Virusdefinities databank telecomgegevens handmatig bijgewerkt
De virusscanner van het CIOT, een database met klantgegevens van telco's en isp's, wordt één keer per week handmatig bijgewerkt. Dat roept de vraag op of de veiligheid van privégegevens wel kan worden gegarandeerd.
De virusscanner van het CIOT wordt slechts één keer per week bijgewerkt, zo blijkt uit een intern auditrapport, waarop Bits of Freedom via de openbaar-bestuurswet de hand heeft weten te leggen. Bovendien gebeurt het bijwerken met de hand. Dat brengt volgens het auditrapport risico's met zich mee: afwezigheid van een systeembeheerder zou ervoor kunnen zorgen dat de virusdefinities niet worden bijgewerkt. Ook is achteraf niet te controleren of de virusscanner op het juiste moment werd bijgewerkt omdat de logging onvolledig was.
Het is onduidelijk om welke virusscanner het gaat: mogelijk gaat het om de virusscanner op de servers van het CIOT-systeem, maar het kan ook zijn dat de audit zich richt op clients in de organisatie. De audit geeft hier geen duidelijkheid over. De audit maakt echter duidelijk dat de beveiliging binnen het CIOT niet is zoals deze zou moeten zijn: volgens de norm moet de virusscanner op elk moment up-to-date zijn. De database van het CIOT bevat klantgegevens van alle internet- en telecomproviders en wordt door opsporingsdiensten gebruikt om de identiteit van internetters en bellers te kunnen achterhalen.
De opstellers van het rapport hebben niet alleen kritiek op de virusscanner: zo zijn de afspraken met gebruikers van het CIOT-systeem - de opsporingsdiensten - al sinds 2004 niet meer bijgewerkt, terwijl dat in twee eerdere auditrapporten al is aanbevolen. Wel is het CIOT begonnen met het opstellen van nieuwe afspraken. Daarnaast is onduidelijk of er wordt gecontroleerd of de software van de database up-to-date is en is het volgens het rapport onduidelijk of de statistieken die het CIOT vrijgeeft wel kloppen. Volgens die statistieken werd in 2010 2,6 miljoen keer privégegevens opgevraagd bij het CIOT.
Reacties (69)
Het staat onderaan het artikel, maar dit is eigenlijk veel belangrijker. Het actueel houden en beheren van virusscanners is een technische aangelegenheid en de huidige problemen daarmee zijn relatief makkelijk op te lossen. Het negeren van auditrapporten en het niet bijhouden van afspraken is een menselijk probleem en daardoor vaak groter en moeilijker (terwijl dat, als het wordt opgelost, vaak veel meer vruchten afwerpt dan een enkele technische maatregel).De opstellers van het rapport hebben niet alleen kritiek op de virusscanner: zo zijn de afspraken met gebruikers van het CIOT-systeem - de opsporingsdiensten - al sinds 2004 niet meer bijgewerkt, terwijl dat in twee eerdere auditrapporten al is aanbevolen.
Dat zijn goede redenen voor nader onderzoek.Daarnaast is onduidelijk of er wordt gecontroleerd of de software van de database up-to-date is en is het volgens het rapport onduidelijk of de statistieken die het CIOT vrijgeeft wel kloppen.
[Reactie gewijzigd door The Zep Man op maandag 22 augustus 2011 15:31]
Nader onderzoek is niet nodig het systeem moet gewoon verdwijnen.
Een systeem kun je niet voor 100% beveiligen en aangezien dit om erg gevoelige data gaat (ALLE telecomdata van ALLE nederlanders) is de beveiliging juist hier erg belangrijk. Daarnaast:
nieuws: 'Elke maand kwart miljoen verzoeken om gegevens telecom-gebruikers'
nieuws: 'Opsporingsdiensten negeren privacy bij gebruik telecomdatabank'
Het nut van de databank is ook twijfelachtig, er kan geen een case genoemd worden waar deze database de doorslag heeft gegeven bij een onderzoek.
Welkom in de politiestaat die Nederland heet...
Een systeem kun je niet voor 100% beveiligen en aangezien dit om erg gevoelige data gaat (ALLE telecomdata van ALLE nederlanders) is de beveiliging juist hier erg belangrijk. Daarnaast:
nieuws: 'Elke maand kwart miljoen verzoeken om gegevens telecom-gebruikers'
nieuws: 'Opsporingsdiensten negeren privacy bij gebruik telecomdatabank'
Het nut van de databank is ook twijfelachtig, er kan geen een case genoemd worden waar deze database de doorslag heeft gegeven bij een onderzoek.
Welkom in de politiestaat die Nederland heet...
Nee, dat klopt niet het CIOT bevat "alleen" gegevens zoals naam, adres, toegewezen telefoon nummers, etc. (En op het gebied van internet, dingen zoals toegewezen IP adressen.)(ALLE telecomdata van ALLE nederlanders) .........
Het bevat dus geen inhoudelijke data van gespreken of gegevens over wanneer iemand gebeld heeft/is.
Rejo Zenger heeft al meermaals onderzoek gedaan naar het CIOT en het gebruik ervan door opsporingsdiensten. Zijn website heeft meer informatie hierover...
Van deze gegevens staat wel vast dat het opsporings diensten helpt bij onderzoek. Deze gegevens zijn bijvoorbeeld nodig om toestemming te vragen tot het afluisteren van telefoon nummers. Of denk aan "Internet" zaken waarbij IP adressen geverifieerd moeten worden...Het nut van de databank is ook twijfelachtig, er kan geen een case genoemd worden waar deze database de doorslag heeft gegeven bij een onderzoek.
Ik zeg niet dat dit de enigste of juiste manier is om dit te doen of dat er geen privacy concerns zijn, maar wil alleen maar aangeven dat veel mensen dit verwarren met de bewaarplicht van het feitelijke verkeer door ISP's en telecom bedrijven Daar gaat het hier dus NIET om...
Slecht beheer betekent niet meteen dat je in een politie staat leeft. 
Maar ik denk dat degenen die er gebruik van maken voor hun werk beter kunnen beoordelen of het wel of geen nut heeft.
Ik denk dat hun er wel wat genuanceerde over nadenken dat iemand die nog maar net in de maatschappij komt kijken.
Maar ik denk dat degenen die er gebruik van maken voor hun werk beter kunnen beoordelen of het wel of geen nut heeft.
Ik denk dat hun er wel wat genuanceerde over nadenken dat iemand die nog maar net in de maatschappij komt kijken.
"volgens de norm moet de virusscanner op elk moment up-to-date zijn".
Mooie norm is dat..Je kunt nooit exacte gelijk lopen. Er wordt altijd met vaste intervallen gekeken of er updates zijn...
Wanneer is deze interval echter te lang? Moet er minimaal ieder uur gezocht worden naar updates? Iedere dag? Iedere week?
@Hieronder:
aardig "real-time"... Alweer zo'n vage term.
Als je eisen/normen stelt moeten deze gewoon meetbaar zijn. Een push-systeem is inderdaad een optie, maar dat is vast niet zoals ze het in gedachten hadden toen ze de norm bepaalden.
In de basis ben ik het dus met je eens; 1x per uur is in principe genoeg. Maar dan hadden ze dit ook gewoon zo in de norm moeten zetten.
Mooie norm is dat..Je kunt nooit exacte gelijk lopen. Er wordt altijd met vaste intervallen gekeken of er updates zijn...
Wanneer is deze interval echter te lang? Moet er minimaal ieder uur gezocht worden naar updates? Iedere dag? Iedere week?
@Hieronder:
aardig "real-time"... Alweer zo'n vage term.
Als je eisen/normen stelt moeten deze gewoon meetbaar zijn. Een push-systeem is inderdaad een optie, maar dat is vast niet zoals ze het in gedachten hadden toen ze de norm bepaalden.
In de basis ben ik het dus met je eens; 1x per uur is in principe genoeg. Maar dan hadden ze dit ook gewoon zo in de norm moeten zetten.
[Reactie gewijzigd door MaZeS op maandag 22 augustus 2011 15:52]
Er lijkt slechts een zin genomen te zijn uit de tekst en niet de context.
Op elk moment gelijk lopen is natuurlijk niet mogelijk, maar elk uur de definities updaten is ook aardig "real-time", dus een beetje flauw.
Op elk moment gelijk lopen is natuurlijk niet mogelijk, maar elk uur de definities updaten is ook aardig "real-time", dus een beetje flauw.
Gebruiken deze kritieke databases dezelfde soort virus scanners als wij thuisgebruikers? Dat mag ik toch hopen van niet! Kunnen virus definities niet gepushed worden voor dit soort systemen zodat ze echt real time geupdate worden?
NOD32 pushed real time updates naar zijn virusscanner. Dus het is zeer zeker wel mogelijk je virusscanner op elk moment up to date te hebben. In elk geval dezelfde versie als de leverancier. Dat wil natuurlijk nog niet zeggen dat elk virus 100% wordt gedetecteerd...
Wel erg laks in elk geval deze houding. Maar goed: ze vinden het verzamelen en gebruiken van onze gegevens ook veel belangrijker dan er zorgvuldig mee omgaan. Laten we eerlijk zijn: de politie treedt de wet regelmatig met voeten en het CBP kan dan alleen maar "foei, dat mag niet!" zeggen...
Wel erg laks in elk geval deze houding. Maar goed: ze vinden het verzamelen en gebruiken van onze gegevens ook veel belangrijker dan er zorgvuldig mee omgaan. Laten we eerlijk zijn: de politie treedt de wet regelmatig met voeten en het CBP kan dan alleen maar "foei, dat mag niet!" zeggen...
Je bent nooit 100% up to date, zelfs niet met push technologie. Er moet eerst een nieuw virus gevonden worden, wil er een definitie voor komen (tenzij deze op basis van gedrag geblokkeerd wordt). Dus je bent altijd vatbaar voor een aantal van de nieuwste virussen. Push technologie klinkt dus erg mooi, maar is niet HET antwoord. In zeer grote omgevingen gaat het je daarnaast weinig tijdswinst opleveren, mocht je bij nood alle systemen van de nieuwste updates willen voorzien. Zelfs als je zegt Update Now, praten we over marginale tijdswinst ten opzichte van scanners die gespreid elk uur checken.
Daarnaast, moet je dat wel willen? Het komt ook wel voor dat de definities je windows installatie slopen (mcafee?).
Uiteraard kun je virus definities pushen. Een beetje zichzelf respecterend bedrijf heeft een virusscanner die een beheerders console/server heeft. Daar worden de updates 1x in de zoveel tijd opgehaald (iets wat goed in te regelen is en dingen als 1x per uur zijn dus makkelijk mogelijk) en zo intern verspreid op elk zelf te bepalen moment van de dag.
Laten we hopen dat dat niet het geval is (en ik neem aan dat het ook geen windows server betreft), verder lijkt me het handig als dit soort databases niet direct aan het internet hangen.
Deze "norm" is niet volledige onzin. Er zijn verschillende beheer software pakketten die dit voor je kunnen automatiseren. Mcafee EPO bijvoorbeeld kan met een push direct genotificeerd worden dat er een update beschikbaar is. Daarnaast kun je aangeven dat deze eerst naar een groep test gebruikers moet worden uitgerold waarna het geautomatiseerd (na een bepaalde tijd) wordt uitgerold naar de rest van de organisatie.
Overigens ben ik het wel met The Zep Man eens dat dit probleem kleiner is dan het negeren van de audit rapporten. Waarom hou je audits als je ze toch niet opvolgt.
Overigens ben ik het wel met The Zep Man eens dat dit probleem kleiner is dan het negeren van de audit rapporten. Waarom hou je audits als je ze toch niet opvolgt.
McAfee ? Dat pakket dat met v8.8 een BSOD geeft in combinatie met DG.
Soms, dus vaak niet. En dat maakt testen erg lastig.
Dat was op de client weliswaar, dus (mogelijk) niet op een server, maar het zet grote vraagtekens bij het automatisch pushen van nieuwe software.
OK, we hebben het hier over virusdefinities en niet meteen de software zelf. Maar hadden we laatst niet een case waarbij een essentieel Windows onderdeel als virus herkend werd en automagisch verwijderd?
Soms, dus vaak niet. En dat maakt testen erg lastig.
Dat was op de client weliswaar, dus (mogelijk) niet op een server, maar het zet grote vraagtekens bij het automatisch pushen van nieuwe software.
OK, we hebben het hier over virusdefinities en niet meteen de software zelf. Maar hadden we laatst niet een case waarbij een essentieel Windows onderdeel als virus herkend werd en automagisch verwijderd?
Je pushed het eerst uit naar een testgroep. Als er iets zwaar fout is dan merk je dat heel snel in de testgroep.
Een probleem zoals jij vermeld, "soms een BSOD" merk je misschien niet op in je testgroep maar dat betekent dan ook dat het geen showstopper zal zijn. Sommige clients crashen misschien maar de organisatie overleeft dat wel en kan er waarschijnlijk wel omheen werken..
Uiteindelijk komt het neer op het afwegen van het ene risico tegen het andere.
Ik vermoed dat dat ook de reden is om geen harde update frequentie in de eisen te zetten. De ene situatie is de andere niet en dit geeft de beheerders de mogelijkheid een eigen afweging te maken. Het is dan natuurlijk wel zo dat de gekozen update frequentie en methode goed gemotiveerd moeten kunnen worden.
Zelfs voor handmatig eens per week updaten zou een geldige reden kunnen zijn, maar zoals eerder al gezegd, niets doen met eerdere audit rapporten is een veel groter probleem en dat geeft voor mij aan dat die goede motivatie er ook wel niet zal zijn.
Een probleem zoals jij vermeld, "soms een BSOD" merk je misschien niet op in je testgroep maar dat betekent dan ook dat het geen showstopper zal zijn. Sommige clients crashen misschien maar de organisatie overleeft dat wel en kan er waarschijnlijk wel omheen werken..
Uiteindelijk komt het neer op het afwegen van het ene risico tegen het andere.
Ik vermoed dat dat ook de reden is om geen harde update frequentie in de eisen te zetten. De ene situatie is de andere niet en dit geeft de beheerders de mogelijkheid een eigen afweging te maken. Het is dan natuurlijk wel zo dat de gekozen update frequentie en methode goed gemotiveerd moeten kunnen worden.
Zelfs voor handmatig eens per week updaten zou een geldige reden kunnen zijn, maar zoals eerder al gezegd, niets doen met eerdere audit rapporten is een veel groter probleem en dat geeft voor mij aan dat die goede motivatie er ook wel niet zal zijn.
Technisch gezien heb je gelijk. Zelfs als je elke seconde checkt, ben je nog niet in regel. Tussen 2 seconden zitten 1000 milliseconden. 1000 kansen om niet gesyncht te zijn. Technisch gezien. In theorie.
In de praktijk is duidelijk dat virusdefinities 1 keer per week bijwerken nogal dwaas is. Dat is zeker al te lang. In de praktijk lijkt mij (...) 1 keer per uur ook een goeie, veilige marge.
In de praktijk is duidelijk dat virusdefinities 1 keer per week bijwerken nogal dwaas is. Dat is zeker al te lang. In de praktijk lijkt mij (...) 1 keer per uur ook een goeie, veilige marge.
Elk moment up to date is een utopia. Neem als voorbeeld sophos, deze heeft twee soorten updates, een Definitie update en soms een engine update. De eerste maak ik me nooit zorgen over, maar de tweede wil je nooit zo veel keer per dag hebben. Die heb je liefst gecontroleerd gedistribueerd na handmatige controle.
Wat is er vaag aan 'Real-time' ?
1x per uur scannen betekend dat je c.a. 40 minuten kans hebt dat er een virus naar binnen glipt.
Real time monitored continue.
Betere oplossing is een systeem draaien die niet zo virus gevoelig is.
1x per uur scannen betekend dat je c.a. 40 minuten kans hebt dat er een virus naar binnen glipt.
Real time monitored continue.
Betere oplossing is een systeem draaien die niet zo virus gevoelig is.
Maar het probleem is dat 99% van ons ramen gebruikt in plaats van een halve appel of een pinguinWat is er vaag aan 'Real-time' ?
1x per uur scannen betekend dat je c.a. 40 minuten kans hebt dat er een virus naar binnen glipt.
Real time monitored continue.
Betere oplossing is een systeem draaien die niet zo virus gevoelig is.
Overheid en ICT...
Elke keer word maar weer bewezen dat dat niet samen gaat.
En toch word er elk jaar weer voor ettelijke miljoenen verprutst door stompzinnige projecten die al vanaf het begin gedoemd zijn te mislukken maar omdat het prestigeprojecten zijn perse gedaan moeten worden...
Elke keer word maar weer bewezen dat dat niet samen gaat.
En toch word er elk jaar weer voor ettelijke miljoenen verprutst door stompzinnige projecten die al vanaf het begin gedoemd zijn te mislukken maar omdat het prestigeprojecten zijn perse gedaan moeten worden...
In het bedrijfsleven is het niet schokkend veel beter. Maar goed, dat geld is van de aandeelhouders, terwijl de overheid met onze eigen belastingcenten in de weer is.
Maar die aandeelhouders willen gewoon hun dividenduitkering ontvangen, dus worden de kosten aan de klanten doorberekend. En uiteindelijk zijn wij die klanten (direct of via een lange keten bedrijven).
Dus hoe je het ook bekijkt, wij draaien op voor gepruts met ICT bij de overheid en in het bedrijfsleven. Het zijn de aandeelhouders van de ICT bedrijven die er in veel gevallen beter van worden (en de directie en de adviseurs).
Dus hoe je het ook bekijkt, wij draaien op voor gepruts met ICT bij de overheid en in het bedrijfsleven. Het zijn de aandeelhouders van de ICT bedrijven die er in veel gevallen beter van worden (en de directie en de adviseurs).
Ze kunnen zoveel willen, maar als de concurrent zijn ICT zaakjes wel op orde heeft kunnen die kosten helemaal niet aan de klant doorberekend worden.Maar die aandeelhouders willen gewoon hun dividenduitkering ontvangen, dus worden de kosten aan de klanten doorberekend.
In geval van een overheid is de concurrentie niet al te sterk vertegenwoordigd, of wil je verhuizen (naar waar dan wel...) omwille van slecht ICTbeleid?
Zijn punt is dat het complete onzin is dat wij opdraaien voor "gepruts" in de ICT bij bedrijven (gaat alleen op in een vrije markt overigens).In geval van een overheid is de concurrentie niet al te sterk vertegenwoordigd, of wil je verhuizen (naar waar dan wel...) omwille van slecht ICTbeleid?
Alsof het bij de mensen thuis dan zoveel beter is.
Dus jij hebt liever niet dat als jij thuis 112 belt en dat 'out' gaat dat de centrale dan jouw adres weet? Die adres gegevens komen onder andere uit de database van het CIOT.
Ook de kinder telefoon kan in sommige gevallen beroep doen op het CIOT om de adres gegevens te achterhalen en bijvoorbeeld eens een agent langs te sturen als het kind maar niet lang genoeg aan te telefoon kan blijven.
Het handmatig bijwerken van de CIOT database is deels wel te begrijpen, echter niet gebruikelijk. Je wilt namelijk niet automatisch (blind) gegevens verwijderen uit een database.
Echter normaal gebruik je een database mirror om de queries (gewenste veranderingen) te testen en daarna te controleren of de gegevens welke bewaard moesten blijven inderdaad nog aanwezig zijn, en daarna het 'change script' te pushen naar het productie systeem waar een geautomatiseerd systeem alle wijzigingen doorvoert via enkele transactie met eventueel een aantal deel markeringen zodat bij problemen alle wijzigingen terug gedraaid kunnen worden.
Het handmatig updaten van software is bij mission critical software eigenlijk gebruikelijk. Je zal namelijk eerst de update moeten testen op een test omgeving waarbij je telkens slechts 1 update doorvoert. Op die manier kun je achterhalen of een update problemen geeft en deze update overslaan en op zoek gaan naar workarounds en de issue melden bij de uitgever. We praten hier niet over een thuis computer waarbij je zomaar even 10 Windows updates kunt doorvoeren.
Als namelijk de correctheid van de informatie van het CIOT betwist kan worden, dan vervalt vaak ook het eraan gerelateerd bevel en is de kans groot dat een eventueel justitiële strafzaak ontvankelijk wordt verklaart (vorm fout). Aangezien deze systemen niet aan het internet hangen is het minder vaak updates van software minder risico dan elke update blind uitvoeren..
Dus jij hebt liever niet dat als jij thuis 112 belt en dat 'out' gaat dat de centrale dan jouw adres weet? Die adres gegevens komen onder andere uit de database van het CIOT.
Ook de kinder telefoon kan in sommige gevallen beroep doen op het CIOT om de adres gegevens te achterhalen en bijvoorbeeld eens een agent langs te sturen als het kind maar niet lang genoeg aan te telefoon kan blijven.
Het handmatig bijwerken van de CIOT database is deels wel te begrijpen, echter niet gebruikelijk. Je wilt namelijk niet automatisch (blind) gegevens verwijderen uit een database.
Echter normaal gebruik je een database mirror om de queries (gewenste veranderingen) te testen en daarna te controleren of de gegevens welke bewaard moesten blijven inderdaad nog aanwezig zijn, en daarna het 'change script' te pushen naar het productie systeem waar een geautomatiseerd systeem alle wijzigingen doorvoert via enkele transactie met eventueel een aantal deel markeringen zodat bij problemen alle wijzigingen terug gedraaid kunnen worden.
Het handmatig updaten van software is bij mission critical software eigenlijk gebruikelijk. Je zal namelijk eerst de update moeten testen op een test omgeving waarbij je telkens slechts 1 update doorvoert. Op die manier kun je achterhalen of een update problemen geeft en deze update overslaan en op zoek gaan naar workarounds en de issue melden bij de uitgever. We praten hier niet over een thuis computer waarbij je zomaar even 10 Windows updates kunt doorvoeren.
Als namelijk de correctheid van de informatie van het CIOT betwist kan worden, dan vervalt vaak ook het eraan gerelateerd bevel en is de kans groot dat een eventueel justitiële strafzaak ontvankelijk wordt verklaart (vorm fout). Aangezien deze systemen niet aan het internet hangen is het minder vaak updates van software minder risico dan elke update blind uitvoeren..
Maar wat is het alternatief? Dat er nog meer ambtenaren nog meer papier gaan produceren? Daar wordt het niet goedkoper of beter van.
... omdat ze elke keer genaaid worden door mensen uit de ICT-branche die geld binnen willen halen.
Waarschijnlijk hangt dat systeem niet rechtstreeks aan het internet en mag men elke week met een usb-stick de nieuwste definities erop gaan zetten. Ik denk dat het belangrijker is dat dat systeem niet via internet te benaderen is dan dat de virusscanner 100% up to date is.
Maar ze zouden natuurlijk ook elke dag met een usb-stick de nieuwste definities erop kunnen zetten, kost alleen wat meer tijd, dus geld, en ja, er moet bezuinigd worden dus dan wordt het maar eens per week
Maar ze zouden natuurlijk ook elke dag met een usb-stick de nieuwste definities erop kunnen zetten, kost alleen wat meer tijd, dus geld, en ja, er moet bezuinigd worden dus dan wordt het maar eens per week
Mee eens.
Ik denk dat het belangrijker is dat het systeem niet met internet is verbonden. Ik denk dat dat meer aanvallen tegenhoudt dan iedere dag de virusscanner updaten
Ik denk dat het belangrijker is dat het systeem niet met internet is verbonden. Ik denk dat dat meer aanvallen tegenhoudt dan iedere dag de virusscanner updaten
Hoe werden vroeger de virussen verspreid? Met een diskette, CDR, ... oa dus ook met een USB-stick.
Ik denk dat het zinvol is om het systeem aan het net te laten hangen, maar te zorgen dat er met die pc niets anders gebeurd dat waar ie voor dient.
Dus niemand die ff snel een file afhaalt van het net, omdat het hier toch zo snel gaat. Niemand die zijn email leest, wat "rondsurft", pr0n bekijkt, ...
Ik denk dat het zinvol is om het systeem aan het net te laten hangen, maar te zorgen dat er met die pc niets anders gebeurd dat waar ie voor dient.
Dus niemand die ff snel een file afhaalt van het net, omdat het hier toch zo snel gaat. Niemand die zijn email leest, wat "rondsurft", pr0n bekijkt, ...
een virus is in dit geval niet zo erg als diefstal van gegevens.
Voor diefstal moet je al de usb-stick met je virus achteraf (wanneer je de gegevens 'gestolen' hebt) ook nog is de usb-stick terug in je bezit krijgen,
dat vereist al heel wat meer social engineering dan wanneer je systeem op het internet hangt.
Voor diefstal moet je al de usb-stick met je virus achteraf (wanneer je de gegevens 'gestolen' hebt) ook nog is de usb-stick terug in je bezit krijgen,
dat vereist al heel wat meer social engineering dan wanneer je systeem op het internet hangt.
maar als het systeem niet op het internet vast zit, hoe komt die virus er dan? ook handmatig?
Kijk maar eens naar het stuxnet virus. Die is dmv usb-sticks bepaalde kritische netwerken binnen gedrongen.
Zolang klanten (=extern netwerk) er bij kunnen komen is er gewoon een risico, het valt niet uit te sluiten dat zij wel op internet komen en dus een 0day exploit op jouw netwerk deployen.
@Gert, 1day exploit dan, of 6day, maakt voor het voorbeeld niet uit, hier wordt iedere week geupdate.
@Gert, 1day exploit dan, of 6day, maakt voor het voorbeeld niet uit, hier wordt iedere week geupdate.
[Reactie gewijzigd door MeNTaL_TO op maandag 22 augustus 2011 16:06]
De definitie van een 0day virus is dat er geen definities zijn dus al update je elk 2 ms, dan pis je nog naast de pot.
En hoe worden de gegevens dan opgevraagd? iemand die dit manueel doet?
lijkt mij eerder dat er clients mee kunnen verbinden gezien ze daat in het artikel ook melding van maken:
<quote>Het is onduidelijk om welke virusscanner het gaat: mogelijk gaat het om de virusscanner op de servers van het CIOT-systeem, maar het kan ook zijn dat de audit zich richt op clients in de organisatie.</quote>
via die clients kunnen derden (bv opsporingsdiensten) informatie opvragen;
lijkt mij eerder dat er clients mee kunnen verbinden gezien ze daat in het artikel ook melding van maken:
<quote>Het is onduidelijk om welke virusscanner het gaat: mogelijk gaat het om de virusscanner op de servers van het CIOT-systeem, maar het kan ook zijn dat de audit zich richt op clients in de organisatie.</quote>
via die clients kunnen derden (bv opsporingsdiensten) informatie opvragen;
Hoe denk je dat opsporingsdiensten 2,6 miljoen gegevens per jaar opvragen? Er gaat echt niet voor elk verzoek iemand met een usb-stick naar de servers toe.Waarschijnlijk hangt dat systeem niet rechtstreeks aan het internet
Dat hoeft ook niet. Het "systeem" (de database) hangt niet rechtstreeks aan het internet. Opsporingsdiensten kunnen misschien verbinden via een API (webservice, XML-RPC, SOAP) die wel aan het internet hangt. Dat heet een 3-tier architectuur.
Je kan er nog zeveel front- of backends tussenzetten, zolang er een verbinding tussen die servers zit, kan er een besmetting plaats vinden, zelfs op een 3-tier omgeving.
Met Hollywood ICT, misschien. Als er een fatsoenlijke HTTP firewall tussenzit, dan wordt elk niet-HTTP pakketje bij de firewall gedropt. En er zijn geen virussen die via HTTP server kunnen worden verspreid,
Dan houd je evengoed nog zaken als SQL injectie over, wat ook ongewenst is, maar daarvoor maakt het niet eens uit of je een virusscanner hebt.
Dan houd je evengoed nog zaken als SQL injectie over, wat ook ongewenst is, maar daarvoor maakt het niet eens uit of je een virusscanner hebt.
En een SQL injection kan natuurlijk niet via een trojan oftewel, precies mijn punt, zolang er een netwerk tussen zit kan je er mee verbinden.
Dat soort systemen kunnen altijd nog aangevallen worden door malformed http pakketjes waar bijvoorbeeld achterliggende http server gevoelig voor is. Hiermee kan bijvoorbeeld een DOS attack worden vergemakkelijkt. Of misschien zelfs (god forbid) buffer overflow/underrun en remote execution.
De kans op het laatste is vrij gering in verhouding met de SQL Injection die er hoogstwaarschijnlijk in dat soort systemen zitten (als ik de laatste tijd het nieuws hier op tweakers zo volg dan is er elke week wel weer een overheidsinstelling of semi publieke instantie die dat niet voor mekaar blijkt te hebben).
De kans op het laatste is vrij gering in verhouding met de SQL Injection die er hoogstwaarschijnlijk in dat soort systemen zitten (als ik de laatste tijd het nieuws hier op tweakers zo volg dan is er elke week wel weer een overheidsinstelling of semi publieke instantie die dat niet voor mekaar blijkt te hebben).
Dat creëert wel weer werkgelegenheid ... dus waarom ook niet 
Indien de opmerking over de virusscanner inderdaad op de servers slaat, dan weten we nu ook dat ze windows gebruiken. 
Maar dan nog kunnen ze toch op de firewalls rules gaan definiëren dat er wel toegang mogelijk is tot de site van de vendor of tot een interne server die als update server dienst doet (bv Symantec Endpoint Protection of Mcafee orchestrator)
Maar dan nog kunnen ze toch op de firewalls rules gaan definiëren dat er wel toegang mogelijk is tot de site van de vendor of tot een interne server die als update server dienst doet (bv Symantec Endpoint Protection of Mcafee orchestrator)
een Server MOET sowieso andere virus scan software hebben als je Desktop software.
En dat de server altijd 100% uptodate moet zijn voor virussen is ook complete onzin.
Dat moet elke keer voordat je een backup maakt. En als er een virus wordt gedetecteerd. De hele machine purgen en de backup terug zetten.
Daarbij mag een Server alleen zijn dedicate software draaien. De kans dat daar een virus in zit dat wordt mee genomen in je willekeurige virus definitie is minimaal. Zeker omdat een Server veel vatbaarder voor een Worm of handmatige hack attack is dan een virus. En daar helpt je virussoftware echt niet voor.
En dat de server altijd 100% uptodate moet zijn voor virussen is ook complete onzin.
Dat moet elke keer voordat je een backup maakt. En als er een virus wordt gedetecteerd. De hele machine purgen en de backup terug zetten.
Daarbij mag een Server alleen zijn dedicate software draaien. De kans dat daar een virus in zit dat wordt mee genomen in je willekeurige virus definitie is minimaal. Zeker omdat een Server veel vatbaarder voor een Worm of handmatige hack attack is dan een virus. En daar helpt je virussoftware echt niet voor.
waar haal je vandaan dat een server een ander anti-virus pakket moet draaien dan de clients?
Waarschijnlijk dat je wel een andere policy zult opzetten voor de servers, maar een ander pakket?
De meeste, zo niet alle, anti-virus pakketten kunnen ook wormen detecteren.
Waarschijnlijk dat je wel een andere policy zult opzetten voor de servers, maar een ander pakket?
De meeste, zo niet alle, anti-virus pakketten kunnen ook wormen detecteren.
Tot op het moment dat een nieuwe onbekende virus binnentreed en ingrijpen te laat is?
Op een systeem als Windows moet dat natuurlijk altijd up-to-date blijven!
Op een systeem als Windows moet dat natuurlijk altijd up-to-date blijven!
Er is laatst nog een rapport geweest van een beveiligingsbedrijf dat de zogenoemde "Airgap" (fysieke scheiding van de netwerken) onrealistisch is terwijl mensen denken dat die er wel zijn. Zelfs in energiecentrales en andere zeer kritische systemen zijn (in)direct met het internet verbonden. Ze werken wel met een eigen netwerk, maar via een ander punt worden 2 netwerken weer aan elkaar geknoopt etc...
[Reactie gewijzigd door jDuke op maandag 22 augustus 2011 15:53]
Op zich is er niks mis met handmatig updaten, of handmatig een update goedkeuren binnen grote organisaties. Hoe vaak komt het niet voor dat je denkt bijgewerkt te zijn omdat alles automatisch gaat en je er dan achter komt dat het niet zo is. Hiervoor zijn er heel veel procedures te maken om er voor te zorgen dat alles wel bijgewerkt is, ook handmatig.
Tevens kan het van levensbelang zijn om handmatig up te daten. Zeker gezien het feit dat iedere mutatie, handmatig of automatisch in zekere zin een change is (ITIL) en een risico is. We hebben dat gezien door virus scanners die een systeem helemaal kapot maken door een verkeerde definitie van de fabrikant. Geen beheerder wil zo een drama hebben wanneer je smorgens op het werk komt en opeens met 20 servers het niet meer doen. Of een telefoontje/sms snachts krijgen dat al je servers onderuit zijn gegaan.
Daarnaast is het ook schrikken wanneer je opeens 4000 desktops/laptops hebt die het niet meer doen. Handmatig goedkeuren heeft zo zijn voordelen. Maar tja, in deze wereld moet alles automatisch en hebben de theoristen (samenvoeging van theoretici en terroristen) denk ik te weinig praktijk ervaring en moet alles volgens een boekje.
In mijn opinie is er binnen grotere bedrijven altijd een centraal punt wat updates binnen haalt, voor systemen maar ook virus scanners, en er altijd iemand die de update test voordat het "automatisch" wordt doorgevoerd binnen de organisatie. Beetje lullig als een sql server database bestand opeens als virus wordt aangemerkt (hoewel je je mag afvragen of de exclusions dan wel goed staan, maar dat is een ander verhaal).
Tevens kan het van levensbelang zijn om handmatig up te daten. Zeker gezien het feit dat iedere mutatie, handmatig of automatisch in zekere zin een change is (ITIL) en een risico is. We hebben dat gezien door virus scanners die een systeem helemaal kapot maken door een verkeerde definitie van de fabrikant. Geen beheerder wil zo een drama hebben wanneer je smorgens op het werk komt en opeens met 20 servers het niet meer doen. Of een telefoontje/sms snachts krijgen dat al je servers onderuit zijn gegaan.
Daarnaast is het ook schrikken wanneer je opeens 4000 desktops/laptops hebt die het niet meer doen. Handmatig goedkeuren heeft zo zijn voordelen. Maar tja, in deze wereld moet alles automatisch en hebben de theoristen (samenvoeging van theoretici en terroristen) denk ik te weinig praktijk ervaring en moet alles volgens een boekje.
In mijn opinie is er binnen grotere bedrijven altijd een centraal punt wat updates binnen haalt, voor systemen maar ook virus scanners, en er altijd iemand die de update test voordat het "automatisch" wordt doorgevoerd binnen de organisatie. Beetje lullig als een sql server database bestand opeens als virus wordt aangemerkt (hoewel je je mag afvragen of de exclusions dan wel goed staan, maar dat is een ander verhaal).
Zoals Metalrick zegt : het systeem zal eerder niet rechtstreeks aan Internet gekoppeld zijn, waardoor het manueel updaten nodig is, hoewel er niet direct iets over te vinden is.
Ik heb eerder mijn bedenkingen over de audit : als men er al niet van weet of het de server of de clients zijn waarvan de AV niet upto date is.
Tevens, up to date ........ als je te snel meegaat met updates, durf je al wel eens problemen hebben omdat er nog een bug zat in de update. Hebben zelfs de grootste AV leveranciers al eens voorgehad. Om nog maar te zwijgen van specifieke problemen bij combinatie van bepaalde software : AV update werkt perfect op server A en op server B slaagt de server vast door de update. Zelf al meermaals voorgehad. Mag je hopen dat er asap een KB van MS uitkomt met de workaround ofzo, of dat de AV leverancier asap een update uitbrengt. Leuk is anders, dus ik vind 1x per week een update zeker niet erg.
Ik heb eerder mijn bedenkingen over de audit : als men er al niet van weet of het de server of de clients zijn waarvan de AV niet upto date is.
Tevens, up to date ........ als je te snel meegaat met updates, durf je al wel eens problemen hebben omdat er nog een bug zat in de update. Hebben zelfs de grootste AV leveranciers al eens voorgehad. Om nog maar te zwijgen van specifieke problemen bij combinatie van bepaalde software : AV update werkt perfect op server A en op server B slaagt de server vast door de update. Zelf al meermaals voorgehad. Mag je hopen dat er asap een KB van MS uitkomt met de workaround ofzo, of dat de AV leverancier asap een update uitbrengt. Leuk is anders, dus ik vind 1x per week een update zeker niet erg.
dit rapport?
http://www.rijksoverheid....ot-en-omgevingen-2009.pdf
Of mischien een jaar nieuwer, hier staat het verhaal over de virusscanner ook al in.
http://www.rijksoverheid....ot-en-omgevingen-2009.pdf
Of mischien een jaar nieuwer, hier staat het verhaal over de virusscanner ook al in.
Er staat een verwijzing naar het rapport van 2008.
Als er 2,6 miljoen keer in een jaar gegevens opgevraagd worden, vraag ik me ook af waarvoor. Er zullen toch niet 2,6 miljoen potentiële strafzaken zijn?
Verdachte A heeft met X gebeld, heeft X vervolgens misschien met verdachte B gebeld? Want dat kan wijzen op een verband tussen verdachten A en B. Je moet daarvoor wel alle gegevens opvragen van iedereen met wie A gebeld heeft. Het wordt nog problematischer als je niet twee, maar drie nivo's of meer diep gaat zoeken: het aantal gegevens loopt dan (letterlijk) exponentieel op.
2,6 miljoen klinkt als veel. Maar misschien moet het per gesprek worden opgevraagd. Ik denk dat een beetje criminele mastermind wel meer dan 10 gesprekken per dag voert. En als je dan zoals MSalters stelt naar kruisverbanden zoekt op meerdere niveau's gaat het heel hard. Misschien is 2,6 miljoen aanvragen wel volstrekt nomaal voor 10000 onderzoeken per jaar. Zonder gedetaileerde kennis is dat lastig te zeggen.
Er zijn maar 2 soorten aanvragen mogelijk:Als er 2,6 miljoen keer in een jaar gegevens opgevraagd worden, vraag ik me ook af waarvoor. Er zullen toch niet 2,6 miljoen potentiële strafzaken zijn?
- Een gegeven met als antwoord de rest van de gegevens. (Bijvoorbeeld: een telefoon nummer als aanvraag, het antwoord is dan de naam, adres, telecom aanbieder etc die hierbij hoort, maar in dit voorbeeld dus geen IP adressen etc)
- Een postcode en huisnummer, met als antwoord alle gegevens die daar bij horen (telefoon nummers, IP adressen, welke aanbieders etc...)
Maar omdat deze gegevens dagelijks geupdate worden, zal er vaak meermaals een aanvraag gedaan worden gedurende een onderzoek. Zeker bij onderzoeken waar bijvoorbeeld een IP adres een rol speelt zal men dus dagelijks moeten opvragen welke IP adressen bij een verdachte horen.
Bovendien is deze database altijd een snapshot, er worden geen historische gegevens bewaart. Men kan dus niet zien welk IP adres een verdachte had op dag X.
Deze database bevat geen gesprekken of verkeers gegevens, "alleen" de administratieve gegevens zoals NAW, IP adressen, telefoon en internet aanbieders etc...2,6 miljoen klinkt als veel. Maar misschien moet het per gesprek worden opgevraagd..
[Reactie gewijzigd door Sundog op maandag 22 augustus 2011 17:57]
Wat volkomen onbegrijpelijk is dat de overheid voor gevoelige databases geen gebruik maakt van een besturingssysteem dat niet gevoelig is voor virussen en op maat is gecompileerd en ingericht voor alleen die taken waar het om gaat. Kortom op iets-nix.
Genoeg Linux backdoors en trojans de afgelopen jaren...en dan zit je met hetzelfde: worden alle kernelpatches/etc wel op tijd doorgevoerd?
Toch, uitgaande van competent beheer lijkt me risico minimalisatie dmv gerichte softwarekeuze hier zeker wel van toepassing (gezien de data).
Op wat voor server staat het?
Als het een Linux server is heb ik er absoluut geen probleem mee dat het slechts 1 keer per week geupdate wordt.
Als het een Linux server is heb ik er absoluut geen probleem mee dat het slechts 1 keer per week geupdate wordt.
Ignorance is a bliss, want Linux heeft absoluut geen exploits, de software erop natuurlijk al helemaal niet.
...en absoluut minder dan Windows. Dus waarom is er voor een bepaalde oplossing gekozen? Dat is een relevante vraag. Niet of er automatisch geupdate moet worden. Want als je de geschiedenis van bijvoorbeeld AVG kent weet je dat je dat nooit in een missiekritisch systeem wilt.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Samsung Websites en communities Mobiele telefoons Laptops Sony Games Microsoft Politiek en recht Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
