×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Ict-systeem Tweede Kamer getroffen door ransomware

Door , 270 reacties, submitter: isene

De ict-infrastructuur van de Tweede Kamer is getroffen door ransomware. Dat bevestigt de woordvoering van de Tweede Kamer tegenover Tweakers. De Kamer zou inmiddels 'passende maatregelen' hebben genomen.

Details over de ransomware en de systemen die door de malware geïnfecteerd worden, wil de woordvoering van de Tweede Kamer dinsdag niet geven. Ook geeft de Stafdienst Communicatie geen informatie over de getroffen maatregelen: "Zoals gebruikelijk kunnen wij daar vanwege de veiligheid verder niet op ingaan."

De aanval begon volgens informatie die Tweakers heeft ontvangen op maandagmiddag om ongeveer vier uur. De ransomware slaagde erin om bestanden te versleutelen. Als maatregel blokkeerde de ict-dienst daarop de mail en gaf het advies Word-bijlagen met de tekst factuur niet te openen. De ict-dienst van de Tweede Kamer heeft vervolgens back-ups moeten terugzetten en dinsdagochtend kon de ict-dienst melden dat de verstoring voor het grootste deel verholpen was. De kans is aanwezig dat Kamerleden en andere medewerkers enkele bestanden zijn kwijtgeraakt. Ook lag het netwerk eruit en werkten programma's via Citrix tijdelijk niet.

Dat de ict-infrastructuur ten prooi is gevallen aan ransomware maakte D66-Kamerlid Kees Verhoeven eerder op dinsdag bekend. "Gelukkig viel de schade mee maar ransomware is de belangrijkste vorm van cybercriminaliteit. Je klikt ergens op en je kunt niet meer bij je data. Gelukkig was er goede backup en werkt alles weer. Dit bewijst opnieuw de reële dreiging en dat onderschatting op de loer ligt. Cyberveiligheid is geen kwestie van high-tech maar van basics op orde hebben: let op verdachte mails met rare bijlagen of linkjes, vervang wachtwoorden, gebruik geen open wifi, enzovoorts", verklaart Verhoeven naar aanleiding van de aanval. Ransomware is malware die gebruikers de toegang tot bestanden ontzegt, meestal door deze te versleutelen. Na betaling worden de bestanden weer vrijgegeven. Niet duidelijk is hoe de aanval kon slagen.

In 2015 werden de ict-systemen van de Duitse Bundestag getroffen door een omvangrijke malware-aanval. Het duurde maanden voordat de kwaadaardige software volledig verwijderd was. Die aanval verliep via de Swatbanker-banktrojan, waarmee aanvallers formulieren via het intranet van de Bundestag in bezit konden krijgen en gegevens uit de browsers konden ontvangen.

Door Olaf van Miltenburg

Nieuwscoördinator

28-03-2017 • 11:55

270 Linkedin Google+

Submitter: isene

Reacties (270)

Wijzig sortering
*Zucht* Het zal ook eens niet. Dit is niet de eerste keer dat overheidsnetwerken door iets dergelijks getroffen zijn.

Is dit dan totaal niet af te vangen met afdoende technische beveiligingsmaatregelen? Of is dit wederom een kwestie van goedkoop is duurkoop? Ambtenaren zul je toch nooit voldoende kunnen onderwijzen vrees ik. Kijk maar naar het g-mail verhaal van onze minister.

Edit: Sinds wanneer wordt een beetje cynisme hier niet meer gewaardeerd? Ik heb zelf geruime tijd op de SD van een groot overheidslichaam gewerkt en spreek dus wel degelijk uit ervaring.

Gemak moet altijd de overhand hebben en het is altijd de schuld van iemand anders wanneer een gebruiker de fout ingaat. Onder andere knullige proeven met nep-phishing hebben dit meerdere malen uitgewezen.

[Reactie gewijzigd door Tormbo op 28 maart 2017 15:56]

Als sysadmin voor verschillende bedrijven die behoorlijk goed dichtgetimmerd zijn zie ik het desalniettemin ook af en toe gebeuren. Als jij de mirakeloplossing hebt, dan hoor ik het graag. Bij één klant zijn we al zover gegaan dat Office-dokumenten onderschept worden (de meeste besmettingen zijn via macro's). Ook worden alle .js, .pif. .scr .bat etc. extensies geblokkeerd. En dan is het nog niet waterdicht: ik zie HTML e-mails met zwaar obfuscated code tussen de lijntjes die de malware download. Zal ik ook maar HTML e-mails verbieden?

Sinds begin 2016 - geen idee waarom net dan - worden alle appliances bestookt met cryptolockervarianten en zelfs al wordt 99.9% tegengehouden (de AV-fabrikanten lopen altijd wat achter): als er maar ééntje door komt en dan één gebruiker met gemapte network shares er op klikt , dan heb je prijs op grote schaal.

Dus nogmaals: als je een wonderoplossing hebt behalve eenvoudigweg offline gaan, dan hoor ik het graag. Anders is het een gevalletje "de beste schippers staan aan wal".
Wij hebben bij ons alle applicaties geblocked die zich vanuit de temp will opstarten.
Daarna geen infectie meer gehad ...
Dat wil ik ook wel weten
In de Group Policies creëer je een software restriction policy. Standaard zet je alles op allowed, je maakt een extra rule waarin je aangeeft dat er niets uitgevoerd mag worden vanuit %temp%.

Hier staat het stap voor stap uitgelegd:

https://blog.brankovucine...lock-viruses-and-malware/
Is absoluut niet waterdicht!

Als mensen de bijlage (ransomware) niet kunnen openen, zetten ze hem wel eerst ergens anders. En dan lukt het wel.
In het artikel wordt alleen gesproken over .exe. Moeten er nog wel een stel bij.
Klanten/werknemers gaan klagen dat ze zaken niet meer kunnen (teamviewer, webex, etc).

Het enige wat tot nu toe echt goede resultaten heeft opgeleverd:
https://go.kaspersky.com/Anti-ransomware-tool.html
Wij gebruiken:

https://www.paloaltonetwo...secure-the-endpoint/traps

Sindsdien geen last meer gehad van Cryptolockers.

Er zijn dus gelukkig meerdere oplossingen te koop.
Dit en RES Appguard zorgt voor 99,9% waterdichtheid. Zeker nu ze ook met hashes werken in de laatste versie.

Kost je wel wat meer beheer, want je moet de hashes bijhouden als een applicatie wordt geupdate.
Je blokkeert met applocker gewoon alles behalve webex en dan overal behalve de program files.
Programma's die hier buiten geschreven worden niet toestaan of whitelisten.
Teamvier zou ik tevens niet toestaan.
Kan je uitleggen waarom je Teamviewer niet zou toestaan?
Vorig jaar nog ernstige hack geweest. Hackers konden pc,s volledig overnemen met alle gevolgen van dien.
Je hebt er beheer aan installatie, bijhouden nieuwe versies.
Omdat als iedere werknemer naar huis gaat zitten connecten en al zijn drives en bestanden overhaald je een behoorlijk beveiligingslek hebt.
Ik gebruik het alleen om met klanten (hoofdzakelijk software engineers) mee te kijken en daarbij uitleg te geven over het gebruik van onze componenten en de aansturing daar van. Ik begrijp je punt goed en snap dat het voor werknemer / thuiswerken een erg niet te controleren en onveilige optie is.
Bij teamviewer heb je per definitie een man in the middle, teamviewer zelf. Of dat veilig en wenselijk is kun je een mening over hebben, bij ons is het in ieder geval niet toegestaan.
Wat is eigenlijk de werking achter anti-ransomware tools? Creëert het awareness door de juiste waarschuwingen te geven op de juiste momenten of zorgt het ervoor dat het encrypten van informatie wordt gedwarsboomd?

Decrypten zal het iig niet kunnen.

EDIT: gevonden, bestaat uit meerdere mogelijke oplossingen: https://www.gratissoftwar...eld-gratis-download-tools

[Reactie gewijzigd door Neophyte808 op 29 maart 2017 10:39]

Wij werken ook met SRP voor het whitelisten van scripts, applicaties etc. die bij ons bekend zijn. Alles wat daar buiten valt wordt niet uitgevoerd. Krijg je de melding dat het uitvoeren van het bestand is geblokkeerd. Wij hebben er geen last meer van gehad maar ik zeg niet dat het ons niet meer kan gebeuren.

Wat ons wel opviel is dat de schijven die via DFS werden uitgerold niet waren aangetast. De ouderwetse drive mappings wel.

Wellicht dat er varianten zijn die hier inmiddels wel mee op kunnen gaan? En...wij hadden 'shadow copy' aanstaan op server niveau. Dus binnen 5 minuten hadden we alles weer terug. Was ik toch wel blij mee. :)
Shadow copy is voor veel traditionele virussen al een probleem, laat staan voor ransomware.
Zodra het virus in je shadow copy terecht komt, kan je anti-virus het nooit meer weg krijgen, want die kan niet in de shadow copy.
En als de a/v het virus verwijdert, zet de shadow copy het lachend direct weer terug..
Bedenk ook eens die virussen/ransomware die eerst een week, of een maand stil op je systeem staan, en pas na 30 dagen of zo actief worden. Als je daar tegenaan loopt dan is shadow copy en nachtmerrie.

En zelfs al heb je een goed backup beleid met offline storage, dan nog loop je met die krengen een risico..

Bij infecties dus vrijwel altijd shadow copy uit als de infectie hardnekkig blijkt.. En dan mag je hopen dat je een goede offline backup hebt liggen die niet besmet is.

[Reactie gewijzigd door Alfa1970 op 28 maart 2017 21:19]

De normale gebruiker heeft bij ons geen rechten om een shadow copy terug te zetten. Dat was denk ik de reden waarom de ransomware daar niet bij kon. Wij loggen in op de fileserver en vanaf daar zetten we een volgende versie terug. Neemt niet weg dat het vervelend blijft.
ga ik ook eens naar kijken. Dank!
Bedankt voor deze info.
Het stuk waar over gesproken wordt in de link kun je vinden je programma lijst onder "Windows Systeembeheer" en dan "lokaal beveiligingsbeleid"
En er zijn een heleboel \ niet in zijn tekst opgenomen dus let daar op en maak het gelijk aan zijn eind plaatje.
In McAfee (neem aan dat andere fabrikanten dit ook kunnen) kan je *.exe blokkeren in de AppData folder. Dat is wat ik heb gedaan. Nooit meer een uitbraak. Let wel, niks is waterdicht. Als je de temp folder lokatie wijzigd of de Outlook temp folder, dan ben je wel vatbaar.

Uiteraard wel diverse truken moeten toepassen om het goed werkend te krijgen. En het is zeker niet leuk als je regelmatig iets moet installeren, want dan moet de beheerder de policy weer even uitzetten.
Het probleem is dat blokkeren op basis van alleen extensies niet meer voldoet sinds Windows bestaat, dus ook deze GPO, net zoals de McAfee software leidt alleen maar tot schijnveiligheid.

In Windows kun je bestanden meerdere extensies geven.

Windows gebruikt de éérste extensie om te bepalen of het bestand een executable type is.

Windows gebruikt de laatste extensie om het icon op te halen waarmee het bestand visueel wordt weergegeven op de desktop.

een vergelijking op *.exe matched niet met een bestand genaamd virus.exe.pdf.

Windows voert het bestand uit als een executable.
Op je desktop lijkt het erop alsof dit een PDF document is.

Dit is een major design fout in windows waar we al meer dan 30 jaar mee zitten opgescheept.

De AppData folder truck, in welke hoedanigheid dan ook is gewoon niet afdoende.

En voor Outlook werkt het ook niet altijd want vaak als je een attachment dubbelklikt wordt dat direct vanuit het geheugen uitgevoerd zonder dat er iets naar disk wordt geschreven, daarom slaan 9 van de 10 a/v oplossingen daar niet op aan.
Ze moeten al een speciale kernel hook hebben die ook aanslaat op dat soort specifieke memory i/o.
Veel moderne a/v heeft dat niet of het staat by default uit omdat een dergelijke hook je systeem een héél stuk langzamer maakt..
Tja, het beste is whitelisting. Uiteraard. Maar goed, daar werd men niet blij van. Dan maar zo :)
Goeie nuance. Met de zero-day exploits en het feit dat gebruikers wel iets moeten kunnen, is volledig voorkomen van dit soort malware niet te voorkomen.

Maar wel goed te bestrijden: anti-malware, backups, goeie rechtenstructuur, kunnen allemaal helpen om de schade te beperken.

Het vervelende is dat iedere werknemer een Single-point-of-failure is. Je informatieveiligheidsbeleid kan dan nog zo goed zijn, het is net als met andere cyberbeveiliging: Jij bent pas succesvol als je alle aanvallen afslaat, de 'bad guys' zijn al succesvol als er maar 1tje slaagt.

Als ik naar dit incident kijk, lijkt op basis van de bekende feiten dat er redelijk adequaat is gereageerd door de IT-afdeling.

[Reactie gewijzigd door Keypunchie op 28 maart 2017 13:26]

Punt is vaak ook dat je als IT beheerder weet dat je in een wat fage mail eerst de url moet checken waar die naar toe lijd. Aan de reguliere gebruiker is dat toch lastig uit te leggen. Maar ik blijf er bij dat als je als organisatie de zooi op orde hebt je heel veel tijds en gegevensverlies kunt voorkomen.
Echter blijft het lastig. Gebruikers moeten gewoon kunnen blijven werken zonder teveel hinder te moeten ondervinden en tegelijkertijd moet de beveiliging op orde zijn.
Proofpoint mail filter met als extra optie SPF records check.
Alles wat niet conform is aan SPF records die als normaal zijn, worden niet afgeleverd in de mailbox van de eind gebruiker, maar in een speciale mailbox.

De verzender krijgt een melding dat zijn/haar SPF records niet in orde zijn en dat deze aangepast moeten worden voor dat de volgende mails weer binnen komen (soft block en geen hard block).

Proofpoint URL filter en checkt alle links die attached zijn in de mail.

Daarna PaloAlto firewall voor het checken van de verbinding en website op applicatie en virussen.

Een andere oplossing als extra wat men kan overwegen: Bromium vSentry.
Op zijn minst alle bijlagen waarbij het mogelijk is uitvoerbare code te integreren in quarantaine plaatsen. Alleen op expliciet verzoek kan een gebruiker de bijlage krijgen. Hierbij mag de gebruiker aangeven waar het bericht vandaan komt en wat voor soort bijlage het zou moeten zijn. En verder elke deeplink in het bericht verwijderen. Vervelend want dan raken veel plaatjes in onderschriften kwijt. Jammer, so be it. Had de verzendende organisatie maar niet zo lui moeten zijn om zich er makkelijk vanaf te brengen (meer storage nodig op de mailserver etc,). Maar het voorkomt tracking en de mogelijkheid om op dubieuze links te klikken.

Helaas is 90% van de problemen te ondervangen door gebruikers zich bewust te maken van de risico's die het internet en email met zich meebrengt. Een bewustwordingscampagne op basis van een phising mail door het bedrijf zelf opgezet leert dat al snel 50 tot 70 procent van de gebruikers blind klikt en invult als het er echt uit lijkt te zien. Maar nog schrikbarender is het dat ook ruim 30 procent van de ICT-afdeling hierin tuint.
De mirakeloplossing is een doorbraak van je beveiliging te voorkomen door veilige software gebruiken. Ik weet niet of de factuur000000.doc een echt Word-bestand was of een als Word-bestand vermomd exe-bestand, maar in het eerste geval bespaart LibreOffice een hoop ellende, in het tweede geval een e-mailprogramma dat bij dubbelklik geen uitvoerbare bestanden start.

Wat jij beschrijft zijn maatregelen die de schade beperken in geval de beveiligingsmuur doorbroken is. In een goede beveiligde situatie kan inderdaad niet iedereen overal bij, maar dat soort maatregelen veroorzaken net zo makkelijk voor ongemak onder gebruikers als dat ze veiligheid bieden. De focus dient te liggen op het voorkomen dat de indringer binnenkomt, want hoe weinig bestanden een indringer ook kan raadplegen, het is altijd meer dan je lief is.
Ik heb twee bijlage varianten gezien.

1) factuur.pdf.exe (oid)
2) .xlsm (of xlsxm weet niet helemaal meer, iig excel met macro's)

De eerst komt de mailserver niet binnen. Klaar.

De tweede is een beheerder/gebruiker issue. Je hoeft macro's niet toe te staan. Dit zou gewoon uit moeten staan. En als het op 'vraag de gebruiker' staat, dan moet de gebruiker een opleiding krijgen dat je geen onbekende macro's moet toestaan.

Je kan blij zijn met LibreOffice, naar MS Office is standaard net zo veilig, mits anders ingesteld. En ja, daar moet je dus actief iets in wijzigen.
Kern van de reden waarom MS Office zo macrovirusgevoelig is, is dat je de hele Visual Basic-interpreter tot je beschikking hebt. In Visual Basic als algemene programmeertaal is veel functionaliteit beschikbaar en terecht, alleen is die niet zonder meer logisch om te gebruiken in macro's.

De VBA-implementatie in LibreOffice is specifiek ontworpen voor LibreOffice. Daardoor is het makkelijker om functionaliteit, die onzinnig is voor een legitiem macro, maar noodzakelijk voor een virus, niet te implementeren, met beperkte incompatibiliteit tot gevolg, maar betere veiligheid.
Een gemapte drive hoeft niet gelijk prijs op grote schaal te betekenen.
Je moet de security veel verder doortrekken. De ransomware kan niet bij bestanden waar jij als gebruiken niet bij kan. Waarom moet die gebruiker bij alle bestanden kunnen? Misschien hoeft hij de helft ervan maar in te zien.

Zorg dat je alle basics goed hebt. Alleen de rechten die nodig zijn. Gaat hij uit dienst/veranderd zijn functie, trek dan de rechten in die hij niet meer nodig heeft. Maak bij indienst geen copy van een bestaand persoon maar ga na wat degene die in dienst komt daadwerkelijk nodig heeft. En automatiseer die hele handel. Want als je het met de hand doet blijven rechten fouten ontstaan. Zorg ervoor dat ambtenaren alleen applicaties kunnen starten die nodig zijn voor hun werk en al het onbekende spul wordt geblokkeerd. Blokkeer usb sticks behalve degene die je zelf uit deelt met encryptie... en zo kan ik nog even doorgaan. Geen rocket science, gewoon de basics.
Hoe hanteer je deze basics in een "open tenzij" beleid? (Iets wat momenteel erg in zwang is binnen de overheid.)
En met name in de Tweede Kamer, die in het bijzonder bij veel data moeten kunnen om hun functie uit te voeren.
Draagvlak creëren en duidelijk maken wat het eigenlijk kost voor een "bedrijf" om de ransomware op te ruimen. Veel mensen zijn zich hiervan niet bewust en gaan daarna beter nadenken.

Directieleden die a-technisch zijn kun je ook het beste overtuigen met gegevens zoals wat het uiteindelijk gekost heeft. Goed uitgewerkt luisteren ze echt wel naar je als beheerder en naar mate de tijd vordert gaan ze steeds beter luisteren en ook investeren. Daarnaast blijft het een risico analyse.
Een kamerlid moet veel documenten kunnen lezen. Wijzigen is een geheel andere kwestie: Er is geen enkele reden waarom een kamerlid een brief die van een minister af komt bijvoorbeeld moet kunnen aanpassen.
en dan is er nog steeds software die administrator rechten nodig heeft 8)7
Zet file-screens op je fileserver, krijg je vanzelf een waarschuwing bij vreemde extensies op je netwerk. Direct machine verbreken van het netwerk en de schade is meestal nog beperkt.
Jij moet eens de IT gaan bekijken in een (kleine) technische universiteit.
Het gaat hier om de overheid, niet om een uni. De overheid hoeft geen open structuur, de uni juist wel.

Waarom zouden 2de kamerleden zelf software moeten installeren? Juist in zon omgeving met veel staatsgeheimen wil je zo'n open structuur helemaal niet hebben. Voor je het weet ligt de boel op straat
Zal ik ook maar HTML e-mails verbieden?
Lijkt me een uitstekend plan. HTML is geen opmaaktaal, maar een navigatietaal. E-mail was ooit bedoeld voor plain text communicatie en daar werkt het nog steeds het beste voor. Als je meer wilt, zoals bestanden delen of plaatjes laten zien, dan zijn er zat betere alternatieven.
Haha wat een Tweakers reactie. Verbiedt anders ook Excel want dat is een spreadsheet en geen database. Moet je kijken hoeveel mensen met een rood hoofd aan je bureau staan.

Werkelijk tegenover theorie...
Het opvoeden van je klanten is ook belangrijk en zal gedaan moeten worden. Als je dat niet doet willen je klanten ook nooit vooruit. Als je die incentive niet aanbiedt blijven jouw klanten gewoon een stelletje luilakken die géén verandering in wat dan ook willen zien: Ze zouden het liefst nog met papier willen werken 'omdat dat gewoon handiger is', of 'ze zijn gewend aan windows 95 en outlook 97 dus ik geef ze niets nieuwers'.

Excel gebruiken als 'database' is ook al een slecht idee. Zoveel bedrijven of takken van de overheid welke een enkel excel bestandje gebruiken als basis voor de hele bedrijfsvoering bijvoorbeeld. En vooral geen verandering voorstellen want 'het is te moeilijk' en 'het is te duur'. Wanneer ze dan zelf het bestand op de één of andere manier kwijtraken of er iets anders gaars mee doen is het wel weer jouw schuld als beheerder.

ICT beheerders die écht wel beter weten maar gewoon ja blijven knikken op alles wat hun klant of werkgever zegt, zelfs al hebben ze geen flauw benul of kennis van zaken, moeten toch wel eens een erover denken om een stapje vooruit te zetten...

Uit ervaring weet ik ook dat de overheid in veel gevallen nog steeds te koppig is en nog met win xp (zónder servicepacks) werkt op veel plekken, iig op gemeente niveau. Dat is weer de andere extreme kant die je opgaat om maar vooral jouw klant het niet 'te moeilijk' te maken. Dat is dan puur kortzichtig budget gedoe, en niemand heeft zin om even een middagje eruit te nemen om een nieuw systeem te leren gebruiken.

[Reactie gewijzigd door ChromeBallz op 28 maart 2017 14:00]

Het opvoeden van je klanten is ook belangrijk en zal gedaan moeten worden. Als je dat niet doet willen je klanten ook nooit vooruit. Als je die incentive niet aanbiedt blijven jouw klanten gewoon een stelletje luilakken die géén verandering in wat dan ook willen zien: Ze zouden het liefst nog met papier willen werken 'omdat dat gewoon handiger is', of 'ze zijn gewend aan windows 95 en outlook 97 dus ik geef ze niets nieuwers'.
Nee, ze willen niet terug naar pen en papier. Ze willen een moderne PC met hetzelfde gemak kunnen gebruiken als pen en papier.
Zolang ICT-ers vinden dat beveiliging een kwestie is van opvoeden en niet van een technische oplossing in het gebruikte gereedschap, zullen beveiligingsproblemen blijven bestaan. Je kunt het gebruik van computers niet beperken tot ICT-ers en bovenmatig in ICT-zaken geïnteresseerden.
Zolang je een PC niet zonder probleem aan de eerste de beste debiel over kunt laten die elke mogelijke website bezoekt en overal op klikt is dat een dikke faal van de ICT-ers.
Een pc is nu eenmaal niet pen en papier en heeft wel wat opleiding nodig (zonder IT expert te worden) om het goed te gebruiken. Als je de verkeersregels niet kent mag je ook niet auto rijden... En niet iedereen die auto rijdt is niet persé auto technieker...
Jouw auto-analogie vind ik een hele goeie.
Er zijn wel wat regels waar je je aan moet houden tijdens het autorijden, maar je hoeft niet elk verkeersbord dat je tegenkomt in twijfel te trekken. En bij de pomp kun je ook gewoon vertrouwen op het bordje Euro95, zonder bang te hoeven zijn dat je motor opgeblazen wordt. Datzelfde gebruiksgemak wordt door gebruikers ook van computers verwacht.
Dat is omdat jij de analogie pen en papier gebruikte, dit klopt ook niet, met pen en papier stuur je geen satellieten aan... De kennis die je zelf hebt, maakt je alleen maar sterker. Kan je niet werken met excel maar zit je de hele dag in spreadsheets bezig... wel vroeg of laat ga je je moeten bijscholen, deze kennis komt echt niet uit de lucht gevallen... Als ICT'er genoeg mensen rond mij met pc problemen (vooral particulier, want bedrijfspc's zijn normaal gezien veiliger)... Maar als je ze doorstuurt naar een ICT bedrijfje dat 35 euro/u vraagt... owééé, die Chinezen (hardware) zijn toch ook spotgoedkoop. (euh wil jij in zo'n werkomstandigheden je loon verdienen?) En de vergelijking pc-auto klopt idd niet, de besturing van een pc veranderd vaker dan die van een auto - nog altijd een stuur in België sinds 1885
Zolang ICT-ers vinden dat beveiliging een kwestie is van opvoeden en niet van een technische oplossing in het gebruikte gereedschap, zullen beveiligingsproblemen blijven bestaan.
Ik denk dat jullie beiden een punt hebben; beveiliging is zowel een opvoedkundig probleem als één in gebruiksgemak.

Het laten gebruiken van beveiligingsmaatregelen is een kwestie van opvoeden, net als het gebruik van een slot op je deur als je van huis gaat.
Maar om te zorgen dat gebruikers het slot ook echt gaan (en blijven) gebruiken, moet het niet té veel extra werk zijn (dus gebruiksvriendelijk blijven), en het moet duidelijk zijn wat de winst is.
De extra handelingen moeten 'redelijk' zijn ten opzichte van de extra 'veiligheid'.
Zolang je een PC niet zonder probleem aan de eerste de beste debiel over kunt laten die elke mogelijke website bezoekt en overal op klikt is dat een dikke faal van de ICT-ers.
Ja en nee.
Net als dat je niet zomaar gaat grabbelen in een ton met gebruikte naalden en maar hopen dat je geen enge ziektes oploopt, moet je ook op het Internet je gezonde verstand gebruiken en niet overal zomaar op klikken.
Net als dat ons immuunsysteem niet alle ziekmakers kan weren, kunnen anti-virus pakketten dat ook niet op de digitale snelweg.
Net als dat je niet zomaar gaat grabbelen in een ton met gebruikte naalden en maar hopen dat je geen enge ziektes oploopt, moet je ook op het Internet je gezonde verstand gebruiken en niet overal zomaar op klikken.
Net als dat ons immuunsysteem niet alle ziekmakers kan weren, kunnen anti-virus pakketten dat ook niet op de digitale snelweg.
Je hebt wel een punt, maar mensen die met mogelijk besmette naalden in contact kunnen komen zijn een kleine groep goed opgeleide mensen. De rest die in de buurt komt weet dat ze met een grote boog om die ton heen moeten lopen (ze worden ook voor mogelijke gevaren gewaarschuwd door gevaarsymbolen).

Computers moeten door een veel grotere groep mensen gebruikt worden. Je kunt ook geen gevarenzones aanwijzen waar ze sowieso niets te zoeken hebben. De ene ge-emailde factuur is van een leverancier die goederen of diensten geleverd heeft, de andere factuur is een virus. Dan kun je wel allerlei kenmerken aan gaan leren waaraan je een valse email kunt herkennen, maar die kenmerken veranderen steeds en die Poolse glazenwasser die elke maand langs komt die maakt wel eens een spelfoutje in zijn emails.
De enige manier blijft toch om een computer bestand te maken tegen elke klik en elke bijlage. Dat is erg moeilijk, dat beseft ik heel goed. Maar de verantwoordelijkheid afschuiven op de administratief medewerker die in de veronderstelling is een factuur te openen die betaald moet worden is niet de oplossing.
Het is niet het één of het ander, dit bedoelde ik niet. Het is een combinatie van beide factoren die het risico zo veel mogelijk verlaagt.

Als je de beveiliging vanuit beide kanten op orde hebt kan er weinig meer misgaan, en zelfs als het misgaat zou je op deze manier ook niet al te veel moeten hoeven verliezen.
Je kan een kind met gedragstoornis proberen, aldanniet onder dwang, te corrigeren: maar als de foute mentaliteit dusdanig zit ingebakken dat 't geen nut heeft kom je geen stap verder.

Bij klanten idem dito... Als ze niet zelf wat moeite willen doen en van jou verwachten dat je op magische wijze alle problemen oplost terwijl zij kunnen doorgaan met doen en laten wat ze willen op de computers, ongeacht je zeer goede uitleg (zowel simpel als uitvoerig onderbouwd), dan zijn de problemen vaak niet tot moeilijk op te lossen.

Sommige klanten kan je niet opvoeden. Niet in de laatste plek omdat ze gewoon de implicaties en ernst van de situatie gewoon niet kunnen of, en dat is vaker het probleem, willen begrijpen. Aanpassen is moeilijk, zelf wat moeite doen is teveel gevraagd.

Meeste klanten werken prima mee hoor, maar er zitten er tussen... Damn.
Hypertext Markup Language geen opmaaktaal? 8)7
Tegenwoordig zijn alle markup functies eigenlijk overgedragen aan css.

Niet dat, dat veel uitmaakt voor mail html wat nog veel stenen tijdperk is.
Dat doet niks af aan het feit dat HTML geen opmaaktaal zou zijn...
Er is een verschil tussen indelen en opmaken. Met HTML deel je in met kopteksten, divs, lijsten enz. Met css maak je op, geef je kleurtjes en dat soort dingen. "Mark" is "markeren", oftewel onderdelen aanstippen. Opmaken is toch echt iets anders. Dus, nee, HTML is géén opmaaktaal.

Vergeet niet dat HTML de naam kreeg toen je nog helemaal geen kleurtjes kon geven in HTML. Het ging juist om de indeling.

[Reactie gewijzigd door Wodanford op 28 maart 2017 14:05]

Er staat dan ook geen Mark maar Markup in HTML. De toevoeging op is essentieel, net als het verschil tussen eten en opeten in het Nederlands.
Het is dus een opmaaktaal voor hypertekst.
Hypertekst is tekst met links.
Je maakt dus teksten op waarmee je doormiddel van links kunt navigeren.

De structuur van de webpagina maak je nog steeds met HTML op. De Layout met CSS.
Ja alleen kan je die CSS alleen aanspreken vanuit HTML.
Doe es. En dan ga je dat zo ook aan je manager uitleggen: "Jamaar HTML is geen opmaaktaal maar een navigatietaal.".

:D.
[mening]
Die manager heeft te accepteren wat er wordt opgeleverd. Het alternatief is dat hij een laptop buiten het netwerk krijgt of dat hij geen toegang krijgt tot zijn data.

Als hij de security afweging niet kan maken is hij het manager zijn niet waardig en dient hij vervangen te worden. Als het dan zo is dat hij beslits dat te gebruiken, en er vind een hack/malware besmetting plaats is dat reden voor vervanging.
[/mening]
Die manager heeft te accepteren wat er wordt opgeleverd.
Daar ga je al de fout in. De business is opdrachtgever, IT is leverancier.
Binnen een bedrijf ben ik het daar volstrekt niet mee eens: 'IT' is geen leverancier binnen een bedrijf maar een onderdeel er van, je kan niet zonder en ze hebben (als het goed is) inbreng in wat er geleverd/gemaakt kan worden. De opdrachtgever/leverancier denken is de klassieke Nederlandse management/consultancy structuur die niet let op de werkelijke samenwerking die noodzakelijk is voor een gedegen bedrijf.
Als er dan onmogelijke eisen gesteld worden zoals de combinatie 'alles volledig open' en 'veilig' dan zou 'IT' nee moeten zeggen en een alternatief moeten bieden dat dan geaccepteerd kan worden, of ten minste onderhandeld. Zal nooit gebeuren want business heeft besloten...

Wat jij beschrijft is het standaard denken van ICT als probleem en los staand iets, wat het al lang niet meer is binnen het meerendeel van de bedrijven, ook al lijkt dat er nog wel op.

Als je het extern inhuurt is het een ander verhaal, want 'ik betaal dus lever maar' (ook al is dat onmogelijk/ondoenelijk maar ze durven toch geen nee te zeggen). Maar meestal is de ICT dan zodanig simpel dat het geen zoden aan de dijk zet om het zelf te doen, of er zijn geen bedrijfsgeheimen/producten binnen het ICT domein te vinden.
De meeste bedrijven stappen juist over op externe ICT leveranciers omdat het te duur/complex/specialistisch is geworden om intern te blijven doen. Je neemt standaard pakketten danwel maatwerk af, zelf ontwikkelen is alleen nog maar voor grote organisaties weggelegd. Ja, er zit soms nog wel een klein IT clubje intern, maar dat is meer voor adviseren bij het technisch ontwerp en testen van het opgeleverde.

Ik zie ICT zeker niet als een probleem, wel als facilitator en niet als sturende factor bij bedrijfsvoering.
Gewoon de internet kabel eruit trekken, En usb poorten dicht zetten veiliger dan dat kan gwn niet :+
De afkorting is ook Hyper Text MARKUP language .... dus het is echt geen opmaaktaal 8)7 8)7
En je hebt de wereldvreemdheid van de meeste Tweakers helaas weer bevestigd. Met HTML-email uit kun je amper mails ontvangen die anno 2017 iets meer layout bevatten dan tekst.
Je kunt best mails ontvangen met fatsoenlijke hedendaagse HTML en CSS. Het probleem is dat outlook die niet snapt omdat Microsoft blijft vasthouden aan de HTML/CSS engine die al eeuwen in Word zit, in plaats van die van IE/Edge te gebruiken.

EDIT: Overigens moet sowieso niet alles worden toegestaan. Geen scripting e.d. maar HTML+CSS voor de opmaak moet wel kunnen lijkt mij.

[Reactie gewijzigd door Xerion404 op 29 maart 2017 13:05]

Ik zeg toch ook met "HTML-email uit". Dan is HTML en CSS niet mogelijk.
Je kan je fileserver instellen dat zodra er Cryptolocker extensies gedetecteerd worden (of extensies die niet in je bekende extensie lijstje voorkomen) dat dan de gebruiker vergrendeld wordt.
waarom zou je eigenlijk toelaten dat extenties gewijzigd worden op je netwerk-schijf?
Palo Alto Traps of Cylanceprotect kunnen dit voorkomen. De traditionele AV benadering is al tijden achterhaald en niet meer afdoende. Voorkomen ipv genezen dus.
Inderdaad sinds wij Traps gebruiken geen last meer gehad.

https://www.paloaltonetwo...secure-the-endpoint/traps
ik zie HTML e-mails met zwaar obfuscated code tussen de lijntjes die de malware download. Zal ik ook maar HTML e-mails verbieden?
Ik ben heel benieuwd wat je hiermee precies bedoelt. Ik ken namelijk geen enkele (enterprise) e-mail client die enige vorm van scripting (bijv. javascript) accepteert in de body van de e-mail.

Wat weleens voorkomt is een html-bestand als bijlage, die dan aangeklikt zou moeten worden. Dit lijkt me (zeer) eenvoudig te voorkomen.

Kortom, kan je eens een voorbeeld geven van "zwaar obfuscated code tussen de lijntjes die de malware download" vanuit de body van een e-mail?
Dat is inderdaad slecht verwoord: door de obfuscation ontstaat een link die geen AV detecteren kan (omdat die er uit filteren eenvoudigweg te resource-intensief zou zijn in real-time). Die link moet natuurlijk wel nog aangeklikt worden door de gebruiker.
Zal ik ook maar HTML e-mails verbieden
Lijkt mij een heel goed plan aangezien dit een joekel van een beveiligingsderp is. Email is hier eigenlijk niet voor bedacht en het html gedeelte is er gewoon tegenaangeplakt. Is ook het eerste dat ik op mn mailclient uitzet.

De vraag is alleen of die bedrijven het hiermee eens zijn, want oh oh oh wat zijn die html mails mooi...
Het is fout gegaan toen pure data en uitvoerbare code werden vermengd. Gevoelsmatig was dat rond 1994 ofzo.

Zo sneu, want inmiddels kan zo'n beetje ieder bestandsformaat code 'draaien' op je client. En daar gaat het dus mis.

Maar ja, als je dat wegneemt, dan blijft er slechts een magere 'gebruikerservaring' over.

De prijs die we nu betalen voor onbeperkt gemak.
Het is fout gegaan toen pure data en uitvoerbare code werden vermengd.
Ik zie wat dat betreft meer een probleem in hoe dit gedaan is.
Waarom zou een document-automatiseertaal schrijfrechten moeten hebben op mn HD?
En waarom een browser? Email client?

Ik weet nog dat microsoft ze op een gegeven moment erg bruin bakte. Outlook verwerkte VBA scripts uit emails nog voordat de email goed en wel was binnengekomen en opgeslagen. En dus met volledige systeemrechten. Een virus kon zn eigen injectiemethode na binnenkomst verwijderen nog voordat de user zag dat er een mail was binnengekomen. Een grotere faal kan ik me bijna niet voorstellen. Dit soort features horen niet de default te zijn, maar helaas komen ze maar al te vaak voor in softwareland.

Het gaat volgens mij dan ook niet om gemak maar om slecht ontworpen systemen die in de praktijk anders worden gebruikt dan oorspronkelijk bedacht door de bedenkers.
Eigenlijk vind ik het hele javascript verhaal (en een grote sloot andere web- en netwerktechnologieen) ook een ontzettende fail. Ja , het lost een hoop problemen op, maar veroorzaakt door zn kromheid ook een hele hoop nieuwe, soms moeilijk te beheersen problemen.
Het is toch tenenkrommend hoe bijvoorbeeld zoiets als IOT wortdt gebracht? :)

Wat dat betreft ben ik bang dat we als maatschapij gaan vastlopen op dit pad. Software die supervaak wordt gebruikt rammelt aan alle kanten en je bent als bedrijf veel geld kwijt om de gevolgen onder controle te houden. Als particulier ben je helemaal het haasje omdat een gemiddeld mens niet genoeg van computers weet om zich tegen die wereld te wapenen. Tante Truus gaar heus wel een keer op een verkeerde link klikken, met alle gevolgen van dien.
Maar goed, de markt heeft eigenlijk helemaal geen behoefte aan goed werkende software. Liever 10x iets braks verkopen dan 1x iets goeds, want $$$.
Ik vind het maar raar.
En ik ben bijna zeker dat er ook slow cryptolockers bestaan die langzaamaan je systeem dichttimmert. Bijvoorbeeld na een save in Word naar een networkshare oid, zodat het niet opvalt en het nóg effectiever is.
Zal ik ook maar HTML e-mails verbieden?
Ik zou altijd voor een webmail-only oplossing gaan. Het hele concept van e-mail clients vind ik een beetje 1990. Browsers zijn goed afgeschermde omgevingen mits je controle houdt over welke browser mensen gebruiken.

[Reactie gewijzigd door Makkelijk op 28 maart 2017 12:53]

Zal ik ook maar HTML e-mails verbieden?
Je kan ook instellen/eisen dat alle email allen in text wordt weer gegeven toch?
Ik filter enorm veel van dit soort rotzooi al met mn UTM weg zodra het ons netwerk binnen komt ( in geval van smtp/http ). Zelfs de externe spamfilters ( in mijn geval SpamExperts ) scheelt ook al best wat kopzorgen.

Daarnaast heb je nog het USB stick verhaal. Wij gebruiken voor het gros thinclients en staat usb redirection uit, en usb mass storage uit in de bios.

Daarnaast is het met dit soort dingen toch veelal actie reactie. Maar dit houd het als sysadmin altijd wel een beetje spannend :)
Zal ik ook maar HTML e-mails verbieden?
Ook de HTML file download dan gewoon een ,js of wat voor ander bestand dan ook. Block die extensies gewoon en klaar.
Het enigste wat je als IT beheerder kunt doen om de schade zoveel mogelijk te beperken zijn op dit moment goede backups maken.
Sowieso met VDI's werken los van het internet!
Eens. Aanpak en maatregelen moeten mijns inziens altijd gebaseerd zijn op: 'Assume Breach'. Dus zorg voor goede backup en restore procedures naast alle andere maatregelen die je kunt nemen. En test deze ook regelmatig. Ik moet het 1e bedrijf nog tegenkomen dat zich waterdicht beschermd heeft tegen mal-/ransom-/cryptoware.
"De AV-fabrikanten lopen altijd enkele stappen achter", bedoel je... Voor $20 (als je het zelf niet kunt) is je zelf gekopieerde cryptolocker virus gecrypt waardoor geen enkele AV scanner hem meer kan identificeren voordat het kwaad geschied is.
Dit dus, eerst was een word file met een macro. We doen voortaan elke bijlage disarmen. Dan wordt er gebruik gemaakt van een link in een mail welke op de achtergrond een ander adres heeft, dat filteren we eruit. Vervolgens is het een html pagina als bijlage met een download erin waarvan de code verborgen is. En zo gaat het maar door. Backup Backup Backup.
Wat te denken van een certificaat die uitgegeven gaat worden door een derde partij. Grotere bedrijven kunnen zich dit makkelijk veroorloven en mogelijk zijn er lichtere versies voor het mkb. Zo komt er controle op vertrouwde email.

Het blijft kat en muis dat zie je nu ook als goed voorbeeld met gratis letsencrypt.

Gebruik vooral het gezonde verstand met hyperlinks.

[Reactie gewijzigd door DefaultError op 28 maart 2017 22:57]

Zolang jij de enige gebruiker bent zul je ook wel verlost blijven van ransomware. Je moet het alleen voor lief nemen dat je niet met anderen buiten je bedrijf aan documenten kunt samenwerken (al is het maar dat één partij een document maakt dat door twee partijen van opmerkingen wordt voorzien en teruggestuurd wordt).
Zodra meer mensen/ bedrijven overgaan op Linux/ LO wordt dat juist een zeer aantrekkelijke prooi, omdat de meeste Linux gebruikers vertrouwen op de standaard 'veiligheid' van Linux en geen (of beperkte) extra maatregelen nemen.
Zolang jij de enige gebruiker bent
Met die houding blijf je dus gegijzeld door de dure en gevaarlijke MS Office. Juist een overheid is er om het goede voorbeeld te geven en de eerste stap te zetten. Dat doet zij ook met andere zaken zoals milieu, handel enz. waarbij dit in beginsel extra geld kan kosten of andere belemmeringen kan tegenkomen. Vergeet niet dat het belastinggeld is dat wordt besteed aan nu dus onveilige software van een bedrijf met een aantoonbaar bedenkelijke geschiedenis. Vergeet ook niet dat er eigenlijk geen belemmering voor derde partijen is omdat die gratis LO kunnen installeren om met jou te communiceren. Omgekeerd is dat dus niet het geval dus is dat duidelijk ongewenst en niet heel sociaal om met dat documentformaat heen en weer te schuiven.
Die belemmering is er dus wel.
Er zijn maar weinig bedrijven waar iedereen zomaar allerlei softwarepakketten kan installeren. Om LO te installeren moet er dus een uitzondering gemaakt moeten worden. Zal die uitzondering gemaakt worden om één persoon op een afdeling samen te laten werken met een extern bedrijfje dat MS producten boycot? Ik dacht het niet, voor jou tien anderen.
Ik ben het met je eens, maar in hoeverre het in de praktijk echt een probleem is?
  • Je kunt als LibreOffice gebruiker in MSOffice-formaten opslaan als je weet dat je communciatiepartner problemen heeft met OpenDocument
  • Stuur je toch een OpenDocument-formaat (het is tenslotte een ISO-standaard), dan zal in de meeste gevallen MS Office het formaat voldoende implementeren dat het niet nodig is LibreOffice te installeren.
  • In veel omgevingen kan LibreOffice gewoon met een paar muisklikken geïnstalleerd worden.
  • Zit je toch in een gesloten omgeving dan kun je nog terugvallen op andere implementaties van de OpenDocument-standaard, zoals Google Docs.
  • Of er is vaak nog wel een telefoon met Android beschikbaar waarop LibreOffice gezet kan worden.
Gebrek aan ideeën is wellicht eerder een factor dan dat het werkelijk voor iemand onmogelijk is.
Dat zijn allemaal werkbare oplossingen, zolang de ontvanger het document alleen maar hoeft te lezen.
Wanneer het om een rapport gaat, met de nodige opmaak, dat door de ontvanger nagekeken, gecorrigeerd en aangevuld en doorgestuurd/ teruggestuurd moet worden heb je meestal een probleem. In de meeste gevallen gaat het fout in de opmaak, wanneer je van LO naar MSO en weer terug gaat, of andersom.
GoogleDocs is bedrijfsmatig geen optie tenzij je een betaald bedrijfsaccount hebt, aangezien je Google een vrijwel onbeperkt gebruiksrecht geeft van alles wat je naar GoogleDrive uploadt (inclusief de documenten die je met GoogleDocs bewerkt en je mail die je via Gmail ontvangt en verstuurd).

Het installeren van LO lijkt me toch een grote horde, zelf als het mogelijk is, helemaal wanneer dat alleen maar nodig is om samen te kunnen werken met een kleine opdrachtnemer.
Stel je hebt een trainingsbureau dat een training heeft gegeven aan een afdeling van een groot bedrijf als Shell. Na afloop moet je een rapport maken over wat de training in hield en hoe de training is verlopen, samen met iemand van HR van Shell. Jij stuurt je concept door, met de mededeling dat de HR medewerker eerst LO moet (laten) installeren om te zorgen dat de opmaak goed bewaard blijft (of de redigeerfuncties goed werken, ik weet niet hoe dat wordt overgenomen tussen verschillende pakketten). Of het document (met misschien vertrouwelijke gegevens) via een privé-account bij Google met GoogleDocs moet bewerken. Hoe zal daar vanuit Shell op gereageerd worden denk je? En wat zullen je kansen op een vervolgopdracht zijn?
Nou, de meeste desktops bij ons op de zaak draaien Linux met natuurlijk LibroOffice en de klanten lopen daar echt niet voor weg hoor...

GoogleDocs is geen goede optie voor documenten met zware opmaak erin. De beste optie is documenten in zo'n geval op een goede manier op te maken: Nadenken of je een plaatje verankert aan pagina, alinea of als teken bijvoorbeeld en geen tabellen met enters op de volgende pagina zetten, maar instellen dat de tabel niet onderbroken mag worden. Als je het op die manier doet kun je heel redelijk flink opgemaakte documenten afwisselend met Word en Writer bewerken.
90% van de businesssoftware is alleen voor windows. Veel succes om dit er door te krijgen.
Ik zie geen reden waarom parlementsleden een nota bene behoorlijk duur MS Office moeten hebben. Het wordt tijd dat de overheid naast de Balkenende-norm ook een Software-norm (of beter: FOSS norm) krijgt :)
Als elke EU overheid ipv licentiegelden aan MS betalen zouden investeren in FOSS dan zouden we binnen no-time goedkope, open en veilige software hebben. Ook wat veiliger tov NSA grappen en grollen.
Dan nog het principe van ransomware is prima op Linux ook uit te voeren. Je lost het niet alleen op met techniek.
Dat is precies het punt waar het onderscheid ligt. Het is inderdaad technisch prima mogelijk om ransomware op Linux te hebben. Het is alleen nog nooit iemand gelukt om malware te maken die zich met succes in het wild kan verspreiden.

Probeer het maar eens en kijk welke hordes je moet nemen. Er is geen e-mailprogramma onder Linux dat vrijwillig het execute-bit van een attachment gaat activeren. Je bent daarom overgeleverd aan veiligheidsfoutjes als bufferoverflows in software om je malware uitgevoerd te krijgen. Niet alleen worden die razendsnel gedicht, door maatregelen als adresss space randomization, zijn ze ook bijzonder lastig uit te voeren. En zo loop je als auteur van malware tegen hordes problemen op om met succes Linux-malware te kunnen verspreiden.

Overigens zou een veilig e-mailprogramma en LibreOffice hier al een hoop geholpen hebben.
Ik denk dat het inderdaad komt doordat de gebruikers van het netwerk niet altijd weten wat ze binnen halen. Als er eentje op de verkeerde link klikt van een of andere louche website zitten ze in de complete kamer met de gebakken peren
Dit is een toch wat ouderwetse stellingname dat je alleen maar ransomware krijgt door op louche websites te komen. Alsof je bestraft zou worden voor wangedrag.

Nee het is inmiddels wel bekend dat het merendeel van rde virussen/ransomwar binnenkomt via lekken in browsers of door lekken al dan niet zero day in servers of iot apparaten. Het word bijvoorbeeld ook vaak via advertentienettwerken binnengebracht om relatie eenvoudig een groot bereik te hebben . De grote bekende sites zijn hier ook niet voor gevrijwaard vanwege de hoge mate van automatisering van de advertentie systemen.

Criminelen worden steeds gerafineerder wat dat betreft, de tijden zijn wel veranderd dan in het begin van internet waar een virus iets grappigs deed of waarbij het vooral een soort bewijs was van een programeur van kijk eens wat ik kan.

Internetcriminaliteit en zeker ransomware loont voor criminelen en heeft een zeer laag risico voor ze.
de Ransomware en veruit de meeste virussen die ik bij onze klanten gezien heb, zijn 9/10 via personen die op een of andere manier in de verkoop zitten.
Voor hun is het heel lastig om niet op de ingesloten facturen te klikken.

Zelden komt er in het bedrijfsleven een "virus/malware/..." binnen via louche websites.
Een beetje bedrijf heeft die nl al geblokkeerd.
Alleen verbinden met internet indien strikt noodzakelijk.
Dat de TK mails moet kunnen versturen en ontvangen lijkt me een duidelijk 'ja'.

Maar als ik het woord 'iot' zie dan begint er bij mij al een kokhalsreflex. Dat is zowat het grootste veiligheidsrisico ooit. Maar ook interne netwerken van vertrouwelijke / kwetsbare omgevingen liever niet met internet verbinden behalve email en dan nog alleen vanaf bepaalde email adressen en alleen bepaalde externe URLs en alleen poort 443 open.
Precies! Je ziet al meteen wat er kan gebeuren met IOT; gehackte apparaten die als bots worden ingezet. Je 'slimme' koelkast die duistere zaken uitvoert, je TV die je (digitaal) bespioneert. Allemaal zonder dat je het doorhebt.
Maar dit is toch door SRP op te vangen?
Ja, want bij bedrijven gebeurt zoiets nooit? :/
Ja, want bij bedrijven gebeurt zoiets nooit? :/
Vast wel, maar dan zijn de consequenties en kosten ook voor hen zelf. Zulks is hier niet het geavl, dit betalen wij ;(
Want bij bedrijven komt het geld voor het oplossen van een ransomware-besmetting uit de lucht vallen? Dat wordt ook doorberekend in de prijzen die aan de consumenten worden doorberekend. Alleen betaal ik voor de besmetting bij Ziggo of Unilever en jij voor de besmetting bij KPN of AH.

En stel dat ze een waterdicht systeem gaan implementeren dat toekomstige besmettingen voorkomt, maar wel 10 keer duurder is dan wat ze nu gebruiken en wat bij grote bedrijven gebruikelijk is. Wil je daar wel voor betalen?
Of eis je op iedere werkplek bij de overheid iemand die hoog computerbegaafd is?

Ik denk dat je niet inziet dat een computer voor de meeste mensen slechts een hulpmiddel is om hun werkzaamheden uit te voeren en niet het doel van die werkzaamheden op zich. Een PC is al lang van het niveau van gespecialiseerd gereedschap waarvoor je speciale certificaten nodig hebt om het te gebruiken, afgedaald naar het niveau van gebruiksvoorwerpen als pen en papier.
Je kunt het gebruik van een PC wel proberen te reguleren met 100 regels. Maar het probleem van 100 regels voor het gebruik van hulpmiddelen is dat er 10 nooit geleerd worden, 50 onmiddellijk vergeten worden, 30 pas herinnerd worden wanneer het te laat is en de overblijvende 10 regels niet zo heel erg belangrijk zijn.

Een goede computerbeveiliging zit in de computer zelf. Wanneer je een deel van de beveiliging overlaat aan de gebruiker, lever je je computerbeveiliging over aan de meest debiele gebruiker die er in je organisatie rondloopt, op zijn meest slechte dag. Dat is niet iets dat je moet willen.
Wanneer een gebruiker een computersysteem kan besmetten door op een link te klikken, dan zit de fout in je computersysteem, niet bij de gebruiker. En ja, 0-days maken het lastig om je daar tegen te wapenen maar dat is nog geen excuus om de verantwoordelijkheid van de bescherming van je bedrijfssystemen bij de individuele gebruikers te leggen die daar geen speciale opleiding voor hebben gevolgd.
Dus at wil je daar mee zeggen? Dat omdat wij het betalen ze maar geen ransomware binnen moeten krijgen? Ze zullen er bordjes ophangen bij de ingangen/exploits voortaan?

Dit is een heel groot probleem in zijn geheel over heel de wereld. Knappe koppen zijn ermee bezig om het eventueel op te lossen. Maar dat zal niet direct lukken natuurlijk.
Je weet duidelijk niet waar je het over hebt. Ransomware is ZEER lastig te voorkomen. Aanvallers worden steeds slimmer, mailtjes zien er steeds echter en realistischer uit, IT-systemen worden steeds groter en gecompliceerder.
Uit serieuze interesse: heb je een voorbeeld van zo'n realistisch mailtje? (misschien op pastebin o.i.d.?)
Want ik heb werkelijk nog nooit een mailtje gezien waar iemand met enig gezond verstand en kritisch denkvermogen in zou trappen.
Geen voorbeeld beschikbaar op dit moment maar ben er vorig jaar zelf bijna ingestonken met een nep factuur van KPN. Kwam een dag eerder dan de officiële factuur en leek als twee druppels water op het origineel. Enige afwijking was het (flink) hogere maandbedrag wat ook een schrik reactie veroorzaakte waardoor ik er bijna klikte op de URL.
Ok, ja zoals ik net ook op @Haribo112 antwoordde, ik kijk eigenlijk altijd ff snel (gaat min of meer automatisch) of een link wel echt naar het adres wijst wat in de tekst staat. En gmail waarschuwt daar ook voor (en ik neem aan dat meer mail clients dat doen).

Maar wat is precies het risico als je op een URL klikt? Zijn er websites die meteen iemands systeem infecteren als je zelfs alleen maar een pagina bekijkt met je browser? (dus geen attachments downloadt en uitvoert, of plug-ins accepteert en installeert, enzovoort)
Geen eigen voorbeeld, maar dit mailtje ziet er best realistisch uit. De oplettende gebruiker ziet wel dat er een .zip bestand is toegevoegd, en dat dat wellicht vreemd is, maar de gemiddelde secretaresse die dit ontvangt zal er gewoon op klikken.
Tja als ik met mijn muis over die link hover en zie dat hij naar scam.ru in plaats van bol.com verwijst (waar gmail trouwens ook automatisch voor waarschuwt, als de daadwerkelijke URL van een klikbare link afwijkt van de tekst) is de kans al uitgesloten dat ik naar die pagina ga.

En een .zip attachment in dit voorbeeld zou ik al helemaal nooit openen.

Maar dan nog, stel even theoretisch, ik klik wel of ik open de zip. Dan wordt er toch nog steeds niet automatisch een virus op mijn computer uitgevoerd?
Ik vraag me oprecht af of je een 100% garantie mag verwachten, of dat dat ondoenlijk is.
100% garantie kun je niet geven, antivirus/rechten/policies gaan maar zover.
AppLocker gaat ver genoeg en staat er al op...
Ook niet echt. Er is altijd een zwakke schakel ergens in je systeem. Je kunt nog zo je best doen maar we kunnen er nog niet alles aan doen. En als er één iemand is die toch een link of zo een crypto binnen krijgt is je systeem de klos.
Go dit gebeurt echter niet enkel in de regering. Hoeveel bedrijven en ziekenhuizen etc zijn al ten prooi gevallen aan ransomware? Veel is het antwoord. En het is complex ook om dat goed op te lossen als dat al kan.
Dus om dit op de mensen te steken die in de politiek zitten gaat me iets te ver.
Ja hoor, bijvoorbeeld geen internet geven. en geen usb, cd-rom, com poorten, wifi etc ect

Ik weet zeker dat ik er kom , of je dan nog prettig met je pc kan werken ...not
En daar zijn genoeg omgevingen van, dus uitzondering zeker niet :P
dat was ook geen garantie voor stuxnet :+
Oh vertel eens?
Echt een aanrader (helaas met Russische ondertiteling), maar Stuxnet was echt een hoogstandje.

Zerodays op YT
Filmpje 1 uur en 52 min is in het Engels met turkse ondertiteling. Klein stuk bekeken maar erg gekleurd. Geeft niet mag ook
En Siemens apparatuur ken ik van banken en is niet echt beveiligd, als je eenmaal weet hoe dat werkt en weet erbij te komen is het niet zo moeilijk meer . Zie het maar als een bios waar geen wachtwoord op zit. opnieuw booten met eigen firmware enz. laat je fantasie maar gaan.
Net als geld automaten, de hard en software zijn niet zo moeilijk. Ik heb ze gerepareerd en afgeregeld ook de kluis die erachter zit.

De moeilijkheid is tijdspanne versus moeilijkheidsgraad. jij hebt zeg maar 10 minuten nodig om achter een ww te komen dan word het wachtwoord om de negen minuten veranderd. Zit iets moeilijker in elkaar maar dat is het idee. En banken kunnen uiteraard beide erg makkelijk aanpassen
Ik raad aan om meer te bekijken, dat gekleurde gaat verdwijnen.
je kan beveiligen wat je wilt maar als mensen nog steeds op elke link klikken die ze in hun mail krijgen helpt het allemaal niks.
Hoeft niet eens elke link te zijn; niemand is altijd 100% alert en zo een mail hoeft maar één keer iemand op een zwak moment te bereiken om schade te veroorzaken.
Nergens in het artikel wordt gezegd dat er geen backups, etc. zijn. Uiteraard geeft het meestal wel een verstoring van je dienstverlening.
In beveiliging moet je altijd een afweging maken tussen veiligheid en gebruiksgemak. Ja, je kan systemen zo dichttimmeren dat malware geen enkele kans maakt. Maar als je gebruikers daardoor nog amper hun werk gedaan krijgen moet je je afvragen of je wel juist bezig bent.
Beveiliging is maar gedeeltelijk een technische aangelegenheid, zodra het ontbreekt aan mentale beveiliging blijf je dit soort zaken houden. Je ziet de "iedereen moet altijd overal bij kunnen" mentaliteit nog op teveel plekken.
Beetje vreemde opmerking "Ambtenaren zul je toch nooit voldoende kunnen onderwijzen". Volgens mij zijn ambtenaren nog steeds mensen zoals jij en ik!

Misschien kun je dit soort denigrerende opmerkingen beter plaatsen op een andere site (telegraaf oid) of helemaal niet, hier op tweakers past deze in mijn ogen zeker niet!
anti ransomware:
- geen webmail
- layerd defense op technologisch vlak. De proofpoints + TAP voor mail oplossing + Hitman.alert / interceptx / malware bytes die scannen op bezigheden en NIET op definitie files) websense/blue coat voor malicious link / ip scans.
- goede backup procedures + technische oplossingen + testen van een backup en Disaster recovery.
- gebruikers awereness ..

last but not least een management wat aware is wat zaken kosten en commitment geeft om een afdoende verdediging op te bouwen.

Dat laatste .. ja.. dat laatste.

mbt virusscanners; de meeste scanners scannen op write / read acties. sterkte met ransomware wat proces hooking gebruikt en niet eens zodanig op een schijf komt. Verder kunnen de meeste ransomware strings / varianten besteld worden met verschillende SHAs. Er komt er meestal één door. Shadowcopy's worden meestal verwijderd en dat betekent dat je off premises blijft hangen op behavioural scanners zoals de eerder genoemde HMP.alert en/of Sophos InterceptX. Die registreren wat er gebeurt met bestanden en draaien dit terug bij een ransomware aanval.

met betrekking to applocker / whitelistning. Dat kost veel te veel resources die wij in ieder geval niet hebben.

[Reactie gewijzigd door Eminus op 28 maart 2017 13:55]

Het is goed mogelijk om een 99,99% waterdicht systeem te krijgen, terwijl het systeem nog best bruikbaar is.

- Vergeet Windows maar. Dat os is niet ontworpen om veilig te zijn, zal het ook nooit worden ook.
- Vertrouw gebruikers niet. Gebruikers zijn idioten. Gebruikers mogen alleen maar toegang hebben tot wat ze nodig hebben voor hun werk en meer niet.
- Thin clients. Nee, remote desktop is niet hetzelfde als een thin client.
- Alles wat van het internet of een usb-stick komt is kwaadaardig; Pas als het heelhuids door de mangels komt, wordt het met gezonde argwaan doorgegeven aan de gebruiker.
- Software heeft alleen toegang tot wat het nodig heeft om te functioneren en de gebruiker te bedienen. Daarnaast wordt software constant gecontroleerd op integriteit.
- Backups in meerdere vormen.
- Biometrische inlog (irisscan of vingerafdruk van een willekeurige vinger) samen met pasje dat je gebruikt om je aan te melden bij de receptie (receptionist vergelijkt jouw gezicht met foto) en jouw computer.
- Zware encryptie op al het netwerkverkeer waar de admins invloed op hebben. Encryptie op hele drives die de admins beheren waar documenten op staan.
- Apparaten waar de admins geen totale controle over hebben zijn kwaadaardig.
- Logs, logs en nog meer logs.
- Gebruikers trainen tegen social engineering en van tijd tot tijd een bedrijf inhuren dat probeert binnen te komen op het netwerk.
- Servers zijn fysiek alleen toegankelijk door admins die erbij mogen.

Ik weet het, gebruikers van zo'n netwerk zullen zich spontaan in Noord Korea wanen, maar dit alles houdt bijna alle aanvallen buiten de deur en kan het zelfs zo goed als onmogelijk maken om een aanval iets zinnigs op te laten leveren. Het is alleen wel een hoop werk om op te zetten en vereist onderhoud.

Zo'n beveiliging lijkt mij nou van toepassing in de tweede kamer.
ministerie van ict/automatisering/techniek zou niet misstaan (niet dat je dit mee afvangt - maar ergens toch bijzonder dat we zon orgaan niet hebben)
Bij elk incident wordt dit weer geroepen, maar ik kan me niet voorstellen dat het helpt. Eerder dat het averechts werkt.

ICT is bij uitstek niet een onderwerp dat simpelweg afgezonderd kan worden. Het is integraal onderdeel van onze samenleving en verdient dus aandacht binnen het onderwijs, het openbaar bestuur (democratie), gezondheidszorg, etc.

Als je een ministerie van ICT zou hebben, loop je het risico dat de woord- en bewindvoerders van OCW, Binnenlandse Zaken, Gezondheidszorg, etc. zich niet gaan verdiepen in ICT en dan zijn we verder van huis.
precies juist daarom - omdat het aan de basis ligt van zooooo veel verschillende facetten. En zij allemaal het wiel opnieuw uitvinden, een grote wirwar is geworden. tich aanbestedingen die keer op keer falen. Waarom? Omdat er geen structuur, duidelijkheid of kei harde afspraken zijn.

Omdat het zon belangrijk onderdeel geworden is van de maatschappij, en alle lagen daarin, is het juist onbegrijpelijk dat we/men daar geen eenduidigheid in kunnen creeeren.

Zon ict/automatisering/techniek orgaan, kan juist die onduidelijkheid wegnemen. Zorgen voor duidelijke afspraken en richtlijnen. En dan is het neit 10x investeren voor (bijna) hetzelfde - maar concreet en constructief gelijktrekken.

Onderaan de streep hebben we daar allemaal wat aan, immers kennen we tich voorbeelden en debacels waar structureel falen en verkeerde beslissingen de oorzaak zijn ....
Zoals bij elke organisatie is de zwakste schakel de mens. Het gaat om de bewustwording en training van mensen en dat kost tijd en volharding. In onze organisatie moet iedereen jaarlijks een training met afsluitend examen doen en security/phishing enz is hier een belangrijk onderdeel. Scoor je onvoldoende dan moet je het opnieuw doen net zo lang dat je het haalt maar er is wel een bepaalde tijd waarbinnen dat moet. Gezakt betekent het intrekken van bepaalde authorisaties en dat kan verstrekkende gevolgen hebben voor jouw functie.

Gedurende het jaar zal men testen of je nog alert bent door phishing emails te sturen dus als je dan toch op die bijlagen/links klikt dan ben je de sigaar. Je krijgt een waarschuwing en uitleg wat de gevaren zijn als dit geen test zou zijn geweest. Maak je deze fout vaker dan heeft dit gevolgen : het rapport gaat naar de manager en men kan je dan uitsluiten van bepaalde systemen/mail. Als het op deze manier goed tussen de oren zit dan moeten zelfs ambtenaren op bestaande ministeries het gaan snappen ;)
Zoiets zou eigenlijk inderdaad nodig zijn. Zeggen "ik ben politicus, geen ICT-er, dus ik hoef dit niet te weten", kan echt niet meer. "Ik heb er gewoon niks mee" of "ik ben hier te oud voor" evenmin.

Volgens mij ligt de oplossing in het opleiden van alle ambtenaren, van gemeenten, provincies, de staat en alle gouvernementele organisaties, in het omgaan met computers en beveiliging. In elk van deze lagen zouden ook mensen aanwezig moeten zijn die nadenken over de processen en het automatiseren daarvan, zodat zij effectief kunnen sparren met ICT-clubs die de oplossingen implementeren. En dat dan combineren met een overstijgend, centraal orgaan dat zorgt voor consistentie, coördinatie, kennisdeling, controle van vaardigheden, misschien het aanbieden van de trainingen, het doorlichten van nieuwe ICT-projecten en dergelijke.

Dit alles zou vele miljoenen, wellicht miljarden kosten. Tegelijk verwacht ik dat dit zichzelf op de langere termijn terugbetaalt, want als automatisering beter is geïntegreerd kan er een hoop bespaard worden, worden er minder fouten gemaakt en wordt er efficiënter gewerkt. Door te coördineren zou er ook minder dingen dubbel gedaan worden, en kunnen de beste oplossingen zich beter verspreiden naar andere onderdelen van de overheid. Een dergelijke grote extra uitgave zal wel lastig te verkopen zijn helaas.

[Reactie gewijzigd door geert1 op 28 maart 2017 14:48]

Helemaal met je eens, maar de overheid kijkt vooral naar de korte termijn wat uitgaven betreft helaas... Want who cares, na de volgende verkiezingen zit je misschien niet eens meer in de kamer.
Je vergeet nog "hier ben ik te jong voor"
Alleen is een ministerie dan niet de oplossing. Die zijn er voor het landelijk beleid, dit gaat om overheid beleid. Oftewel de ICT afdeling(en) van de overheid moeten beter worden georganiseerd, maar dat is al jaren bekend ;)
Sorry, maar ik zie ook de meerwaarde totaal niet. Ik heb zelf jarenlang bij een overheidsinstelling gewerkt en kan je vertellen dat de mensen die zich echt bezighouden met de politiek (raadsleden, kamerleden, you name it), vooral digibeet zijn en weinig verstand hebben van ICT.

Naast dat ik totaal het nut niet zie, wil niemand een dergelijke verantwoording op zich nemen, want ook ICT-porjecten van de overheid komen dan onder diens paraplu te hangen en daar 'wil nog wel eens' wat misgaan, zeg maar (mede door ontwetendheid of gewoonweg niet begrijpen van het ambtelijke apparaat wat GEEN IT-er is) met een 'het moet gewoon werken' mentaliteit.

Dus om er nou nog meer belastinggeld er tegenaan te gooien vind ik wat zonde.

[Reactie gewijzigd door CH4OS op 28 maart 2017 12:29]

Ik deel deze mening: ICT is ondersteunend aan alle ministeries.

Ja, ik kan me voorstellen dat een ministerie van 'ICT' of 'Technologie' nut heeft. Echter, als je bijvoorbeeld kijkt bij de invoer van autonome auto's, welke gisteren in het nieuws was. Dit past bij een 'functie' transport in plaats van het 'ding' ICT.

Bovenal, gaat het ministerie Technologie - in de realiteit - niet alle problemen opgestapeld krijgen van de andere ministeries?
Wat zal zo'n ministerie toevoegen dan volgens jou? Dit zou onder ministerie van Veiligheid moeten vallen denk ik. En daar is al beleid voor (handhaving ervan is weer een ander punt).
Techniek en automatisering is iets wat via de markt ontwikkelt en ingezet wordt en wat ook door de overheid wordt gebruikt, maar niets waar de overheid beleid voor zou moeten maken denk ik.
Daarnaast kan je nooit 100% garantie geven dat systemen niet besmet raken met malware. Het enige hoe je dat kan doen is door de boel uit te zetten.
ICT is veel te veelzijdig (ICT is immers meer dan beveiliging alleen, ook bijvoorbeeld infrastructuur (netwerken (xDSL, glasvezel, 3G, 4G, 5G...) en inrichting van omgevingen), wat weer een andere paraplu zou zijn) om onder 1 paraplu te laten vallen. In dat op zicht zou ik een Ministerie van ICT / Techniek wel begrijpen. Momenteel lijkt het mij beter passen onder Infrastructuur & Milieu. ;)

Aan de andere kant, zie ik echter geen meerwaarde in een dergelijk ministerie; enerzijds omdat ik niet verwacht dat er veel politici zijn met daadwerkelijk een ICT-achtergrond (mensen zoals Zeef uitgezonderd natuurlijk). En anderzijds, omdat ik vind dat er moeilijk beleid te bepalen valt specifiek voor ICT.

[Reactie gewijzigd door CH4OS op 28 maart 2017 12:39]

Hoe goed je ook beveiligd wil zijn, het is nooit 100%..
Virusscanners lopen altijd achter op de de werkelijkheid, Threat Emulation is ook geen 100% garantie. Uiteindelijk is het de user awareness die een organisatie in orde moet hebben, en dat is een stukje ICT opvoeding.
zoals je zelf zegt, een ministerie oprichten betekent niet opeens dat je problemen ook oplost...
centralisatie is lang niet altijd de enige en/of beste oplossing en kan zelfs grotere problemen en meer kwetsbaarheden met zich meebrengen.

Effectief is de kans vooral groot dat als je zo'n ministerie gaat oprichten die vervolgens bij alle andere overheidsinstellingen een vinger in de pap zou krijgen s dat je een ongekende hoeveelheid meer bureaucratie zou scheppen en nog onhandigere en lange beslissings-trajecten en competentie-strijd.
Ik denk dat als het gaat om incidenten als deze, een workshop voor alle Kamerleden effectiever is. Gewoon een standaard workshop na iedere formatie over wachtwoorden, phishing, ransomware, et cetera. Of wellicht standaardiseren voor iedere medewerker van de overheid; van leraar tot marechaussee.
Waarom zou het Cyber Security Center hier niet kunnen helpen? Die kunnen toch gewoon adviseren.

aan de andere kant kan zo'n ministerie niet voorkomen dat een ambtenaar gewoon een bijlage opent zonder na te denken.
Gewoon een test mail rondsturen, alle mensen die er op klikken onderwijzen. Na 4 maanden nog eens doen, etc.

[Reactie gewijzigd door SunnieNL op 28 maart 2017 12:57]

Binnen de overheid zijn meerdere ict-organisaties. Kijk maar eens op 'werkenbijdeoverheid.nl' en selecteer daar een ict-functie.

Dat ransomware nu de tweedekamer treft laat mooi zien dat het daar ook gewone mensen zijn die vatbaar zijn voor dit soort zaken.
Zo'n ministerie heeft maar 2 mogelijkheden. Of het is de dictator die alle andere ministeries oplegt wat ze doen (en ze daarmee lamlegt), of het is een papieren tijger die niks gedaan krijgt (de meest logische variant).

Bijna alle IT projecten die 'klappen', doen dat echt niet om zuiver technische redenen, sterker nog, meestal is het de compleet onmogelijke combinatie van requirements en bemoeizucht vanuit alle hoeken. Juist de combinatie tussen domein & techniek is hetgeen dat een project nekt of redt.
Een generiek ministerie zal dus genoeg kennis moeten hebben van defensie, belastingdienst, generiek IT, inlichtingen, politie, .... En dat dan voor elk platform en elk niveau van security/schaalbaarheid/robuustheid/...

In bedrijven zie je steeds meer teams waarbij je gewoon een complete mix hebt van alle stakeholders EN nog veel belangrijker een goed mandaat. Zodat er spijkers met koppen geslagen kunnen worden in plaats van de volgende white paper, nota of ander niks zeggend document geproduceerd kan worden.

[Reactie gewijzigd door TheGhostInc op 28 maart 2017 14:21]

Sommige departement kunnen en mogen zaken niet uit handen geven.
Die hebben hun zaken wel op orde. (kost een paar centen, maar ja)
Overige departementen willen zich niet aan zulke strakke regels conformeren.

btw, ik weet dat tenminste EEN departement de onvolprezen "Motie Vendrik WEL" serieus neemt, en er wel OpenSource (*BSD, OpenDocumentFoundation, Apache, OpenVPN, OpenStack, Linux) benut.
Ik weet niet of het een ministerie moet zijn maar centralisatie van ICT is op rijksnivo al wel gestart.

Zo worden Datacenters geconsolideerd (van 65 naar 4). En bijvoorbeeld de werkplek wordt steeds meer gedeeld door meerdere organisaties/ministeries. Daarme wordt de uitvoering van ICT uniformer en minder afhankelijk van toevallig aanwezige kennis bij een organisatie.
Die zou dan elke week vervangen moeten worden. :+
Jammer dat wij de oorzaak niet te weten komen. Wetend (en ja, heb vaak genoeg voor de overheid gewerkt) zal het wel achterstallig onderhoud van de beveiliging zijn. Iets met gemakzucht en zo.
Ben er ook erg benieuwd naar. Helemaal gezien er bij de overheid ook nog wel een goeie handvol systemen met Windows XP draaien. Zijn deze systemen extra kwetsbaar en heeft hierdoor de infectie rond kunnen gaan? Etc etc. Maar je hebt gelijk; we krijgen het waarschijnlijk nooit te horen.
gemakzucht? Ik denk eerder "error behind the keyboard" (aka personeel)

Je wilt niet weten hoe vaak mensen op linkjes of bijlages klikken van emails van bv. "ziggo", "abn"
of whatever ondanks dat ze bij simpele navraag bevestigen dat ze hun bedrijfsemail niet gebruikt hebben om met die instanties te communiceren. Dus waarom openen ze dat soort emails dan? Gewoon dommigheid!
Zou kunnen dat er een sloot nieuwe medewerkers binnen is gekomen die nog niet helemaal op de hoogte zijn van het reilen en zeilen van zo'n organisatie.
Laat ze alle leden en medewerkers van de Tweede Kamers alleen een 'Limited Account' onder Windows geven zodat dit soort knulligheden niet meer kunnen voorkomen.

Als ransomware al wordt geïnstalleerd dan vrees ik voor de veiligheid van de Tweede Kamer en regering, want geavanceerde zero-days zijn bijvoorbeeld veel moeilijker te detecteren.
Daar schiet je dus geen drol mee op. Ook met een limited account moeten ze bij hun documenten kunnen komen en ze moeten documenten op kunnen slaan op netwerkshares.

Juist deze shares zijn doelwit van ransomware.

Het enige wat hiet tegen helpt is de shadowcopy (hoewel sommige ransomware deze ook om zeep helpt) en backups

En voorlichting en educatie van gebruikers, maar aangezien dat tijd en geld kost kiest heaas bijna geen enkel bedrijf hiervoor.
Ook met een limited account moeten ze bij hun documenten kunnen komen en ze moeten documenten op kunnen slaan op netwerkshares.
Maar kan je met een limited account gedownload meuk executable rechten geven ?
De ransomwarebesmettingen die ik in de praktijk heb gezien kwamen bijna allemaal uit bijlagen van emails. Vaak verstopt in besmette pdf's of doc's. Ik heb zelfs een keer meegemaakt dat een dergelijk virus zich ter plekke complieerde en op die manier alle virusdefinities en heuristics omzeilde.
Ze kunnen beginnen door Javascript in PDF readers uit te zetten.
Met een Limited Account kun je gewoon .exe draaien vanuit je AppData folder (dit is meestal de plek waar het neergezet wordt). Als je dan toegang hebt tot netwerkshares, worden die fijntjes ge-encrypt vanuit je beperkte profiel.
Voor een deel wel, want voor ransomware om uit te kunnen voren heeft die gebruiker, die het activeert, schrijfrechten nodig. Beperk je de schrijfrechten op een goede manier, zal het effect/schade minimaal zijn.
Ben bang dat hier door gemakzucht/laksheid er te veel schrijfrechten uitgedeeld zijn.
Mee eens, maar op een documentenshare moet je wel.. en dat is nou net waar het om gaat met ransomware..
Uiteraard. Ik zeg dan ook voor een deel wel.
Regelmatig zie ik dat veel te veel rechten toegekend zijn.
Sommige hoeven documenten alleen te lezen. Dan heb je geen schrijfrechten nodig.
En dat begint al met rechten op de share zelf en daarna op de bestanden en folders.

Nu vijf gevallen van ransomware tegen gekomen en het verschil in schade en dus ook tijd waarin iedereen weer kon werken, was enorm.
Hoe zie je het voor je dat je geen schrijfrechten krijgt op je eigengemaakte bestanden? Dus elke keer dat je een bestand document wil bijwerken moet je de oude data maar kopiëren en in een nieuw bestand werken? Het verraderlijke is gewoon de verschuiving van virussen van systeembeschadiging naar documentgijzeling. Vanuit de criminelen wel een slimme en logische verschuiving, maar vanuit de beveiliging en de inrichting van besturingssystemen zie je dat dit altijd wat buiten beschouwing is gebleven, omdat virussen altijd het systeem zelf om zeep hielpen. Terwijl juist de meest belangrijke data; de eigengemaakte data door elk proces of programma te overschrijven is.

Wellicht dat de transitie naar een meer sandboxed-model zoals bij diverse mobiele besturingssystemen een oplossing is.
Zeg ik dat? Nee.

Nu vijf gevallen van ransomware tegen gekomen en het verschil in schade en dus ook tijd waarin iedereen weer kon werken, was enorm. Puur door beter om te gaan met het toekennen van rechten.
Beperk je de schrijfrechten op een goede manier
Vertel dan eens over die magische 'goede manier' waarbij privédata ongeschonden blijft?
Het is business eh. Hoe je het thuis regelt mag je zelf bepalen.
In de aanstaande Creators update van Windows 10 schijnt een optie te zitten waarmee je alleen nog maar het installeren van apps kunt toestaan dus geen Win32 progs. Misschien een oplossing?
Correctie: in die update wordt het mogelijk om alleen nog applicaties uit de store te kunnen installeren. Dit kunnen nog steeds win32 progs zijn.
Hebben dat soort eenvoudigere apps niet net zo goed schrijfrechten tot de eigen bestanden?
Misschien dat je je eens wat meer moet verdiepen in de werking van ransomware. Dat zijn over het algemeen gewoon userspace applicaties die gebruik maken van de netwerk filesystem permissies die de gebruiker toch echt nodig heeft om z'n werk te doen...
Reminder voor de Woordvoering van de Tweede Kamer en de Stafdienst Communicatie:

Meldplicht datalekken houdt in dat organisaties (zowel bedrijven als overheden) onverwijld een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En in een aantal gevallen moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).
Ransomware lekt niet heel vaak data. Het versleuteld juist data.
Klopt is bekend, niet melden dan volgens jou?
Nou ja ik zou niet weeten waarom dit moet worden gemeld als datalek.
Eens. Niet melden als datalek, omdat de data feitelijk niet gelekt is. Ik heb dit vraagstuk ook wel eens bij de hand gehad, voorgelegd bij meldpunt datalekken, dit valt inderdaad niet binnen die scope.
Mooie van ransomware is dat deze vaak getarget is op personen die een hogere functie (denk aan administratie, personeelszaken, directie) hebben binnen een organisatie, maar niet per se verstand hebben van ICT. Helaas hebben ze vaak wel toegang tot veel belangrijke shares en systemen.

Moeilijk om het aspect 'user' uit te sluiten in deze formule.
Helaas hebben belangrijke mensen toegang tot belangrijke systemen?

Whut?
Dat zei ik niet. Ik zei 'personen met een hogere functie'. Dit staat jammer genoeg niet gelijk aan meer kennis van en feeling met het ICT-gebied.

Deze users zijn extra gevaarlijk, omdat ze tóch geneigd zijn die 'belangrijke' Excel sheet te openen met een macro erin, omdat die van een ogenschijnlijk betrouwbaar persoon en/of organisatie komt.

Dat samen met antivirusdefinities/spamfilters die nooit helemaal up-to-date zijn en je staat als systeembeheerder altijd een zet achter, tenzij je voor full-lockdown mode gaat, wat weer andere bezwaren oplevert voor de workflow.
Ik hoop dat dit meer bewustzijn creëert in de tweede kamer over de technologie in ons land. Dat ze hun systemen moeten updaten en dat ze meer moeten richten op de technologie in ons land. Een ministerie van ict/automatisering/techniek zou daarom niet slecht staan.
Het updaten van systemen gaat het niet tegenhouden. Bovendien updaten anti-malwarepakketten zich automatisch, en hoort het real-time te worden geblokkeerd. Echter, ransomware is gewoon moeilijk tegen te houden als je gebruikers hebt die overal op klikken.
Ransomware evolueert zich ook in een rappe tempo waardoor het moeilijk is voor anti-virus/malware bij te blijven.

Maar inderdaad, in dit geval is het grootste zorg toch wel de gebruikers die onvoldoende opgeleid/bijgeschoold zijn m.b.t. beveiliging.
ze roepen zelf altijd 'NIET BETALEN', mag daarom hopen dat ze het zelf nu ook niet gedaan hebben. (Gezien ze aangeven dat ze backups terug hebben geplaatst, en bestanden verloren zijn gegaan, ga ik daar dan ook niet van uit).

Altijd leuk, werknemers die in goed vertrouwen alsnog klikken, net als bij ons in het bedrijf plaats vond. Opeens kreeg ik volrecht om maatregelen te mogen treffen om toekomstige, mogelijke infecties/aanvallen te weren.

half jaar daarvoor al aangegeven, maar toen zag men er de 'urgentie' niet van in, maar, mocht op de eerste dag van vakantie meteen aan de slag om de infectie tegen te gaan. super joh! In het buitenland, aan het strand met een mojito problemen verhelpen, met volledige onkostenvergoeding ^+^
Heb het al meegemaakt dat een eindgebruiker zei: "ik vertrouwde het thuis niet en ik wil mijn pc thuis niet stuk maken, dus heb ik het maar op het werk geopend"

Binnen no time inderdaad ook een opdracht van de klant om een voorstel van 1 jaar oud uit te voeren :D Er moest wel 7x eerder gecrypted locked worden!!! maar de opmerking van de eindgebruiker deed de hoge heren toch anders besluiten :D De restore kosten begonnen toch wel een beetje op te lopen :p

Overigens had die persoon geluk dat ik niet ter plekke aanwezig was, want ik had hem denk ik wel wat aangedaan :) Ondanks dat het de omgeving van de klant is, dat je zoiets kan bedenken, uitvoeren en toegeven ... dan spoor je gewoon niet :)

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*