook gedaan zouden worden, alleen de KNVB roept nu eenmaal over dingen op het voetbalveld en de voetbalkleedkamer en gaat niet over tennisvelden of hockey kleedkamers.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?