Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 45 reacties

In zijn jaarverslag stelt de AIVD dat Nederlandse organisaties vaak niet in staat zijn om de duur en de gevolgen van internetaanvallen vast te stellen. Dit zou komen door een gebrek aan aandacht voor aanvallers die al aanwezig zijn op een systeem.

AIVDNederlandse organisaties zouden zich in plaats daarvan te veel richten op het blokkeren van indringers op hun netwerken, zo stelt de AIVD verder. De indringers zouden bovendien precies weten waar zij moeten zijn om specialistische en in sommige gevallen experimentele technologie te bemachtigen. Dit gebeurt vooral in de sectoren hightech, energie en chemie. Uit de aanvallen zou blijken dat er veel aandacht is voor ontwikkelingen rond innovatie in Nederland.

Ook zou in het afgelopen jaar zijn gebleken dat aanvallen steeds complexer worden. Indringers maken weliswaar nog steeds gebruik van dezelfde technieken om binnen te komen, waaronder spear phishing, maar aanvallen zijn juist complex doordat de ingezette malware en technieken om informatie naar buiten te sluizen lastig te herkennen zijn. Daardoor blijven kwaadwillenden in staat om via backdoors toegang tot geïnfiltreerde systemen te krijgen. Bovendien zijn ze moeilijk uit een systeem te verwijderen. De AIVD merkt op dat aanvallers in staat zijn om ict-medewerkers van getroffen organisaties op afstand te volgen, waardoor ze weten wanneer een aanval is opgemerkt. Het zou in het afgelopen jaar verschillende keren zijn gebeurd dat er na verwijdering van de malware na korte tijd opnieuw toegang werd verkregen.

Er is bovendien een specialisatie waar te nemen bij landen die aanvallen uitvoeren. Zo zetten zij verschillende teams in om verschillende fasen van een aanval uit te voeren. Die fasen zijn het binnendringen van systemen, het onderzoeken van netwerken en het wegsluizen van informatie. Daarbij zou geregeld een beroep worden gedaan op particuliere dienstverleners.

Rob Bertholee, directeur-generaal van de AIVD, noemt Nederland dan ook 'digitaal gesproken te naïef' en benadrukt dat er meer bewustwording nodig is van kwetsbaarheden. In het recente jaarverslag van de MIVD kwam een vergelijkbaar beeld naar voren en bleek dat de Nederlandse overheid en bedrijven wekelijks het doelwit zijn van internetaanvallen.

Moderatie-faq Wijzig weergave

Reacties (45)

Wat ik vooral mis is een aantal praktische tips die bedrijven kunnen uitvoeren om zich tegen deze ''geavanceerde'' aanvallen te weren. Nu is het gewoon wat geroep waar je niks mee kan behalve je afvragen of het ook zo bij jouw organisatie is.
De AIVD heeft in samenwerking met het NCSC onlangs nog een whitepaper gepubliceerd met allerlei praktische adviezen en te nemen beveiligingsmaatregelen op het gebied van monitoring en detectie.

https://www.ncsc.nl/actue...detectie-oplossingen.html

[Reactie gewijzigd door Witwasser op 21 april 2016 17:17]

Ansich een goede theoretische leidraad. De vraag is of een bedrijf het geld heeft om zulk implementatie te realiseren.

Echter zou het aan te raden zijn om systeem / software gebonden informatie aan te bieden die om software installaties binnen een afgebakend kader te realiseren.

Niet alle bedrijven beschikken over een budget & daaraan gebonden kennis om tot een veilige inrichting te komen. Daarnaast is ICT voor veel bedrijven nog altijd een sluitpost waarop regelmatig bezuinigd wordt.
Kijk, dat is nuttig om te lezen. Ik zou je een +3 geven als het kon.
Heel practisch: de meeste technologie in Nederland heeft a) documentatie, b) source code, c) specificaties, d) opleidingsmateriaal nodig. Heb je alles op één plaats staan waar iedereen aan kan, dan kan één aanvaller aan alle informatie.

Dan per onderdeel a, b, c en d geef je eigen interne medewerkers op een need to know basis toegang tot delen van de informatie op a, op b, op en op d. Zelfs de baas mag niet zomaar overal toegang toe hebben (tenzij tijdelijk, wanneer hij er achter vraagt) want dan is de baas zijn computer eenvoudigweg het doel van inbrekers.

Ik kom, ook in Nederland, bij bedrijven waar alles in één grote repository staat. Meestal iets met clearcase of Subversion. En iedereen heeft toegang tot alles (alle a, alle b, alle c en alle d). Dat is waanzin en nul-security.

Bv. voor puntje c (source code) kan je prima packages bouwen en binaries aan programmeurs geven (met de header files en debugging symbols in aparte packages). Is dat op Linux dan wil dat dus zeggen: een package repository met -devel en -debug package (of -dev en -dbg als je Debian based bent). Geen monolithische repository. Per project kan je nu toegang tot de source code geven. Verder geef je enkel de release maintainer toegang tot de source packages en enkel vanaf de build servers (die je sterk beveiligt binnen een eigen fysiek netwerk). Je laat je build omgeving volledig geversioneerde packages bouwen en op de repository deployen. Daarna doen je developers yum of apt-get.

Maarja. Meestal kom ik ergens en zie ik gruwelijke monsterscripts om de ganse repository binnen te halen, alles te builden. Allerlei geknoei om jarenlang dat monster van een monolithisch project werkend te houden. Terwijl iedere Linux distributie het je al tientallen jaren toont hoe het moet. Versioneren met semver, packages, package repository.

Zelfde voor documentatie: ik kom in bedrijven en ik zie dat iedereen toegang krijgt tot de hele wiki of share waar alle documentatie op te vinden is. Geen access control behalve dan: heb je een account, kan je overal aan. Vaak zelfs writable. Wat dus wil zeggen dat een malafide persoon macrovirussen in de Word documenten kan bijschrijven. Specificaties idem dito.

Netwerk toegang ook. Ik ben al in bedrijven geweest waar mensen gewoonweg Wifi routers op het netwerk hadden geclicked. Ingesteld met zwakke WEP. Die was bereikbaar vanaf de parkeerplaats en gaf, moest iemand erop ingebroken zijn, rechtstreeks toegang tot alle file shares en source code repositories.

BOFHs en ander IT gespuis reageren vaak met angst en gaan tegen de HR mensen vertellen dat je een gevaarlijke hacker bent wanneer je er iets van zegt. Ze moeten het probleem fixen in plaats van mensen die het zien verdacht te maken. Waarom denk je dat die mensen het komen vertellen? Omdat ze het willen misbruiken?
Wat ik vooral mis is een aantal praktische tips die bedrijven kunnen uitvoeren om zich tegen deze ''geavanceerde'' aanvallen te weren. Nu is het gewoon wat geroep waar je niks mee kan behalve je afvragen of het ook zo bij jouw organisatie is.
Als het makkelijk genoeg was om met een paar praktische tips het probleem te verhelpen zou het probleem niet bestaan. Om een gedecideerde aanval af te weren heb je een enorme expertise en en ervaring nodig. Goed opgeleide vakmensen dus. Alleen die kunnen nagaan hoe kwetsbaar je bent. Want kwetsbaar zijn we allemaal, dat is nu wel gebleken.
Het is vaak makkelijk genoeg om met een paar praktische tips het probleem te verhelpen. Alleen zijn veel IT-ers liever lui dan moe, begrijpen managers er geen snars van (want het staat niet in hun boekje over economie) en zijn medewerkers compleet indifferent (de nine to five mentaliteit).

En inderdaad. Goede opgeleide vakmensen die het je zouden opleggen hoe je bedrijf moet werken, zijn duur. Plus horen mensen het niet graag dat ze niet zomaar alles mogen doen.
De overheid werkt soms ook gewoon samen met bedrijven. Het punt is dat een bedrijf zelf de kennis moet vergaren c.q. inhuren. Daarvoor heb je ook gewoon specialisten die je daarmee kunnen helpen. De AIVD of de politie kan niet als gratis werknemer/partner spelen..
Verder zijn er enorm veel bronnen en 'instanties' waar je terecht kan (van/via de overheid!).

Daarnaast wordt er ook vaak genoeg proactief gewerkt, maar men kan niet veel meer beginnen dan algemeen waarschuwen voor bepaalde zaken. Even een bedrijf testen voor zwakheden mag/kan gewoon niet.

Blijkbaar is het heel normaal om een externe partij te hebben die de fysieke beveiliging van je gebouw doet. Denk hierbij aan een alarm, betere sloten, diverse checks e.d. maar is het nog niet zo'n gemeengoed dat je dit ook dit voor je IT systemen.
Het doel van de AIVD is zogenaamd de veiligheid van het land te waarborgen. Dat is niet alleen maar computers van buitenlandse spionnen hacken, maar defensie tegen aanvallen hoort daar zeker bij.

Het kan nadelig zijn voor een bedrijf als er al te nadrukkelijk met geheime diensten wordt samengewerkt. De amerikaanse digitale economie heeft enorme klappen gekregen toen bleek hoe zeer zij met NSA en FBI samenwerkten. Dat verklaart ook een beetje hoe nu hals over kop het unlocken van een iPhone heel relevant is geworden.

Als de politie informatie heeft dat iemand daadwerkelijk direct gevaar loopt zijn ze verplicht die persoon te informeren. Het lijkt me niet meer dan normaal dat dit net zo geldt in zake digitale veiligheid.
Het is een jaarverslag, geen educatiemateriaal.
Wat ik vooral mis is een aantal praktische tips die bedrijven kunnen uitvoeren om zich tegen deze ''geavanceerde'' aanvallen te weren.
Daar hebben we een andere club voor, het Nationaal Cyber Security Center.

Van hun website:
Het NCSC draagt bij aan het gezamenlijk vergroten van de weerbaarheid van de Nederlandse samenleving in het digitale domein, en daarmee aan een veilige, open en stabiele informatiesamenleving door het leveren van inzicht en het bieden van handelingsperspectief.
Je vergeet dat het hier om de AIVD gaat .. als zij tips geven dan zouden ze zich waarschaarschijnlijk in hun eigen vlees snijden ......
maar gelukkig besteden we alle kritische infrastructuur en beheer uit naar lagelonenlanden als India 8)7
Door het internet is het Westen zo lek geworden als een mandje en lekt al onze technologie weg naar andere landen. Dit zorgt wel voor een gelijk speelveld in de wereld. Het is nog de vraag of de wereld hier veiliger / beter van wordt, de toekomst zal het leren..

Ook is onze kritieke infrastructuur erg kwetsbaar geworden voor aanvallen en indringers. Hetzelfde geld ook voor andere landen, maar in mindere mate omdat zij technologisch gewoon niet zo ver zijn. Ik begin me daarom steeds meer af te vragen of internet wel het hosanna is wat iedereen beweert.

Ik verwacht dat over enkele jaren technologie wordt geïntroduceerd welke het kraken van computers onmogelijk maakt.

Ook voorzie ik dat er steeds meer netwerken ontstaan die helemaal los staan van het internet, zeker voor kritieke infrastructuur.

[Reactie gewijzigd door ArtGod op 22 april 2016 07:05]

wat voor technologie zou dat dan moeten zijn volgens jou?
we zitten ook nog met verouderde protocollen uit het jaar nul en ipv6 wil ook maar niet vlotten.
  • Geheugenmanagement technieken die in de processor ingebouwd zijn.
  • Draaien van versleutelde code rechtstreeks in de processor.
  • Draaien van gesignde code op de processor.
  • Gebruik van garbage collection in oude C / C++ programma's.
  • Nieuwe programmeertalen die C vervangen met verbeterde geheugenmanagement.

[Reactie gewijzigd door ArtGod op 23 april 2016 10:32]

Ik verwacht dat over enkele jaren technologie wordt geïntroduceerd welke het kraken van computers onmogelijk maakt.
Nou dan leef jij in een droom wereld, alles is te kraken, er zal NOOIT iets komen wat niet te kraken is.
Technisch is het mogelijk om software onkraakbaar te maken. De zwakste schakel blijft altijd de mensen. Als mensen lukraak attachments in e-mails of gedownloade internetbestanden openen waarin executables zitten dan kan je niks garanderen.
Technisch is het mogelijk om software onkraakbaar te maken. De zwakste schakel blijft altijd de mensen. Als mensen lukraak attachments in e-mails of gedownloade internetbestanden openen waarin executables zitten dan kan je niks garanderen.
Je geeft al antwoord op je eigen antwoord "De zwakste schakel blijft altijd de mensen." dus alles is te kraken, er zal NOOIT iets komen wat niet te kraken is, zelfs als er straks wel AI komt dan nog is het te kraken, omdat de AI gemaakt is door mensen, en ga maar zo door.
India is nog een ver land,
in Nederland zelf kan het problematisch zijn.


Een heel simpel voorbeeld dat tot de verbeelding spreekt is de belastingtelefoon. Dat is deels uitbesteed en er werken zat mensen niet in vaste dienst. Die kunnen best veel gegevens ui dat systeem halen.

Een stapje verder is suwinet,
het systeem waarmee de overheid verschillende diensten met elkaar koppelt. Een keten is daarbij zo sterk als de zwakste schakel. Je kunt daar niet garant voor staan.

Een aanval vanuit buiten acht ik minder waarschijnlijk dan vanuit binnenuit.

En het geld voor veel bedrijven. Loyaliteit komt steeds op een lagere plaats te staan mede door lage beloning en totaal geen uitzicht op fatsoenlijk contract.
De "ons zal het niet overkomen"-mentaliteit heerst bij veel bedrijven, als het aankomt op IT-security. Er wordt niet veel geld geïnvesteerd in deze beveiliging, omdat je de resultaten niet direct terug ziet. Het vergt dan ook een goede IT manager om de directie ervan te overtuigen, om een goede security neer te zetten en het personeel goed te trainen, zodat zij bewust omgaan met de informatieveiligheid.

Edit: spelfout

[Reactie gewijzigd door Terriongaming op 21 april 2016 14:49]

Het is ook enorm moeilijk een gulden middenweg te vinden ... en dan zie je voorbeelden waar targeted aanvallen toch niet kunnen gestopt worden...

Je verliest het toch, waarom dan zwaar investeren ? Het is een risico van werken in deze eeuw.
Je verliest het toch?
Dat vind ik wel apart.

Zijn zat wegen om goed te investeren.
Alleen wat veel bedrijven vergeten is dat de basis begint bij de medewerkers.
Als je personeel goed getrained is dan zijn aanvallen al een stuk lastiger.

Er zijn voldoende technische oplossingen die zorgen voor een goede bescherming. Helemaal met de sandbox technologie die een aantal vendoren bieden met hun IT security.
Het zijn alleen de 'mensen' die op het werk bestanden/mails openen waar malware in zitten die niet geopend dienen te worden.

Daarnaast is het niet of een aanval/inbraak gebeurd, maar wanneer. Indien je mensen goed genoeg getrained zijn zullen ze sneller herkennen dat er wat mis is. Hierdoor kan er sneller actie ondernomen worden. En zal de schade gereduceerd worden.

Punt is dat de cybercriminelen alle tijd hebben, sommige inbraken duren meer dan 3 jaar. In 99% is hier een menselijke fout aan te pas gekomen dat ze binnen hebben kunnen komen. Een techniek die gebruikt wordt met een nieuwe malware is dat deze soms pas actief wordt na 6 maanden, hierdoor kun je ook geen backup terug zetten. Afgelopen jaar was de schade rond de 600 miljard dollar.

Gelukkig is nu de trend dat aanvallen sneller onderschept worden waardoor er een daling is ingezet met de schade die bedrijven hebben. Dit komt dus door betere investeringen die wel degelijk hun geld waard zijn. Helaas zijn er nog steeds teveel bedrijven die pas de put gaan dempen als het grootste leed al geleden is.
Je dient als bedrijf te investeren voor de informatieveiligheid binnen jouw bedrijf. Klanten/cliënten en je werknemers hebben vertrouwen in je. Als er dan blijkt dat jouw gegevens op straat liggen omdat de beveiliging ondermaats was, dan verlies je als bedrijf het vertrouwen. Het aangezicht in de media is voor bedrijven ontzettend belangrijk, vandaar dat ze zoveel geld pompen in PR en dergelijke.

IT-beveiliging is meer dan een technisch iets; het geldt voor het gehele bedrijf, horizontaal en verticaal.
ah, als je al niet kunt voorkomen dat 50% van medewerkers USBs (gevonden op de parkeerplaats) gewoon in hun PC steken, dan kun je nog zulke mooie praatjes hebben....
De zwakste schakel in beveiliging is de mens zelf. Ik heb talloze malen gelezen en meegemaakt dat gevoelige informatie is gelekt door onoplettendheid, onwetendheid of gewoonweg desinteresse. Daarom is bewustzijn over informatiebeveiliging voor iedereen binnen een bedrijf zo cruciaal.
Het punt is dat je als organisatie een maatschappelijke plicht hebt om te investeren in beveiliging. Niet alleen beveiliging voor jezelf, maar ook voor de maatschappij; hoe hoger de gemiddelde beveiliging in alle sectoren, hoe duurder het is om aan een buit te komen, of hoe kleiner de buit voor de criminelen op jaarbasis is. Daarnaast is er een financieel verschil of men 1 keer per jaar binnen komt, of 100 keer. Hoe je het ook wend of keert: lakse beveiliging is aan niemand goed uit te leggen.
Volgens mij heeft de overheid ook een maatschappelijke plicht om burgers te beschermen maar beveiligingslekken delen dat gaat niet want dan bestaat het risico dat deze gepatched worden en dan kunnen ze er zelf niet meer in. Heb het hier natuurlijk over zero day vulnerabilities en niet over onbekwame it afdelingen.
Helemaal mee eens; dit was ik inderdaad vergeten erbij te zetten.
AIVD: organisaties kunnen duur en effect van internetaanvallen niet vaststellen
Dat kan AIVD zelf ook niet..... niet sarcastisch bedoeld.

Als je iets zou kunnen vaststellen dan kan je het ook voorkomen.

Verder overdrijven ze aangezien ze op basis van aannames en knipselredactie hun inlichtingen verzamelen.

Het is niet zodat AIVD zoals b.v. NSA hele infrastructuren monitoren en aan de hand van analyses op die date feitelijkheden kunnen publiceren.
Hoe weet je dat ze dat niet kunnen? Je argumentatie gaat niet op want bijvoorbeeld een CERT kan geen aanval voorkomen, alleen vaststellen en de juiste mensen inlichten. AIVD (en MIVD for that matter) hebben niet de juridische bevoegdheid om dingen te voorkomen, hooguit kunnen ze bedrijven specifiek informeren. Dat zullen ze alleen doen als het een vitaal belang van Nederland treft, niet als ze zien dat het alleen een bedrijfseconomisch probleem is.

Bij specifieke sectoren en bedrijven zijn ze actiever betrokken bij de beveiliging dan bij andere bedrijven uiteraard. Maar goed, dat staat ook allemaal in hun (jaar)verslagen :)
Omdat Nederlandse overheid niet actief ZELF monitored. Zowel GOVCERT als AIVD reageren passief nadat ze door derden (en/of slachtoffers) geïnformeerd worden.

Ook indien met vaste lijnen ongericht mogen tappen zullen ze geen deep packet inspection op grote schaal gaan doen. (kost geld, privacy schending etc..)

Met betrekking:
juridische bevoegdheid om dingen te voorkomen, hooguit kunnen ze bedrijven specifiek informeren.
Ze doen dat weer wel.... zaken stuk maken... intimidatie etc... grijs gebied.

Wat ze feitelijk doen staat niet in hun verslagen.

één van de nare trekjes van o.a. AIVD is politiek bespelen met FUD.

Af en toe roepen dat er een aanslag zit aan te komen etc... werkt goed in Den Haag zeker in deze tijd. Terwijl in werkelijkheid ELKE aanslag juist aantoonde hoe incompetent opsporing & inlichtingen diensten zijn.

Voor alle duidelijkheid we hebben ze nodig. Maar suggestieve berichtgeving zoals vandaag in het nieuws (zie elders o.a. over Russen) slaat nergens op, iedereen die beetje nieuws leest had eenzelfde conclusie kunnen trekken.... vandaar knipsel inlichtingen dienst zonder wapen feiten.
Als je iets zou kunnen vaststellen dan kan je het ook voorkomen.

Nee, het punt is nu net dat men vaak wel bezig is met vorokomen, maar weinig aandacht heeft voor het vaststellen van bestaande/geslaagde besmettingen.

Enkel richten op voorkomen is niet zo slim, want er kan/zal altijd wel ooit ergens iets doorheen komen. Taak is dan zo snel mogelijk dit te ontdekken en het lek te dichten en de schade te beperken.

Concrete voorbeelden zijn patronen in netwerk analyseren. Je weet dan wat normaal is, en wat niet. Als opeens een bepaalde workstation data begint te uploaden die dat vroeger nooit deed, is het handig even te kijken wat er aan de hand is. Of als die workstation opeens netwerk shares benaderd die vroeger nooit benaderd werden vanaf daar. Etc.

Voorkomen is slechts een van de 3 peilers. Detectie en netwerk/data compartimering ("remmen/beperking van aanvallers") zijn een tweede en derde essentiele tak van sport hier.
Als het gaat om die landen met autoritaire regimes die stelselmatig bedrijven, organisaties etcetera binnendringen dan vraag ik mijzelf af, wanneer deze aanvallen gezien gaan worden als een oorlogsdaad.
Is een spion ergens heensturen om een document te stelen ook een oorlogsdaad?
Als dat land je spion vat is de kans wel niet zo groot dat je hem meteen terug krijgt. Dus vaak wel ja.
Oorlogsdaad is toch wel wat anders dan verminderde relaties tussen twee staten. Als een spion in de kraag gevat word zal een staat echt niet meteen de oorlog verklaren.
mischien niet tussen bijvoorbeeld USA en rusland maar in het midden oosten zijn voor mindere daden de oorlog verklaard en raketten salvo's overgeschoten.
Als dat land je spion vat is de kans wel niet zo groot dat je hem meteen terug krijgt. Dus vaak wel ja.
Dat is niet helemaal waar. Als er een spion wordt ontdekt, dan wordt die vaak ook gewoon uitgezet. Spionnen zijn meestal niet zo high-tech als de James Bond films doen vermoeden. Vaak hebben ze het doel om in een aantal jaren in de vertrouwenskring te komen van mensen van wie informatie geprobeerd wordt te verkrijgen. Totdat dat doel gehaald is, is er dus ook vaak nog helemaal geen informatie verkregen. Als een spion op zo'n moment wordt ontdekt dan wordt hij gewoon het land uitgezet, en zet het andere land als "vergelding" ook vaak een Nederlandse diplomaat uit. Daarna is het weer business as usual.
Niet per definitie. Worden systemen ontregeld en vervolgens infrastructuur gesaboteerd dan wordt m.i wel een "grens" overschreden.
Jammer dat ze niet melden wat de effectiviteit is van de aanvallen die ze zelf uitvoeren.
De overheid moet veilige software ondersteunen en niet baat willen hebben bij de verspreiding ervan om bij burgers hun computer binnen te dringen. Laat een groot fonds oprichten om innovaties aan onkraakbare software te financieren.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True