Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 49, views: 15.569 •

Hackers hebben met de Citadel-malware honderden gigabytes aan gevoelige data buitgemaakt bij duizenden Nederlandse bedrijven en overheidsinstellingen. De overheid zou hiervan op de hoogte zijn geweest maar slechts weinig tot niets hebben gedaan met deze kennis.

Dat stelt de NOS na het uitvoeren van een eigen onderzoek. Afgelopen najaar kregen hackers grote hoeveelheden gevoelige gegevens in handen door Windows-systemen bij bedrijven en overheidsinstellingen te besmetten met de Citadel-malware. Onder andere bij energiebedrijven, ziekenhuizen en universiteiten zou met behulp van een botnet informatie zijn buitgemaakt door cybercriminelen. Het zou gaan om meer dan 150.000 besmette systemen waarvan 750GB aan data is buitgemaakt.

In september zou Digital Investigation, een beveiligingsfirma die meehielp om het botnet vorig jaar september onschadelijk te maken, een kopie van deze data hebben overhandigd aan de afdeling High Tech Crime. De politie zou echter een onleesbare harddisk hebben gekregen en daarop geen verder onderzoek ingesteld hebben. De NOS heeft twee dagen lang bij Digital Investigation de verzamelde informatie mogen bekijken. In de data zou uiterst gevoelige informatie staan, zoals patiëntgegevens, wachtwoorden, creditcardgegevens en geheime bedrijfsinformatie. De data zou met name uit kantoor-pc's zijn buitgemaakt. Inmiddels heeft de politie alsnog om een kopie gevraagd.

Digital Investigations stelt dat het in december het Nationaal Cyber Security Centrum een lijst heeft gegeven van besmette systemen. Het NCSC zou volgens de NOS echter getroffen bedrijven nauwelijks hebben gewaarschuwd, inclusief organisaties die verantwoordelijk zijn voor cruciale infrastructuur, zoals elektriciteitsbedrijven en ziekenhuizen. Verder heeft het NCSC het databestand van Digital Investigations niet hebben willen aannemen omdat het mogelijk gestolen gegevens bevat. Het is echter niet uitgesloten dat cybercriminelen dezelfde data nog steeds in handen hebben.

Professor Michel van Eeten van de TU Delft en deskundige op het gebied van it-beveiliging, stelt dat de kans dat de buitgemaakte data in de praktijk op grote schaal misbruikt zal worden, relatief klein is. De aanvallers zouden vooral uit zijn geweest op data als inloggegevens en bankdata. De inzet van de Citadel-malware en het achterliggende botnet wordt door Van Eeten dan ook omschreven als 'een schot hagel'.

Reacties (49)

De gemiddelde oostblokker weet dus zo`n beetje alles van ons. Waarom de overheid hier weinig mee gedaan heeft lijkt me vrij simpel. Men wil dat we toch vooral zoveel mogelijk gegevens online blijven zetten en er weinig protesten blijven wat betreft het online zetten van gegevens door bedrijven en organisaties.
Ik vraag mij bij dit soort nieuwtjes vaak af: wat gaat er nu concreet gebeuren? Wat voor vervolgacties komen er? En belangrijker is misschien nog wel, worden de gedupeerden (als dat kan) hiervan op de hoogte gehouden of gebracht...?
Dit lek laat de gemiddelde staat van de ICT in Nederland zien. Gevoelige data wordt verwerkt op systemen die voor een zo laag mogelijke prijs zijn neergezet door Windows-"beheerders" die alleen weten in welke volgorde ze op welke knoppen moeten drukken om iets werkend te krijgen. Maar van de onderliggende technieken weten ze niets. De systemen worden on-the-fly ingericht, want van een infra-architectuur en beveiligings-analyse hebben ze jnooit gehoord en ach, de klant vindt dat toch maar duur.
gevolg: de huisartsenpraktijk van dokter Jansen is ingericht door een lokaal ICT bedrijfje dat graag verdient aan MS licenties en inrichtingsuurtjes, maar niet weet welk veiligheidsnivo hoort bij het verwerken van de gegevens in een huisartsenpost. Voor zo'n bedrijfje gelden bij een huisartsenpost dezelfde risico's als bij bv. het administratiesysteem van een lokale aannemer. Data is data, toch?
Dus laat de bedrijven die op deze manier data hebben gelekt maar lekker op de blaren zitten. Ik heb daar geen medelijden mee.
Maar... er zitten hier bedrijven/instellingen tussen die met (privé) data van jou en mij zitten te werken en verplicht zijn daarmee zorgvuldig om te gaan. De overheid moet dus nu actief op zoek naar privé-data van burgers in deze datadump en die burgers waarschuwen.
Beetje belachelijk om nu alles af te schuiven op de overheid.

Het is natuurlijk in de eerste instantie de verantwoordelijkheid van organisaties zelf dat ze hun systemen en netwerken beveiligen, zeker als daar gevoelige informatie op staat.

Er is wel een heel grijs gebied van organisaties die al dan niet onder 'bescherming' van het NCSC zouden moeten staan, maar toch niet staan. Denk aan semi-publieke instellingen zoals zorgverleners, scholen, zbo's, enzovoorts... Blijkbaar is zelfregulering niet voldoende, want ze weten het zelf niet op te pakken (als ze uberhaupt de ict taken niet hebben uitbesteed aan derde partijen, die ook niet altijd even goed zijn op gebied van security).
Eens, het is de verantwoordelijkheid van die organisaties om hun eigen security op orde te hebben. Maar:
1. beveiliging is nooit 100%. De kans dat er zulke kwaadwillende malware doorkomt is vaak aanwezig
2. veel organisaties nemen inderdaad die verantwoordelijkheid niet. Moeten wij als burger/klant daarvoor bloeden terwijl dat niet hoeft (de overheid had de lijst met organisaties?) Nee, de overheid moet er dan achteraan, zorgen dat de beveiliging wel op orde komt en een fikse boete uitschrijven, en bij grote fouten het verantwoordelijke bestuur persoonlijk beboeten of desnoods gevangen zetten.

(Dat persoonlijk aanpakken van bestuurders lijkt me de enige mogelijkheid om ervoor te zorgen dat er ook daadwerkelijk aan de privacy/securityregels wordt voldaan)
Ook al zou de overheid op de hoogte zijn geweest, hadden naast een waarschuwing weinig iets kunnen doen.
Professor Michel van Eeten van de TU Delft: De aanvallers zouden vooral uit zijn geweest op data als inloggegevens en bankdata.
Uit het artikel:
In de data zou uiterst gevoelige informatie staan, zoals patiëntgegevens, wachtwoorden, creditcardgegevens en geheime bedrijfsinformatie. De data zou met name uit kantoor-pc's zijn buitgemaakt.
en
Het zou gaan om meer dan 150.000 besmette systemen waarvan 750GB aan data is buitgemaakt.
'Slechts' 750GB aan inloggegevens en bankdata? Of is er toch meer buitgemaakt?

De inzet van de Citadel-malware en het achterliggende botnet wordt door Van Eeten dan ook omschreven als 'een schot hagel'.

Een schot hagel in de juiste richting en op de juiste afstand is heel pijnlijk hoor...
Precies. Dat de aanvallers ergens anders op uit waren...
1. wil nog niet zeggen dat ze eventuele sappige info laten liggen (zie voorbeeld NAVO-geheimen hierboven)
2. neemt nog steeds niet weg dat die vertrouwelijke informatie ten onrechte gekopieerd is en in te zien voor onbevoegden.

Voor de rest: onbenullige smoezen van de overheid waarom ze niets gedaan hebben. De genoemde clubs zijn nota bene speciaal opgericht om dit soort aanvallen tegen te gaan/op te vangen!
Conclusie van Digital Investigation,

We vonden veel gegevens afkomstig van computers van onder meer gemeenten, waterschappen, ziekenhuizen, universiteiten, ministeries, media, ondernemingen en bedrijven die deel uitmaken van de vitale infrastructuur zoals energie- en waterleidingmaatschappijen.”

Het zou gaan om onder meer inlogcodes, vertrouwelijke mails, rapporten over bedrijfsprocessen, toegangscodes voor servers en creditcardgegevens. Volgens Digital Investigation genoeg om heel Nederland plat te leggen.

Getroffen bedrijven en organisaties “uit de vitale infrastructuur

Dit is echt levensgevaarlijk.
Als al die grote bedrijven met hun IT-afdelingen zo'n infectie niet kunnen voorkomen, is OS-X zo slecht nog niet blijkt maar weer ;-) En voor de Mac-bashers: ik zeg niet dat OS-X onfeilbaar is!! Maar toch minimaal een factor 10 veiliger. Zeker voor (kleinere) bedrijven zonder IT-afdeling.

On topic: het artkel is erg onduidelijk over de rol van High Tech Crime. Eerst staat erin dat de schijfkopie onleesbaar was, verderop staat dat ze de gegevens niet wilden aannemen omdat er mogelijk gestolen data op stond. Wat zijn nu de feiten?? Opheldering graag!
Die veiligheid is maar tijdelijk. Op den duur zal Mac OS ook een groter doelwit worden. De markt is gewoon jaren te klein geweest. Unix is vanaf de grond af inderdaad veliger opgebouwd dan Windows, omdat Microsoft in de beginjaren 80 niet het idee had om alle computers aan een netwerk te knopen. In de laatste versies van WIndows en zeker vanaf Windows 7, is het belangrijkste euvel al aangepast; n.l. toestemming verlenen om systeembestanden aan te passen. Mac OS X heeft dit altijd gehad vanwege het ontwerp.

Het grootste probleem bij beveiliging blijft altijd de gebruiker. Dat is net zo goed een probleem op elk *nix-systeem. Als je gewoon klakkeloos op 'OK' klikt of zomaar je wachtwoord invoert schiet het niet op. Het is altijd gemak versus veiligheid en dat is niet alleen in de IT zo. Een simpel voorbeeld is dat beveiliging altijd uit lagen bestaat net als meerder sloten op een duur. Hoe meer lagen er doorbroken moeten worden, hoe kleiner de kans op inbraak. Meerdere lagen maakt iets lastiger in gebruik. WIndows is net zo veilig te gebruiken als andere systemen als je je aan de regels houdt.
Probleem is alleen dat gebruikers wel weten hoe sloten op de deur werken, maar niet hoe sloten in Windows werken.
ik kan nog heel eenvoudig een programma maken die systeem bestanden zoals dll's aanspreken zonder er ook maar 1 melding voorkomt.

Sterker nog dat doe ik vrij regelmatig zonder erbij stil hoeven te staan.
Kortom ik kan er nog even gemakkelijk erbij als toen met windows 98/XP , zoveel veiliger is windows 7/8 dan ook weer niet.

Je kan zelfs gewoon alle gepubliceerde functies van een dll uitlezen, netjes in een lijst weergeven. Alles handles opvragen en aansturen met windows berichten. Zo kan je ook editboxen/password boxen handles van afvangen en uitlezen. Dat zijn ook nog wel behoorlijk veiligheidsissues.

[Reactie gewijzigd door BoringDay op 14 februari 2013 21:06]

Voor zo ver ik weet kreeg de politie (HTC) een harddisk die zij niet konden lezen. De NCSC weigerde de gegevens aan te nemen. NOS kreeg een andere kopie.

Als we nu massaal zouden overstappen naar OS X zouden we inderdaad een paar maanden lang een stuk veiliger zitten. Of het op lange termijn veiliger zou zijn weet je pas als het op grote schaal gebruikt wordt. De kans is wel redelijk dat het een stuk veiliger is dan Windows, maar blijft lastig om te bewijzen.
Het gaat niet alleen om aantal gebruikers maar ook om het architectuur.
En het hoeft niet persee OSX te zijn, wellicht voldoen Beos/Solaris/Unix/BSD ook wel een stuk beter dan Windows.

Echter financieel gezien in het bedrijfsleven en bij overheidsinstellingen is dat niet haalbaar.
Dan zal alle software opnieuw moeten geschreven worden maar ook compatible moeten zijn met de data. Maar het probleem met windows teveel poespas en beheer en weinig controle op veiligheid. Maar alles zit nu al zover in elkaar genesteld dat het nog maar de vraag of het ooit veilig kan zijn. Zelfs als men allerlei maatregelingen heeft genomen.

Tevens moeten ontwikkelaar meer tijd krijgen om ook aandacht aan veiligheid te kunnen geven i.p.v. alleen het financiele plaatje en deadlines met het idee, zo is het wel veilig genoeg. Want er hoeft maar in foutje te zitten wat net de deur open gooit kan zich uiten in een grote conflict van data diefstal.

[Reactie gewijzigd door BoringDay op 14 februari 2013 20:30]

Het grootste lek is de gebruiker. Ik geef toe, het idee om alle documenten die je ooit gemaakt heb op OS niveau dichtzetten voor lees- en schrijftoegang als beveilingsmaatregel klinkt niet heel slecht als je ziet hoe mensen omgaan met computers. Ik denk alleen niet dat je dit erdoor krijgt. Hier helpt het OS dus maar een beetje. Het kan technisch heel goed, alleen de usability wordt vaak een ramp.
Wellicht is het dan verstandiger om een thin-client op te zetten die slechts bestaat uit een server terminals. Dan kan je veiligheid centraal afdwingen. (een terminal bestaande slechts uit een monitor en toetsenbord/muis).

[Reactie gewijzigd door BoringDay op 15 februari 2013 06:41]

Verder heeft het NCSC het databestand van Digital Investigations niet hebben willen aannemen omdat het mogelijk gestolen gegevens bevat.

Gelijk hebben ze! Gestolen uit eigen land nog wel! Dat kun je beter maar niet aannemen.

Tot slot zal er dit jaar gewerkt worden aan het helder duiden van de taken en bevoegdheden van het NCSC. Juridisch verkend zal worden hoe wij op een zorgvuldige wijze kunnen blijven omgaan met de beschikbare informatie die ons vanuit de ICT-community bereikt. Hiermee willen wij er voor zorgen dat wij onze rol als Computer Emergency Response Team (CERT) blijvend adequaat kunnen invullen. qoute: https://www.ncsc.nl/actue...-voor-pobelka-botnet.html

Ja, waarom zou je zoiets ook definiëren bij de oprichting? Dat kan eind dit jaar ook nog wel.

[Reactie gewijzigd door harmus op 14 februari 2013 19:47]

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBGrand Theft Auto V

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013