Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 175 reacties

Het Amerikaanse Hollywood Presbyterian Medical Center laat in een verklaring weten dat het veertig bitcoin, of ongeveer 15.000 euro, heeft betaald om zijn bestanden terug te krijgen. Deze waren sinds 5 februari versleuteld door ransomware en betaling bleek de snelste manier voor herstel.

Het ziekenhuis laat verder weten dat de zorg niet onder de ransomware-aanval zou hebben geleden en dat er geen ongeautoriseerde toegang tot patiëntgegevens heeft plaatsgevonden. De ceo van het ziekenhuis zei eerder tegen NBC dat hij er niet van uitgaat dat het een gerichte aanval was. Het is tot nu toe niet duidelijk hoe de malware-infectie precies heeft kunnen plaatsvinden en ook de FBI wil geen details over de zaak prijsgeven, aldus de LA Times. De krant bericht verder dat het ziekenhuis eerst de afkoopsom betaald zou hebben, voordat het contact opnam met de politie.

In eerste instantie claimden nieuwsberichten dat het bij de afkoopsom zou gaan om negenduizend bitcoin, maar dat ligt dus een stuk lager. Een beveiligingsexpert beweerde dat ransomware-aanvallen geregeld voorkomen, maar dat dit de eerste keer zou zijn geweest dat een ziekenhuis slachtoffer was geworden. Rond dezelfde tijd dat dit incident plaatsvond, was er ook in Duitsland een ziekenhuis dat met dezelfde problemen te maken had. Daarbij werd duidelijk dat de besmetting plaatsvond door het downloaden van een e-mailbijlage. Vijf andere ziekenhuizen in dezelfde regio berichtten eveneens over aanvallen.

Ransomware is een vorm van malware die bestanden versleutelt. Pas na betaling van een afkoopsom, vaak in bitcoin, krijgen slachtoffers een decryptiesleutel toegestuurd. In de meeste gevallen bevat de ransomware uitgebreide instructies voor het verkrijgen en versturen van de bitcoins en sommigen tonen een telefoonnummer waar slachtoffers 'support' kunnen krijgen. Voorbeelden van ransomware zijn CryptoWall, Cryptolocker en Coinvault. Een jaar geleden werden de computers van Rijkswaterstaat nog getroffen door dergelijke malware.

Moderatie-faq Wijzig weergave

Reacties (175)

Je kunt ook gewoon in een bedrijfsomgeving gebruik maken van de Microsoft tools die je voorhanden hebt. AppLocker inzetten om te voorkomen dat er executables worden gestart vanuit andere locaties dan program files en windows directories.

Als het goed is heeft de gebruiker geen rechten en kan alleen IT goedgekeurde gevalideerde executables plaatsen in de program files en windows map. Laats nog zo geimplementeerd voor een klant, voorkomt 99% van de gevallen van cryptolocker. Meeste gevallen worden veroorzaakt door een gebruiker die een exe bestand uitvoert vanuit de mail of het web, dit kan dus niet meer door goed gebruik van AppLocker. Standaard alles blokkeren en alleen whitelisten wat vertrouwd is.

Geen tools voor nodig die extra geld kosten dus. Loop je er wel tegenaan dat sommige websites executables lanceren zoals GoToMeeting en Cisco WebEx maar die kun je gewoon whitelisten op vendor. Deze files zijn digitaal ondertekend en als je het zou faken of aanpassen klopt de RSA signature niet meer.

Werkt prima in mijn ervaring, moet je IT omgeving wel professioneel genoeg zijn om gebruikers geen admin rechten te geven. Bij mijn vorige werkgever werkte zelfs de IT met een normaal user account, je 'super-user account' gebruikte je alleen doelgericht voor 'run as' of servertaken. Zelfs aanmelden op werkstations was niet mogelijk, ook in verband met het cachen van de hashes van de credentials om die offline te kunnen brute forcen.

Simpel voorbeeld:

https://4sysops.com/archi...cker-to-stop-cryptolocker

[Reactie gewijzigd door Pakjebakmeel op 18 februari 2016 11:44]

Klinkt leuk, maar voor AppLocker op een desktop OS dien je wel weer een Ultimate/Enterprise editie van het OS te hebben, wat maar al te vaak niet het geval is.

Daarnaast heb je het aloude theorie vs praktijk verhaal wat roet in het eten gooit. Ik lees zo vaak reacties op Tweakers waar mensen precies weten hoe het in het boekje moet maar geen idee hebben wat het nu echt inhoudt in de praktijk. Of dat men denkt dat hoe het in "hun organisatie" geregeld is de norm is.

Ja, je hebt volkomen gelijk dat het risico van cryptolockers theoretisch gezien enorm te beperken is, maar in de praktijk zitten hier vaak enorme haken en ogen aan.
Ik snap precies waar je het over hebt, echter heb ik deze aanpak meerdere malen toegepast in organisaties van 25.000 tot 250 werkplekken dus ik praat wel vanuit de praktijk. Omdat ik nu een consultancy rol heb is er geen "mijn organisatie", ik moet ook adviseren in verschillende markten. Ziekenhuizen overigens nog niet gedaan :+

Kleine organisaties heb je de eerder genoemde alternatieven voor.

Maar goed, alle client maatregelen daar gelaten zijn backups natuurlijk vitaal.. Altijd.. Overal.

Als je data je wat waard is dan heb je backups. Punt.
Was ook geen aanval op jou reactie, maar meer in zijn algemeenheid. Er wordt vaak te makkelijk gedacht over technische oplossingen.

Ik ben al een tijdje bezig bij een klant van zo'n 300 werkplekken om de boel dicht te timmeren met, onder andere, een 3rd party AppLocker variant van Kaspersky (wat simpelweg 1000-maal beter werkt dan Microsoft's poging). Dit is een redelijk dynamische omgeving waar het soms belangrijker lijkt om snelheid en innovatie niet in de weg te staan dan om de boel veilig te houden.

Niet te vergelijken met bijvoorbeeld een organisatie waar de hele dag 10000 man in Microsoft Office zitten met daarnaast een standaard CRM of ERP pakket. Dat laatste heb je namelijk meestal goed dicht zitten. Daarnaast is er ook een veel betere hierarchie in grotere organisaties en is alles beleidsmatig veel beter afgedekt. Dat zijn ideale situaties om security zaken op orde te krijgen.
Het was ook geen verdediging :)

standaardisatie is erg belangrijk. Zo min mogelijk uitzonderingen maakt het zeker makkelijker ja. Zeker mee eens.
Ik werk nu bij een kleine organisatie, maar voorheen bij een multinational.

Iedereen kreeg dezelfde laptop en als er iets mee was, dan had je in 10 minuten een verse image op je laptop staan. Inloggen met je account op de laptop en je kreeg de niet standaard software waar je toegang toe had geinstalleerd.

Data opslag op de laptop mocht aleen tijdelijk als je buiten de deur moest werken, voor de rest werd alles op netwerkschijven opgeslagen met file historie van alle wijzigingen tot ca een week terug voor veel wijzigende bestanden. En iedereen had alleen toegang tot een eigen share en de shares die hij voor zijn werk ook nodig had.

Belangrijke documenten die voor iedereen toegankelijk moeten zijn stonden op een intranet site, met up en download faciliteiten in plaats van op normale shares.

En van alles werd backups gemaakt, server park was binne een dag te herstellen met de lokale backups.

Standaardisatie is niet gewoon 'belangrijk' het is van levensbelang als je bedrijf bestaat van de data die je hebt. Een keer hadden we een virus dat via ons mail systeem wijd verspreid raakte, binnen een dag waren we hersteld! Alles dankzij standaardisatie. Vandaar dat ik ook zo tegen BYOD ben.
Te eenvoudige kijk op security hoor. Er zijn genoeg voorbeelden van exploits die vanuit een user context een privilege escalation uitvoeren om zo toch zich te kunnen nestelen in de systemen. Natuurlijk kan je minder de boel om zeep helpen met admin rechten, daar ben ik het volledig mee eens, maar je gaat er dit soort risico's absoluut niet mee uitsluiten (eerder de firstline support kosten mee doen dalen).

Voorts wil ik graag nog zien welke firma er in slaagt om dergelijke ICT maatregelen op te leggen dat users niets op hun PC mogen doen. Ik heb vaak genoeg met ICT afdelingen gesproken die de controle volledig verliezen, bv. omdat ze destijds iedereen de super secure BlackBerry's door hun strot geramd hadden, en opeens alle afdelingen op eigen budget maar iPhones begonnen kopen (en ICT moest het maar supporten). Dan krijg je opeens de vraag om van de iPhone een "iBerry" te maken die fully locked down is... je zou denken dat men leert uit fouten ;). Minder vaak voorkomend, maar ook regelmatig gezien: afdelingen die zelf laptops gaan kopen (vaak een MacBook ofzo) om maar aan de controle van ICT te ontsnappen.

Het is precies door dit soort harde/draconische security op te leggen en af te dwingen dat ICT afdelingen zich volledig irrelevant maken vandaag de dag. De perceptie in véél bedrijven is dat de ICT afdeling altijd de dwarsligger is, de business mag nooit hun leuke projecten doen - er moeten altijd 10 voorstudies rond architectuur, security, integratie, ... gebeuren, en dat duurt altijd maanden eer een ICT project opgeleverd is. Ben genoeg bij zulke projecten betrokken geweest om de fallout achteraf te moeten vaststellen... helaas...

De oplossing is dat je niet tegenover elke business vraag een bataljon maatregelen van reliability, redundancy & security moet smijten. Sommige toepassingen... véél toepassingen... moeten niet 24/7 draaien, achter 25 firewalls en met 10 IPS/IDS systemen erop en errond. Als je als ICT afdeling de vragen juist categorizeert qua criticiteit en duidelijk toont wat "the full monty package" (qua security & reliability) kost... versus wat de "standard package" (met bv. 99,5% uptime tijdens business hours) kost... dan worden opeens de rationele keuzes gemaakt, staan de verwachtingen juist, en kan je de juiste dosis security toepassen...

Dat de gebruiker van de PC toegetimmerd zou moeten worden om een ICT omgeving secure te maken, is dus mijns insziens een hopeloos achterhaalde visie. Als dat je focus als ICT afdeling is, dan zit je nog ergens begin jaren '90 qua ICT security. Persoonlijk vind ik dat je de devices (PC/tablet/phone) van de gebruiker de facto als insecure moet beschouwen (naar data verlies, verlies device, malware/hacking van het device) beschouwen en daarrond een security strategy opbouwen die volgens criticiteit segmenteert.

Nuja, ik heb wel al veel ruzie gemaakt met security officers & compliance/governance teams :).

[Reactie gewijzigd door Krokant op 18 februari 2016 12:00]

Simplistisch of niet, in mijn ervaring voorkom je hier een zeer groot deel van de besmettingen mee. De meeste zijn toch echt de gebruiker die een exe download in een warez crack of via mail een bijlage opent. Natuurlijk zijn er uitzonderingen, daarom heb je alsnog een virusscanner en potentieel andere middelen.

Zoals ik al aangaf moet je organisatie hier volwassen genoeg voor zijn. Gebruikers geen admin rechten geven lijkt mij geen draconische ICT maatregel maar een minimum standaard, blijkbaar verschillen onze meningen hierover. Door tijdig verzoeken te whitelisten voorkom je de 'bureaucratische spelbreker factor'. Een gebruiker vraagt om iets te whitelisten, IT reageert snel en het probleem is opgelost. Doordat verzoeken lang blijven liggen of door een papiermolen heen moeten ontstaat dit gevoel.

Vergeet niet dat het apparatuur is van/voor het bedrijf, zeker met nieuwe datalekken wet wil je echt niet dat iedereen maar kan doen en laten wat ze willen. Er is een balans he? De desktop hoeft niet volledig dichtgetimmerd te zijn en ieder vinkje vooraf gedefinieerd hebben.

Als de business dit soort beslissingen 'door je strot ramt' dan moeten de risico's duidelijk worden gemaakt. De verantwoording ligt dan niet meer bij de IT, ik zou dat zeker zwart op wit willen hebben.

Bij een andere klant hebben we op verzoek een middenweg gekozen, de gebruikers werken onder een normaal account met applocker. Wel hebben ze beschikking over een local admin account om installaties te kunnen 'elevaten'. Aanmelden met het account kan niet.

Overigens werkte ik hiervoor in een juridische omgeving met 25.000 werkplekken, de gegevens die aanwezig waren hadden een straatwaarde van miljoenen zoniet miljarden. In een dergelijke omgeving is de software prima te beheren middels SCCM in combinatie met AppLocker. Hier wil je een dergelijk risico zeker niet nemen. IT was hier geen struikelblok, mensen konden prima hun werk doen.

Het probleem wat je aankaart is voor namelijk te wijden aan een gebrek aan professionaliteit. Mensen die het voor het zeggen hebben willen een mooi nieuw speeltje en proberen dat er doorheen te duwen ten koste van het bedrijf. Voor een dergelijke omgeving zul je moeten doordringen bij het bestuur van een organisatie en deze achter je hebben staan.
Je kan ook de mailserver elke e-mail met "mime != (text|image)/*" attachments blokkeren en alleen inzichtelijk maken voor de ICT afdeling.

Heb je het toch nodig? (design bureau bijvoorbeeld) Zorg dan voor een online filemanager (dropbox whatever).
En je kan dan prima een ZIP bestand ontdoen van __MACOSX mappen, .DS_Store bestanden en weet niet wat allemaal.

Natuurlijk is er dan nog de use case waarbij men executables (ongewild) download via de webbrowser.
Tweakers forum: Ransomware op het werk

Dus ja, overal is wel wat op te zeggen, aan alle kanten.

[Reactie gewijzigd door DJMaze op 18 februari 2016 12:35]

Executables downloaden, van USB sticks, binnengehengeld via een SCP verbinding, torrents, nieuwsgroepen, versleutelde verbindingen.. Zat mogelijkheden.

Nee, blokkeer maar gewoon exe's uit het gebruikersprofiel. Alles wat ze nodig hebben staat op die PC. In priciepe hoeven ze niets te installeren, het is geen prive speelgoed. Daar gaat het vaak mis.

2 zaken zijn belangrijk voor je dit kunt invoeren:

a) Facilitatie van de gebruiker moet voldoende zijn, je kunt geen rechten ontnemen als ze daardoor hun werk niet meer kunnen doen. Alles moet functioneren en aanwezig zijn 'out-of-the-box'.
b) Besef dat bedrijfsapparatuur geen speelgoed is. Leuk dat je een Surface Pro 4 van je werk krijgt, maar hij is niet van jou. Torrents? Lekker thuis doen. Games installeren? Op een werk PC? Echt waar? Gaat heen..

Punt a kun je zelf in orde maken, dit is vaak een grote stap naar een professionele omgeving. Punt b is vaak nog moeilijker. Bestuur moet dit beseffen en ook op de hoogte zijn van de risico's. Leg ze de scenario's maar voor. Teken de boete's voor ze uit, laat ze zien hoe makkelijk dit kan gebeuren.

Ik heb ze ook allemaal gehoord hoor.

"Ik kan niet werken op een Windows PC"
"Ik moet een iPhone want mijn connecties gebruiken iChat"
"Ik moet kunnen facebooken en dat kan niet op mijn blackberry"

Uiteindelijk is het het bestuur die dit op moet vangen. Niet de IT afdeling.
@Pakjebakmeel :

ICT is een middel, geen doel op zich. Het doel op zich is de productie van de werknemers van een bedrijf. ICT is een stuk gereedschap om dat doel te bewerkstelligen.

Je moet van goeie huize komen om toegang tot een bepaalde applicatie te blokkeren terwijl ik dat aantoonbaar nodig heb voor m'n werk, ook al ben ik de enige user van de 10,000 in het bedrijf. Ik ga mijn werkwijze niet aanpassen 'omdat' ICT het wil, ben me belazerd. Het doel is mijn productie.

Als mijn accuboormachine niet geschikt is om in een betonnen muur te boren ga ik toch ook geen aannemer bellen om die muur maar te vervangen door spaanplaat? Dan vraag ik toch om een klopboor?
Zeker en daar ben ik het ook volledig mee eens.. Echter als je mijn posts aandachtig leest zul je merken dat we best wel op 1 lijn zitten.

Dat je toegang tot een bepaalde applicatie blokkeert die jij nodig hebt heb ik nooit beweerd, in tegendeel zelfs. Als jij dat nodig hebt kan IT dat uitrollen/faciliterend installeren of whitelisten maar dan moet dat wel tijdig gebeuren waardoor het voor de gebruiker zelfs makkelijker wordt mits de IT gesmeerd loopt. Je moet ten alle tijden je werk kunnen doen maar wel met minimale risico's. Het is een balans.

Voorbeeld; als jij in de jaren 50 zonder beschermkap op je cirkelzaag werkte betekend niet dat je dat nu mag. Je werknemer is tegenwoordig verantwoordelijk en krijgt op zijn ballen als er iets mis gaat. Dus jij gaat een beschermkap gebruiken of je het wilt of niet. De baas wil niet verantwoordelijk zijn. Vroeger had je gewoon zelf een probleem. Nu hebben we dingen als ARBO enzo.

Om in dezelfde lijn van vergelijkingen te blijven; als jij asbest hebt in je huis ben je ook verplicht om dat te laten doen voor de veiligheid. Als jij zelf wilt boren moet dat gewoon worden toegestaan, als dat standaard niet kan moet IT dat whitelisten of faciliteren.

Daarnaast zal je in sommige gevallen je werkwijze wel moeten aanpassen om het werkbaar en veilig te houden. Maar dat is niet alleen binnen de IT. Denk aan ARBO, snelheidslimieten, winterbanden verplicht in Duitsland, brandtechnische keuringen. Allemaal veiligheidsmaatregelen die er vroeger niet waren. Dan kun je ook niet roepen "fuk maar, ik ben alleen geinteresseerd in mijn productie en heb geen tijd om mijn schoorsteen aan te passen". Straks fikt de boel af en dan heb je geen productie meer.

De wereld veranderd en IT beleid zou het bestuur van een organisatie achter moeten staan. IT speelt een steeds grotere rol en het gevaar wordt met de dag groter. Het is een kwestie van risico's afdekken en ja; in sommige gevallen zal er vrijheid worden beperkt.
Ik ga mijn werkwijze niet aanpassen 'omdat' ICT het wil, ben me belazerd.
Of dat is omdat IT dat wil of niet gaan we niet uitkomen zo te horen maar los daarvan; dan ga je vaker tegen problemen aanlopen. Heel cru gezegd; je zult met je tijd mee moeten gaan. Dat iets in het verleden werkte betekend niet dat dat nu kan. Zie de voorbeelden hierboven.

Maar als je wilt kunnen we iedereen domein beheerder maken, heb je ook die vervelende limitaties niet meer. Kan iedereen ff een mailbox checken als de collega ziek is. Doet de server het niet? Herstart ik hem zelf wel. Salarispakket? Ik voer zelf wel ff mijn loonsverhoging door. Lekker torrents downloaden, pr0n en warez checken..

De keerzijde is dat als jij een keer een virus binnenhaalt en er data met een straatwaarde van 3 miljoen op straat ligt dan wijs jij gewoon naar de IT afdeling, wat een prutsers..

Ik zeg niet dat JIJ dat doet, ik mag aannemen van niet.. Maar je zal er maar eentje tussen hebben zitten die zo een enorme schade berokkend aan het bedrijf.

Wie is er verantwoordelijk en wat kunnen we er aan doen?

Juist, faciliterend en beschermend beleid met minimale hinder. IT bedenkt dit niet, in priciepe is volgens de nieuwe Wet Persoonsbescherming zelfs de 'eigenaar van de gegevens' beboetbaar tot 810.000 euro bij een lek. Vaak de directeur van het bedrijf dus. Nooit zo vaak als nu komen bedrijven met beveiligsadvies vragen. Het speelt echt, je kunt het niet meer opzij zetten anno 2016.

Echt niet.

[Reactie gewijzigd door Pakjebakmeel op 18 februari 2016 17:53]

Ik bén de IT'er tegen wie gezeurd kan worden als er een programma niet werkt ;-)

Krijg ook regelmatig de vraag waarom 'we' (= mijn klant, doorgaans MKB) geen Dropbox op de Terminal Server (RDSH-server, hoe je 't noemen wil) mag. Of waarom als je thuis Firefox gebruikt, dat in een bedrijfsomgeving niet zomaar vanzelfsprekend is. En dan mag ik uitleggen dat het erg lastig te beheren is via GPO's.

Puntje bij paaltje: ik moet inderdaad ook vaak 'nee' verkopen. Erg vervelend inderdaad. Maar ik ben wél volcontinu bewust van het feit dat ICT een middel is, en geen doel. Ik zal hoe dan ook 'moeten' bekijken óf Firefox inderdaad niet mogelijk is. Aparte security groepen maken waarbij die applicatie wél toegankelijk is als je daar lid van mag worden en er een geldige case is. Et cetera.

Het is een lastig punt. En inderdaad, 'nee' verkopen hoort daar helaas bij. Maar wat je buiten de Terminal Server om doet moet je lekker zelf weten als eindgebruiker zijnde.
Kun je je werk doen in IE? Ja? Gaat heen.

Voor je filmpjes op liveleak? Gaat heen.

Is er een valide reden voor Firefox? Ja? Oké rollen we uit. Eventueel beveiligen waar mogelijk. Stukje awareness creëren en gaan.

Dropbox voor gevoelige informatie? Zeker niet. Staat het namelijk ook op de onbeveiligde PC thuis. Dat moeten ze snappen en anders beleid handhaven. Sorry dit risico is te groot.

Toch drammen? Naar de directie en de vraag correct formuleren:

"Baas ik wil graag bedrijf kritische data met een straatwaarde van 400.000 op mijn privé PC zetten en toegankelijk maken van mijn telefoon zonder pincode beveiliging die ik vaak laat liggen in de sportschool. O ja, met de mogelijkheid om het met een druk op de knop te publiceren naar de hele wereld als onze relatie verstoord is. Daarnaast krijg je dan een boete van 810.000 euro op de persoon. Is dat akkoord?"

Antwoord: overduidelijk NEE.

"Baas mag ik dropbox?"

Antwoord: valt me niet lastig met dat soort vragen en laat IT dat installeren! IT Overruled!

Conclusie, mensen zien het risico niet. Ook het bestuur vaak niet totdat het misgaat. Awareness creëren en onderbouwen waarom niet. Maar als het wel kan niet de evil beheerder uithangen en vooral meedenken.

Wel doen: direct access aanbieden voor toegang overal. Of VPN bij gebrek aan Windows Enterprise maar wel op versleutelde vertrouwde eindstations.

Als het management met bovenstaande kennis het verzoek goedkeurt is een motie van wantrouwen op zijn plaats. Eigenlijk, degene die uiteindelijk de boete gaat betalen zou dit moeten goedkeuren.

Wedden dat het dan ineens niet mag?

[Reactie gewijzigd door Pakjebakmeel op 18 februari 2016 20:34]

@Pakjebakmeel en DigitalExcorcist:
Als ik jullie thread zo lees dan wordt mijn vuistregel weer eens bevestigd: hoe meer gemak iemand wil hebben, hoe minder beveiliging dat oplevert.
De eindgebruiker neemt geen genoegen met minder gemak, en de beveiliger neemt geen genoegen met minder beveiliging.
De kern is balans en afweging.

Het risico moet worden afgewogen tegen het gebrek aan gemak. Daar moet een goede balans in zijn. Het resultaat is dat beide partijen water bij de wijn zullen moeten doen. IT moet snappen dat het werkbaar moet zijn en de gebruikers moeten het belang en de risico's begrijpen. Dan ben je een heel eind.

Zoals mijn dropbox voorbeeld hierboven; het risico is zo groot, dat kun je simpelweg niet toestaan. Het feit dat er niets anders voorhanden is betekend dat de IT met een veilige oplossing moet komen. Faciliteren, maar wel veilig graag.

Probeer elkaar te begrijpen in plaats van star aan stereotypen vast de houden. "Sukkels van gebruikers" of "NSB IT Afdeling".

Beide hebben conflicterende belangen. Beide belangen zijn cruciaal voor het opereren van een bedrijf.
Het risico moet worden afgewogen tegen het gebrek aan gemak. Daar moet een goede balans in zijn.
Daar ben ik het niet helemaal mee eens. We streven naar goede balans (ja), maar de weegschaal zal naar mijn mening vrijwel altijd doorslaan naar te weinig veiligheid en teveel gemak, om verschillende redenen:
  • oorzaak/gevolg: gebruiker is oorzaak, beveiliging is gevolg. Dus als de gebruiker zegt "er komt geen beveiliging", dan zij het zo. Andersom kan de beveiliging niet zeggen: "Alle gebruikers eruit", want dan moet IT ook de deur uit. Dus beveiliging is ondergeschikt aan de gebruiker.
  • Beveiliging is onzichtbaar. Als een gebruiker elke dag security updates krijgt en hij moet daarvoor rebooten, terwijl hij geen nieuwe functionaliteit ziet, en dus ook niet het nut van de updates, dan denkt de gebruiker al gauw dat de updates zinloos zijn.
  • Gebruiker heeft andere belangen dan IT. Gebruiker gaat niet achter de PC zitten met het doel om updates te installeren. Sterker nog, hij wil daar niet aan denken. Daardoor geeft hij aan IT ook niet de juiste terugkoppeling. Gebruiker wil mail checken ipv updates installeren.
  • Gebruiker denkt: IT vangt het wel af. Kijk maar bijvoorbeeld naar leken met een virusscanner die denken "oh, ik loop geen risico op ransomware, want ik heb virusscanner. Ik kan overal op klikken, want mijn virusscanner beschermt me".
Het resultaat is dat beide partijen water bij de wijn zullen moeten doen.
Zo zou het moeten zijn. Dat zal alleen lukken indien gebruikers het belang inzien van beveiliging. Vergelijk het met een bosjesman die nog nooit een huis heeft gezien. Die zal als eerste de voordeur eruit slopen, want de huissleutels raakt hij steeds kwijt. Waar moet hij ze bewaren? Aan zijn peniskoker? Pas als de bosjesman meerdere keren is bestolen, dan ziet hij het belang en zal hij op zoek gaan naar een voordeur. Zo werkt het ook in de IT.
Heerlijk herkenbaar verhaal en mijn complimenten voor de inhoudelijke onderbouwing in de reacties.

Zelf werkzaam geweest in de directie van een middelgrootbedrijf in de zakelijke dienstverlening en dus stevig afhankelijke van online dienstverlening. Ieder jaar was het na de zomervakantie periode weer op de werkvloer rondlopen en uitdragen om alsjeblieft geen usb sticks met vakantie foto's in de pc's te drukken.

Serieus. Reacties als het is nu middagpauze dus dit is mijn eigen tijd, en dan moet vakantiefoto's laten zien gewoon kunnen waren standaard. Nog afgezien van het bekijken van internetpagina's om online spelletjes te doen in de middagpauze. En cd's afspelen met muziek en overig materiaal.

Daarom blijf communiceren en geef inderdaad in Jip en Janneke taal aan wat het doemscenario is.

En kan Pakjebakmeel alleen maar heel veel geduld toewensen in zijn missie, want helaas is het nodig. Nu steeds meer, omdat het platleggen van een online zakelijke dienstverlener eerder makkelijker dan moeilijker lijkt te zijn in deze tijd.
Nee, blokkeer maar gewoon exe's uit het gebruikersprofiel. Alles wat ze nodig hebben staat op die PC. In priciepe hoeven ze niets te installeren, het is geen prive speelgoed. Daar gaat het vaak mis.
In theorie staal alles op de PC wat je nodig hebt, maar je workflow niet. Bij de bedrijven waar ik hebt gewerkt. zijn geen van mijn verzoeken om bijvoorbeeld een virtual desktop manager of een plakboard manager te installeren gehonoreerd. Puur omdat dit "niet binnen de standaard applicaties valt" en we het dan "voor iedereen moeten installeren".

Ik ben geen system admin, dus kan hier niets over zeggen. Wat ik wel kan zeggen is dat dit mijn persoonlijke workflow ernstig belemmerd. Voor de clipboard manager kan ik me nog herinneren dat ik probeerde uit te leggen hoe gemakkelijk dit is als je verschillende passages uit een bv word document moet knippen en plakken.

Mijn ervaring met ICT afdelingen is dat ze iedereen over 1 kam halen. Ik zal nooit exe uitvoeren die ik niet ken of vertrouw. Juist door deze super starre instelling ga ik zoeken, zo kon ik een tijdje een portable app gebruiken, aangezien deze niet geinstalleerd kunnen worden. Maar als je zelfs de extensies allemaal dichtzet, waardoor je bijv ook geen adblock kunt installeren (lijkt mij alleen maar veiliger), je internetworkflow hierdoor ernstig wordt belemmerd alsmede je normale workflow, dan ben je als ICT afdeling volgens mij toch echt verkeerd bezig. Je bent een faciliterende partij. Met alle respect, maar zonder ons, die klantcontact hebben, zijn jullie er gewoon domweg niet. Zorg er dus voor dat wij zo goed mogelijk ons werk kunnen doen en hou niet vast aan starre regels. En begrijp dat er verschillende niveaus onder gebruikers zijn.

Anyways, tot zover mijn rand, je begrijpt dus dat ik geen goede ervaringen met ICT afdelingen heb. Uiteraard begrijp ik dat niet iedereen zo is.
Dat is inderdaad star. Je kunt prima faciliterend beleid voeren. Als jij een applicatie wilt dan installeert de helpdesk dat handmatig voor je, in de grote omgeving packagen we dat voor uitrol middels SCCM.

Je hoeft het ook niet "voor iedereen" te installeren. Daar is SCCM erg goed in. Als het eenmaal gepackaged is hang je het aan een collectie. Iedereen die je toevoegd krijgt automatisch de software.

Sterker nog, bij mijn vorige werkgeven hadden we een 'self-service portal'. De gebruiker kon aanvinken dat hij bijvoordbeeld 7-zip wilde. De portal weet welke laptop van de gebruiker is en gooit die in de juiste AD groep.

Even later staat 7-zip op de machine zonder interventie van IT terwijl de gebruiker geen admin rechten heeft. Machine stuk? Prima, nieuwe machine van de plank en even in de self service portal de oude laptop verwijderen en de nieuwe aan de gebruiker koppelen. Alle applicaties die de gebruiker al had komen weer terug.

Wederom zonder interventie van IT. Gebruiker blij, IT blij. Bijkomend voordeel is dat de gepackagede software geheel silent installeert, de gebruiker hoeft geen keuzes te maken en IT te bellen voor configuratie van database koppelingen en configuratie voor bepaalde pakketten. Scheelt tijd voor zowel gebruiker als IT.

Jammer dat dit jouw ervaring is, beveiliging legt altijd restricties op dat is nou eenmaal zo. In de auto moet je ook je gorden omdoen, het is makkelijker als we die dingen niet hadden maar er is een goede reden.

De balans is dat we (nog) zelf mogen rijden en niet autonoom. Mijn auto KAN harder dan de maximum toegestane snelheid. Jouw ervaring is een auto die autonoom rijdt, niet start zonder dat je gordel vast zit en als je naar Duitsland gaat en vraagt of de maximum snelheid tijdelijk omhoog kan je tegen een muur aanloopt.

Maar om nou te zeggen, weg met de gordel, airbag, bumpers, noodstop systeem, snelheidslimiet en alles want ik wordt belemmerd in mijn doen en laten is kort door de bocht (of eruit gevlogen :o ).

Ik ben het wel volledig met je eens dat het beleid faciliterend en niet hinderend moet werken. Je noodstop systeem moet niet telkens aanslaan als er een blaadje langskomt. Je airbag moet niet uitklappen als je te hard gaat zitten.

Het moet gewoon goed werken, alleen dan is goede beveiliging haalbaar. Als gebruikers er last van hebben gaan ze het proberen te omzeilen en dan bereik je vaak een averechts effect.

Jammer, gemiste kansen.

[Reactie gewijzigd door Pakjebakmeel op 18 februari 2016 14:14]

Handig, zo'n portal, als je laptop stuk is terwijl je in San Diego een presentatie moet geven over 20 minuten en je kantoor in Maastricht zit ;)
Dan mailt iemand je de PPT file en doe je de presentatie op lokaal beschikbare apparatuur. Risico is laag en eenmalig.

Beleid vlakt niet perse praktische oplossingen uit. Oogkleppen af en situaties zo veilig mogelijk oplossen. RSA token en inloggen op een portal kan ook.
Ja, allicht zijn er manieren om dit op te lossen. Alleen wel een beetje ruk dat je nog steeds tijdverschil hebt ;)
Maar dat is geen beveiliging of beleid discussie. Dat is praktisch. Wel of geen beveiliging.

Dit gaat over beschikbaarheid en SLA's van je service desk.
Dit was in een middelgroot bedrijf, dus misschien hadden ze geen SCCM (whatever that is ;) ). Je haalt goede argumenten aan, waarvoor ik zeker respect hebt. Het is alleen (nogmaals in mijn ervaring) zo dat, waar ICT standaard zegt "nee, we vertrouwen je niet, je bent een idioot die niet met computers om kan gaan", ik standaard denk "je bent een idioot en maakt geen onderscheid in verschillende niveaus". (allebei overdreven uiteraard, hou ik van).

Mijn punt is dat ICT weleens wil vergeten (IMHO) dat ze faciliterend moeten zijn, maw de eindgebruiker is de baas, binnen de regels die ICT stelt.

Dit was in een hotel btw. Ik zou tegen mijn gasten ook niet kunnen zeggen "ja die deur zit op slot 's nachts, zodat er geen dieven binnen kunnen komen. U krijgt geen sleutel mee, omdat u deze buiten zou kunnen verliezen. Bent u niet voor 2 uur 's nachts op de kamer, dan kunt u er helaas niet meer in". Tuurlijk, is extra veilig, maar daarvoor zijn we geen hotel. Kwestie van balans vinden, maar vooral ook open staan om de balans te vinden. Bij dat laatste merk ik dat ik eigenlijk nog helemaal niet zo eigenwijs ben als ik zelf dacht :D
Ik begrijp je bezwaren. En je hebt gelijk totdat het mis gaat en er gewezen gaat worden. En waar wordt naar gewezen: naar diezelfde IT afdeling die de zaken niet goed op orde heeft. Ik ben dan ook voor het standpunt 'het werkt niet totdat het mag' en niet 'het werkt totdat het mis gaat'.


Wel is het zo dat de IT ondersteunend moet zijn - dus inderdaad, als er behoefte is aan een bepaalde oplossing dan moet deze gerealiseerd worden. Maar niet ten koste van alles. Ik kan me dan ook vinden in de argumenten van Pakjebakmeel!
"Mijn ervaring met ICT afdelingen is dat ze iedereen over 1 kam halen. Ik zal nooit exe uitvoeren die ik niet ken of vertrouw."

ik hoop dat je begrijpt dat niemand 100% kan garanderen dat hij geen exe start die niet te vertrouwen is. Mijn ervaring is dat sommige mensen gewoon geen nee willen accepteren. Ookal heb je als IT een goede reden iets niet toe te laten.
IT is faciliterend, maar als je gebruikers laat bepalen wat ze wel en niet mogen doen gaat het altijd een keer mis.
Die exe hoef ik ook niet te vertrouwen. Met plezier stuur ik een berichtje naar mijn sys admins met het verzoek of ze deze willen installeren. Dan hebben ze de kans om dit netjes te controleren, ze kunnen zelf de updates instellen etc.

De vraag is echter of je als ICT afdeling zo star moet zijn. Als ik een goede faciliterende ICT afdeling zou hebben, dan zou ik niet zoeken naar een programma die ik kan uitvoeren, aangezien deze er al is. En als er een goede reden is om nee te zeggen, geef die reden dan ook. Het standaard antwoord 'Nee, is niet veilig' is niet voldoende. Zeg waarom het niet veilig is.

Zoals ik hierboven ook zei, in mijn opinie is de eindgebruiker de baas, binnen de regels die ICT opstelt. Als die regels dan maar duidelijk zijn.
Voor de mensen die privé (en op Win 10) iets als Applocker willen is het goed te weten dat een vergelijkbaar systeem beschikbaar is van Bitdefender. Dat staat echter standaard uit en heet Ransomware Protection. Leidt in het begin tot enige vals positieven maar als je die whitelist heb je privé een vergelijkbare bescherming. Er zullen vast meer AV bedrijven zijn die dergelijke diensten al dan niet betaald aanbieden.

Werkt die Applocker ook op nieuwere systemen? Ik zie hier alleen Win7 staan:
https://technet.microsoft...amp;MSPPError=-2147217396
Zeker.. Laatst op Windows 10 geïmplementeerd.
voor 95% van de bedrijven zou ik je gelijk geven, maar dit wil je in ziekenhuizen, waar ICT van LEVENSBELANG is, niet riskeren en moet je elk risico uitsluiten.
Er zijn zat organisaties die niets toelaten op hun computers. Zelf werk ik al 8 jaar mer systemen waarin ik vrijwel niets kan veranderen, dit alles ook met remote systemen (o.a. Citrix). Ziekenhuizen zouden hier ook mee moeten werken, en dit zal over het algemeen ook zo zijn. Waarom? Het is sowieso veel veiliger, en daarbij hebben ze iets anders ook niet nodig. Het is namelijk niet nodig om dingen te installeren door de gebruiker. Dus als dat hier is gebeurd, dan is dat ziekenhuis gewoon heel dom bezig.
Heb een tijdje geleden een kort project bij een ziekenhuis gedraaid en daar werden alle desktops buiten de deur gezet en vervangen door thin-clients, met een standaard image. Alleen bij hoge uitzondering kon een desktop blijven staan....:)
Duidelijk nog nooit in een ziekenhuis de IT gedaan :)

Dokters zijn nogal aparte gevallen. IT in het ziekenhuis staat meestal als dienst naar zijn gebruikers. Artsen krijgen cd's op seminars met software om te proberen in eigen omgeving. Die moet gaan werken op hun werkplek.

Werkplek van artsen staan daarom in veel gevallen voor een gedeelte open om eigen software te installeren. Applocker is dan geen optie, want dan kunnen ze dit niet. En geloof me, die artsen gaan zwaar op hun strepen staan en management gaat eerder mee met de artsen dan met de it afdeling.

Ja, er zijn wel maatregelen te nemen. De meeste belangrijke software draait op hosted of shared desktops en die zijn vervolgens wel weer af te dichten. Maar die fatclients en laptops blijven een probleem omdat de gebruikers daar gewoon meer rechten krijgen.
Virusscanners lossen dan het probleem niet altijd op, omdat de cryptoware meestal nog niet herkent wordt.
Klopt (gelukkig niet als ik het zo hoor) :+

Prima, maar tegen mijn advies in (zwart-op-wit) en niet mijn verantwoording dus. Zo blijf je rennen en brandjes blussen, je houdt geen tijd over voor automatisering en stroomlijning wat je op termijn tijd gaat schelen. Eigenlijk zou ik niet eens in een dergelijke omgeving willen werken.

Er zijn overigens andere oplossingen, de helpdesk is prima in staat om dit voor een gebruiker te installeren zonder dat deze admin rechten heeft. Voor grotere organisaties package je de software en rol je deze uit.

Dit heeft niets met ziekenhuizen te maken, dit heeft te maken en besef van risico's en professionaliteit van de organisatie. Leuk dat de kapper op de hoek lokale PC's heeft met admin rechten maar in een grotere organisatie waar vertrouwelijke gegevens staan is dat gewoon geen eens een optie.

Wacht maar tot alle patientdossiers uitlekken en blijkt dat ze niet voldeden aan ISO 27001 of ISAE-3402.. Dan heb je de poppen aan het dansen, 810.000 euro boete. Gaan we daarna nog een keertje praten of het zo'n goed idee is om zo verder te gaan. }:O

[Reactie gewijzigd door Pakjebakmeel op 18 februari 2016 12:58]

Dicht timmeren is zeker in een ziekenhuis nooit weg. Maar wat hebben ze in vredesnaam voor een backup strategie daar?

Standardiseer je hardware en zorg voor goede images om het virus kwijt te raken op je PC's.

Verder alleen data op de NAS op laten slaan en voor de zekerheid dagelijkse backups van windows profiles inclusief documenten. Versleutelde bestanden op de NAS zijn in een paar seconden hersteld door een oude snapshot terug te zetten.

Binnen een dag operationeel zonder 15.000 euro te moeten betalen en laten we eerlijk wezen, zelfs als je betaalt moet je al je PCs opnieuw imagen, of wil je vertrouwen op de eerlijkheid van criminelen dat het echt weg is?

Verbazingwekkend weer hoe slecht zulke instituten hun backups voor elkaar hebben.
Grappig dat je het ook nog eens een oude snapshot noemt en daarmee eigenlijk meteen al aangeeft wat het probleem is met het terug zetten van een snapshot. Je gaat terug naar een point in time maar alles wat toegevoegd/aangepast is tussen het maken van het snapshot en de druk op de knop om terug te gaan naar dat snapshot ben je kwijt.
Je hebt dan ook niet de versleutelde bestanden hersteld, je bent terug gegaan naar een eerdere staat van de versleutelde bestanden en dat is net even wat anders.

Uiteindelijk zal er een besluit genomen moeten worden of je als organisatie terug wil/kan naar de laatste (geslaagde) back-up en bereid bent om alle wijzigingen/toevoegingen na die back-up verloren te laten gaan.
Tja als ik nu op de server kijk dan heb ik van de afgelopen maand dagelijks een snapshot, van het half jaar daarvoor heb wekelijks snapshots. Goede detectie is net zo belangrijk als backups. Als het binnen een maand ontdekt wordt heb ik alleen geen backups van bestanden die tussen oplopen van de infectie en ontdekken zijn gemaakt of gewijzigd.

Doordat we veel bestanden hebben waar meerdere mensen aan werken, zou een encrypted bestand op een netwerkschijf toch vlot ontdekt moeten zijn, tenzij iedereen natuurlijk geinfecteerd raakt. Maar dan zou de monitoring software moeten protesteren, omdat die buitensporig veel schrijfactiviteiten detecteert.

Overigens doe ik het versie beheer van mijn Office documenten met subversion (ja ik weet dat daar andere oplossingen voor zijn) Commits naat svn zijn of niet encrypted omdat het virus ze decrypt voor de commit om niet ontdekt te worden. Of svn gaat over de zeik van de inconsistenties.

[Reactie gewijzigd door Omega Supreme op 18 februari 2016 19:43]

Een dagelijkse, uurlijkse of kwartielijkse snapshot zou zeker tekort schieten.

In een ziekenuis zou je eigenlijk een continu-backup moeten hebben, continu worden gegevens toegevoegd en die moeten eventueel ook continu weer beschikbaar zijn. Ook ivm auditing zou in een ziekenhuis continuous data protection misschien sowieso best interessant zijn, zo kan je alle modificaties van informatie nog eens nalopen. Natuurlijk moet de backup dan verder ook niet meer te modificeren zijn. Maar goed, dat kost nogal wat bandbreedte en eventueel ook opslagcapaciteit (zeker als je toch pakweg een 'incubatietijd' van een kwartaal zou willen kunnen 'terugdraaien'.

Daarnaast zou je in het geval van een dergelijke ransomware natuurlijk ook toch nog werk moeten stoppen in het achterhalen van het moment&de locatie waarop de malware aankwam, zodat je die dan ook kan wegsnijden uit een restore.

Uiteindelijk zou het voorkomen van zo'n aanval en preventie van uitbreiding mocht het toch voorkomen IMHO toch wel het mooiste zijn.

[Reactie gewijzigd door begintmeta op 18 februari 2016 20:08]

Dat backup schema is gebaseerde op onze behoefte, niet die van een ziekenhuis. Op zich is het niet zo moeilijk om iedere 5 minuten een snapshot te maken of zelfs bij iedere bestandswijziging, zodat je voledige historie hebt. Er zijn opslag systemen die dat probleemloos bieden. Het kost alleen wat.

En als je systeem compromised is zit je sowieso aan een hele operatie vast, omdat je geen enkel systeem dat is blootgesteld aan het virus meer kan vertrouwen.
Worst case ben je dus een volledige dag werk kwijt van iedereen die gedurende die dag iets heeft aangepast of toegevoegd op het desbetreffende volume.
In een beetje bedrijf noem je dat op z'n minst een probleem.
In een beetje bedrijf heb je de rechten zodanig ingericht dat uberhaupt niemand alle bestanden kan encrypten. Je ben dan hoogstens een dag werk kwijt van een aantal mensen.

Als zo'n cryptolocker je hele netwerk pakt, dan heb je in de basis al iets fout gedaan.
Zo eenvoudig is dat niet.

Welke rechten zijn dat dan? "zodat niemand iets kan encrypten"?
Last time I checked bestaat zo'n recht niet...

Doe jij maar eens een voorstel om een netwerk dusdanig te beveiligen dat er absoluut geen cryptolocker actief kan worden, dan schiet ik een gat in je voorstel en geef aan hoe het wel degelijk nog steeds kan.

Oh ja, de gebruikers moeten wel nog kunnen werken hé.

Er wordt altijd gedaan alsof IT gefaald heeft bij een dergelijke aanval, maar dat hoeft helemaal niet zo te zijn.
Ik bedoel dat je gebruikers alleen toegang geeft to netwerkshares waar ze ook iets te zoeken hebben. Zo had ik altijd alleen toegang tot de bestanden van klanten waar ik ook voor werk. Als ik een virus zou hebben gekregen, zouden alleen mijn klanten zijn getroffen. En dan alleen huidige projecten, omdat alle bestanden van afgeronde projecten in een archief systeem werden opgeslagen.

Dan kan een organisatie duizenden medewerkers hebben, maar tenzij die allemaal door een cryptolocker worden getroffen is de impact beperkt door conservatief schrijfrechten te geven.
Ja dat beperkt de schade natuurlijk wel wat. Maar dan nog is het heel gebruikelijk om bepaalde afdelingen rechten te geven tot bepaalde afdelingsmappen waar vervolgens enorm veel data in kan staan.
Je moet je met de huidige afpersing praktijk dus af gaan vragen of dat wel een houdbaar gebruik is.

Archiveren, of zelfs alleen leesbaar maken, van afgesloten projecten of oudere bestanden maakt dit soort aanvallen al veel effectiever. En als je het onderdeel van de workflow maakt, is het niet eens zo heel veel extra kosten/moeite.
Het probleem ligt bij kleinere MKB bedrijven van 1-50 werkplekken die geen eigen ICT afdeling hebben. Het is veel te duur om ICT dan telkens rechten te laten wijzigen bij het afsluiten van een project.

En zelf de bedrijven hun rechten laten beheren is alleen maar vragen om meer ellende.
Helemaal waar. Helaas geldt dit alleen in een ideale wereld waar een bedrijf genoeg ICT mensen in dienst heeft om dit te onderhouden. De meeste bedrijven draaien met een skeleton crew en daar is het vaak pappen en nat houden.
Je hebt een hoge investering qua tijd om op dit punt te komen, als je hier eenmaal bent en alles is goed georganiseerd zul je merken dat je tijd over houdt.

Wij hadden 6 man op 1200 servers en 25.000 werkplekken. Alles was gestandaardiseerd en geautomatiseerd. Dit is een extreem voorbeeld maar installeer straks eens een PC opnieuw? Komt die gebruiker 10x terug dat hij applicaties mist en dingen niet werken. Kost je bakken met tijd.

Had je het goed voor elkaar dan kon je de gebruiker een blanco PC van de plank geven. Groeplidmaatschap aanpassen en alle applicatie komen terug omdat je structuur mooi op orde is. Geen onverwachtte software op die PC want je weet wat er op staat. Data staat als het goed is ook niet op die PC want je gebruikers beseffen het risico.

BitLocker doe je automatisch met group policy en MDT, je denkt toch zeker niet dat ik iedere PC handmatig ga encrypten? Zelfs in een kleine omgeving, ik ben nu bezig met het uitrollen van 80 laptops. Zero touch, aanzetten en koffie halen. Ding komt in het domein, BitLocker staat aan, applicaties worden geinstalleerd. Zo zou ik het eigenlijk altijd doen tenzij het echt om 10 PC'tjes gaat.

Anyhow, we dwalen af van het onderwerp. Samengevat:

Besef van risico
Professionaliteit (van de business en IT)
Verantwoording voor risico's
Mee eens. Je hebt ook helemaal gelijk. Ik weet hoe het in elkaar zit en hou het optimaal zou moeten werken. Maar veel mkb bedrijven willen niet investeren om naar dat punt te komen. Ik werk al sinds begin jaren 90 in dit segment en dit is helaas een algemeen verschijnsel. Die vinden ICT beheer een lastig randverschijnsel. Een veel gehoorde kreet is vaak "We hebben ontzettend weinig storingen en alles loopt als een trein. Zo druk heb je het niet / We hebben je helemaal niet nodig" Dat is juist de omgekeerde beleving van een bedrijf of klant. Ze hebben niet in de gaten dat het veel werk en tijd kost om het goed voor elkaar te hebben. Daar krijg je gewoonweg de tijd en het budget niet om het optimaal in te richten.
Wat is eigenlijk het verschil met "software restriction policies" ?
Vaak word met "oud exotisch software en aparatur " in ziekenhuizen(ook andere instanties) gewerkt, waar Admin rechten en backwards compability nodig zijn.

In theorie: ja!? koop dit, doe dat, click heir... dan ben je veilig... in het echt werkt het niet zo... mensen, managers, geld, kennis, etc...
Wat een knoeiers... Ten eerste dat de cryptolocker zijn gang kon gaan, maar ten tweede (misschien nog wel erger) dat zij geen backup terug konden zetten.

En betalen is al helemaal uit den boze, dat moedigt dit soort afpersing alleen maar aan.
Verdiep je in de werking van cryptolockers. Hierboven staat het al ergens beschreven. Ze werken transparant. Terwijl ze nog aan het encrypten zijn, decrypten ze de bestanden bij opvraag. Je merkt er dan nauwelijks iets van, behalve dan veel disc io en mogelijk wat meer cpu/memory in gebruik dan normaal. Als hij helemaal klaar is stopt hij met transparant decrypten en krijg je de meldingen pas. Een backup is dan zinloos, tenzij je dagen, weken, maanden terug gaat en dan verlies je al je nieuwe data. Dat is in een ziekenhuis gewoon niet wenselijk en dan snap ik dat ze betalen om al hun gegevens terug te krijgen. Liever betalen dan dat er een patient sterft omdat je iets toedient waar deze allergisch voor is.

En dat de cryptolocker zijn gang kan gaan is gissen. Veel artsen zijn apart volk. Die willen van alles en van alles niet. En geloof me, als de hartchirurg iets niet kan dan loopt hij naar het management met de mededeling dat hij dit moet kunnen en anders vertrekt die. Wie denk je dat het management op dat moment voorrang geeft... de arts of de ict afdeling die in dienst staat van de artsen?

De meest praktische oplossingen in ziekenhuizen zijn gescheiden netwerken. Een volledig dichtgetimmerd en gescheiden netwerk voor patienten info en een voor dagelijkse zaken voor de artsen, waarbij ze via hun laptop/pc geen directe toegang hebben tot fileservers met patientinfo. Echter is dit zeer lastig te bewerkstelligen ivm uitwisseling gegevens met andere ziekenhuizen/huisartsen/etc, speciale apparaten die gegevens op usb zetten die dan weer ingelezen moeten worden (denk aan hartritme monitors, suikerspiegel monitors die gewoon draagbaar zijn bij patienten en de dag erop worden uitgelezen).

Dus om direct te zeggen dat het knoeiers zijn.. nee... hooguit dat het mogelijk beter kan met minder risico.
Terwijl ze nog aan het encrypten zijn, decrypten ze de bestanden bij opvraag.
Dus tot dat deze kritieke afpersingsmassa bereikt is (zeg maar 10GB) heb je valide backups (als je backuptool op fileniveau werkt en over langere tijd backupped). En als je de infectie dus ontdekt in deze "limbotijd" kan je de sleutel toch uit de binary, registry of geheugen halen ?
edit: langer tijd toegevoegd

[Reactie gewijzigd door goarilla op 18 februari 2016 13:13]

Je moet dan wel weten waar die sleutel staat en wie weet slaat hij het wel helemaal niet lokaal op maar krijgt hij die van een server van buitenaf.

Enfin moet je dan eerst terug naar het moment dat de cryptoware nog bezig was met encrypten. Dan de sleutel zien te bemachtigen. Dan de server verder terug restoren (in ieder geval het windows gedeelte) om naar een status te gaan dat het de cryptoware er niet op stond. (of de server opnieuw opbouwen). Dan de data zelf weer restoren naar vandaag (anders mis je data tussen restore punt en vandaag) en een tool vinden die de data kan decrypten met de sleutel die je hebt gevonden.

Dat is nogal veel werk en omslachtig en is eigenlijk niet te doen in een ziekenhuis omdat elk klein foutje kan leiden tot overlijden van een patient.
Daarnaast kan de cryptoware zich ondertussen verspreid hebben op een andere machine of heb je 'patient 0' nog niet gevonden die het probleem heeft geintroduceerd en ben je in no-time terug bij af.
Je moet dan wel weten waar die sleutel staat en wie weet slaat hij het wel helemaal niet lokaal op maar krijgt hij die van een server van buitenaf.
Ik zal nooit beweren dat het simpel is :D. Maar ergens hoop ik dat de AVG producenten gaan afkomen met anti-cryptolocker agents die dit wel kunnen.
Hangt er maar vanaf of de ransomware bij je backup bestanden kan komen. Zo ja, dan ben je alsnog de sjaak.
Daarom horen backups ook pull te zijn en niet push.
Op zich zou er al snel bij de IT afdeling een alarm moeten afgaan omdat er wel heel veel data geschreven wordt.

Er is prima monitoring software beschikbaar die bijhoudt hoeveel files normaal gesproken op een werkdag worden geschreven op een netwerkschijf, die slaat alarm op dag 1 dat een cryptolocker begint met encrypten van je bestanden..

edit:
Overigens kan je ook op je netwerkschijven bestanden plaatsen en in de organisatie bekend maken dat niemand die mag aanpassen, maar wel iedereen schrijfrechten geven.

Vervolgens iedereen bij het opstarten even dat bestand laten openen en sluiten (zonder opslaan). Verandert de checksum op de server dan gaat er een alarm af.

[Reactie gewijzigd door Omega Supreme op 18 februari 2016 16:23]

Wij hebben al enkele keren cryptowall en andere smaakjes meegemaakt. De ene cryptolocker zet er een extensie achter, de ander niet.

Ik heb echter nog nooit gehoord van een "onderwater" variant.

Wat als bijvoorbeeld het proces wat bestanden versleuteld wordt afgekapt doordat de betreffende client-PC down gaat? Zullen de niet zichtbare, versleutelde bestanden zich dan tonen?

Even de "onderwater" cryptolocker volgens jouw beschrijving:
Stel dat de bestanden onderwater zijn vergrendeld en in een flits ontgrendeld worden wanneer een gebruiker het bestand opent zodat niemand iets door heeft
(en er na een aantal weken geen backup meer van is).
Nadat de gebruiker het bestand gesloten heeft wordt er weer een encryptie over heen gesmeerd. Maar stel dat het proces, en de executable van de cryptolocker worden verwijderd, dan is er toch geen communicatie mogelijk met de criminelen? waardoor de encrypted bestanden dus geen aansturing krijgen en zich altijd laten openen?
(Tenzij er natuurlijk op bestandsniveau een datum aan is toegewezen, echter vraag ik mij af of dit mogelijk is.)

Mocht ik iets verkeerd hebben begrepen dan hoor ik dat natuurlijk graag. ;)

[Reactie gewijzigd door LuukLG op 20 februari 2016 23:37]

Ook al heeft men geen rechten op de lokale PC om kritieke bestanden aan te passen, hebben ziekenhuismedewerkers en artsen vaak wel toegang tot bestandsshares op een NAS-systeem. Vermoedelijk zijn in dit geval ook de NAS-bestanden geëncrypteerd. Een PC heb je in zo'n omgeving vaak opnieuw geïnstalleerd adhv images. Bestanden op file shares waar de helft van het ziekenhuis aan kan, zijn iets kritieker.

In het ziekenhuis bij ons in de buurt is een gelijkaardig voorval gebeurd (cryptolocker), maar daar hebben ze adhv snapshots wel alles binnen het uur in orde gekregen. Slordig dat dit hier niet mogelijk was.
Het valt me nog mee dat na de betaling de ransomware ook daadwerkelijk zichzelf uitschakelde. Ik denk niet dat ik daar op had durven vertrouwen.
Waarom zouden ze hun eigen glazen ingooien door er gewoon met het geld er vandoor te gaan? Dat kun je een paar keer doen, en daarna weet iedereen wel dat het toch geen zin heeft om te betalen. Er wordt juist geld overgemaakt omdat dat in het algemeen ook echt helpt.
Geen garantie natuurlijk dat ze na een week niet wéér geld vragen.
Dat is juist hun business model, vandaar zelfs helpdesken en chat support en dergelijke. Het valt of staat bij een goede afhandeling. Als men het niet teruggeeft gaat ook niemand meer betalen.
Tenzij ze het pas heel laat door hadden zou een backup terug zetten net zo snel zijn? Vooral als je bedenkt dat je geen enkele garantie hebt dat je je bestanen ook echt terug krijgt misschien de betere oplossing. Is de ransomware dan ook weg of doet die nog allerlei interessante dingen op de achtergrond?
De ransomware encrypt de bestanden maar word pas na een paar weken actief. Daardoor zijn alle backups uit die periode ook versleuteld. Een backup terugzetten heeft dus geen zin.

EDIT: of je moet een backup van een paar weken oud terug zetten, maar dat is meestal niet realistisch.

[Reactie gewijzigd door JackBol op 18 februari 2016 11:34]

Als hij niet actief is zijn de bestanden toch nog niet versleuteld? Anders merk je toch meteen dat je je bestanden niet kunt openen? En ik mag hopen dat het op de clients draait en de server neit besmet is, dus mocht het zo zijn dat hij het weken lang stiekem voor je decrypt zodat je het niet door hebt je het daardoor op een andere PC merkt.

Of mis ik hier iets?
De ransomware installeert zichzelf in de file handler van het operating systeem. Hij heeft dagen of weken nodig om alle documenten op het systeem te versleutelen. Al die tijd zal de ransomware transparant opereren. I.e. je hebt niet door dat er iets aan de hand is. Wanneer de ransomware klaar is met versleutelen wacht deze een bepaalde tijd om ervoor te zorgen dat evt. backups ook vol komen te staan met de versleutelde bestanden.

Op een gegeven moment verwijderd de ransomware de encryption-key uit zijn geheugen. Dan word het file-system onleesbaar. Nu krijgt de gebruiker de notificatie om te betalen om de key terug te krijgen.

Het versleutelen en het notificeren zijn twee afzonderlijke activiteiten.
Had nog niet eerder van zulke geavanceerde ransomware gehoord. Lijkt me ook een hogere drempel om zichzelf als driver geinstalleerd te krijgen dan simpelweg een batch filetje die alle schrijfbare bestanden afgaat en encrypt.

Vraag bij jouw verhaal: gedurende de tijd dat de malware nog transparant werkt zullen de backups ook nog in orde zijn? Of maakt die driver onderscheid tussen een backup programma is en de user die zijn Excelletje probeert te openen?
Afgaand op de uitleg ga ik er vanuit dat alle beestanden netjes versleuteld worden. Als een gebruiker een bestand wil openen, dan wordt het (tijdelijk) voor hem ontsleuteld. Zo heeft de gebruiker niet door dat de bestanden vesleuteld worden. Ondertussen zijn de backups van de versleutelde bestanden ook versleuteld. Na een paar weken stopt de software met ontsleutelen en moet er betaald worden. Totdat er betaald is zijn je bestanden (en backups) onbruikbaar. Alleen de backups van voor de versleuteling zijn nog goed, maar die zijn dan al een paar weken oud en dus niet bruimbaar meer.
Die vlieger gaat alleen op bij blocklevel backups. Op het moment dat je backup systeem gewoon je gemounte filesystem leest, zijn je backups prima.
Vraagje: al mijn belangrijke bestanden staan in dropbox. Die bestanden benader ik vanaf verschillende apparaten (pc, tablet, telefoon). Stel nu dat mijn pc getroffen wordt door ransomware. Dan merk ik dat toch meteen wanneer ik de bestanden benader via tablet of telefoon, en dan kan ik via versiebeheer van dropbox mijn oude bestanden terughalen.

Kortom, wie alles in dropbox (of andere cloud-service) bewaart, en vanaf verschillende apparaten werkt, kan zijn bestanden niet kwijtraken via ransomware. Klopt dit, of zie ik wat over het hoofd?
Lijkt me sterk, dan zouden andere gebruikers in het netwerk die de ransomware niet hebben de bestanden ineens niet meer kunnen lezen.
Hoe kan een gebruiker ervoor zorgen dat er iets geïnstalleerd wordt in de filehandler van een fileserver ? Ik snap dit niet helemaal.
Van het werkstation oké, maar een gebruiker heeft normaalgesproken alleen toegang tot een shared folder van de server en niet de C schijf e.d.

Tot nu toe hebben wij alleen last gehad van de welbekende, zichtbare variant.
Gebruikers merken meestal na een half uur dat bepaalde programma's niet meer werken en ze sommige documenten niet meer kunnen openen.
Je kon duidelijk zien d.m.v. een zoekopdracht op extensie dat de cryptolocker bezig was, steeds meer bestanden werden encrypted.
We hebben dit vervolgens vrij snel opgelost door een back-up terug te plaatsen.
Het operating system van de fileservers was dan ook niet aangetast, alleen de gedeelde shares waarop de betreffende gebruiker schrijfrechten heeft.

[Reactie gewijzigd door LuukLG op 20 februari 2016 23:41]

Als de ransomware ook netwerkschijven en cloudbestanden versleuteld, dan moet je al een off-site backup gebruiken toch?
Als je backup toegankelijk is voor gebruikers doe je iets niet goed. Is het iemand met de juiste rechten geweest die de oorzaak is en als je geen off-site backup hebt verdien je ontslag als verantwoordelijke.
niet altijd. Soms zie je gewoon het encrypten gewoon voor je ogen gebeuren (zoals bij ons op de zaak destijds).

Alle servers en werkstations afgesloten en gaan zoeken naar de schuldige.
Achteraf bleek het een werkstation te zijn (enige computer die ook lokaal bestanden versleuteld had) die ook toegang tot bepaalde algemene shares op 1 server had waardoor daar dus ook bestanden versleuteld werden.

Werkstation geformatteerd + opnieuw geïnstalleerd en op de server de backup van de voorgaande avond teruggezet (waar geen versleutelde bestanden op gevonden waren).

Het enige verlies waren wat PDF en Office documenten, maar dat was niet zo schokkend.

edit:
@Rivanni
De mensen zijn die bewuste vrijdag ongeveer 2 uur eerder moeten stoppen met werken en dit is ingehaald op de dag erna (zaterdag wanneer er sowieso bij ons een halve dag gewerkt wordt). Toen bleek dat de SQL database onaangetast was konden deze mensen dus zaterdagmorgen gewoon doorwerken terwijl een 2-tal andere mensen zich bezighielden met herstelwerkzaamheden.

En natuurlijk kost het herstel ook tijd en dus geld, maar nog altijd veeeeeeeel minder dan hetgeen we in bitcoins moesten betalen (om nog maar te zwijgen dat je dit soort gedrag niet moet aanmoedigen door te betalen).

[Reactie gewijzigd door Yucko op 18 februari 2016 14:56]

Het verlies was ook de tijd die men niet aan de normale dagelijkse werkzaamheden kon besteden. Ook heb je verlies omdat je tijd moet investeren in het weer op orde brengen van alles. Verlies gaat niet enkel om wat bestanden die je kwijt bent geraakt.
Nog niet van gehoord... De ransomware die ik ken gaat gewoon vrolijk alles encrypten. Maar jouw verhaal: de andere computergebruikers hebben dan snel genoeg door dat bestanden 'corrupt' zijn...
Vooral als je bedenkt dat je geen enkele garantie hebt dat je je bestanden ook echt terug krijgt misschien de betere oplossing.
Niet schriftelijk, maar tot op heden zijn ze daar erg 'netjes' in, is ook de enige manier om te zorgen dat mensen geld over blijven maken natuurlijk, immers moet je wel genoeg vertrouwen hebben dat je je files terug krijgt anders ga je geen geld over maken :)
Vertrouwen dat je iets terug krijgt is niet de drijfveer om te betalen hoor.
De ontdekking dat je geen alternatieven hebt was in mijn geval reden om te betalen.
Natuurlijk in combinatie met de afweging tussen het bedrag wat betaald moest worden en de (al dan niet emotionele) waarde van de bestanden.
Dus jij had ook betaald als voor jou bekend was dat je je bestanden niet terug kreeg?
Ik had betaald ook als onduidelijk was van te voren of ik het überhaupt terug had gekregen ja.
(Het is natuurlijk altijd onduidelijk aangezien je met een crimineel moeilijk sluitende overeenkomsten kan maken :P )

[Reactie gewijzigd door GeeMoney op 18 februari 2016 12:46]

Beetje 'afspersing' anno 2016, las ook dat dit met de dag populairder wordt, maar zulke zaken zou je toch op een redelijk niveau moeten kunnen afschermen?
Tuurlijk kan dat. Je zult er wel wat energie in moeten stoppen en blijkbaar is dat hier niet gebeurd.

Het is gewoon verbazingwekkend dat een ziekenhuis personeel willekeurige exe files laat uitvoeren op hun systeem. Een ziekenhuis lijkt me toch juist een instelling die investeert in een veilige en stabiele omgeving.
Het is een ziekenhuis... Die staan er nu niet bepaald om bekend (net zoals alles wat op overheid lijkt) van een goed en actueel IT beleid te hebben... Applicatiefirewall met 2 traps antivirus zou al heel veel oplossen. Maar ik heb alvast mijn vrouw de opdracht gegeven mij specifiek naar een ziekenhuis te brengen waar ik weet dat Linux/BSD/... machines gebruikt worden waar mogelijk en waar de mensen snappen dat niet elk apparaat zomaar aan het internet moet kunnen.
Euhm.. vervang het 'overheid' maar gewoon in 'de mens'. Ergens waar dat IT niet de core purpose is van een bedrijf gaan dingen op IT gebied gewoon mis. Omdat mensen het niet snappen, begrijpen of de consequenties van bepaalde zaken gewoon niet weten.

Immers hoe gevaarlijk kan het nou zijn om je huis/tuin/keuken foto's even op je werk te bekijken? Of om je werk laptop even in je eigen netwerk te prikken thuis? Iemand die een laptop/computer gebruikt als gebruiksvoorwerp en niet bezig is met de technische kant van het verhaal kun je onmogelijk verantwoordelijk houden als er problemen zijn veroorzaakt.

Het is primair de IT afdeling/ management die er voor moet zorgen dat de gebruikers ook daadwerkelijk snappen waarom bepaalde zaken not done zijn. En dan nog, een IT afdeling van een ziekenhuis / bedrijf heeft die kaas gegeten van dit soort dingen? Ik denk dat het bij veel bedrijven niet zo is.
Daar geef ik je absoluut gelijk in. Het is makkelijk om de vele mislukte projecten bij de overheid te gebruiken om jezelf als IT'er op een hoger voetstuk te plaatsen, maar ik kan zo een aantal voorbeelden uit mijn hand schudden dat het bij het bedrijfsleven nog vele, vele malen bedroevender is. Testen in de P-omgeving omdat het zoveel tijd scheelt (laat staan een teststraat te hebben), hardware gebruiken die ver over de vervangingsleeftijd zit, vooral niet overgaan op een nieuw platform omdat de software er dan niet meer op draait, beveiliging op een laag pitje houden omdat het zo lastig wordt voor de gebruiker, etc., etc. Dit zijn een paar voorbeelden die ik zomaar geeft die bij in de vezekerings- en bankenwereld voorkomen.
Is dat bekend welke systemen er in het ziekenhuis worden gebruikt? OF ben je zelf rond gaan snuffelen? ;)
Als er meer mensen zijn, die bewust een ziekenhuis keuze laten afhangen van de systemen, zou dit een stimulans kunnen zijn om hier meer aandacht aan te besteden.
Ze zouden die ziekenhuizen inderdaad moet benchmarken op een hele hoop zaken en dat moeten publiceren. Er is niets zo goed voor de kwaliteit van een bedrijf/instelling dan concurrentie en transparantie.
Het is een ziekenhuis... Die staan er nu niet bepaald om bekend (net zoals alles wat op overheid lijkt) van een goed en actueel IT beleid te hebben... Applicatiefirewall met 2 traps antivirus zou al heel veel oplossen. Maar ik heb alvast mijn vrouw de opdracht gegeven mij specifiek naar een ziekenhuis te brengen waar ik weet dat Linux/BSD/... machines gebruikt worden waar mogelijk en waar de mensen snappen dat niet elk apparaat zomaar aan het internet moet kunnen.
Ik heb natuurlijk geen idee wat jij van ziekenhuis IT weet maar ik weet er wel wat van. En in mijn ervaring kunnen de meeste bedrijven daar nog veel van leren. De controle en wetgeving is tegenwoordig aardig streng op dit soort instellingen en de kostenbesparing van digitaal werken werd al twee decennia geleden ingezien.

Maar blijkbaar weet je wel welk ziekenhuis er met Linux werkt (snap niet goed waarom dat veel uitmaakt maar goed). Of laat je dat je vrouw maar uitzoeken? Of is die diegene de wat van ziekenhuis IT weet?
Ik zal het anders stellen. Ik heb met verschillende ziekenhuizen/IT medewerkers van ziekenhuizen contact gehad en de technische competentie van het bewuste 'Linux'-ziekenhuis is hoog en de competentie van het 'Windows'-ziekenhuis was onrustwekkend. Ik heb dat ook niet op één gesprek of één persoon gebaseerd maar heb hier voor mijzelf (daarom dat ik ook niet aan namedropping doe) geoordeeld dat ik graag zou hebben dat als ik er ernstig aan toe ben ze mij naar het "Linux"-ziekenhuis brengen. Ik ga er vanuit dat een ingenieur met grondige kennis van Linux en netwerkoplossingen misschien ook wel eens aan de alarmbel trekt als iemand op laat ons zeggen dat MRI afdeling of verantwoordelijk is voor het noodaggregaat duidelijk niet weet waar hij mee bezig is.
Ja, maar dit is ook een beetje een schot voor open doel. Linux engineers zijn gemiddeld duurder. Als een ziekenhuis genoeg geld verdient om goeie technici in dienst te nemen, zullen ze ook duurdere artsen kunnen veroorloven.

Trouwens trap je met dit soort berichten waarschijnlijk wel een beetje tegen het zere been van de gemiddelde klikklakklaar bezoeker.

[Reactie gewijzigd door Elite25 op 19 februari 2016 13:52]

Het is een ziekenhuis... Die staan er nu niet bepaald om bekend (net zoals alles wat op overheid lijkt) van een goed en actueel IT beleid te hebben... Applicatiefirewall met 2 traps antivirus zou al heel veel oplossen. Maar ik heb alvast mijn vrouw de opdracht gegeven mij specifiek naar een ziekenhuis te brengen waar ik weet dat Linux/BSD/... machines gebruikt worden waar mogelijk en waar de mensen snappen dat niet elk apparaat zomaar aan het internet moet kunnen.
Gaan we weer, altijd direct verwijzen naar overheid terwijl we het hier toch echt over een volledig private instelling hebben. Het gemiddelde bedrijf heeft zijn zaken echt niet beter in orde hoor, je hoort er alleen veel minder van omdat ze het simpelweg niet openbaar moeten maken.

Ik wens je trouwens veel succes met het zoeken naar een ziekenhuis waar men uitsluitend op *nix werkt. Het is trouwens niet alsof deze systemen niet vatbaar zijn. Deze kunnen evengoed een infectie krijgen. De mens is en blijft de zwakste schakel.
Dat ontken ik ook niet en ja als we het breed trekken ik ken ook gerenommeerde strafpleiters die hun dossiers op een ongeëncrypteerde laptop, zonder antivirus hebben staan en die hun laptops ook gewoon in de vuilbak steken als die stopt met functioneren.

Mij hebben ze ooit op een sollicitatie gesprek gevraagd wat het eerste is dat ik zou doen om de veiligheid van een bedrijf te verhogen. Mijn antwoord: "Iedereen ontslaan"

En bij een klant waar alles een puinhoop was de vraag gekregen hoe ik kon zorgen dat op 2 weken tijd er niets meer aan te merken was op de beveiliging: "Hoofdzekering afzetten".
Blijkbaar is het voor jou erg lastig om met reële oplossingen te komen. Past ook wel in het straatje van de reacties dat IT bij de overheid altijd slecht is en alles met Linux veilig is. Erg generaliserend en daarmee ook kortzichtig en niet serieus te nemen.
Knap dat jij die analyse kan maken op basis van een paar (sarcastische) berichten... En vragen hoe je op 2 weken tijd een multinational door een ISO keuring gidst is op zich geen serieuze vraag...
Ach, ik ken ziekenhuizen (en ook gemeenten) in NL die met RES software (Workspace Manager en Automation manager) gewoon een applicatie whitelist hebben.
Ja, het is veel werk om dat op te zetten en te onderhouden, maar je voorkomt gewoon kei-hard dat mensen zelf applicaties gaan installeren, portable applicaties starten of andere executables afschieten.

Wat je hier dus weer roept is behoorlijk generaliserend en ik heb juist zelf gemerkt dat een ICT afdeling van een ziekenhuis (heb er bij enkelen gedetacheerd gezeten) een hogere security awareness is dan bij handelsbedrijven of een gemiddeld bedrijf met 500-1000 werknemers.
Leuk als jij ergens een ongeluk krijgt en met spoed naar het dichts bijzijnde ziekenhuis moet. Vragen of ze Linux gebruiken als je buiten bewustzijn bent? Je vrouw belt en hoort dat het Windows is dat men gebruikt. Dan maar dood?
Nou ziekenhuizen houden geen eens rekening met de vraag van je vrouw. Hun prioriteit is levens redden.
Standaard tweakers.net reactie, bij de overheid is het zogenaamd allemaal drama maar daarbuiten (en uiteraard vooral in de eigen werkomgeving) is alles koek en ei.
Als ik één ding geleerd heb in al die jaren dat ik ondertussen werkzaam ben in de IT en zowel bij overheid als private bedrijven over de vloer kom is dat slecht/falend IT/security beleid niet uniek is voor overheid gerelateerde omgevingen maar gewoon overal voorkomt waar mensen werken.

Als ik overigens eerlijk ben heb ik nog een tweede ding geleerd in al mijn IT jaren, het in huis hebben en gebruiken van Unix/Linux biedt geen enkele garantie voor een goed en actueel IT beleid. Ook achter die machines zijn meer dan genoeg prutsers te vinden, ben er in ieder geval meer dan genoeg tegen gekomen.
Oh wouw, hoe kom je daar achter? Mss handig om er een lijstje van te maken opt forum?:)
Door dat te vragen :) (en stiekem door daar leverancier te zijn en/of te solliciteren/vacatures te bekijken)
Dus jij wilt wel in een ziekenhuis terecht komen waar het zo slecht is gesteld met de beveiliging dat informatie over de IT-infrasturctuur met jan en alleman wordt gedeeld? 8)7
"Ik ben een ingenieur elektronica gespecialiseerd in Linux en werk voor ziekenhuis X" is niet hetzelfde als een uittreksel van de firewallrules aan mij geven...
"programmeertaal voor thuisgebruik"
https://nl.wikipedia.org/...en_voor_het_.NET-platform

[Reactie gewijzigd door capsoft op 18 februari 2016 12:01]

Ik was eigenlijk benieuwd naar een onderbouwing van jouw mening. Waarom is het volgens jou voor thuisgebruik?
Heb je toevallig deze blog gelezen van Nick Craver?
http://nickcraver.com/blo...rchitecture-2016-edition/
Ik snap niet hoe je software die inherent verbonden is aan een systeem dat tot op de dag van vandaag gammel in elkaar zit en waar enorm veel risico's inherent zijn aan de manier waarop het systeem is opgebouwd zou willen gebruiken in een productieomgeving. Ik moet regelmatig ingrijpen in Windows server omgevingen om tot de conclusie te komen dat heel veel processen eigenlijk maar werken omdat de stand van de sterren goed staat. Als het dan misloopt en je merkt hoe zwak de documentatie is en hoe incompetent de mensen zijn waar je op moet terugvallen. Over die verschrikkelijke Microsoft pagina's nog maar te zwijgen dan krijg je dat inderdaad niet aan mij verkocht. Ik ben net 3 dagen bezig geweest om een systeem te reanimeren (incluis corrupte SQL database) nadat een update van Microsoft dat systeem onbruikbaar had gemaakt. En ja dat had sneller opgelost geweest als er een geteste backup oplossing was geweest. Maar ik heb nog NOOIT 3 dagen nodig gehad om een Linux productie machien terug online te krijgen, zelfs niet met data recuperatie van een defecte schijf er bij geteld.

Ben is snel door die blog gegaan. Op zich niets mis mee maar ik zou het anders doen. Al is het maar omdat veel van die producten heel duur zijn en daar niet altijd veel bang-for-buck tegenover staat.

[Reactie gewijzigd door techsolo op 18 februari 2016 12:22]

Mee eens. Ik heb ooit de automatisering van verslavingsklinieken verzorgd, en als ik op een Zorg-en-ICT-beurs met leveranciers praatte, zakte geregeld m'n broek af van verbazing, als leveranciers zonder blikken of blozen aangaven dat ze alleen diensten voor het Microsoft-platform aanboden. Ik vind dat ondenkbaar.

Maar het kan nog gekker: Ik begreep ooit dat de Britse kernonderzeeërs op het Microsoft-platform draaien, terwijl Amerikaanse kernonderzeeërs gelukkig op Linux werken.

Terug naar dit artikel: Waarschijnlijk draaien in alle ziekenhuizen van Nederland nog Windows XP-systemen, waarbij essentiële processen/gebruikers admin-rechten vereisen. Vervanging is niet te doen, tenzij je bereid bent bv. een miljoen per apparaat uit te geven. Tja. Dan loop je snel een virusje op.

[Reactie gewijzigd door strompf op 18 februari 2016 12:56]

Ik denk dat het moment dat je intensieve zorgen nodig hebt je zelf niet veel te beslissen zult hebben.

.Net is trouwens helemaal geen technologie voor thuisgebruik. Het is een framework dat de programmeur een hoop taken uit handen neemt. Neem nu het systeem dat in Londen de congestion charge berekend, dat is volledig in .Net geschreven. Microsoft heeft zelfs ooit als proof of concept een OS geschreven in C# genaamd singularity.
Wat een onzin. Als een arts jou staat te opereren heeft hij heus geen last van een stukje malware in het netwerk hoor.
Geloof ik graag maar dat doet geen afbreuk aan mijn filosofie dat een bedrijf waar ze losgeld moeten betalen omdat ze geen cryptolocker kunnen buitenhouden EN zelf de schade niet ongedaan kunnen maken misschien ook wel eens op andere vlakken tekort kan schieten waar mijn leven wel vanaf hangt. Denk zomaar aan de noodgenerator, ademhalingstoestellen, MRI machines, ... die niet of slecht onderhouden zijn.

Het is niet omdat een arts in een veldhospitaal mijn leven kan redden dat elk hospitaal even doordacht mag zijn als een doorsnee veldhospitaal...

[Reactie gewijzigd door techsolo op 18 februari 2016 15:01]

Waar woon jij dan eigenlijk dat je toegang hebt tot zoveel ziekenhuizen? Tenzij je een half uur/ uur rijden "dichtbij" noemt natuurlijk.
Van vrienden die geneeskunde studeren heb ik de vreemdste dingen gehoord. Er schijnen zelfs doctoren te zijn die pertinent weigeren iets digitaal in te voeren. Complete schaduw-administratie op post-it notes. Zodra je ook maar de Noordzee oversteekt wordt het alleen nog maar erger.
Ter nuance: ik krijg alleen de ergste verhalen te horen.
Ik kan dat helaas bevestigen uit de eerste hand bij een academisch ziekenhuis. Met name de oudere professoren zweren bij hun 'eigen systeem'.
van de orde alle mailtjes uitprinten... Kan echt wel iets aan gedaan worden als het noodzakelijk is voor effectief functioneren. Dan sta je binnen paar maandjes buiten binnen de wettelijke kaders.
Ik heb het helaas privé ondervonden, destijds 150 euro moeten betalen voor unieke foto's van de 1ste verjaardag van mijn zoon.
Behoorlijk vervelend en haast niet te voorkomen, ik werk notabene in de ICT en ook mij is het overkomen. (wel met een tijdelijke laptop met een platform waar ik niet 24/7 mee werk, maar ik weet echt wel wat ik installeer of niet).

Na onderzoek bleek ik waarschijnlijk besmet te zijn geraakt door een browser plugin.
Lang verhaal (ook topic over geweest op forum met mijn hele verhaal) maar ook ik heb uiteindelijk besloten te betalen gezien de foto's uniek en "onbetaalbaar" waren, zeker voor mijn vrouw.

Korte toelichting: ik was de foto's juist aan het back-uppen van mijn SD-kaart af toen de openbaring van de cryptolocker kwam, zodoende raakte mijn originele bron en mijn halve back-up dus encrypted.

Goede tip die ik voor altijd hanteer nu: SD-kaart op read-only zetten middels de fysieke schuifknop en dan inlezen.

http://gathering.tweakers.net/forum/list_messages/1614227

[Reactie gewijzigd door GeeMoney op 18 februari 2016 11:45]

Ja, er werken zoveel in de ICT tegenwoordig. Dat is zo'n container begrip geworden, dat het niets meer zegt.

Maar wat ik niet begrijp, een foto van je kind? Die heb je toch niet met haast nodig? Kan je toch gewoon terughalen met een bruteforce attack op een computer die je even niet gebruikt?

Media op read-only zetten, is inderdaad een goeie methode voor preventie. btw.
Als Unix Specialist kan ik wel zeggen dat ik in de ICT werk hoor ;)
Lees het topic anders even door welke ik toegevoegd heb.

Het betrof foto's van de 1ste verjaardag van mijn zoontje, waarschijnlijk ben je zelf geen ouder vermoed ik, dan had je de waarde van deze foto's beter begrepen denk ik :) .
En deze simpel terughalen met een bruteforce op de encryptie sleutel is een utopie.
Naar schattingen zou de snelste huidige supercomputer voor 1 enkele sleutel meer dan 1 miljard jaar rekentijd nodig hebben.

[Reactie gewijzigd door GeeMoney op 18 februari 2016 14:38]

Ik snap die sentimentele waarde wel hoor, maar ben zelf inderdaad zelf geen ouder. Ik ben milieubewust ;)

Maar hoe lang was de code voor de ontsleuteling dan?
Van wat ik me herinner is het een 256-bits AES encryptie.

Ps. Als je zo milleubewust bent zonder kinderen neem ik aan dat mijn kinderen jou in verwasbare katoenen luiers mogen stoppen later?;)

[Reactie gewijzigd door GeeMoney op 19 februari 2016 11:38]

Nee, ik bedoelde meer te vragen hoeveel karakters was de sleutel die je kreeg?
Maar wat ik niet begrijp, een foto van je kind? Die heb je toch niet met haast nodig? Kan je toch gewoon terughalen met een bruteforce attack op een computer die je even niet gebruikt?
Ik geloof niet dat je begrijpt wat voor encryptie hier gebruikt word. Dat 'gewoon' terug halen met een computer die je 'even' niet gebruikt is een versimpeling van hoge orde.
Een goed idee hoor, maar bedenk wel dat die read only switch puur een flag is waarbij het systeem zelf kan kiezen of het toch gaat schrijven.
De read only switch is fysiek. Je kan met geen mogelijkheid schrijven dan hoor ;)
Tenzij je de firmware op het device gekraakt hebt inderdaad.

[Reactie gewijzigd door GeeMoney op 19 februari 2016 11:35]

De read only switch is fysiek. Je kan met geen mogelijkheid schrijven dan hoor ;)
Tenzij je de firmware op het device gekraakt hebt inderdaad.
Dat valt vies tegen. De switch is namelijk niet verbonden met het circuit van de chip.
Zoals MsG al aangeeft is de switch slechts een indicatie voor het host systeem.
Die kan daardoor alsnog de kaart beschrijven, ook al staat de switch op read-only.

Uit de documentatie van sdcard.org:
A proper, matched, switch on the socket side will indicate to the host that the card is write-protected or not. It is the responsibility of the host to protect the card. The position of the write protect switch is un-known to the internal circuitry of the card.
Misschien een idee om voor een serieuze desktop/tablet oplossing te kiezen binnen een ziekenhuis?

Sowieso eng idee dat zulke kwetsbare systemen gebruikt worden binnen een ziekenhuis.

Als ik het Duitse bericht lees, zie ik dat noodgevallen wat betreft hartfalen naar een ander ziekenhuis gestuurd moeten worden. Het zal er maar net om schelen!
Maar mensen gaan liever naar een ziekenhuis met tien goede artsen en 1 goedkope it'er dan naar eentje met vijf matige artsen en zes geweldig goede security experts.
Zoiets moet je ook consolideren. 6 geweldige security experts voor 20 ziekenhuizen. Ze hoeven er toch niet dagelijks te zijn.
Ja, maar toch is de tool "eng" voor gewone gebruikers. Heb hem wel eens geadviseerd, echter mensen vragen dan, welk level van bescherming moet ik kiezen, wat zijn group policies, heb ik al blocked items op mijn pc ? Hij is te technisch voor gewone gebruikers.
Lekkere beveiliging/backup dan.. Het uitvoeren van niet vertrouwde executabels zou (helemaal door cryptowall en varianten) inmiddels toch wel geblokkeerd moeten worden.

En indien dit niet het geval is, wacht dat je van een, fatsoenlijke, backup.....
Backup terug zetten in een ziekenhuis lijkt me best vervelend. Van alle patienten die vandaag of in de laatste x uur zijn geweest ben je dus alle gegevens kwijt.

Ik zeg niet dat er geen ander opties zijn, maar een backup terugzetten is toch wel heel vervelend. Of zijn er realtime backup systemen? (serieuze vraag)

Hier in Nederland wordt (voor zover ik weet) een ziekenhuis betaald per verrichting. Als die verrichting niet in je systeem staat, dan wordt je ook niet betaald. Misschien is 15.000 Euro dan goedkoper...
Het meegaan in betaalverzoeken stimuleert ransomware makers om hiermee door te gaan. Een slechte zaak dus. Zulke berichten leiden waarschijnlijk tot een toename van ransomware.
Je zult altijd wel mensen, instanties hebben die geen backups hebben of waarbij deze niet in orde zijn.
Dat is de enigste reden dat ransomware dan ook zoveel geld oplevert aan de criminelen

Op dit item kan niet meer gereageerd worden.



Samsung Galaxy S7 edge Athom Homey Apple iPhone SE Raspberry Pi 3 Apple iPad Pro Wi-Fi (2016) HTC 10 Hitman (2016) LG G5

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True