Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 51 reacties
Submitter: GEi

Op de systemen van de gemeente Almelo is geen malware aangetroffen en ook lijkt er geen sprake te zijn geweest van het weglekken van 20GB aan data van burgers. Dat concludeert de politie na onderzoek.

De firewall van de systemen van de gemeente Almelo heeft voorkomen dat er 20GB aan data van 282 inwoners van Almelo en omliggende gemeenten werd verzonden, schrijft Tubantia. Die verzending had bovendien niet met malware of een inbraak te maken, concludeert de operationeel specialist digitale opsporing Politie Nederland, afdeling Oost na onderzoek.

Dat de gemeente melding maakte van een datalek was volgens hem wel correct. "De firewall heeft twintig gigabyte aan data ontvangen die bestemd waren voor een server die als niet betrouwbaar zou kunnen worden aangemerkt." Niet duidelijk is waarom systemen de gegevens wilden versturen en naar welke server dit dan was.

De gemeente Almelo maakte begin september melding van het datalek. Enkele weken later concludeerde de gemeente dat de oorzaak bij een plug-in lag die op het systeem van een medewerker draaide.

Moderatie-faq Wijzig weergave

Reacties (51)

Ik vind dat het wel gebagetalliseerd word allemaal. De politie kan na onderzoek namelijk niet honderd procent zeggen of er data is gelekt, enkel dat er een melding kwam van de firewall. Enkel in de inleiding staat het hier, maar 112Twente.nl geeft iets meer informatie.
Almelo - Politie heeft onderzoek ingesteld en heeft geen strafbaar feit ontdekt. Er zijn vermoedelijk geen gegevens gelekt bij een data-lek bij de gemeente Almelo. De politie heeft uitvoerig onderzoek gedaan en vastgesteld dat er geen strafbaar feit is gepleegd.

In september deed de gemeente aangifte van computervredebreuk. Het vermoeden bestond dat de computersystemen geÔnfecteerd waren met een computervirus. Het team Digitale Opsporing van de politie Oost-Nederland is meteen een onderzoek gestart in samenwerking met de gemeente. Rechercheurs hebben onderzocht of er sprake was van een inbreuk op de systemen en of er data is verdwenen.

Samenwerking met NCSC en THTC
De gemeente schakelde ook externe onderzoeksbureau’s in om het ‘lek’ te onderzoeken, ook de bevindingen van deze bureau’s zijn door de recherche bekeken. Daarnaast werkten de rechercheurs samen met het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Veiligheid en Justitie en Team High Tech Crime (THTC) van de politie.

Niemand benadeeld
Nu het onderzoek is afgerond heeft het team Digitale Opsporing vastgesteld dat er geen strafbaar feit heeft plaatsgevonden. Niemand heeft ingebroken in de systemen van de gemeente. Op basis van de informatie die de politie heeft concludeert het team dat er vermoedelijk ook geen gegevens gelekt zijn. Op basis van de beschikbare informatie is dit niet met 100% zekerheid vast te stellen. Er is wel vastgesteld dat er met zekerheid geen data is gelekt waarmee burgers benadeeld kunnen worden.
http://112twente.nl/artik...a-lek-bij-gemeente-almelo

Vooral de laatste alinea is hierbij van belang. Het lijkt er op dat de politie de gemeente indekt, want er zou dus wel degelijk informatie kunnen worden gelekt en eigenlijk weten ze ook niet of dit privacygevoelige informatie is. Maar ze zeggen het wel.

[Reactie gewijzigd door me_mrtn op 8 november 2016 11:00]

Er is wel vastgesteld dat er met zekerheid geen data is gelekt waarmee burgers benadeeld kunnen worden.
Er is dus mogleijk wel data gelekt maar geen data van belang. Dus zeker geen privacygevoelige data.
De politie heeft er geen enkel belang bij dit te bagatelliseren. Lijkt me dus een onderzoek dat terecht de geriuchten en suggestieve berichtgeving weet te weerleggen.
Wat ik jammer vind is dat er nergens de rapporten zelf te vinden zijn. 112twente heeft gewoon een artikeltje van politie.nl gekopieerd en geplakt. En dat artikel is wel dermate bedroevend geschreven, dat er geen pijl aan vast te knopen is. Het begint al goed:
Er zijn vermoedelijk geen gegevens gelekt bij een data-lek bij de gemeente Almelo.
Er bestaat volgens deze zin een lek waarbij niets gelekt is. Oke...

Al met al denk ik niet dat er hier sprake is van een doofpot of iets dergelijks, maar gewoon van wat onhandige formuleringen door iemand die totaal geen idee heeft waar het over gaat. Daarnaast is er spijtig genoeg zelden of nooit keihard en onomstotelijk te bewijzen dat iets niet heeft plaatsgevonden. "No proof of excistence is no proof of non-excistence."

Het was veel handiger geweest als ze gewoon klip en klaar hadden gezegd dat er geen enkel lek heeft plaatsgevonden, oftewel dat er geen gegevens ergens terecht zijn gekomen waar ze niet horen. Of dat er misschien wel gegevens zijn gelekt maar dat het hier niet om persoonsgegevens gaan maar bijvoorbeeld om een aanbesteding van een kunstzinnig openbaar toilet ofzo.
"De gemeente Almelooooooooo maakte begin september melding van het datalek. Enkele weken later concludeerde de gemeente dat de oorzaak bij een plugin lag die op het systeem van een medewerker draaide."

Ik ben geen security expert, maar hoe is dit geen Malware, Spyware etc..?
Als de plugin een google drive plugin is, en de gemeente medewerker per ongeluk een verkeerde folder probeerd(t?) te syncen.

Zo maar een voorbeeld. Dan is de plugin niet fout ;)
Goed punt! Helaas kan ik je niet modden.
Tweakers heeft een nieuw mod systeem nodig.
een googledrive plugin vind jij niet 'fout', in deze omgeving???
Sommige mensen vinden IE, of zelfs Windows gebruiken al een 'fout'....

Maar goed, als je een Chrome browser hebt en inlogd dan komt dat ding automatisch mee, dus tja.

En voor hetzelfde geldt, wellicht is het een stagiere die dit heeft veroorzaakt. Uitstekend leermomentje zeg maar. ;)
Ik snap inderdaad niet dat het een plugin (een stukje software bedoeld als aanvulling op een bestaand pakket). Ineens minder kwalijk is, dit is waar het doorgaans juist fout gaat.
Ik ben geen security expert, maar hoe is dit geen Malware, Spyware etc..?
Kan natuurlijk ook een plugin zijn die gewoon slecht geprogrammeerd is en daardoor vol lekken zit.
Torrent plug-in? ;)
Of, zoals eerder genoemd een cloud-dienst?
Wat fijn om eindelijk te horen dat er gťťn lek blijkt te zijn! Positief nieuws is ook nieuws :)

Ook interessant is dat een firewall data naar buiten (internet?) blijkt tegen te houden! Dat hoor je niet vaak. Goed ding.
Edit: Mensen snappen sarcasme niet... Opnieuw: Geweldig dat er firewalls zo ingesteld staan dat ze data naar buiten tegen houden. In de IT zie ik helaas te vaak dat men alles naar buiten open zet voot het gemak! Beter!

Ik zou graag willen weten welke 'firewall' dat dan was, als het daadwerkelijk een firewall is. Ik snap natuurlijk ook wel dat deze info niet prijs gegeven kan worden.

[Reactie gewijzigd door Triblade_8472 op 8 november 2016 21:20]

Nee, dat is helemaal niet uitgesloten. De gemeente Almelo brengt het snel naar buiten alsof er geen lek is geweest, maar de dienst Digitale Opsporing kan het niet met 100% zekerheid zeggen. Zelfs met twee externe bureau's die er naar hebben gekeken.
Hoezo ontdek je nu pas dat firewalls outbound blokkeren? altijd zomaar UPnP aangegooid of je hele netwerk in een allow-any gesmeten? ;)
Zucht... Mijn excuses, sarcasme is niet begrepen helaas. Ik heb mn post maar aangepast voordat iedereen denkt dat ik raar ben ;)

Ik doelde op het feit dat ik in de IT wereld te vaak zie dat men firewalls naar buiten allow-all opengooit om zich er gemakkelijk van af te maken. Ik ben dus juist blij dat er gemeentes zijn waar firewall beheerders verder kijken dan hun neus lang is. Zeker in kleinere gemeentes!
Ik snap natuurlijk ook wel dat deze info niet prijs gegeven kan worden.
Hoezo? Wat zou er verkeerd aan zijn als de gemeente Almelo zou melden een apparaat als een Cisco FirePOWER 4100 zou hebben die z'n werk goed gedaan heeft?
Omdat je dan extra informatie geeft richting potentiŽle kwaadwillende mensen terwijl daar geen enkele reden toe is. Om dezelfde reden zet je altijd versie headers van je server uit en heb je geen debug info in je foutmeldingen in productie.

Stel dat er over een maand een lek gevonden wordt in de Cisco FirePOWER 4100, dan weten aanvallers direct dat de gemeente Almelo zo'n ding heeft en dus een mogelijk target is. Of als je server een header stuurt waarin het aangeeft dat je Apache versie x.y.z draait en er wordt een lek gevonden in die versie. Je loopt basically te adverteren welke software je draait en dus welke ongepatchte lekken je e.v.t. hebt.
Dat lijkt logisch maar als je de boel goed voor elkaar hebt is het juist een afschrikking.
Als de reden om om niet te durven publiceren mogelijk toekomstige nu nog onbekende lekken zijn dan is er een er dusdanig groot wantrouwen in de techniek dat er maar 1 oplossing denkbaar is: het hoofd IT loopt in vlot tempo naar de firewall en trekt de stekker van de verbinding naar buiten er uit.
Dat lijkt logisch maar als je de boel goed voor elkaar hebt is het juist een afschrikking.
Hoezo is het een afschrikking? Het is gewoon onnodig informatie naar buiten brengen over je security en dat doe je gewoon niet.
Als de reden om om niet te durven publiceren mogelijk toekomstige nu nog onbekende lekken zijn dan is er een er dusdanig groot wantrouwen in de techniek
Nee, dat is gewoon realistisch. Je kan niet aantonen dat software foutvrij is dus daar mag je ook niet van uit gaan. Je vertrouwd ook nooit op 1 laag beveiliging maar bouwt beveiliging in op elke laag (defense in depth) en je ziet dat het hier werkt. De beveiliging op een laag liet het afweten (20GB aan data geprobeerd naar buiten te sturen) en een andere laag (in dit geval de firewall) houdt het alsnog tegen.

[Reactie gewijzigd door Aaargh! op 8 november 2016 12:15]

Het is gewoon onnodig informatie naar buiten brengen over je security en dat doe je gewoon niet.
Andere sectoren, banken (denk aan foto's van de kluis), tankstations (grote biljetten verdwijnen in de geldlade), winkels (zichtbare beveiligingslabels) doen dat heel bewust wel. Om af te schrikken. WIj zijn goed beveiligd, het heeft geen zin hier wat te proberen. Blijkbaar heeft IT security nog niet dat niveau van volwassenheid bereikt. Want dan zouden zij ook dat extra niveau van afschrikking als extra beveiligingslaag durven inzetten. Geheim houden is voor mij toch een beetje dat de angst regeert.
Je vergelijkt een appel met een peer. Winkels gebruiken bepaalde procedures en geven dat aan. Dat is heel wat anders dan een bepaald product gebruiken, waarvan men zelf intern ook niet weet hoe dat werkt. Je hebt alleen 'product X'. Als je dan gaat reclameren dat je product X gebruik en dus 'veilig' bent, ben je eerder aan het motiveren om als aanvaller de exploits van product X op te zoeken en die te gaan uittesten.

Dat is wat anders dan bijvoorbeeld weten dat een winkel z'n briefgeld een geldlade stopt, want dat is meer een wel/niet oplossing afhankelijk van wat je van plan bent als dief. Er is niet een soort lijst van exploits bekend van 'geld in een lade stoppen' die wel of niet gedicht kunnen zijn.

Geheim houden is niet 'de angst regeert', het is risico's afdekken. Je gaat echt het securityplan van de KLM niet op kunnen vragen om te weten waar je op Schiphol missing door de lagen heen kan breken, of bij de RVD opvragen hoe de Koning beveiligd is. Betekent dit dat dan dat zei nog niet 'dat niveau van volwassenheid hebben bereikt'? 8)7
En toch worden tankstations en winkels nog regelmatig overvallen, geldautomaten geramd om heel het ding mee te nemen en banken liggen ook continu onder vuur door allerlei snode lui op internet die ingangen zoeken.

Beveiliging in de IT heeft niets te maken met hoeveel je er van laat zien. Open-source is het toppunt van laten zien hoe je beveiligd bent, maar dat maakt het niet per definitie veiliger.
Open-source is het toppunt van laten zien hoe je beveiligd bent, maar dat maakt het niet per definitie veiliger.
Ook niet eens helemaal. Je laat zien hoe de software werkt, maar dat is niet de gehele keten. Keys en tokens ga je bijvoorbeeld niets in je source bewaren (Uber?), dus hoe die worden beheerd is in wezen altijd closed source en kan in verschillende maten veilig gedaan worden.

Ook zie je maar zeer beperkt hoe systeemomgevingen beheerd worden. Krijgen de servers automatische updates? Worden ze geaudit? Is er actief toezicht? Allemaal zaken die bijna altijd closed source beheerd worden door sysadmins.

[Reactie gewijzigd door Lekkere Kwal op 8 november 2016 14:15]

De keys of tokens zelf toon je natuurlijk niet, maar je laat wachtwoorden ook niet zien. Open source laat wel zien hoe je applicatie werkt, welke methodes je gebruikt om je tokens te valideren, hoe je wachtwoorden hasht, al dat soort grappen, welke stappen je onderneemt om te zorgen dat alles veilig is.

Maar je hebt gelijk, er zullen altijd kleine onderdelen closed source zijn.
Je gaat een eventuele hacker natuurlijk niet wijzer maken dan hij al is, als bekend is welke firewall je gebruikt is daar wellicht iets te misbruiken qua kwetsbaarheid etc.
Ik geloof ook niet in 'security by obscurity', maar hoe meer er onbekend is over hoe de beveiliging is gerealiseerd, hoe moeilijker het is om de beveiliging te omzeilen.
Elke fatsoenlijk ingestelde firewall filtert verkeer beide kanten op. Juist om dit soort dingen tegen te houden. Je moet dit soort apparatuur niet vergelijken met een NAT routertje die je thuis hebt staan en standaard alle outbound verkeer gewoon toestaat.
"20GB aan data van 282 inwoners van Almelo"

hoeveel slaan ze wel niet van je op.... wat moet daar allemaal in staan :?
Nog bizarder vind ik het idee dat een firewall die een verzender "binnen" bij voorbaat al niet vertrouwt toch alles gaat lopen cachen oid waardoor ze dus kunnen concluderen dat het 20GB was wat geprobeerd werd naar buiten te sturen maar geen idee hebben over wat het is, welk programma/proces er mee bezig was of welke bestemming het moest hebben.
Ik heb geen idee waar je vandaan haalt dat het heeft lopen cachen. Dat het 20GB is geweest is niet heel moeilijk te achterhalen in goede firewalls en heeft niks met caching te maken. Daarnaast staat er nergens dat ze geen idee hebben wat nou de oorzaak was, maar staat er alleen dat ze niet met 100% zekerheid kunnen zeggen of er toch niet iets is door geglipt.
Alle ingescande correspondentie misschien?
Dus iemand kreeg een foutmelding; dit en dat is geblokkeerd, indien dat onterecht is neem contact op met systeembeheer. En toen is er melding van datalek uitgegaan?

Raar verhaal.
Tja bij niet melden is er een kans op een flinke boete (2 ton meen ik) dus volgens mij wordt er standaard veel meer gemeld dan dat ze voor ogen hadden met de regelgeving. Better safe then sorry ;)
Weetniet. Nu heb je 282 mensen in paniek gebracht OW! OW! ALLLL ME GEGEVENS!!!!
Terwijl dat dus niet nodgi was.
We willen juist dat de overheid transparant is en als ze dat zijn dan is het weer niet goed :). Ik vind dat de gemeente goed heeft gehandeld door het te melden en daarna een onderzoek te laten doen door partijen die experts hebben op dit gebied. Als ze het stil hadden geprobeerd te houden en het was naar buiten gelekt (zoals heel veel van dit soort dingen) dan had iedereen staan te schreeuwen dat ze aardig hadden moeten zijn.
Het is eerder een systeembeheerder die in een log zag dat de firewall 20 GB aan uitgaand verkeer had geblokkeerd.
20 GB aan data van 282 inwoners ?

Dan begin ik me toch af te vragen wat de gemeente Almelo aan data heeft verzamelt van deze inwoners. Ik vindt 20 GB van 282 inwoners behoorlijk veel namelijk.
Een aantal dingen die in mij op komen zijn: bouwtekeningen, kadaster, correspondentie / ingestuurde verzoeken. Als afbeelding of PDF gaan zulke dingen hard. Het stukje basisgegevens zal mogelijk niet zoveel zijn, maar voor woningen en belastingen zal al een stuk meer beschikbaar zijn. Zoveel is 71mb gemiddeld niet en het is niet bekend hoe de verdeling is.
Dat. En het lijkt mij inderdaad aannemelijk dat het, zoals hierboven ook al een paar keer gezegd is, een synchronisatie plug-in voor bv. Google Drive is.
Wanneer die bv. elk uur probeert om een bepaalde folder met vergunningaanvragen te synchroniseren, dan kan dat ook met relatief kleine bestanden na verloop van tijd oplopen tot een behoorlijke hoeveelheid data die door de firewall geblokkeerd is.
Een plugin alszijnde een dropbox of onedrive synchronisatie? Een plugin moet toch makkelijk te achterhalen zijn en al zeker de server etc?
Wellicht wel, maar er is denk ik ook onderzoek gedaan of er opzet in het spel was etc.
Dit soort onderzoeken zijn belangrijk en zal dus zorgvuldig moeten worden uitgevoerd.

Ik vermoed inderdaad ook een dergelijke plugin oid.
Nu vraag ik me af, als AlmeloŽr en als IT'er, hoe het dan kan dat die 20GB aan data dan wel het netwerk uit wilt zonder dat daar malware voor gezorgd heeft. Het lijkt me niet heel handig om dit zo maar op straat te gooien, is hier iemand verantwoordelijk voor, die dit bewust of onbewust gedaan heeft, of is dit een niet functionerend systeem wat de data wilde versturen?

Het was al eerder duidelijk dat het om data zou gaan van een relatief kleine groep mensen, maar dit maakt het niet minder erg. Ik denk dat veel gemeentes en andere overheidsinstanties wel wakker geschut zijn na dit incident.

Persoonlijk ben ik nog behoorlijk huiverig voor het aanvragen van mijn nieuwe ID-kaart welke ik ook digitaal kan doen. ;(
Nu vraag ik me af, als AlmeloŽr en als IT'er, hoe het dan kan dat die 20GB aan data dan wel het netwerk uit wilt zonder dat daar malware voor gezorgd heeft.
Installeer een sync client met standaardinstellingen, die onbedoeld een gebruikersprofiel/alle data van een schijf upload.
Ik vind dit nog steeds een zeer raar verhaal.

Het moet wel UDP verkeer zijn geweest want TCP verkeer gaat echt niet 20GB aan data uploaden wanneer deze geen connectie krijgt (blokkade firewall).
Gezien alle dropbox achtige sync software werken met TCP poort 443 en verificatie van de data lijken mij deze "plugins" ook uitgesloten (Bittorrent sync client doet UDP maar deze verifieert de data ook).

Browser based plugins werken gewoon onder de browser en zullen dus ook niet door een firewall worden afgevangen.

Zelfs met een Layer7 inspectie op de firewall zal een client niet blijven proberen om data te uploaden tenzij deze succesvol is (ten minste, ik heb het nog nooit in een firewall log gezien). Alleen de connectie pogingen zijn niet voldoende om 20GB aan data te krijgen.

Misschien dat iemand een torrent client heeft geÔnstalleerd en een folder heeft gedeeld? Het UDP verkeer liep daarna vast tegen de firewall?

Iemand die dit soort gedrag gezien heeft op zijn/haar firewall? Ik ben dit in iedergeval nog nooit op Sophos UTM/XG, Cisco ASA of Watchguard UTM's tegengekomen.
Flauwe, ongefundeerde reactie weer. Het is hier dus goed gegaan. De firewall heeft voorkomen dat data lekte, en het systeem was dus op orde. Houdt de firewall bij jouw bedrijf ook tegen als je probeert een groot databestand met de data van jouw bedrijf te versturen naar een externe server?

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True