Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Ict-systeem Tweede Kamer getroffen door ransomware

De ict-infrastructuur van de Tweede Kamer is getroffen door ransomware. Dat bevestigt de woordvoering van de Tweede Kamer tegenover Tweakers. De Kamer zou inmiddels 'passende maatregelen' hebben genomen.

Details over de ransomware en de systemen die door de malware geïnfecteerd worden, wil de woordvoering van de Tweede Kamer dinsdag niet geven. Ook geeft de Stafdienst Communicatie geen informatie over de getroffen maatregelen: "Zoals gebruikelijk kunnen wij daar vanwege de veiligheid verder niet op ingaan."

De aanval begon volgens informatie die Tweakers heeft ontvangen op maandagmiddag om ongeveer vier uur. De ransomware slaagde erin om bestanden te versleutelen. Als maatregel blokkeerde de ict-dienst daarop de mail en gaf het advies Word-bijlagen met de tekst factuur niet te openen. De ict-dienst van de Tweede Kamer heeft vervolgens back-ups moeten terugzetten en dinsdagochtend kon de ict-dienst melden dat de verstoring voor het grootste deel verholpen was. De kans is aanwezig dat Kamerleden en andere medewerkers enkele bestanden zijn kwijtgeraakt. Ook lag het netwerk eruit en werkten programma's via Citrix tijdelijk niet.

Dat de ict-infrastructuur ten prooi is gevallen aan ransomware maakte D66-Kamerlid Kees Verhoeven eerder op dinsdag bekend. "Gelukkig viel de schade mee maar ransomware is de belangrijkste vorm van cybercriminaliteit. Je klikt ergens op en je kunt niet meer bij je data. Gelukkig was er goede backup en werkt alles weer. Dit bewijst opnieuw de reële dreiging en dat onderschatting op de loer ligt. Cyberveiligheid is geen kwestie van high-tech maar van basics op orde hebben: let op verdachte mails met rare bijlagen of linkjes, vervang wachtwoorden, gebruik geen open wifi, enzovoorts", verklaart Verhoeven naar aanleiding van de aanval. Ransomware is malware die gebruikers de toegang tot bestanden ontzegt, meestal door deze te versleutelen. Na betaling worden de bestanden weer vrijgegeven. Niet duidelijk is hoe de aanval kon slagen.

In 2015 werden de ict-systemen van de Duitse Bundestag getroffen door een omvangrijke malware-aanval. Het duurde maanden voordat de kwaadaardige software volledig verwijderd was. Die aanval verliep via de Swatbanker-banktrojan, waarmee aanvallers formulieren via het intranet van de Bundestag in bezit konden krijgen en gegevens uit de browsers konden ontvangen.

Door Olaf van Miltenburg

Nieuwscoördinator

28-03-2017 • 11:55

270 Linkedin Google+

Submitter: isene

Reacties (270)

Wijzig sortering
Als sysadmin voor verschillende bedrijven die behoorlijk goed dichtgetimmerd zijn zie ik het desalniettemin ook af en toe gebeuren. Als jij de mirakeloplossing hebt, dan hoor ik het graag. Bij één klant zijn we al zover gegaan dat Office-dokumenten onderschept worden (de meeste besmettingen zijn via macro's). Ook worden alle .js, .pif. .scr .bat etc. extensies geblokkeerd. En dan is het nog niet waterdicht: ik zie HTML e-mails met zwaar obfuscated code tussen de lijntjes die de malware download. Zal ik ook maar HTML e-mails verbieden?

Sinds begin 2016 - geen idee waarom net dan - worden alle appliances bestookt met cryptolockervarianten en zelfs al wordt 99.9% tegengehouden (de AV-fabrikanten lopen altijd wat achter): als er maar ééntje door komt en dan één gebruiker met gemapte network shares er op klikt , dan heb je prijs op grote schaal.

Dus nogmaals: als je een wonderoplossing hebt behalve eenvoudigweg offline gaan, dan hoor ik het graag. Anders is het een gevalletje "de beste schippers staan aan wal".
Wij hebben bij ons alle applicaties geblocked die zich vanuit de temp will opstarten.
Daarna geen infectie meer gehad ...
In de Group Policies creëer je een software restriction policy. Standaard zet je alles op allowed, je maakt een extra rule waarin je aangeeft dat er niets uitgevoerd mag worden vanuit %temp%.

Hier staat het stap voor stap uitgelegd:

https://blog.brankovucine...lock-viruses-and-malware/
Is absoluut niet waterdicht!

Als mensen de bijlage (ransomware) niet kunnen openen, zetten ze hem wel eerst ergens anders. En dan lukt het wel.
In het artikel wordt alleen gesproken over .exe. Moeten er nog wel een stel bij.
Klanten/werknemers gaan klagen dat ze zaken niet meer kunnen (teamviewer, webex, etc).

Het enige wat tot nu toe echt goede resultaten heeft opgeleverd:
https://go.kaspersky.com/Anti-ransomware-tool.html
Goeie nuance. Met de zero-day exploits en het feit dat gebruikers wel iets moeten kunnen, is volledig voorkomen van dit soort malware niet te voorkomen.

Maar wel goed te bestrijden: anti-malware, backups, goeie rechtenstructuur, kunnen allemaal helpen om de schade te beperken.

Het vervelende is dat iedere werknemer een Single-point-of-failure is. Je informatieveiligheidsbeleid kan dan nog zo goed zijn, het is net als met andere cyberbeveiliging: Jij bent pas succesvol als je alle aanvallen afslaat, de 'bad guys' zijn al succesvol als er maar 1tje slaagt.

Als ik naar dit incident kijk, lijkt op basis van de bekende feiten dat er redelijk adequaat is gereageerd door de IT-afdeling.

[Reactie gewijzigd door Keypunchie op 28 maart 2017 13:26]

Op zijn minst alle bijlagen waarbij het mogelijk is uitvoerbare code te integreren in quarantaine plaatsen. Alleen op expliciet verzoek kan een gebruiker de bijlage krijgen. Hierbij mag de gebruiker aangeven waar het bericht vandaan komt en wat voor soort bijlage het zou moeten zijn. En verder elke deeplink in het bericht verwijderen. Vervelend want dan raken veel plaatjes in onderschriften kwijt. Jammer, so be it. Had de verzendende organisatie maar niet zo lui moeten zijn om zich er makkelijk vanaf te brengen (meer storage nodig op de mailserver etc,). Maar het voorkomt tracking en de mogelijkheid om op dubieuze links te klikken.

Helaas is 90% van de problemen te ondervangen door gebruikers zich bewust te maken van de risico's die het internet en email met zich meebrengt. Een bewustwordingscampagne op basis van een phising mail door het bedrijf zelf opgezet leert dat al snel 50 tot 70 procent van de gebruikers blind klikt en invult als het er echt uit lijkt te zien. Maar nog schrikbarender is het dat ook ruim 30 procent van de ICT-afdeling hierin tuint.
De mirakeloplossing is een doorbraak van je beveiliging te voorkomen door veilige software gebruiken. Ik weet niet of de factuur000000.doc een echt Word-bestand was of een als Word-bestand vermomd exe-bestand, maar in het eerste geval bespaart LibreOffice een hoop ellende, in het tweede geval een e-mailprogramma dat bij dubbelklik geen uitvoerbare bestanden start.

Wat jij beschrijft zijn maatregelen die de schade beperken in geval de beveiligingsmuur doorbroken is. In een goede beveiligde situatie kan inderdaad niet iedereen overal bij, maar dat soort maatregelen veroorzaken net zo makkelijk voor ongemak onder gebruikers als dat ze veiligheid bieden. De focus dient te liggen op het voorkomen dat de indringer binnenkomt, want hoe weinig bestanden een indringer ook kan raadplegen, het is altijd meer dan je lief is.
Een gemapte drive hoeft niet gelijk prijs op grote schaal te betekenen.
Je moet de security veel verder doortrekken. De ransomware kan niet bij bestanden waar jij als gebruiken niet bij kan. Waarom moet die gebruiker bij alle bestanden kunnen? Misschien hoeft hij de helft ervan maar in te zien.

Zorg dat je alle basics goed hebt. Alleen de rechten die nodig zijn. Gaat hij uit dienst/veranderd zijn functie, trek dan de rechten in die hij niet meer nodig heeft. Maak bij indienst geen copy van een bestaand persoon maar ga na wat degene die in dienst komt daadwerkelijk nodig heeft. En automatiseer die hele handel. Want als je het met de hand doet blijven rechten fouten ontstaan. Zorg ervoor dat ambtenaren alleen applicaties kunnen starten die nodig zijn voor hun werk en al het onbekende spul wordt geblokkeerd. Blokkeer usb sticks behalve degene die je zelf uit deelt met encryptie... en zo kan ik nog even doorgaan. Geen rocket science, gewoon de basics.
Het opvoeden van je klanten is ook belangrijk en zal gedaan moeten worden. Als je dat niet doet willen je klanten ook nooit vooruit. Als je die incentive niet aanbiedt blijven jouw klanten gewoon een stelletje luilakken die géén verandering in wat dan ook willen zien: Ze zouden het liefst nog met papier willen werken 'omdat dat gewoon handiger is', of 'ze zijn gewend aan windows 95 en outlook 97 dus ik geef ze niets nieuwers'.
Nee, ze willen niet terug naar pen en papier. Ze willen een moderne PC met hetzelfde gemak kunnen gebruiken als pen en papier.
Zolang ICT-ers vinden dat beveiliging een kwestie is van opvoeden en niet van een technische oplossing in het gebruikte gereedschap, zullen beveiligingsproblemen blijven bestaan. Je kunt het gebruik van computers niet beperken tot ICT-ers en bovenmatig in ICT-zaken geïnteresseerden.
Zolang je een PC niet zonder probleem aan de eerste de beste debiel over kunt laten die elke mogelijke website bezoekt en overal op klikt is dat een dikke faal van de ICT-ers.
Jouw auto-analogie vind ik een hele goeie.
Er zijn wel wat regels waar je je aan moet houden tijdens het autorijden, maar je hoeft niet elk verkeersbord dat je tegenkomt in twijfel te trekken. En bij de pomp kun je ook gewoon vertrouwen op het bordje Euro95, zonder bang te hoeven zijn dat je motor opgeblazen wordt. Datzelfde gebruiksgemak wordt door gebruikers ook van computers verwacht.
Binnen een bedrijf ben ik het daar volstrekt niet mee eens: 'IT' is geen leverancier binnen een bedrijf maar een onderdeel er van, je kan niet zonder en ze hebben (als het goed is) inbreng in wat er geleverd/gemaakt kan worden. De opdrachtgever/leverancier denken is de klassieke Nederlandse management/consultancy structuur die niet let op de werkelijke samenwerking die noodzakelijk is voor een gedegen bedrijf.
Als er dan onmogelijke eisen gesteld worden zoals de combinatie 'alles volledig open' en 'veilig' dan zou 'IT' nee moeten zeggen en een alternatief moeten bieden dat dan geaccepteerd kan worden, of ten minste onderhandeld. Zal nooit gebeuren want business heeft besloten...

Wat jij beschrijft is het standaard denken van ICT als probleem en los staand iets, wat het al lang niet meer is binnen het meerendeel van de bedrijven, ook al lijkt dat er nog wel op.

Als je het extern inhuurt is het een ander verhaal, want 'ik betaal dus lever maar' (ook al is dat onmogelijk/ondoenelijk maar ze durven toch geen nee te zeggen). Maar meestal is de ICT dan zodanig simpel dat het geen zoden aan de dijk zet om het zelf te doen, of er zijn geen bedrijfsgeheimen/producten binnen het ICT domein te vinden.
de Ransomware en veruit de meeste virussen die ik bij onze klanten gezien heb, zijn 9/10 via personen die op een of andere manier in de verkoop zitten.
Voor hun is het heel lastig om niet op de ingesloten facturen te klikken.

Zelden komt er in het bedrijfsleven een "virus/malware/..." binnen via louche websites.
Een beetje bedrijf heeft die nl al geblokkeerd.
Want bij bedrijven komt het geld voor het oplossen van een ransomware-besmetting uit de lucht vallen? Dat wordt ook doorberekend in de prijzen die aan de consumenten worden doorberekend. Alleen betaal ik voor de besmetting bij Ziggo of Unilever en jij voor de besmetting bij KPN of AH.

En stel dat ze een waterdicht systeem gaan implementeren dat toekomstige besmettingen voorkomt, maar wel 10 keer duurder is dan wat ze nu gebruiken en wat bij grote bedrijven gebruikelijk is. Wil je daar wel voor betalen?
Of eis je op iedere werkplek bij de overheid iemand die hoog computerbegaafd is?

Ik denk dat je niet inziet dat een computer voor de meeste mensen slechts een hulpmiddel is om hun werkzaamheden uit te voeren en niet het doel van die werkzaamheden op zich. Een PC is al lang van het niveau van gespecialiseerd gereedschap waarvoor je speciale certificaten nodig hebt om het te gebruiken, afgedaald naar het niveau van gebruiksvoorwerpen als pen en papier.
Je kunt het gebruik van een PC wel proberen te reguleren met 100 regels. Maar het probleem van 100 regels voor het gebruik van hulpmiddelen is dat er 10 nooit geleerd worden, 50 onmiddellijk vergeten worden, 30 pas herinnerd worden wanneer het te laat is en de overblijvende 10 regels niet zo heel erg belangrijk zijn.

Een goede computerbeveiliging zit in de computer zelf. Wanneer je een deel van de beveiliging overlaat aan de gebruiker, lever je je computerbeveiliging over aan de meest debiele gebruiker die er in je organisatie rondloopt, op zijn meest slechte dag. Dat is niet iets dat je moet willen.
Wanneer een gebruiker een computersysteem kan besmetten door op een link te klikken, dan zit de fout in je computersysteem, niet bij de gebruiker. En ja, 0-days maken het lastig om je daar tegen te wapenen maar dat is nog geen excuus om de verantwoordelijkheid van de bescherming van je bedrijfssystemen bij de individuele gebruikers te leggen die daar geen speciale opleiding voor hebben gevolgd.
anti ransomware:
- geen webmail
- layerd defense op technologisch vlak. De proofpoints + TAP voor mail oplossing + Hitman.alert / interceptx / malware bytes die scannen op bezigheden en NIET op definitie files) websense/blue coat voor malicious link / ip scans.
- goede backup procedures + technische oplossingen + testen van een backup en Disaster recovery.
- gebruikers awereness ..

last but not least een management wat aware is wat zaken kosten en commitment geeft om een afdoende verdediging op te bouwen.

Dat laatste .. ja.. dat laatste.

mbt virusscanners; de meeste scanners scannen op write / read acties. sterkte met ransomware wat proces hooking gebruikt en niet eens zodanig op een schijf komt. Verder kunnen de meeste ransomware strings / varianten besteld worden met verschillende SHAs. Er komt er meestal één door. Shadowcopy's worden meestal verwijderd en dat betekent dat je off premises blijft hangen op behavioural scanners zoals de eerder genoemde HMP.alert en/of Sophos InterceptX. Die registreren wat er gebeurt met bestanden en draaien dit terug bij een ransomware aanval.

met betrekking to applocker / whitelistning. Dat kost veel te veel resources die wij in ieder geval niet hebben.

[Reactie gewijzigd door Eminus op 28 maart 2017 13:55]

Het is goed mogelijk om een 99,99% waterdicht systeem te krijgen, terwijl het systeem nog best bruikbaar is.

- Vergeet Windows maar. Dat os is niet ontworpen om veilig te zijn, zal het ook nooit worden ook.
- Vertrouw gebruikers niet. Gebruikers zijn idioten. Gebruikers mogen alleen maar toegang hebben tot wat ze nodig hebben voor hun werk en meer niet.
- Thin clients. Nee, remote desktop is niet hetzelfde als een thin client.
- Alles wat van het internet of een usb-stick komt is kwaadaardig; Pas als het heelhuids door de mangels komt, wordt het met gezonde argwaan doorgegeven aan de gebruiker.
- Software heeft alleen toegang tot wat het nodig heeft om te functioneren en de gebruiker te bedienen. Daarnaast wordt software constant gecontroleerd op integriteit.
- Backups in meerdere vormen.
- Biometrische inlog (irisscan of vingerafdruk van een willekeurige vinger) samen met pasje dat je gebruikt om je aan te melden bij de receptie (receptionist vergelijkt jouw gezicht met foto) en jouw computer.
- Zware encryptie op al het netwerkverkeer waar de admins invloed op hebben. Encryptie op hele drives die de admins beheren waar documenten op staan.
- Apparaten waar de admins geen totale controle over hebben zijn kwaadaardig.
- Logs, logs en nog meer logs.
- Gebruikers trainen tegen social engineering en van tijd tot tijd een bedrijf inhuren dat probeert binnen te komen op het netwerk.
- Servers zijn fysiek alleen toegankelijk door admins die erbij mogen.

Ik weet het, gebruikers van zo'n netwerk zullen zich spontaan in Noord Korea wanen, maar dit alles houdt bijna alle aanvallen buiten de deur en kan het zelfs zo goed als onmogelijk maken om een aanval iets zinnigs op te laten leveren. Het is alleen wel een hoop werk om op te zetten en vereist onderhoud.

Zo'n beveiliging lijkt mij nou van toepassing in de tweede kamer.
Bij elk incident wordt dit weer geroepen, maar ik kan me niet voorstellen dat het helpt. Eerder dat het averechts werkt.

ICT is bij uitstek niet een onderwerp dat simpelweg afgezonderd kan worden. Het is integraal onderdeel van onze samenleving en verdient dus aandacht binnen het onderwijs, het openbaar bestuur (democratie), gezondheidszorg, etc.

Als je een ministerie van ICT zou hebben, loop je het risico dat de woord- en bewindvoerders van OCW, Binnenlandse Zaken, Gezondheidszorg, etc. zich niet gaan verdiepen in ICT en dan zijn we verder van huis.
Zoiets zou eigenlijk inderdaad nodig zijn. Zeggen "ik ben politicus, geen ICT-er, dus ik hoef dit niet te weten", kan echt niet meer. "Ik heb er gewoon niks mee" of "ik ben hier te oud voor" evenmin.

Volgens mij ligt de oplossing in het opleiden van alle ambtenaren, van gemeenten, provincies, de staat en alle gouvernementele organisaties, in het omgaan met computers en beveiliging. In elk van deze lagen zouden ook mensen aanwezig moeten zijn die nadenken over de processen en het automatiseren daarvan, zodat zij effectief kunnen sparren met ICT-clubs die de oplossingen implementeren. En dat dan combineren met een overstijgend, centraal orgaan dat zorgt voor consistentie, coördinatie, kennisdeling, controle van vaardigheden, misschien het aanbieden van de trainingen, het doorlichten van nieuwe ICT-projecten en dergelijke.

Dit alles zou vele miljoenen, wellicht miljarden kosten. Tegelijk verwacht ik dat dit zichzelf op de langere termijn terugbetaalt, want als automatisering beter is geïntegreerd kan er een hoop bespaard worden, worden er minder fouten gemaakt en wordt er efficiënter gewerkt. Door te coördineren zou er ook minder dingen dubbel gedaan worden, en kunnen de beste oplossingen zich beter verspreiden naar andere onderdelen van de overheid. Een dergelijke grote extra uitgave zal wel lastig te verkopen zijn helaas.

[Reactie gewijzigd door geert1 op 28 maart 2017 14:48]

Eens. Niet melden als datalek, omdat de data feitelijk niet gelekt is. Ik heb dit vraagstuk ook wel eens bij de hand gehad, voorgelegd bij meldpunt datalekken, dit valt inderdaad niet binnen die scope.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Microsoft

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True