Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Ook Q-park krijgt te maken met aanval van ransomware

Door , 232 reacties

De computersystemen van Q-park zijn dit weekend getroffen door ransomware. Onder andere in Nederland kregen de systemen van de parkeergaragebeheerder te maken met de malware, waardoor klanten niet konden betalen en poortjes handmatig geopend moesten worden.

Q-park heeft bevestigd dat het getroffen is door ransomware. In verschillende landen zijn de computersystemen van het bedrijf getroffen, waardoor bestanden zijn versleuteld en er betaald moet worden om weer toegang te krijgen. Onder andere in Nederland melden klanten van Q-park-parkeergarages dat de betaal- en toegangsystemen niet meer functioneerden. Tegenover RTL Nieuws zegt een woordvoerder van Q-park dat er monteurs naar de parkeergarages worden gestuurd om de systemen te resetten. Onduidelijk is nog hoe lang het gaat duren voordat de getroffen parkeergarages weer volledig operationeel zijn.

Q-park is slachtoffer van de zogenaamde Wana Decrypt0r 2.0-ransomware. Die trof eerder al computersystemen wereldwijd, maar een beveiligingsonderzoeker vond per toeval een killswitch, waardoor het verspreiden van de kwaadaardige software werd gestopt. Volgens recente berichten is de malware mogelijk afkomstig van de NSA; hacktools van de Amerikaanse inlichtingendienst verschenen eerder op internet, en zijn mogelijk misbruikt door criminelen.

De ransomware dook vrijdag voor het eerst op, waarbij het onder meer Britse ziekenhuizen besmette. Wereldwijd zijn duizenden computernetwerken besmet geraakt met de ransomware, waarbij gevraagd wordt om 300 dollar aan 'losgeld' te betalen. Microsoft heeft een patch uitgebracht voor kwetsbare systemen; daarbij gaat het onder meer om Windows XP.

Moderatie-faq Wijzig weergave

Reacties (232)

Reactiefilter:-12320217+1146+217+31Ongemodereerd36
Even de advocaat van de duivel spelen hoor :+ .

Leuk dat de schippers aan wal roepen dat iedereen maar even moet updaten en backupje maken en dat IT nou core business is en dat je al je geld daar moet in stoppen. Met alle respect, het mist een beetje besef van hoe de realiteit is en lijkt vooral voor te komen uit een erg eenzijdig kijk op de wereld vanuit IT perspectief.
  • De laatste versies van backup staan tegenwoordig vaak online (op disk/cloud) en zijn dus niet gegarandeerd veilig. Enig wat echt veilig is tegen dit soort zaken is een offline backup
  • Het riscio van updaten (alle vormen en maten) brengt ook risico's met zich mee. Kans dat een systeem faalt door upgrade is misschien wel groter dan dat het wordt besmet door een malware.
  • Hoe vaak komen dit soort aanvallen nu daadwerkelijk voor en hoe groot is de daadwerkelijk schade vs de kosten van de maatregelen die je dagelijks moet nemen om dit soort problemen voor te blijven.
Ja er zijn beheerders die er een potje van maken, maar merendeel van de beheerders/bedrijven doet zijn best om de boel op orde te hebben met de middelen die ze te beschikking hebben. Zolang zelfs grote tech bedrijven die security als core businness hebben worden getroffen door hacks/malware kan je er wel vanuit gaan dat het voorkomen van dit soort zaken niet eenvoudig is. Een firewall, segmentering, backups, encryptie, updates en upgrades zijn prima, maar bieden nog geen garantie op veiligheid, ze dammen het risico wel in. Grootste nadeel is dat deze oplossing niet gratis zijn en extra tijd en FTE kosten. Product X op een veilige manier implementeren kost vaak 2 tot 3 keer zoveel tijd dan het snel even onveilig bij elkaar klikken. In het bedrijfsleven worden nog altijd kosten/baten analyses gemaakt, waarbij er meer zaken spelen dan puur en alleen IT.
Het riscio van updaten (alle vormen en maten) brengt ook risico's met zich mee. Kans dat een systeem faalt door upgrade is misschien wel groter dan dat het wordt besmet door een malware.
Maar een mislukte patch/upgrade kun je iets makkelijker rollbacken dan een malware-infectie. Ook zal bij een beetje professioneel beheer, een patch ook eerst via een acceptatie-omgeving geaccepteerd worden, voordat hij in produktie gaat.

Wat dat betreft moet ik wel zeggen dat ik echt paf sta dat anno 2017 er nog best zo veel grote organisaties (zoals Q-Park) zijn die blijkbaar hun patchbeleid niet op orde hebben. Kijk, van de ziekenhuizen weten we dat het doorgaans wat stroperige organisaties zijn, waar het management vaak onvoldoende IT-incompetent is.

Van keiharde commerciele instellingen, waar IT missie-kritisch is, verwacht ik intussen iets meer.

Want dat had ook de headline hier kunnen zijn:
"Ook Q-Park heeft het patchen van hun servers niet op orde"

[ed. dubbele ontkenning hersteld, thx HDoc]

[Reactie gewijzigd door Keypunchie op 14 mei 2017 13:06]

Een foute aanname die ik telkens terug zie komen is dat mensen denken dat als je computer up-to-date is je immuun bent voor dit virus. Dit is niet het geval. Het enige wat MS17-010 voorkomt is dat het virus zich over het netwerk kan verspreiden.
Als je het virus op een andere manier binnen krijgt (e-mail, download, usb etc) dan kan het virus gewoon zijn werk doen.
Maar hoe zit het dan met netwerkschijven? Als een pc geinfecteerd is, gaat de ransomware dan ook alle netwerkschijven versleutelen waar een client toegang tot heeft?

En zorgt het openen van deze encrypted bestanden er dan voor dat andere clients ook worden geinfecteerd?
De ransomware versleuteld alle gegevens (met voorgeprogrammeerde extensies) waar de gebruiker/computer toegang tot heeft. Dus ook externe opslag waaronder netwerkschijven.
Het openen van deze versleutelde bestanden doet verder niets, de extensie veranderd (in dit geval WNCRY) en Windows zal aangeven dat dit bestandstype onbekend is.

Het virus verspreid zich in dit geval met behulp van een exploit, en dus infecteert het alle computers in het netwerk welke niet up-to-date zijn.
Weet je ook of ransomware - en specifiek WannaCry - ook na de eerste infectie op de achtergrond blijft draaien? En dat als je een externe backupschijf aansluit om je systeem te restoren, deze dan ook wordt geïnfecteerd? Deze informatie heb ik nog nergens kunnen vinden.
Er zijn varianten die actief blijven. Maar het is niet gebruikelijk.
Normaal gesproken is de "encrypter" weg zodra de losgeldbrief verschijnt.
De reden hiervoor is dat er een sleutel nodig is om de bestanden te versleutelen (de sleutel is vaak afkomstig van C&C server), deze sleutel wordt vernietigd zodra de ransomware klaar is om het ontsleutelen nagenoeg onmogelijk te maken zonder het losgeld te betalen.

Ik raad je ten zeerste af om je back-up schijf op het systeem aan te sluiten waar welke ransomware dan ook actief is (geweest). Maak desnoods een image van de schijf met je favoriete tool en herinstalleer de computer, zet daarna pas je back-up terug. Neem nooit de kans dat je back-up ook geïnfecteerd raakt.
Laten we wel stellen dat één back-up geen back-up is.
En dit is waarom je een backupschijf configureert om enkel read/write rechten te hebben vanaf gebruikersaccounts en geen delete rechten. Zo kun je nieuwe backups aanmaken (schrijven) of gemaakte backups uitlezen (lezen) maar niet reeds aanwezige bestanden aanpassen of wissen (daar zijn delete rechten voor nodig). Dáár moet je dan weer met een speciale account voor inloggen welke nergens anders voor word gebruikt. Dít is hoe je je backups beveiligd tegen ransomware. Het vereist wel dat je een bekwame IT specialist hebt (of een goede tutorial volgt in het geval van thuisgebruik backups) maar het is eigenlijk net zo voor de hand liggend als geen Administrator rechten hebben op je gebruikersaccount.

Dit is vrij eenvoudig te configureren indien je op windows (NTFS) zit maar ongetwijfeld hebben OSX en Linux ook vergelijkbare (al dan niet betere/uitgebreidere) drive/fold/file privilege settings.

[Reactie gewijzigd door Ayporos op 14 mei 2017 23:14]

Maar hoe zit het dan met netwerkschijven? Als een pc geinfecteerd is, gaat de ransomware dan ook alle netwerkschijven versleutelen waar een client toegang tot heeft?
Ja.
En zorgt het openen van deze encrypted bestanden er dan voor dat andere clients ook worden geinfecteerd?
Nee.
Ja, een parkeerautomaat zal geen emails openen lijkt me. Dus de verspreiding komt door het ongepatcht zijn. En ook bij alle andere zaken is die verspreiding zo massaal daardoor.
Daar ga ik ook van uit.
Maar ik weet niet hoe deze parkeerautomaten verbonden zijn. Stel dat alle parkeergarages een VPN opbouwen naar een centrale locatie. Dan is een infectie op deze centrale locatie voldoende om de parkeerautomaten te infecteren.

Zonder het totale plaatje te kennen is het moeilijk om te zeggen wat hier fout gegaan is. Natuurlijk zou je in een perfecte wereld alle systemen willen updaten. Maar waarschijnlijk is Q-Park hier ook weer afhankelijk van leveranciers. Als je het systeem dan update en je krijgt een storing krijg je de discussie of het door een update veroorzaakt wordt.

Oftwel, ja de automaten zijn geïnfecteerd omdat ze niet gepatched waren. Maar het is te makkelijk om te zeggen dat Q-park alles had moeten updaten.
Dat die parkeerautomaten op hetzelfde (virtuele) netwerk zitten als een evt. kantoor waar mensen op kantoorcomputers werken (en dus iemand een malafide e-mail of zo geopend heeft om deze worm binnen te laten) is natuurlijk wél kwalijk lijkt me. Er is mijns inziens wel degelijk een argument te maken voor propere scheiding van infrastructuur in dit geval. Ik neem aan dat pinautomaten van een bank ook niet op hetzelfde (virtuele) netwerk zitten als alle kantoor workstations in de diverse kantoren van een willekeurige bank...

[Reactie gewijzigd door Ayporos op 14 mei 2017 15:37]

Totdat je dadelijk een selfie kunt maken met de pinautomaat van de bank.
Kun je zien hoe bezopen je was toen je om 2uur die ¤100 pinde :+
Een parkeer automaat moet gewoon geen windows draaien maar en een of andere embedded system alla QNX of ander soortgelijk systeem, er zijn er zat waaruit je kunt kiezen tegenwoordig.

Alleen al het feit dat deze automaten ge-update moeten worden... Je moet er niet aan denken dat je s'nachts of 3 uur tegenkomt met een parkeer automaat die staat te updaten.. Vandaar dat je deze systemen wellicht alleen tijdens onderhoud update en niet remote..
Buiten dat, als de software voor zo'n automaat is gemaakt moet dat gewoon jaren kunnen draaien. Dan is je 'attack' vector vele en vele malen kleiner.
Laat ik het nu zo zeggen, ben blij dat ik 'wat anders' draai zowel thuis als op mijn servers.
Vindt het moeilijk om te beoordelen. Is het de automaat zelf die Windows draait? Of is het een ander gerelateerd systeem in keten in de garage, waardoor het niet goed werkt? Kan best zo zijn dat je gewoon 2 backend-Windows hebt om iets af te handelen en die patch je omstebeurt.

Kortom, lastig te bepalen of Windows wel/niet de juiste keuze is. Het is iets makkelijker om te bepalen dat het patchbeleid slecht heeft uitgepakt ;-)
Hoe het bij Q-park is weet ik niet, maar bij Interparking (een grote Belgische keten) draaien de automaten allemaal op Windows. Ik stond niet zo lang geleden bij een parkeerautomaat die was vastgelopen en daar stond Windows XP embedded (!) op te starten ...
[quote]
Vindt het moeilijk om te beoordelen. Is het de automaat zelf die Windows draait?
[/quote/
Blijkbaar wel, anders had dat screenshot met "Oops, your fils have been encrypted" niet op het hoofdscherm van de automaat gestaan.

Met windows staat er default gewoon te veel open, en ja, je kan het dichtzetten.. Maar security werkt andersom,poorten/deamons openzetten/aanzetten wat je weet dat je nodig hebt, de rest staat gewoon uit.
[...]onvoldoende IT-incompetent is. [...]
Neem aan dat je het omgekeerde gebeurd. Feit is dat in ziekenhuizen de middelen nu eenmaal beperkt zijn en er altijd gekozen moet worden tussen invoeren van dat nieuwe geneesmiddel en het uitbreiden van het ICT-budget. Ziekenhuizen zitten vaak met een budget waarbij er afspraken zijn over het aantal patiënten dat in een jaar behandeld kan worden. Als er zich meer patiënten aandienen heeft het ziekenhuis pech.

De budgetten zijn overigens ook niet gering en er wordt inmiddels al bijna meer uitgegeven aan ICT dan aan de dokters.

Gelukkig zijn we in ons ziekenhuis recent van XP overgestapt op een nieuwer systeem en ik hoop dan ook maar dat ik maandag geen slot op mijn scherm te zien krijg.
ziekenhuizen werken vaak met een lappendeken aan (kleinere) applicaties met een iets centralere schil erover (b.v. per afdeling).
Dit houdt in dat het voor ziekenhuizen heel moeilijk is 1 of meerdere van die kleinere applicaties zomaar een hoger besturingssysteem te geven zonder dat er andere dingen omvallen.

Een groot aantal nederlandse ziekenhuizen zijn nu bezig (of hebben net een traject gehad) om een zogenaamd EPD in te voeren. Ofwel; een ziekenhuisbreed informatiesysteem. Aan de achterkant is dat nog steeds een lappendeken aan verschillende applicaties, maar wel een stuk moderner en 1 centrale schil eroverheen. Die zijn wss wel wat makkelijker te upgraden wanneer dat nodig is.

Voor banken geldt simpelweg dat een goed en modern computersysteem keyfactor is tot geld verdienen. De klant 'eist' dat, de zakenwereld 'eist' dat, bedrijven 'eisen' dat. Hoe het aan de achterkant bij banken zit, weet ik niet, maar de voorkant moet modern zijn en allerlei opties bieden voor de klanten, anders lopen ze simpelweg weg. Voor ziekenhuizen is IT meer een noodzakelijk kwaad (lees; administratie) en 'moet het gewoon werken'. Dat is een hele andere insteek...
Omzet is iets anders dan winst.
Bij banken zijn ze effectief zelf de baas, bij ziekenhuizen is de klant (lees zorgverzekeraar) de baas.

Ziehier alvast twee redenen...
Omdat banken kluizen zijn (virtueel en fysiek).
Verwijderd

[Reactie gewijzigd door Audiowaste op 15 mei 2017 07:00]

Klinkt misschien raar hoor, maar misschien is het een keer goed dat zoveel bedrijven geraakt worden door ransomware en andere rotzooi. ICT is geen grap, ICT is niet die vervelende kostenpost, ICT is niet maar een projectie voor erbij. Je hele bedrijf is ICT en het wordt is goed tijd dat al die bedrijven is gaan snappen dat je gewoon moet investeren in goede systemen, goede mensen en goede techniek.

Dit is waar jaaaaaaaaaaren al voor gewaarschuwd is: update nou die systemen, zorg ervoor dat die systemen niet blijven hangen op versie X, maar dat het mee kan naar Y, Z en verder. Pik het niet dat een leverancier er geen zin in heeft of maak het zelf. Maak alles toekomstbestendig. En is er dan een apparaat dat nog op een XP moet blijven omdat de software niet mee kan, fix dat dan, maak je eigen software of vervang de boel. Het 'ooh dat komt nog wel, wij worden tòch niet getroffen, updates zijn toch niet nodig'-spelletje is een keer voorbij. En dan is de rekening misschien wel nog dikker dan dat hij zou moeten zijn.

Lieve bedrijven, houd je ICT op orde.

[Reactie gewijzigd door xFeverr op 14 mei 2017 01:11]

Klinkt misschien raar hoor, maar misschien is het een keer goed dat zoveel bedrijven geraakt worden door ransomware en andere rotzooi. ICT is geen grap, ICT is niet die vervelende kostenpost, ICT is niet maar een projectie voor erbij. Je hele bedrijf is ICT en het wordt is goed tijd dat al die bedrijven is gaan snappen dat je gewoon moet investeren in goede systemen, goede mensen en goede techniek.
ICT is juist wle die vervelende kosten post. En dat noodzakelijke kwaad. Dat betekend absoluut niet dat je er niet in hoeft te investeren, anders krijg je zoals hier nog extra kosten. Maar ICT is geen core business van de meeste bedrijven. Net zoals de schoonmakers, gebouwbeheer, arbo, etc.

Er moet in geinvesteerd worden, het moet fatsoenlijk gedaan worden, en je kan er zeker niet zomaar op bezuinigen. Maar je bedrijf is geen ICT. ICT is iets wat je nodig hebt ter ondersteuning van de rest van je bedrijf. Maar daarin is ICT allesbehalve uniek. Enkel is het een relatief grote kostenpost.
ICT wordt vooral door veel managers als een vervelende kostenpost gezien. Terwijl het een essentieel stuk gereedschap is. Beetje hetzelfde als een timmerman die zijn gereedschap ziet als een vervelende kostenpost. Neem het weg en je hebt niks meer. Zeker in onze diensten economie kan je als bedrijf veel voorsprong krijgen door slim gebruik te maken van ICT. Kijk naar bedrijven als Coolblue en Bol.com. Die zijn groot geworden door maximaal gebruik te maken van alle mogelijkheden op ICT gebied.
ICT is juist wle die vervelende kosten post. En dat noodzakelijke kwaad. Dat betekend absoluut niet dat je er niet in hoeft te investeren, anders krijg je zoals hier nog extra kosten. Maar ICT is geen core business van de meeste bedrijven. Net zoals de schoonmakers, gebouwbeheer, arbo, etc.
Je bedoelt net als HR? Of Management?

Overigens zijn er steeds meer bedrijven waar ICT wél core business is, ook al begrijpen ze dat nog niet. Bij banken is ICT gewoon core business, bij energie netwerkers (Tennet, Alliander, etc.) is ICT gewoon core business, bij veilingen, bij winkels, bij transport bedrijven, bij parkeer bedrijven is ICT gewoon core business. Net zo goed onderdeel van de waarde keten als alle andere onderdelen....

Maar helaas zijn er een hele berg bedrijven die inderdaad denken dat ICT geen core business is en het dus uitbesteden, onderbelichten, laten versloffen. Met tot gevolg dat het, relatief aan bijvoorbeeld het oostblok, in Nederland over het algemeen slecht gesteld is met ICT :(

[Reactie gewijzigd door Croga op 14 mei 2017 06:06]

Ict is ten alle tijden een gereedschap om de Core business uit te voeren. CB is het alleen als je een IT bedrijf bent. Doordat het geen CB is, besteden heel veel bedrijven dit uit.
Wat is de "core business" van een bank? Het beheren van geld? En waar bestaat dat geld tegenwoordig uit? Juist ja, bits en bytes, niet meer en niet minder. Ergo: IT is core business!

Maar nog belangrijker; spreken over "core business" is een veel te ver gaande vereenvoudiging van wat een bedrijf is. Een bedrijf bestaat uit value streams. Alles wat waarde toevoegd voor de klant is core business! En laat nou bij nagenoeg alle branches ICT waarde toevoegen voor de klant!

Uitbesteden is daarmee enorm gevaarlijk geworden. Je laat het hart van je bedrijf opzetten, uitvoeren en onderhouden door mensen die geen binding met je bedrijf, visie of missie hebben. Hoe denk je dan dat je ooit commitment gaat krijgen, op één van de belangrijkste onderdelen van je bedrijf?

[Reactie gewijzigd door Croga op 14 mei 2017 08:17]

Zo kan je alles wel als 'maar' een tooltje bestempelen. Feit is dat als bij een hoop bedrijven de ICT platligt je weinig meer kan.

Dus jammer dat het zo moet maar ik hoop dat bedrijven nu beter zullen nadenken over ICT. Het tijdperk dat je het even erbij doet zijn we allang voorbij.
Als al je medewerkers platliggen, dan kan je als bedrijf nog minder. Alsnog zeggen we niet dat hr de core business van elk bedrijf is. Voor veel bedrijven is ict inmiddels iets wat intern even belangrijk zou moeten zijn als hr, en dat besef ontbreekt nog vaak, maar voor de meeste bedrijven is het daarmee nog lang niet je core business.
Men heeft echter een collectieve arbeidsovereenkomst, een vakbond van zodra er meer dan x aantal personeelsleden zijn, verschillende personeelsfeestjes (in de meeste bedrijven) en men houdt verschillende presentaties over de toekomst van het bedrijf (in de meeste bedrijven).

Allemaal dingen die men niet doet (in veruit de meeste bedrijven, zo niet zo goed als allemaal) over IT security. Nochtans kan een slechte IT beveiliging net zo veel, en misschien zelfs meer, banen kosten of voor verlies zorgen.

Heel wat bedrijven hangen aan het zijden draadje dat een handvol mensen met veel moeite moeten oplossen voor een veel te laag budget. Want budget voor de beveiliging van gegevens is er niet of nauwelijks. Dat komt omdat managementscholen maar één ding de managementstudenten aanleren: op korte termijn winst, maak zichtbaar waar de winst zit, op korte termijn de aandeelhouders tevreden stellen. IT heeft geen winst. Nul. Alleen maar een kost. En managementscholen leren onze studenten: kosten zijn slecht, winsten zijn goed.

Dat dat volledig irreëel is, ligt aan het feit dat pure hardcore kapitalisme een psychopatisch idee is. Alleen extreem krankzinnige mensen zouden zo denken als dat het systeem is.
[...]Dat komt omdat managementscholen maar één ding de managementstudenten aanleren: op korte termijn winst, maak zichtbaar waar de winst zit, op korte termijn de aandeelhouders tevreden stellen. IT heeft geen winst. Nul. Alleen maar een kost. En managementscholen leren onze studenten: kosten zijn slecht, winsten zijn goed.

Dat dat volledig irreëel is, ligt aan het feit dat pure hardcore kapitalisme een psychopatisch idee is. Alleen extreem krankzinnige mensen zouden zo denken als dat het systeem is.
Je blik op de maatschappij is hiermee wel erg eng.

Een bedrijf is niets meer of niets minder dan een containerbegrip voor een plek waar mensen werken en iets maken. Daarbij ontstaat toegevoegde waarde. Sommige mensen of structuren dragen daarbij meer bij aan de toegevoegde waarde dan andere zaken.

ICT heeft wel veel toegevoegde waarde (value) en daarmee is het wel een belangrijke toevoeging voor een bedrijf. Immers middels ICT kunnen mensen die de productie draaien dat wellicht sneller, beter of beiden.

Het management is ook noodzakelijke kostenpost dat ook een toegevoegde waarde heeft maar waarschijnlijk minder dan de ICT. Immers het management bestaat alleen bij gratie van het feit dat de leiding/het bestuur van een bedrijf vaak niet alles persoonlijk kan aansturen.

De eerste manager die meld dat de ICT alleen maar een kostenpost is kan je dus de spiegel voorhouden en vragen wat zijn of haar eigen toegevoegde waarde eigenlijk is.
Je mag ver in de tijd terug gaan op bv. Tweakers en topics over security lezen. Ikzelf ben ergens op de IT trein gestapt toen het nog Windows 3.11 was en we op USENET elkaar vertelde over security in bedrijven.

De aller enige conclusie over IT beveiliging die ik tot nu toe heb kunnen maken is de volgende: Bedrijven zullen uit zichzelf niet beter gaan nadenken. Individuen zullen uit zichzelf niet beter gaan nadenken.

Zij die de software en IT systemen bouwen en verkopen moeten verplicht worden veilige systemen op te leveren, en verplicht worden bij zulke systemen de dienst te verlenen de systemen automatisch te upgraden (op een veilige en cryptografisch getekende manier) bij problemen. Dit zonder dat diezelfde leveranciers zich het recht kunnen toeeigenen allerlei telemetry data naar zichzelf te sturen. Bv. een staging-server die een intern netwerk automatisch van updates voorziet.

Deze randsomware-scene zal zich trouwens voortzetten in ALLE IoT toestellen. Wat we daar zien is eigenlijk nog veel erger. De stomste en idiootste dingen gebeuren daar (door de programmeurs er van). Dit zal absoluut grandioos mislopen. Op een héél grote manier. Daarom, maar het is te laat en véél te véél te weinig, is die CE keuring voor IoT toestellen goed.

Het probleem met IoT toestellen is dat er een fysieke component bijkomt. Randsomware zal levens gaan kosten: auto's die mensen doodrijden tenzij je randsom betaalt. We zien nu dat de mensen achter randsomware er niet voor terugdeinzen om slachtoffers te maken in ziekenhuizen. Ze zullen ook slachtoffers maken met Telsa's. Wees gerust.

Handhaving tegen de daders is absoluut niet genoeg. Er moet ook handhaving komen tegen de producenten (die idioot slechte programmatuur maken die belachelijk eenvoudig te kraken is).
Met het bovenstaande verhaal in het achterhoofd, was die oude kaartenbak en doordruk kopietjes nog zo gek niet. En wat te spreken over oude auto's met domme elektronica, ombouwen naar E85 (of zelfs E100) en ze zijn ook milieu belastend gezien compatibel met de toekomst.

Iedereen zet in op technologie, maar de technologie doet helemaal niets zonder stroom. Ik bedoel een beetje zonnewind/storm uitbarstingen en elektronica gaat al op zijn gat. Daar sta je dan met je Iphone die het niet doet omdat de zendmast het heeft begeven, oh dus ook je mobiele internet niet, oeps hoe moet je nu betalen met je Ipay of NFC.

We gaan toe naar (of beter we hebben) een wereld met een single point of failure: Elektriciteit
Diegene die in een buurt wonen waar de elektriciteit nog wel meer dan eens uitvalt kunnen daar over meepraten.

On topic: Als die elektriciteit ook nog eens vanaf afstand uitgezet kan worden door hackers :o , ach moest zomaar weer eens aan "Die Hard" (4?) denken, kom zo even niet op de naam. 8-)

.
Je zal het niet geloven, maar ik heb thuis een stroomgenerator om de eerste dagen mijn frigo te laten draaien :-). Als de benzine op is, heb ik geen oplossing. Maar tegen dan heb ik gevoed, gezond en fit een paar dagen kunnen nadenken over wat ik ga doen.

Investering was te goedkoop ze niet te doen. En het is superhandig als je ergens in een verlaten gebied stroom nodig hebt (langs de kant van de weg een autobatterij opladen bv.).
Daar sta je dan met je Iphone die het niet doet omdat de zendmast het heeft begeven,
En niet alleen de iphone welke veelal niet van levensbelang is.
Maar zonder stroom heb ik ook geen gas of water.
Die Hard 4.0 is inderdaad een leuke waarschuwing; of helicopterpiloten die voor de leuk onder hoogspanningsleidingen willen doorvliegen.
Heel leuk in theorie om de leverancier verantwoordelijk te stellen voor het installeren van updates. Maar die leverancier weet niet wat er nog allemaal meespeelt. Updates is toch echt iets dat je intern moet aftoetsen elke keer opnieuw. Nagaan of een update wel of niet wenselijk is, is een complexe materie en vereist dat je toegang hebt tot alle processen die van die software gebruik maken om de updates eerst mee te testen voor je ze uitrolt in productie. Toegang die je externe bedrijven vaak zelfs niet wenst te geven.

Microsoft geeft je alle OS updates en je kan die perfect zelf klaarzetten in een eigen WSUS server. Maar het is nog altijd aan het interne IT team om updates te testen, te valideren en ze dan pas goed te keuren voor gebruik in productie. En daar loopt het bij deze aanval net mis. De patch bestaat al 2 maanden, maar vele instellingen hebben deze blijkbaar nog altijd niet uitgerold.
Dat maakt het nog geen core business.

Als het winkelpand af brandt dan kun je ook niets maar dat maakt vastgoedbeheer nog geen cb.

Overigens is de cb van een bank niet het beheren van je geld. Dat is eerder een kostenpost.
Hey maar ik zeg nergens dat ICT de core business is van bedrijven.

Maar het feit is gewoon dat als je ICT platligt er weinig meer gebeurd.
Het is niet maar een tooltje, maar geen core business.
Zelfde vergelijk kan je stellen met energie bedrijven, dan klapt je bedrijf ook in elkaar. Laatst was er bij ons ingebroken, gewoon door de deur en was heel veel montage gereedschap gestolen. Kan je ook een aantal dagen niks meer.
Al die beveiliging of het nu fysiek of via de internet verbinding komt, kost veel bedrijven sloten :P geld en is een noodzakelijk kwaad, helaas.
ICT heeft daar vandaag de dag veel te doen, maar deze tak van sport is relatief jong en 90% of zelfs meer is digibeet, dat geld voor de hele doorsnee van de bevolking, helaas ook in technisch onderwijs.
Zal vele generatie duren voor dit een gewone zaak is geworden net als een goed slot op je deur thuis, het is zo onzichtbaar.
ICT kan daar een grote rol in spelen als bedrijfstak, maar het besef en de snelheid waarmee automatisering verandert is groot en vraagt een fundamentele andere aanpak dan we nu doen.
IT is voor zeer veel bedrijven een van de grote strategische onderscheidende factoren van de concurentie. En daarmee dus core bussiness. Maar dan vooral IT in de sense van Information Technology.

Wetenschappers zijn het er al jaren over eens dat de fit tussen IT strategy en bussiness strategy de key is. Juist die bedrijven hebben zich de afgelopen 25 jaar positief onderscheiden van de concurrentie in winst en omzet. Lees bijv. maar dit populaire wetenschappelijke artikel: http://www.jstor.org/stab...=1#page_scan_tab_contents
Mee eens. Bij veel bedrijven is ICT core business, omdat ICT jouw bedrijf automatiseert en elk bedrijf is anders (dat is meestal historisch zo gegroeid). Daarom vind ik dat (bijna) elk bedrijf custom software nodig heeft.
Je ICT missen gedurende één dag is zelf voor een kuis bedrijf dramatisch.
Hun contacten, planningen en adressen zitten daar allemaal in.
Meestal communicatie via e-mail of web forms is ook al kritisch.

Ik kan gerust zeggen dat het minder erger is dat je bedrijfsleider en al je personeel er één dag niet is, dan je ict
Stel je voor, je heel bedrijf sluit drie weken.gedurende die tijd is je personeel er niet, maar klanten doen wel hun bestellingen of vragen naar je ict, zelfs je terug komt heb je veel werk daardoor.Als je ict ook op verlof gaat mis je alles en heb je dus geen nieuwe opdrachten tijdens je afwezigheid gekregen

[Reactie gewijzigd door sebastienbo op 14 mei 2017 07:29]

Als je ICTer op vakantie is dan is de infrastructuur er nog. Als de wagenpark beheerder op vakantie is rijden ook de bedrijfsauto's nog. Enkel in bijzondere omstandigheden loopt het mis.

Bij ons bedrijf kunnen we met een volledige computer storing nog wel nieuwe orders aan nemen en uitvoeren enkel niet factureren en onderdelen bestellen. Kortom de planning, werkplaats binnendienst en de service monteurs draaien gewoon door, via het oude planbord dat er nog hangt en handgeschreven bonnen. Enkel de administratie kan helemaal niks.

Als een dag de werkplaats stil ligt of alle service bussen stil staan dan is de schade groter. Bij ons wordt ICT net als de service bussen gezien als een stuk gereedschap.
De vraag iss hoe lang je nog met het hangbord zal werken, je kan dat hangbord bijvoorbeeld niet zien als je onderweg bent.
Of je zou het ook niet van thuis uit kunnen consulteren voor dat je vertrekt naar de klanten.
Je kan ook niet een computer de meeste optimale route of werkindeling laten berekenen met zo een bord.

Het is dus maar kwestie van tijd dat je van een gereedschap gaat gaan naar een afhankelijkheid (want als jij het neit doet dan gaat je concurrent veel efficienter en dus competiever worden)
Heb je gelijk in.
Ook is comptabiliteit vaak een reden om niet up te graden.
Kan je simpel zeggen van, we volgen de fabrikant hier niet in, maar zo gaat het in de realiteit dus niet.
Je schakelt nie zomaar al je mensen om van software x naar y
Helaas denken veel ICTers wel dat ze core van de business zijn... Zeker niet overal waar maar zie toch regelmatig dat door een arrogante houding van de ICT afdeling, eindgebruikers ze maar wat graag onderuit zien gaan. Net zoals tussen alle andere afdelingen is SAMENWERKING de enige manier om succesvol te zijn. Net zoals de eindgebruikers meestal niet compleet idioot zijn hebben de meeste IT afdelingen goede redenen om die vervelende beveiliging policys door te voeren.
Ik ken persoonlijk mensen die hier jaren gewerkt hebben op de ICT afdeling en Q-Park staat er niet echt om bekend zuinig te zijn op ICT gebied. Er is daar alleen een nieuwe manager aangetreden voor ICT wat een zeer botte vent is waardoor veel goede mensen zijn vertrokken. Ik denk verder dat niet iedere gehachte computer is te voorkomen door goede ICT maatregelen. Eén verkeerde actie van een eindgebruiker en een zero day exploit kan voldoende zijn om je hele bedrijf plat te gooien. Een ongelimiteerd ICT budget, goed opgeleide mensen, goede voorlichting hoe om te gaan met emails wat is verdacht en wat niet helpt natuurlijk maar 100% waterdicht wordt het nooit. Er wordt overigens in het artikel wel gesproken over Windows XP maar betreft het hier wel windows XP in de betaalmachines?

[Reactie gewijzigd door toet-toet op 14 mei 2017 02:59]

Hoe gezond is het om de ICT van je onderneming, inclusief endpoints als betaalterminals afhankelijke te maken van één OS leverancier? Deze homogene oplossing is dus kwetsbaar.
Heel gezond. Het vereenvoudigd enorm veel zaken wanneer je je processen kan stroomlijnen op 1 platform in plaats van het moeten aankomen en ondersteunen van verschillende platformen.

Het is ook niet alsof je tientallen oplossingen hebt en dat je end user applications zomaar even platform onafhankelijk kunnen werken
Dat is iets anders, dat is gemakkelijk en efficient. Dat wil niet zeggen dat het gezond is, Dit concrete geval laat zien dat je kwetsbaar bent.
Tja. Twee verschillende systemen zijn ook twee keer zoveel potentiële attack surface, twee keer zoveel bij te houden (wat dus uiteindelijk gewoon met dezelfde middelen moet gebeuren) - de suggestie dat een zo heterogeen mogelijk allegaartje van een architectuur ook maar in de verste verte een góed idee zou zijn getuigt werkelijk niet van enige realiteitszin. Budgetten *zijn* niet ongelimiteerd. Deal with it. Net als elke andere afdeling bij elke andere onderneming, overal, ever. :)

[Reactie gewijzigd door iceheart op 15 mei 2017 01:27]

Je kan end user applicaties die enkel op bv. Windows draaien prima onderbrengen in een Citrix omgeving en/of indien de werkstations een beetje modern zijn in een virtual machine. Heb je geen geld daarvoor, dan is VirtualBox gratis. Anders is VMWare Workstation waarschijnlijk iets beter.

Tip. Van zodra de VMWare Workstation klaar is, maak dan een snapshot er van. Heb je een virus en zijn de Windows installaties in die virtual machines allemaal stuk? Haal alles van het netwerk af, drukke je oppe de knoppe: revert to shapshot. Ende je bent terug in orde. Daarna patch je de Windows in die guest, en maak je een nieuwe snapshot. Zet netwerk terug op.

Ja zo eenvoudig is het en ja dat werkt prima.

Heb je hardware die niet anders dan een oude Windows kan draaien? Dan hang je die niet, niet, nee niet, echt niet, absoluut niet, op het Internet. Maar serieus he, niet. NIET.
Leuk, maar je vm's en je snapshots staan op een server of misschien wel lokaal op een disk. Laat die data nou juist zijn ge-encrypt..

Dan kun je niets, want je kunt niet bij je data. Een offline backup (tapes bijvoorbeeld) Is vaak toch nog een van de beste oplossingen.

En voor die 300Euro per werkstation kun je mij niet vertellen dat je niet een backup had kunnen regelen.
Leuk, maar je vm's en je snapshots staan op een server of misschien wel lokaal op een disk. Laat die data nou juist zijn ge-encrypt..
Een OS dat draait in een VM mag natuurlijk nooit toegang hebben tot de snapshots van die VM.
Je voegt een hoop complexiteit toe die je ook weer veel geld gaat kosten aan zowel personeel als implementatie. En dan kom je terug bij het begin: IT wordt vaak minder goed bedeeld als het op investeringen aankomt. En je wil zoiets niets client side afhandellen met een vmware workstation of een virtualbox. Je moet voor een gecentraliseerde oplossing kiezen. Je gebruikers willen zich daar echt niet mee bezighouden. Die willen hun PC opstarten, aanmelden en kunnen werken.
Tip. Van zodra de VMWare Workstation klaar is, maak dan een snapshot er van. Heb je een virus en zijn de Windows installaties in die virtual machines allemaal stuk? Haal alles van het netwerk af, drukke je oppe de knoppe: revert to shapshot. Ende je bent terug in orde. Daarna patch je de Windows in die guest, en maak je een nieuwe snapshot. Zet netwerk terug op.

Ja zo eenvoudig is het en ja dat werkt prima.
Eenvoudig ? Helemaal niet en het komt met zijn eigen irritaties:
- De nieuwste snapshot die je terug kan zette blijkt ook te oud te zijn.
- Iedere VM en snapshot neemt plaats in.
- Je VM software heeft ook onderhoud nodig en ontploft wel eens.
- Je moet niet 1 maar Host + VMs updaten.
- ...
Hoe gezond is het om de ICT van je onderneming, inclusief endpoints als betaalterminals afhankelijke te maken van één OS leverancier?
Dit is een heel complexe vraag.

Een mono-cultuur kun je heel makkelijk beheren en daardoor is ook het voeren van patch-beleid en life-cyclemanagement heel eenvoudig. Herstel van een kapotte node/server doe je door hem simpelweg te vervangen door een nieuwe, want dat heb je op schaal.

Het nadeel is inderdaad dat als je 1 kwetsbaarheid/probleem op 1 punt hebt, dat je die op alle punten hebt. Ander nadeel is vendor lock-in. Je bent erg afhankelijk van de nukken en grillen van 1 leverancier.

Een multi-vendor strategie kan je daarbij helpen. Het probleem is dat je daarmee dan weer je beheerkosten flink omhoog kan jagen. Je moet allemaal issues op gebied van integratie oplossen, je hebt meer verschillende vaardigheden binnen je IT-personeel hebben. Dat betekent of meer, of duurder personeel. En je krijgt meer problemen te verstouwen, namelijk de issues van meerdere platformen, in plaats van die van 1 platform.

Kortom, het is de keuze tussen soms een groot probleem, of vaak een klein probleem.

Als iemand die in veel verschillende omgevingen heeft gewerkt, neig ik eerder naar de kant van een eenzijdige omgeving, dan een heel gevarieerde omgeving. Vanuit IT-perspectief: neem de eenvoud van beheer als uitgangspunt, de complexiteit komt vanzelf wel in de vorm van 'specials', die je vanuit business oogpunt zult moeten gaan ondersteunen.
Ik denk dat je deze situatie zo goed schetst. De systemen waar de bulk van je personeel interactie mee aangaat (servers, werkstations, terminals) is om de reden die je aangeeft wat complexer om heterogeen op te bouwen.

Echter, voor zoiets als een betaalterminal, database, core router, IP camera/ANPR, IO multiplexer is er denk ik geen noodzaak (in mijn optiek zelfs minder gewenst) om hetzelfde systeem te draaien als voor je office personeel.
Echter, voor zoiets als een betaalterminal, database, core router, IP camera/ANPR, IO multiplexer is er denk ik geen noodzaak (in mijn optiek zelfs minder gewenst) om hetzelfde systeem te draaien als voor je office personeel.
Doorgaans zijn de apparaten die je noemt voorzien van een eigen OS, vaak vendor-specifiek. Wat ik zelf schetste ging vooral om het platform voor het applicatielandschap, ongeacht of het front-end/back-end applicaties zijn.

Maar voor die apparaten dan precies dezelfde vraag: koop je bvb. alleen Cisco-routers, of ga je voor een multi-vendorstrategie. Dat levert dezelfde keuze op: soms een groot probleem, of vaak kleine problemen.

[Reactie gewijzigd door Keypunchie op 14 mei 2017 11:37]

In de context van dit nieuwsbericht reageer ik. Ik vind het een opvallende keuze om zo'n betaalzuil in een garage uit te rusten en te koppelen met dezelfde software als je 'office' gebruikers.

Ik denk niet dat je de ICT van een parkeer garage kan vergelijken met een overheidsinstelling met een groot applicatielandschap.
Ik denk dat als je de hele infrastructuur niet alleen op Microsoft bouwt het 0-day risico stukken kleiner is een dit soort zaken bijna niet kunnen gebeuren. Dus gewoon Windows, Unix, Linux, Solaris en whatever... Iets lastiger qua beheer maar dan word er niet door je hele organisatie heen gefietst wanneer er een 0-day voor systeem x is.
Het klinkt leuk maar werkt alleen al niet bij iets "simpels" als webhosting.

Je onder share hoste door een paar duizend techies ondersteunde, op Linux draaiende, via een Windows met Google Chrome browser onderhouden Wordpress website met al dan niet ondersteuning van 1 of andere 3e party security plugin, zorgt er nog altijd niet voor dat er niet op een dag door een al dan niet uitlekkende 0day je hele infrastructuur kwetsbaar is.

Hier moest ik aan denken omdat ik gisteren nog zo'n aanvaring met een klant had. Goeie man heus maar die koopt dus een Mac omdat het "veilig" is maar heeft wat onervarenheids-problemen met het opzetten van zijn accounts. Die stuurt een support ticket waarin die even voor het gemak zijn account gegevens incl ww toevoegde voor PayPal en Stripe. "Dan kunnen jullie zelf zien wat ik bedoel".
Je hele bedrijf is ICT en het wordt is goed tijd dat al die bedrijven is gaan snappen dat je gewoon moet investeren in goede systemen, goede mensen en goede techniek.
Zeker als je een ict bedrijf bent... maar ook andere bedrijven die besluiten om functionaliteit te automatiseren/robotiseren. Neem dat gevalletje QPark - wie gaat er parkeerwachter spelen als de automaten niet werken? Maar -alle- besmettingen die via een LAN verspreid zijn, zijn door een gebruiker geinitieerd, de SMB propagatie kan niet over het internet (tenzij je systemen echt waanzinnig rot beveiligd zijn en je ongepatchte servers met open SMB poort aan het internet knoopt, maar in dat geval heb ik geen medelijden met een uitbraak op je lan).

Overigens vreemd dat de malware uberhaupt een killswitch had. Als ik me inbeeld in de rol van cybercrimineel zie ik het nut van een killswitch niet in - zelfs als je niet meer kan decrypten zou het toch geen moer uitmaken als er nog honderden, zo niet duizenden systemen besmet raken - de poen is binnen. Vanuit de rol van een geheime dienst zie ik er wel het nut van in. Even chaos maken en dan is het "ineens" opgelost met een "patch". Ja, ik ben achterdochtig over wat de Amerikanen, Russen en Engelsen allemaal met Microsoft, Adobe, Android en Apple software aan het uitspoken zijn.

[Reactie gewijzigd door Aetje op 14 mei 2017 02:39]

De post over de killswitch legt uit dat deze waarschijnlijk een niet-bestaand domein probeert te resolven, aangezien sommige sandboxen nog wel eens alle dns queries resolven naar een random ip. Hiermee hoopte het virus te voorkomen dat het kon worden onderzocht.

Helaas (voor de virusschrijver) is die een static adres, en nu dit geregistreerd is werkt het inderdaad als een killswitch. Andere virussen probeerden vaak random adressen te resolven ipv een hardcoded adres.
Wat ik niet snap is dat die Killswitch dan toch erg makkelijk te vinden is? Zelfs zonder code in te duiken. Gewoon netwerkverkeer monitoren en zien welke urls hij pollt?
Dat kan je als virusschrijver eenvoudig oplossen door een hele grote hoop adressen te WHOIS-en of pollen, in dezelfde iteratie als die gebruikt wordt om nieuwe hosts te vinden om zichzelf naar te verspreiden.

Wat ik las ging het over een disassembly waar men de URL in gevonden heeft.
Zoveel domeinen opvragen wekt juist zeer snel vragen op bij beheerders en wordt je virus eerder ontdekt. Niet bepaald handig.
SMB kwestbaarheden met een poort aan het internet kan prima mits je maar encryptie gebruikt. Vanaf SMB 2.0 kan dat al. Natuurlijk wordt je dan kwetsbaar voor user / password guessing. Als dat dan via de AD van je bedrijf loopt lijkt me dat niet zo handig. Maar als je deze machine met een eigen account database in een DMZ zet en de username zo goed als on-raadbaar, een on-raadbaar password en blacklisting na 10 verkeerde verzoeken voor bv 6 uur dan kan je best stellen dat het veilig genoeg is. Voor bv file transmissie tussen bedrijven kan dit best handig zijn.

Wat is het verschil als iemand een webserver hackt waar een een admin account op staat gedefinieerd voor bv php. Hoe groot is de kans dat dit account ook niet elders in het netwerk voorkomt op andere services zoals bv SQL heb je dan wel medelijden en met SMB niet?

SMB per definietie als unsafe betitellen is, zonder na alle andere aspecten te kijken, makkelijk, een beetje makkelijk meepraten met de meute vind ik.
Normaal bestempel je alles per definitie als unsafe. En zet je zaken beschikbaar op basis van: enkel dat wat absoluut en bewezen noodzakelijk is voor de werking van de organisatie. Liefst segmenteer je het hele bedrijfsnetwerk in layers, en doe je dit per layer. Nog beter is dat je dit per werkstation en per medewerker regelt.
Fileshares zijn over het algemeen per definitie voor kantoorpersoneel/medewerkers en itt je website heb je er over het algemeen geen publieke toegang voor nodig en kan het dus prima achter een VPN.
Het is onveilig, omdat als er een bugje in smb2.0 zit (of 3.0) dan ligt meteen je data op straat. Er is in jouw voorbeeld geen sprake van een second layer voor beveiliging.

Daarnaast is het ook totaal niet nodig, Een VPN kan dit ook prima voor je oplossen. Dan heb je wél meteen 2 lagen.
In Duitsland zit er gewoon een mannetje in de parkeergarage. Ook handig als de internetverbinding het laat afweten, als er iemand achter een ander de garage probeert uit te komen, voor de sociale veiligheid, etc. Had hier ook geholpen.
Helaas heeft men in Nederland een allergie voor het annemen van mensen die niet op kantoor Excel zitten in te vullen en te mailen. Zal wel weer van de hoge loonbelasting komen.
Misschien is dit handig voor degenen die getroffen zijn:

https://www.malwaretech.c...global-cyber-attacks.html

Het gaat over een killswitch die actief lijkt voor nu. De malware sluit zichzelf af als het denkt zich in een sandbox te begeven.
Is dit de Killswitch betreffende een geregistreerd domein? Zo ja, slecht nieuws. Er is een nieuwe variant zonder killswitch. Het probleem is dus weer terug.

Live infection map voor de geinterreseerden. Linkje: https://intel.malwaretech.com/WannaCrypt.html
Ok oud nieuws dus, jammer had gehoopt dat het wat mensen had kunnen helpen.
Blijkt nu dat Microsoft een Windows XP patch heeft uitgebracht als een "paniekreactie" om de ramsomware-worm te stoppen.

[Reactie gewijzigd door NotCYF op 14 mei 2017 03:30]

Het is geen worm en de patch is niet uit paniek.
🤔 Waarom geven ze dan een patch uit voor een OS die al 3 jaar uit support is, voor een enkele ramsomware-worm(Ja, het is bij definitie wel een worm).

Edit: https://arstechnica.com/s...down-computers-worldwide/
http://www.reuters.com/ar...-ransomware-idUSKBN1882O2
https://www.theregister.c...down_due_to_cyber_attack/

Geen worm? Elke source die op Google opkomt zegt dat het een worm is.

[Reactie gewijzigd door NotCYF op 14 mei 2017 03:35]

Sorry m'n beste dat zijn sites met verslaggevers die geen verstand hebben van virussen. Dit zijn verslaggevers die iedereen die een beetje tech savvy is een hacker noemen.

Anti-virus vendoren, die daar dus wel verstand van hebben noemen het:
Win32.Trojan-Ransom.WannaCry.A.

Met Trojan wordt er dus bedoeld dat er ergens een dappere dodo achter het keyboard zit die zonder verstand overal op aan het klikken is waardoor deze ransomware wordt geactiveerd.

Een worm propageert zichzelf zonder menselijke interactie via het internet.
Vandaag de dag lukt dat niet zo goed meer omdat bij bedrijven de perimeter defensie wel op orde is.
De verspreidingsmethode van malware vandaag de dag is vrijwel uitsluitend via een Trojan.
Een (advertentie) link op een webpagina, in een e-mail (attachment of link) of zelfs via een artikel/advertentie in een magazine..

[Reactie gewijzigd door Alfa1970 op 14 mei 2017 06:34]

Maar dit is juist wel een worm. Het gebruikt een gelekte NSA exploit om zichzelf te propageren. Hoe denk je anders dat hij in een paar dagen overal zit?

Zelfs de onderzoeker die de killswitch vond noemt het een worm

https://www.malwaretech.c...global-cyber-attacks.html
Ja en nee.

How does Wanna Decryptor work?

The malware is delivered as a Trojan through a loaded hyperlink that can be accidentally opened by a victim through an email, advert on a webpage or a Dropbox link. Once it has been activated, the program spreads through the computer and locks all the files with the same encryption used for instant messages.


Het word verspreid als een trojan, welke, eenmaal geactiveerd de pc infecteerd als een worm. Het is dus eerder een combinatie van de twee. Daarbovenop zit ransomware. Eenmaal betaald, word via de "trojans afstandsbediening" het virus onschadelijk gemaakt.

Tenminste, als ze doen wat ze beloven.
Ik vraag me af of het mogelijk zou zijn om de code achter de "afstandsbediening" te hacken om zo alle PC's te kunnen deinfecteren, is dit al eerder gebeurt?
Dat is al eerder gebeurd ja maar dan vooral bij botnets, waarbij het ene botnet de malware van het andere botnet onschadelijk probeert te maken. Daar is een jaar of wat geleden nog een artikel over geweest.
SMB zijn fileshares.
Die open je zelf vanaf je eigen PC met behulp van bijvoorbeeld explorer. Of als je permanente shares hebt aangemaakt dan doet je PC dit voor je.

Het verschil is dat er ten alle tijden menselijk handelen aan te pas komt voor de verspreiding. Je moet inloggen op je PC en de malware zelf downloaden voordat dit actief wordt.
En pas dan kan die malware zich propageren via reeds lang bekende problemen in fileshares (SMB).
Zodra je niet bent ingelogd kan deze malware normaal gezien ook niks.
Alleen het probleem wordt verergert op het moment dat een server besmet raakt doordat je bijvoorbeeld ook applicaties via de server draait.
Terminal server/Citrix achtige omgevingen zijn extreem vulnerable voor dit type malware want zodra er op de server eenmaal een executable geïnfecteerd is zal op alle systemen die verbinding maken met deze applicatie de besmetting ook plaatsvinden.

Een worm daarentegen gaat uit zichzelf actief op zoek vanaf het internet naar vulnerable systemen zonder dat daarbij ooit een mens aan te pas komt.

De reden waarom dit binnen een paar dagen overal zit is omdat dit, in tegenstelling tot wat veel reporters de afgelopen dagen schreven, juist geen APT was.

Er zijn via een (of meer) spam netwerk(en) enkele miljarden e-mails verzonden naar alle bekende e-mail adressen uit een aantal hele grote e-mail databases. En via die route is de besmetting zo wijdverbreid terecht gekomen.

Het enige opmerkelijke in dit geval is eigenlijk dat een mechanisme dat normaal via APT's wordt gebruikt aan een dusdanig grote hoeveelheid mensen is verzonden dat dit dus wijdverbreid een probleem kon worden.

En klaarblijkelijk zijn er heel veel dappere dodo's op de wereld die nog steeds overal op klikken zonder na te denken over de gevolgen, terwijl ze weten dat ze met systemen werken die niet zijn bijgewerkt..
https://blog.malwarebytes...that-spreads-wanacrypt0r/

After initializing the functionality used by the worm, two threads are created. The first thread scans hosts on the LAN. The second thread gets created 128 times and scans hosts on the wider Internet.

The threads that scan the Internet generate a random IP address, using either the OS’s cryptographically secure pseudo-random number generator initialized earlier, or a weaker pseudo-random number generator if the CSPRNG failed to initialize. If connection to port 445 on that random IP address succeeds, the entire /24 range is scanned, and if port 445 is open, exploit attempts are made.


Als je dus de verkeerde ports open hebt staan en niet up to date bent met patches dan is er geen phishing mail nodig voor zover ik het begrijp.

Hier is ook een thread waar iemand een honeypot opgezet heeft en binnen 3 minuten geinfecteerd raakte.

[Reactie gewijzigd door Goron op 14 mei 2017 22:25]

Met Trojan wordt er dus bedoeld dat er ergens een dappere dodo achter het keyboard zit die zonder verstand overal op aan het klikken is waardoor deze ransomware wordt geactiveerd.
Ik geloof je gelijk, maar hoe komt die troep dan op een betaalautomaat van een parkeerplaats. Daar staat toch geen mail op oid met een user die een bijlage gaat runnen?
Omdat die systemen informatie op een server opslaan en als die server via smb te bereiken is en de zaak daarop encrypted geraakt dan kan zo'n terminal crashen.

Alternatief staat er een soort image op een server die de terminals binnentrekken bij een (al dan niet scheduled) reboot. Imagefile encrypted, en je kan het sommetje afmaken.

Dus meerdere scenario's mogelijk zonder dat de feitelijke terminals zelf gevoelig/geïnfecteerd zijn.
Tja of die parkeer automaat draait op Windows, wordt zelden of nooit gepatched en de ransomware valt z'n smb poort aan over het lokale netwerk vanaf een andere besmette machine.

Op de server zit ook niemand z'n mail te lezen als het goed is. Mag het niet hopen iig.
Het is van origine een trojan, maar eenmaal geactiveerd en het verspreidt over alle niet-os noodzakelijke bestanden beschikbaar op de PC, dus ook bijvoorbeeld een NAS op het netwerk die je gewoon via Explorer kan verbinden.

Volgens mij kan het ook zwakke computers op een lokale (bedrijf)netwerk vinden en deze direct infecteren.

Hoe denk je anders dat er opeens uit het niets 1100 computers zijn geinfecteerd bij een overheid. Denk je nou echt dat er 1100 mensen tegelijk op een linkje gedrukt te hebben?

[Reactie gewijzigd door NotCYF op 14 mei 2017 15:31]

Eenmaal binnen je netwerk kunnen er door middel van vulnerabilities wel andere systemen worden geïnfecteerd, maar de initiële infectie vector is een Trojan.
Dit komt voornamelijk door processen die draaien waardoor gegevens heen en weer worden verzonden van/naar de betaal automaten.
Als iemands systeem geïnfecteerd is en hij/zij benaderd een van de servers die die communicatie onderhoud met het netwerk van de betaal automaten wordt op die manier de malware verspreid.
Er is voor de infectie dus altijd initieel menselijk handelen nodig
alleen bij systemen waarbij processen draaien die weer automatisch contact maken met andere systemen, en dat zijn voornamelijk servers, wordt de infectie ook via die vector verspreidt.

Het probleem bij dit type malware is dat het niet onmiddellijk je systeem gijzelt, het zorgt er eerst in de achtergrond voor dat het een tijdje gegevens verzameld en vanaf een bepaald moment pas wordt de gijzeling actief en kun je er ook echt niet meer bij.
Het zou kunnen dat het als trojan binnenkomt bij een bedrijf, maar als het eenmaal actief is op 1 machine binnen een bedrijfsnetwerk verspreidt het zich wel degelijk als een worm.

Dit is ook de reden waardoor het bij diverse organisaties direct voor zulke grote problemen zorgt. Er hoeft maar 1 afdelingsassistent een verkeerde bijlage te openen, en alle ongepatchte machines op het ziekenhuisnetwerk worden besmet.
Tegenwoordig noemen ze tech savys computer wetenschappers :-)
Heeft niet direct met een paniek reactie te maken, het enige dat ze gedaan hebben is de patch die ze al een paar maand geleden uitgebracht hebben voor het selecte groepje bedrijven / overheden dat nog betaalde XP support afneemt publiekelijk beschikbaar te maken vanwege de wereldwijde impact.

Het is niet zo dat ze even snel een patch in elkaar gedraaid hebben speciaal voor XP gebruikers. Die patch hadden ze allang klaar liggen.
OT: Gecorrigeerd tegen het aantal inwoners zie ik veel China voorbij komen. Wordt daar nog gigantisch veel XP gebruikt?
Volledig met jouw post eens. Deze aanval is goed om een hoop mensen wakker te schudden maar had veel erger kunnen zijn (gemakshalve even eventuele doden door WannaCry-infecties bij ziekenhuizen e.d. genegeerd).
Dat XP (en co.) alsnog een security update krijgt is een mooi gebaar van MS maar het lost ten eerste overige lekken in het OS niet op, en lijkt ten tweede een aanmoediging het OS te blijven gebruiken. Als het ernstig genoeg is, komt er toch wel een patch dus waarom upgraden? Zo wordt het bedrijven te makkelijk gemaakt de verkeerde keuze te maken.
Waarom toch upgraden? Omdat het veel werk kost, en bij luie systeembeheerdeers ook het risico op duizenden tot miljoenen schade; voornamelijk als er totaal geen backups zijn.

Er wordt heel laks mee omgegaan, maar die bewustwording wordt wel steeds groter. Toch hoor je 't nog te vaak. Soms kom ik ook bij bedrijven over de vloer waar ik gewoon hoofdpijn krijg van het beleid. En dan is t erge nog dat ze al eens getroffen zijn door virusinfecties en cryptolockers maar "ja we hadden wel een goede backup, dus t maakt ons niet zo uit". :+ Voorkomen is beter dan genezen komt bij sommige sysadmins niet eens op. Ik had ze er meteen uitgetrapt, maar afijn. Soms ligt t ook aan management... Geen budgetten vrijmaken want "de kans op een aanrijding is groter heb ik eens gelezen". :'( Dan zit er zo'n gefrustreerde sysadmin die graag wil, maar niet mag, en dan nog boos aangekeken wordt als 't misgaat ook. Ai ai ai. :/
Luie systeembeheerders is vaak niet eens het probleem, in mijn ervaring zijn het vaak incapabele managers die geen computer achtergrond hebben die de boel ophouden en alleen naar het kosten plaatje kijken. Daarnaast is wel weer zo dat veel bedrijven zeggen klant is koning en niet actief die klant proberen te sturen naar een betere oplossing.
Je lifecycle management is precies het zwarte schaap waar niemand in wil investeren
Soms ligt t ook aan management... Geen budgetten vrijmaken want "de kans op een aanrijding is groter heb ik eens gelezen". :'( Dan zit er zo'n gefrustreerde sysadmin die graag wil, maar niet mag, en dan nog boos aangekeken wordt als 't misgaat ook.
Da's toch niet zo moeilijk om op te lossen, gewoon een mailtje sturen: "okay, geen budget ervoor, dus ik kan het niet doen. Da's dus your call en dus jouw verantwoording als het misgaat."
Mja, maar dan krijgen ze als er wat misgaat 't antwoord dat ze duidelijker hadden moeten maken waarom het een probleem is. ;) Het is in sommige bedrijven nooit de schuld van de manager.

http://www.design.caltech.edu/erik/Misc/balloon.html
Die zijn er inderdaad, maar is dat niet een teken om daar uberhaupt niet te gaan werken?
Denk dat dit voor sommige mensen geen optie is. ;( Je komt er meestal pas achter als je er werkt, en zomaar je baan opzeggen durft bijna niemand tegenwoordig.
Wie zegt dat QPark dat niet doet? Het is een flinke aanname die je doet, alsof zij dat niet zouden doen. Tel daarbij op dat MS zelf dit weekend de patch released heeft en dat een omgeving als dat van QPark groot en dus complex is, wat bijhouden van die omgeving bemoeilijkt, waardoor het langer duurt om die bij te werken en houden qua patches. Neemt niet weg dat investeren in ICT belangrijk is, maar mensen vergeten vaak de complexiteit en groottes van omgevingen. ;) Voor QPark is het dus redelijk onmogelijk om direct de patch te installeren die deze ransomware voorkomt. Voordat je een patch installeert, wil je eerst testen of er niets op​ zijn plaat gaat, omdat anders daardoor je bedrijf omvalt en dan daardoor niet kan werken.

Daarnaast js bijhouden van de omgeving een deel van de preventie. Wat denk je van de gebruikers? Ook die hebben de verantwoordelijkheid om goed te kijken en na te denken voordat zij bijvoorbeeld bestanden of emails openen.

Niet om lullig te doen, maar de medewerkers in de garages zijn vaak redelijk goedkope krachten, daarvan kun je een dergelijke awareness ook niet echt verwachten.

[Reactie gewijzigd door CH40S op 14 mei 2017 09:21]

Tel daarbij op dat MS zelf dit weekend de patch released heeft
Dat was alleen voor out-of-support systemen als Windows XP.

Voor in-support systemen (Win7, Win8.1, Win10) was de patch al in maart uitgekomen (MS17-010), wat meer dan voldoende lang geleden is dat die allang geimplementeerd had moeten zijn.
Niet om lullig te doen, maar de medewerkers in de garages zijn vaak redelijk goedkope krachten, daarvan kun je een dergelijke awareness ook niet echt verwachten.
Die systemen zullen dan ook niet beheerd woren door die lokale medewerkers, maar dat zal wel centraal door een IT-afdeling gebeuren.
Dat zal ongetwijfeld centraal beheerd worden bij een omgeving als dat van QPark. Neemt niet weg dat de gebruikers niet meer bedachtzaam hoeven te zijn bij het openen van email, bestanden en websites e.d.

Ook het implementeren​ van een patch gaat tijd overheen, simpelweg omdat er wel meer patches binnenkomen, die ook geïnstalleerd moeten worden, first come, first serve, zeg maar. Dan moet dat ook de testprocedures nog door.
Ik denk dat het eerder onkunde (gebrek aan mensen met expertise) dan onwil is.
Aan de ene kant ben ik het helemaal met je eens, maar ondanks de juiste intenties van een IT gast, er is geen budget, er is geen tijd, er is geen zin om het constant aan te pakken. Het kost bakken met geld om kastjes door het bedrijf of zelfs het land aan te pakken elke keer als er een update is. Maar ja, laten ze er maar eens een keertje goed over nadenken. Ik lig er niet wakker van. Het is niet alsof het al jaren bekend is dat het negeren van hardware en software geen problemen zou geven. ofzo, rolleyes.
Helaas moet ik het met je eens zijn. Ik zit zelf in de sector. Wij zijn al een tijdje al on onze klanten volledig secure aan het maken. Echter komen we te vaak tegen dat de klant de rdp poort niet toe wilt en niet met bijvoorbeeld een ssl-vpn wil werken omdat dit een extra stap is.
Je weet dat er een groot verschil is tussen "is" en "eens" hè?

Voor de rest heb je groot gelijk. Misschien is het wel goed dat de boel nu goed opgeschrikt is. De dinosaurussen in de politiek gaan misschien eindelijk begrijpelijk dat de gemeente, ziekenhuizen en tegenwoordig zelfs auto's ICT is.
Ik verbaas me om het volgende.....
Volgens mij is het virus via een werkplek binnen gekomen..hoe kan het dan op de automaten schade aan richten. Beide systemen zitten dus op hetzelfde netwerk. Een utp uit de automaat trekken en in een laptop doen en ik zit op hun netwerk.
Om dat dit apparaten verbinding maken met het netwerk waarop data beschikbaar is. Die data is helaas verloren gegaan door encryptie. (ik werk er niet dus ik schets een waarschijnlijke situatie).

En daardoor werkt er plotseling heel veel niet. Ik vermoed dat QPark storage per locatie heeft waardoor ze niet meteen alles plat hebben liggen.
Hoi, er wordt een goed punt aangegeven, "investeren in goede mensen", helaas ook in de ICT sector geldt "het is niet wat je weet maar wie je kent".

Ik weet van bepaalde organisties dat de ICT security niet op gewenst niveau is.
Dit zijn financiele instellingen en deel daarvan zelfs semi overheids financiele instellingen.
Er wordt helaas, vaak, niet de juiste mensen aangenomen.
Dus als morgen een bende door jouw straat trekt die raam van je huis inslaat en je spullen met een brandbom gaat gijzelen moeten we juichen?

Want je had wat aan je beveiliging moeten doen en backup van je huisraad hebben.....
Wat mij irriteert is dat bepaalde bedrijven (zoals Fox IT) en instellingen (zoals NCTS) meteen weer over geld beginnen te praten. Ze willen dat het probleem met honderden miljoenen te lijf wordt gegaan.

Het is geen kwestie van geld maar van mentaliteit! Als bedrijven en instellingen hun kwetsbare software niet patchen en ook nog eens toegankelijk maken via internet dan kan je toch wel op je vingers natellen dat dit problemen gaat geven!

[Reactie gewijzigd door ArtGod op 14 mei 2017 10:57]

Voorop dat t netjes is dat Microsoft XP patched, maar wat doen dje bedrijven er in hemelsnaam nog op? ;(
Zelfs de overheid en bijv. de Politie gebruiken op veel stations zelfs oudere versies van Windows dan XP hoor, ik verbaas me er al jaren niet meer over.
Klopt, maar zij worden door Microsoft nog wel ondersteund met updates. Wordt overigens wel tijd dat ze eens gaan overstappen.
Daar hebben ze geloof ik ook wel een aardige prijs voor mpgen betalen. Of eigenlijk wij dan.

Vind echt dat er de afgelopen jaren veel te weinig is gedaan aan ict bij de overheid. Ja over elk idee moest er weer een manager een plasje doen waardoor het weer zo 'versimpeld' moest worden en het nauwelijks meer effectief werktte
De overheid doet dat ook, zij het traag. Bij het MKB is het gebruik van XP zorgwekkender; het systeem werkt toch nog, de werkprocessen leunen te veel op programma X wat alleen goed werkt op XP, want heeft een bepaalde driver nodig, omdat het aangesloten apparaat alleen werkt op die specifieke (versie van) driver en die betaalde support of de upgrade naar nieuw te duur is of teveel impact heeft op het werkproces.

[Reactie gewijzigd door CH40S op 14 mei 2017 10:12]

Maar zolang die systemen niet aan het netwerk hangen of volledig geïsoleerd staan is er eigenlijk nog geen enkel probleem. De problemen ontstaan pas wanneer je ze in een algemeen netwerk hangt tesamen met andere machines die ook geïnfecteerd kunnen worden. Spijtig genoeg is dat niet altijd het geval.
Maar de overheid heeft tenminste support gekocht voor XP en het OS wordt steeds minder gebruikt binnen de overheid, al gaat het niet snel. Zou willen dat ik van het MKB hetzelfde kon zeggen...
Upgraden kost geld. En als het nog werkt in de oude versie is de keuze makkelijk gemaakt.

[Reactie gewijzigd door SCiENTiST op 14 mei 2017 02:40]

Dat niet alleen, het werkproces kan maar zo afhankelijk zijn van die PC, want apparaat​ X werkt alleen goed met de driver van XP. ;)
Dat niet alleen, het werkproces kan maar zo afhankelijk zijn van die PC, want apparaat​ X werkt alleen goed met de driver van XP. ;)
Dan is dat alsnog een kwestie van "upgraden kost geld" maar dan nog meer geld, omdat je ook dat apparaat moet gaan vernieuwen.
Upgraden kost geld. En als het nog werkt in de oude versie is de keuze makkelijk gemaakt.


Alleen werkt het dus eigenlijk niet, want een behoorlijk belangrijk gat was niet gedicht. Die keuze is dus onhandig gemaakt, want "krijgen we nog updates voor die oude versie" is er overduidelijk niet in meegenomen.
Laten we er van uit gaan dat het een weloverwogen beslissing is geweest als je er voor kiest om je systemen op Windows XP te laten draaien. Vaak betreft het machines welke nog prima werken maar de investering niet meer waard zijn om te upgraden naar een nieuwe versie van Windows.

Maar op het moment dat je er voor kiest om systemen, waar je organisatie afhankelijk van is, te laten werken met een niet ondersteund besturingssysteem. Dan zul je aanvullende maatregelen moeten nemen om het systeem te isoleren van de buitenwereld.
Ik kom vaak genoeg Windows 9x, 2000 en XP machines tegen welke bedrijfskritische processen aansturen. Zo lang deze systemen standalone zijn en niet (rechtstreeks) verbonden met het internet en/of het reguliere bedrijfsnetwerk, dan is er niets aan de hand.

Het is prachtig dat Microsoft een update uitbrengt voor Windows XP. Maar het natuurlijk eigenlijk een oplossing voor een probleem dat er niet zou moeten zijn.
De laatste versie van Windows XP Embedded heeft nog ondersteuning tot april 2019.
Nou, naast de kosten, bijvoorbeeld omdat er legacy-niche software op draait die alleen op dat OS werkt.
Om maar iets te noemen.
Dat die systemen nog draaien op een vorm van XP is op zich niet gek. Heb zelfs op sommige projecten mee gemaakt dat er nog hele fabrieks-system op windows 3.11 draaien. Zelfs de meeste ATM automaten draaien nog op XP of eerder.

Op zich zelf allemaal niet zo erg zolang het niet van buiten af te bereiken is.
Wat het wel erg maakt is dat deze systemen via het internet toegankelijk zijn.
Ik hoop niet dat dit de tweakers in het verkeerde keelgat schiet, maar ik moet toch eerlijk toegeven dat ik smakelijk moest lachen toen ik het eerder op een nederlandse nieuws site las en een andere vriend van mij ook.

Qpark, die, in mijn opzicht best duur is, overkomt dit, waardoor ze de poortjes open moesten zetten en dus inkomsten verliezen. :Y)

En ook nog iets anders: Er worden op dit moment alleen systemen getroffen van computers die niet up to date zijn. Als dit soort computers op het internet zijn aangesloten, waarom worden die niet gewoon goed gepatched (als in: dat bedrijf X even een goede patch rondstuurt.
Tja. Ik gun het ze niet. QPark is op sommige plekken inderdaad heel duur (Amsterdam bijenkorf bijvoorbeeld is gewoon diefstal.), maar aan de andere kant: je bent niet verplicht er te gaan staan en de garages worden meestal wel met camera's in de gaten gehouden - wat wel weer prettig is.

Dat ze duur zijn is voor mij geen reden om het grappig te vinden dat ze gehacked zijn. Het is eerder triest, want wel eigen schuld idd als ze de boel niet geupdated houden. Ik vind t wel machtig interessant hoe groot deze aanval is.
Ik werd eens aangereden in een Qpark garage, omdat ik van mening was dat dit niet mijn schuld zou zijn (wat achteraf ook zo bleek) wilde ik de beelden inzien. QPark werkt hier niet aan mee, niet direct op lokatie maar ook later niet via email/aangetekende brief.

Dat parkeergarages in de gaten worden gehouden met camera's is dus mijn inziens alleen maar voor QPark zelf en ik zie dat dan ook niet als voordeel meer om hier te parkeren.

[Reactie gewijzigd door Donstil op 14 mei 2017 02:17]

Goed beleid van Qpark in mijn ogen. Op die beelden staan ook anderen (zoals de partij waarmee je een aanvaring had) en die zou men niet zomaar vrij moeten geven.
In dit geval was de andere partij ook van mening gelijk te hebben en ook geïnteresseerd in de beelden. Maar dat kan een uitzondering zijn idd.
Als je onderdeel uit maakt van een aanrijding hoor je het recht op bezwaar niet te hebben. Had oom agent er gestaan en het gezien, had men ook niet bezwaar kunnen maken.

Je maakt schade en hoort daar beboet voor te worden.
Ik had in dit geval Qpark zelf aangeklaagd voor heling.
Als je onderdeel uit maakt van een aanrijding hoor je het recht op bezwaar niet te hebben.
Er zijn meer mensen in de wereld dan degenen in het ongeluk. Ook deze mensen hebben recht op privacy.
Had oom agent er gestaan en het gezien, had men ook niet bezwaar kunnen maken.
Al had een agent het gezien dan was diens getuigschrift voldoende.
Je maakt schade en hoort daar beboet voor te worden.
Ah, het gaat dus niet om schadevergoeding, maar om straffen. Het onderbuikje wil ook wat.
Ik had in dit geval Qpark zelf aangeklaagd voor heling.
En keihard verloren, want ze zouden zich beroept hebben op de WBP.

Je had natuurlijk ook gewoon een dashcam in je auto kunnen hebben. Die beelden mag je wel gebruiken, omdat ze in jouw bezit zijn.

[Reactie gewijzigd door The Zep Man op 14 mei 2017 10:54]

2 jaar geleden trof ik mijn auto aan met een flinke deuk in de zijdeur. De politie heeft die beelden heel snel gekregen want de bestuurder was binnen een uur thuis achterhaald. (En rijbewijs ingenomen omdat de 92-jarige beweerde niets gemerkt te hebben van een aanrijding).
Nu staat er dat er losgeld betaald moet worden aan meneer ramson, normaal moet er losgeld betaald worden aan Qpark (om je auto weer vrij te krijgen) ;) Vraag me af wat de gebruikers gedacht hebben, toen ze dit zagen op de parkeer apparaten..
Vraag me af wat de gebruikers gedacht hebben, toen ze dit zagen op de parkeer apparaten..
300 dollar ? De tarieven zijn wel gestegen sinds de vorige keer dat ik hier was.!
Ik parkeer dagelijks in amsterdam, en ik ben juist blij dat parkeergarages zo duur zijn.

je kunt het namelijk ook omdraaien. Stel dat het de helft zou kosten (¤2,50 per uur), hoe snel zal zo'n garage dan volzitten? Juist. Ook de grondprijs is in amsterdam duur, dat is pas diefstal.

Ik denk dus dat die ¤5,00 per uur echt wel ergens op gebaseerd zijn.
Het is puur gebasseerd op vraag en aanbod. Zoals je zelf ook aangeeft: maak het goedkoper en je gaat veel meer mensen hebben die er willen parkeren en dus zeer snel plaats tekort komen. De prijs wordt in de basis bepaald door de verwachting van hoeveel mensen bereid zullen zijn die prijs te betalen voor het aantal plaatsen dat je beschikbaar hebt. Kan je alsnog je parking goed vullen met een hogere prijs, dan doe je dat gewoon.
Een voorbeeld als Amsterdam staat altijd vol, dus aan de prijs zal het niet liggen.
Omdat een omgeving zoals dat van QPark groot en dus complex is. Waardoor patches instaleren niet 'zomaar' gedaan worden en eerst worden getest of applicaties geen hinder ondervindenvan de patch.

Valt me best op, dat menig Tweaker denkt dat zoiets zomaar even tussendoor gefietst kan worden.
Omdat een omgeving zoals dat van QPark groot en dus complex is. Waardoor patches instaleren niet 'zomaar' gedaan worden en eerst worden getest of applicaties geen hinder ondervindenvan de patch.
Maar dat testen duurt echt geen halfjaar hoor. De patches zijn al half maart uitgekomen, dat is voldoende lang geleden om al een test-proces doorlopen te hebben en implementatie achter de rug te hebben.
Tussen half mei en half maart zitten twee maanden, geen zes. Toen ik bij een grote omgeving werkte, lagen we wel meer dan zes maanden achter. Gewoonweg omdat er teveel aan patches (ook software) binnenkwam en alles uiteraard ook getest moet worden. ;) Het bijwerken en bijhouden van een grote ICT omgeving is echt geen peulenschil.

[Reactie gewijzigd door CH40S op 14 mei 2017 09:49]

Ik beheer zelf ook meerdere grote complexe systemen bij onze klanten, en heb dus ook met test-processen te maken.

Uiteraard moet je goed testen, maar 2 maanden voor security-patches is méér dan voldoende. Het wordt een ander verhaal bij functionaliteits-patches (non-security).

En al helemaal als je wéét dat de security-lekken al actief worden ge-exploit in het wild. En dat was hier al tijden bekend.

En laten we wel even reëel zijn en blijven, Q-Park is nu ook weer niet zo extreem complex, zeker een functionaliteit als betaalautomaten e.d. (wat nu dus getroffen is) is pretty straight-forward en snel te testen. Nog even los van het feit dat die automaten sowieso in een eigen netwerk hadden moeten staan, en niet in hetzelfde netwerk als hun KA-omgeving.

Ergens heeft de IT-afdeling toch wel steekjes laten vallen daar. Is het niet vanwege het wel lange achterlopen met beveiligingspatches, dan is het wel het niet gebruiken van separate netwerken.

[Reactie gewijzigd door wildhagen op 14 mei 2017 09:58]

Juist betaalautomaten maken een omgeving complexer. True, zouden een eigen netwerk moeten hebben. Echter kan dat niet altijd (door hoe de automaten werken, oude automaten dus) of is het prijskaartje te hoog en neemt men liever het risico.
Probleem komt uiteindelijk mogelijk bij de consument terug. Linksom of rechtsom moet dat misgelopen geld weer terug komen.

Wellicht via een verzekering of andere manier, maar tijdelijk de prijs opvoeren is natuurlijk ook een optie. Typisch gevalletje van 'wie het laatst lacht...'
Das ook niet noodzakelijk waar. Als zij tijdelijk de prijs gaan verhogen lopen ze weer kans dat mensen alsnog ergens anders gaan parkeren omdat jij ineens duurder bent dan die andere parkeergarage om de hoek. Prijs is altijd een balans tussen vraag en aanbod en in een markt waarin concurentie speelt moet je soms gewoon je verlies nemen als je tegenslag hebt omdat elke actie die je onderneemt om het verlies te compenseren zal resulteren in een daling van je omzet.
Als dit soort computers op het internet zijn aangesloten, waarom worden die niet gewoon goed gepatched (als in: dat bedrijf X even een goede patch rondstuurt.
Ik heb een beetje moeite met het woord "even". "Even" doe je thuis. "Even" doe je bij je familie en vrienden, maar "even" moet je echt NIET doen in een bedrijfsomgeving. Waarom? Simpel: de remedy kan erger zijn dan de kwaal. Allereerst heeft Microsoft (maar ook bijvoorbeeld McAfee) al patches uitgestuurd die er zelf voor zorgden dat de systemen crashen. Maar ten tweede zwerft er in een gemiddeld bedrijf een hoop (oude) maatwerksoftware en eigen brouwsels rond. Software die moet blijven draaien. En daar mag je niet van uitgaan dat ze zomaar werken blijven na het uitvoeren van een patch. En in een ideale wereld zou deze software allemaal state-of-the-art moeten zijn en zou patchen geen enkel probleem mogen zijn, maar helaas leven we niet in een ideale wereld. Soms is het zelfs niet mogelijk om software uit te wisselen, vanwege een wettelijke eis of omdat er simpelweg niets anders voor is.
Maar misschien zorgt dit ervoor dat ik mijn FAB-ers en TAB-ers maandag eens eindelijk aan het testen krijg.
Maar even voor mijn beeldvorming he, als zon pc getroffen is dan is het toch een kwestie van her installatie en instellingen terugzetten?
Vergeet de gebruikers niet. Die zetten graag belangrijke bestanden lokaal en zijn zich vaak niet of nauwelijks bewust van beveiliging of veiligheid. Bij een omgeving als dat van QPark zal er heus niet maar 1 PC zijn... ;)
Dat is idd een oplossing, maar dan ben je wel alle data kwijt. En als je als bedrijf geen goede backups hebt (wat er véél niet hebben) betekent dat dat je alles kwijt bent.
Goede reacties al, maar als toevoeging. Alle data waar een gebruiker schrijfrechten heeft kan in principe worden ge-encrypt. En dat is nagenoeg altijd veel meer dan alleen z'n eigen werkstation.

Gedeelde schijven van afdelingen bijvoorbeeld. Mocht een systeembeheerder geraakt worden die niet met least privilege inlogt getroffen worden dan is het verhaal helemaal voorbij, dan kun je nergens meer bij.
Laat dit dan hopelijk het broodnodige 'ongeluk' op dat kruispunt zijn waardoor er een rotonde aan wordt gelegd.

Ik hoop dat dit dan eindelijk het signaal is waardoor bedrijven (van groot tot klein) gaan investeren in goede patch, backup en restore infra en processen.

Het zal vast nog vaker voorkomen, maar een aanval op deze schaal moet toch zelfs bij de meest IT-incapabele bestuurders de alarmbellen doen rinkelen...

*zegt hij met heel veel hoop die vermoedelijk tevergeefs gaat zijn...
Vergeet niet dat omgevingen zoals die van QPark groot en complex zijn, wat niet echt bevorderlijk is voor de uitrol van patches van OS en andere software. In dergelijke omgevingen wil je dus eerst testen of de patch wel in de omgeving kan en er niets anders juist weer omvalt.

Daarbij is awareness van de gebruikers ook belangrijk!

[Reactie gewijzigd door CH40S op 14 mei 2017 10:22]

Want WSUS werk ineens heel traag als er meer dan 100 pc's aan zitten of zo?

groot is de omgeving wel, complex echter voor geen meter.. al die parkeermeters draaien dezelfde software die ook nog eens door Qpark zelf is ontwikkeld...

Daar hoef je niet meerdere maanden voor te testen. Dit is gewoon een geval van "dat komt nog wel"
Zo simpel is het natuurlijk niet, maar dat zal je zelf ook wel weten. Qpark gebruikt vast meer software dan alleen het eigen ontwikkelde pakket (die ook gepatched moeten worden) en de beheerders kunnen hun tijd ook maar 1 keer ergens aan besteden. Het testen zelf doen key-users, dat duurt geen maanden, eer je aan een patch toe komt kan wel maanden duren. Nadat de patch naar de key-user gaat dient die te testen. Dat kan ook niet direct. Daarna gaat de patch live, waar je zoveel mogelijk wil uitrollen, dus eer alle machines de patch hebben, ben je zo ook een maand verder...

[Reactie gewijzigd door CH40S op 14 mei 2017 10:22]

dus eer alle machines de patch hebben, ben je zo ook een maand verder...
En dat is dus veel te lang blijkt nu maar weer. Het systeembeheerders vakgebied moeten gaan inzien dat ze hun werkwijze moeten aanpassen, omdat de huidige zonder twijfel niet langer houdbaar is.
Bedenk wel, dat het uitrollen van patches zowel naar test- als live-omgevingen an sich peanuts is. Het is de hoeveelheid aan patches plus het testen (door de key-users) wat enorm vertragend werkt.
Bedenk wel, dat het uitrollen van patches zowel naar test- als live-omgevingen an sich peanuts is. Het is de hoeveelheid aan patches plus het testen (door de key-users) wat enorm vertragend werkt.
En is dat omdat het testen daadwerkelijk lang duurt, of omdat key-users het gewoon links laten liggen totdat ze eens een keer een gaatje hebben?

Dat 2e is namelijk makkelijk zat op te lossen door een ultimatum te stellen aan de tijd de gewacht wordt totdat een patch goedgekeurd of niet, met aansprakelijkheid voor de gevolgen bij de key-users voor uitblijven van verificatie, er gewoon op gaat.
Is natuurlijk te makkelijk afschuiven zo. Je hebt altijd wel bepaalde critical applicaties, waardoor je voor sommige applicaties echt wel wacht op reactie(s).
Is natuurlijk te makkelijk afschuiven zo. Je hebt altijd wel bepaalde critical applicaties, waardoor je voor sommige applicaties echt wel wacht op reactie(s).
Klopt. Maar bij het merendeel van de applicaties zal het gewoon laksheid en "betere dingen te doen hebben" zijn, en zal het niet zo zijn dat er daadwerkelijk veel tijd nodig is om een applicatie na een update helemaal van voor tot achter door te lichten.

[Reactie gewijzigd door R4gnax op 14 mei 2017 15:49]

Probleem is wel met dit soort malware dat het gebruik maakt van zeroday exploits en vaak al weken bezig is voordat het van zich laat horen, en dus zijn je backups hoogst waarschijnlijk ook besmet. Dus hoe goed je ook probeert te beveiligen exploits blijf je houden en de kans dat jij de pineut bent is altijd aanwezig (en dat geldt dus voor ELK operatingsystem).
Mmmm, dan hoop ik dat het betalen van 300 euro geen zin gaat hebben, anders is dat nog een winnende business case ook ... Investeren in een upgrade zal vast en zeker duurder zijn. Ik denk dat we het nu allemaal HEEL erg vinden, maar als het allemaal weer werkt, de les die er uit getrokken kan worden weer vlot vergeten is.
Hoop het toch echt niet. Misschien nu een lucratieve oplossing maar op de lange termijn niet echt haalbaar.
Ik wacht op de eerste flappentap met dit scherm. Hoe moeilijk is het om je Windows patches bij te werken? Triest. Laten we hopen dat ICT afdelingen er nu iets van geleerd hebben. Patch was al in maart beschikbaar!
Want als de omgeving helemaal up-to-date is kan er niets meer gebeuren? Sorry, maar je bent tekort door de bocht. Omgevingen kunnen groot en complex zijn, dan wil je eerst goed tezten alvorens uit te rollen.
Want als de omgeving helemaal up-to-date is kan er niets meer gebeuren?
Dat zegt tweakradje ook niet. Als het een zeroday was waar nog geen patch voor was gemaakt is het een ander geval natuurlijk. Deze exploit is al maanden bekend en een patch hiervoor is al sinds maart beschikbaar. Als het niet installeren van deze patch niet te wijten is aan laksheid maar aan een lange testprocedure en trage deployment dan ben je als ICT afdeling door eigen toedoen je doel (een stabiel systeem) bij een besmetting voorbijgeschoten.
Waarom patchen? SMB1 is hopeloos verouderd. Gewoon niet meer gebruiken. Ja... je kunt je systemen blijven patchen, maar het is gewoon veel veiliger om de twijfelachtige protocollen gewoon te verwijderen, dan kan er helemaal geen malware gebruik van maken en loop je niet het risico dat een patch toch niet zo goed werkt.

[Reactie gewijzigd door Trommelrem op 14 mei 2017 02:22]

Het verrast mij niet dat q park dit overkomt. Kan mij echt voorstellen dat bij dit soort bedrijven de laatste updates niet altijd worden doorgevoerd. De gedachte van het draait prima, de interface is iedere keer hetzelfde er is geen andere input mogelijk dan de enkele knoppen die erop zitten. Waarom zou je dat updaten? Elke update is ook mogelijk een risico dat er iets gaat omvallen bij dat apparaat. Tja ze zijn nu wel wakker denk ik daar.
Ik vind je uitleg realistisch. Ik mis wel een andere mogelijke situatie. Bedrijven kunnen ook niet zomaar patches in hun productieomgeving kunnen doorvoeren zonder zeker te zijn dat het geen verstoring veroorzaakt. Afhankelijk van de organisatie kan het soms weken duren voordat patches geheel doorgevoerd zijn in de hele organisatie. Zeker als het met ingehuurde IT is waarmee aparte afspraken gemaakt moeten worden over de inhoud van het beheer en welke updates dan uitgevoerd worden.
Patches kan je altijd terugdraaien met system restore. Dat is minder werk dan ransomware herstellen.
Zo simpel is het niet. Zeker in een grote omgeving niet. Dat kost veel tijd en veel medewerkers kunnen dan niet werken, laat staan dat je dan je klanten kan bedienen. ;) De impact van zoiets is dus veel groter dan je denkt.
Hoe vaak komt dat nu voor? Security patches die de boel ontregelen. Als je besmet raakt kun je ook niks. Je kan patches ook op keyuser pc's testen een paar dagen. Dan uitrollen.
Op pakweg een web server komt dat relatief vaak voor. Wat als die patch er voor zorgt dat duizenden users van een web applicatie niet meer kunnen werken?

Je hebt die zaken vaak niet op een paar dagen getest, hier kunnen ettelijke weken of zelfs maanden over gaan. Het spreekt dan ook voor zich dat die gebundeld worden en ook dan ga je vaak nog "ja maar nu komt het even niet uit" opmerkingen krijgen.
Security patches kan je maar beter gelijk accoderen en testen. Met voorrang.
Je kunt beter zeker zijn dat het werkt, dan dat je misgokt en duizenden machines moet terugdraaien. Natuurlijk testen key-users, maar eer je reactie hebt (als je al krijgt!) en eer het op alle PC's staat ben je zo al (minimaal!) een maand verder, nadat je de pat h in de testomgeving beschikbaar hebt gemaakt. Tel daar ook de backlog (want er komen wel meer patches uit, ook voor software bijvoorbeeld) bij op en dan wordt het opeens meerdere maanden vooraleer je überhaupt aan de patch kan beginnen met uitrollen.

[Reactie gewijzigd door CH40S op 14 mei 2017 10:24]

Vaak genoeg om er in de operatie rekening mee te houden.
tuurlijk dat.
als bank kan je gewoon eventjes je databank met rekeningsaldi terugzetten naar gisteren. Die betalingen die ondertussen gebeurd zijn zijn dan terug weg, en klaar;...

schokkend hoeveel men hier denkt met een systemrestore terug te zijn.
als je system restore van de built-in OS gebruikt is de ransomware gewoon nog daar,
en als je je system restored van backup ben je de gewijzigde data kwijt.
het is echt niet steeds zo simpel hoor.

het is ook niet steeds zo dat de negatieve effecten van een patch al na een uur zichtbaar zijn...

soit, de "comfortabele" doorlooptijd van 1 tot 3 maanden die men soms neemt tussen uitbrengen van patch en deployen naar general population is overdreven, maar je moet er echt wel de tijd voor nemen om alles te testen op use- en edge cases...
System restore als een patch niet goed is. Deze ransomware verspreidt zich via smb. File servers en dan op plekken waar de gebruiker toegang heeft. Windows 2012 kan je ook nog instellen om bepaalde filepatterns te blokkeren en dan de user in het domain te disablen.
Ik dacht dat SRP (Software Restriction Policies) of smartscreen tegen dit soort bedreigingen werkten. Of waren deze waarschijnlijk niet geimplementeerd?
Wordt bij minder dan 1% van de bedrijven geimplementeerd. Bovendien hangt het aan de invulling van je policies af of malware ook echt wordt geblokkeerd.
Het nieuws was dat vrijdag de killswitch geactiveerd was door een specifieke URL te registreren. Hoe kunnen deze systemen dan op zaterdag besmet zijn geraakt? De verspreiding was toch gestopt?

edit: of was dit systeem al besmet maar duurde het even tot het zich activeerde?

[Reactie gewijzigd door Heedless op 14 mei 2017 09:09]

Diezelfde vrijdag waren er ook alweer nieuwe varianten uitgekomen en verspreid zonder die killswitch, dus vermoedelijk gaat het dan om één van die nieuwe varianten.

Daarnaast was die kill-switch mogelijk ook niet helemaal een kill-switch, zie knokki in 'nieuws: Beveiligingsonderzoeker vindt per toeval killswitch voor r... voor een toelichting :)
Die varianten zijn zonder killswitch bleken oud. Kaspersky heeft daarover al veel kritiek gehad sinds hun zogenaamde vondst.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*