Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'NotPetya is bedoeld om gegevens te wissen met schijn van ransomware'

Door , 301 reacties

Na de internetaanval van dinsdag verschijnen er meer analyses van de aard van de gebruikte malware. Beveiligingsbedrijf Kaspersky en onderzoeker Matt Suiche komen tot de conclusie dat de malware, Petya dan wel NotPetya genaamd, bedoeld is als wiper voor het wissen van data.

In eerste instantie was het Suiche die een blogpost publiceerde waarin hij deze bevinding deelde. Hij schrijft dat traditionele ransomware de mogelijkheid bezit om versleutelde of afgesloten systemen weer te herstellen na betaling. In het geval van NotPetya is die mogelijkheid er niet, omdat de malware de eerste 25 blocks van een hdd-sector overschrijft zonder dat herstel mogelijk is. Op basis daarvan concludeert hij dat de schijn van ransomware een poging was om de media op een verkeerd spoor te zetten. Daarmee zou de aandacht, net als bij WannaCry, op een 'mysterieuze hackergroep' worden gevestigd in plaats van op een staat.

Na publicatie van de blogpost kwam ook Kaspersky met een soortgelijke analyse. Het bedrijf schrijft dat er in de waarschuwing die slachtoffers te zien krijgen een installation key te zien is, die zij naar een sinds dinsdagmiddag afgesloten e-mailadres moeten sturen. Deze sleutel is bij de oorspronkelijke Petya-ransomware daadwerkelijk aan de encryptiesleutel gerelateerd. Bij de NotPetya-malware is de sleutel echter het resultaat van een functie die willekeurige data genereert. Dat betekent dat decryptie nooit mogelijk was, aldus Kaspersky.

Woensdag gingen er al stemmen op dat het motief achter de verspreiding niet het verdienen van geld was. Onderzoekers the grugq en Nicholas Weaver stelden dat NotPetya was bedoeld om schade aan te richten. Er zijn vooralsnog geen concrete aanwijzingen voor de identiteit van de makers of de verspreiders van NotPetya. Beveiligingsbedrijf ESET stelde woensdag dat de malware in Oekraïne de meeste schade heeft aangericht.

Reacties (301)

Wijzig sortering
Ik vind de reacties hier op Tweakers op zich wel bijzonder vermakelijk. Als je dit doet, als je dat doet, zus voorbereiden, zo patchen. Heb je ook zo weer alles up and running.
Ik heb al meerdere keren bedrijven ondersteund bij het opschonen van de werkplekken en servers nadat ze slachtoffer zijn geworden van een virus. En ja, je kunt veel doen ter voorkoming. Maar dat maakt je niet onschendbaar of niet vatbaar. Ik heb zelfs bedrijven gezien die alles perfect voor elkaar hadden, maar toch plat gingen. En op zo'n moment gaat de klok lopen. Er gaat heel veel tijd zitten in het opschonen en opnieuw opbouwen van een netwerk. Even als simpel voorbeeld. Je hebt 10 pc's en 4 doen het niet meer omdat ze besmet zijn. Dan moet je die andere 6 ook extreem goed controleren of zelfs ook opnieuw installeren omdat deze latent het virus kunnen hosten. Daarbij heb ik zelf al eens gezien dat opgeschoond netwerk opnieuw besmet raakte door 1 over het hoofd gezien systeem dat schoon leek, maar een downloader of dropper bevatte en het verhaal begint opnieuw. Wat ik wil zeggen is dat een image terugzetten of een her installatie niet zoveel tijd in beslag hoeft te nemen, maar dat je wel extreem veel tijd kwijt bent om het op een goede manier te doen waardoor je zeker weet dat je schoon en veilig bent. En het opschonen van elke virus uitbraak kost zeer veel tijd. Of het nu destructief is zoals ransomware of invasief zoals loggers, hijackers en spammers of zombie virussen. Het traceren en opschonen ervan kost zeer veel tijd.'

[Reactie gewijzigd door 0vestel0 op 29 juni 2017 10:30]

Daar hebben we tegenwoordig endpoint protection voor zoals AMP, Crowdstrike en Carbonblack. Je kan hiermee in het geval van een infectie met 1 druk op de knop een network-wide rollback doen.

Kwestie van de juiste investeringen doen.

Urenlang down zijn tegenwoordig kan je niet meer mee wegkomen, dan heb je simpelweg je ICT niet op orde gehad.
Soms gaat die vlieger dan ook niet op, virussen met een ' incubatie tijd' van soms weken of zelfs maanden zijn zo verschrikkelijk lastig om te verwijderen.
Hierbij moet je in het ergste geval inderdaad terugvallen op alles opnieuw installeren.
De tooling houd alles bij qua processen die spawnen, aanpassingen die gemaakt worden, etc.

Dit plaatje van Cisco AMP gaat bv. ook over de slaaptijd
https://www.cisco.com/c/d...atasheet-c78-733181_1.jpg

Als je wat tijd over hebt en je vind het interessant, kijk dan eens naar de demo's van AMP in dit geval (verschilt niet superveel van de andere oplossingen)
https://www.cisco.com/c/e...on/index.html?stickynav=2
Kijk. dit dus. Het is zo simpel om van buitenaf te melden dat de boel niet op orde is of dat het sneller kan. Maar in de echte wereld ligt het veel genuanceerder. En kost het gewoonweg echt tijd om het goed te doen..
En ook die oplossingen zullen geen 100% garantie bieden. Als jouw bedrijf het eerste slachtoffer is van een Zero day aanval kun je dat niet met 1 druk op de knop terugdraaien, ook al zeggen ze dat ze zelfs tot aan patient zero kunnen beschermen.

Om dan te zeggen van iemand dat die de ICT niet op orde heeft is nogal kort door de bocht.
Zoek de tools even op, dan zie je dat ze juist voor dat doeleinde gemaakt zijn.
Het is juist om met 0-days om te kunnen gaan zodat je na ontdekking makkelijk de analyse, rollback etc. kan doen.

Security tools hebben flinke stappen gemaakt, ze zijn niet meer zo 'dom' als voorheen.
net zoiets als cybereason?

Zelfs hun gratis tool kan "NotPetya" herkennen -> https://ransomfree.cybereason.com/

[Reactie gewijzigd door Mopperman op 29 juni 2017 12:19]

Ik ken dit specifieke product niet, maar als ik even snel hun website er op nalees dan zitten ze inderdaad in de zelfde hoek. Ze noemen onder andere ook hun "Single-Click Guided Remediator" wat qua beschrijving de indruk geeft de zelfde soort oplossing te bieden.
Ik ben zeker bekend met die tools, we zitten middenin een project wat al dit soort tooling op endpoints en firewalls beschikbaar gaat maken.
De technieken die hierachter zitten zijn indrukwekkend, maar zijn nog steeds niet 100% gegarandeerd.

Het gevaar van dit soort tools is dat je er blind op gaat vertrouwen, en dan andere lagen van je security niet genoeg focus geeft: spamfilters, user instructies, applicaties whitelisten, account restricties op endpoints, afschermen van documenten waar je vanuit je functie niet bij hoeft te komen. En natuurlijk dien je altijd een correct werkende backup structuur te hebben.

Deze tools zijn natuurlijk ook in onderzoek door malware ontwikkelaars. Die zullen niet alleen zoeken naar een gat in een OS om binnen te komen, maar zoeken ook manieren om detectie door dit soort systemen te omzeilen. Er zijn genoeg cryptolockers die niet actief worden wanneer ze detecteren dat ze in een Virtuele of sandbox omgeving gedraaid worden.

Mijn verwoording richting de eindgebruikers is altijd dat wij alles 100% goed moeten doen om infectie te voorkomen, en dat kwaadwillenden maar 1% goed te hoeven doen om hun doel te halen ons te infecteren. Daarbij is het een spel waarbij de hele wereld van klein tot groot bedrijf altijd aan het vechten is met de nummer 1 van de wereld. En aangezien de cybercrime industrie zelfs al groter is dan de globale drugs industrie kun je het zelf op financieel vlak nooit winnen van ze. Uitzonderingen zoals Google, Apple en Microsoft daargelaten.

Ik kijk echt wel uit naar de afronden van dit project, de beveiliging van ons bedrijf zal een flink stuk omhoog gaan.
Precies de spijker op zijn kop. Bedrijven vragen me dagelijks welke virusscanner ze aan moeten schaffen terwijl ze hun servers nog niet eens goed hebben afgescheiden van clients (of andere servers). Goede security begint bij de basis en dat betekent acls, rechten en communicatie eerst op orde hebben.

Dit kost echter veel tijd en moeite en laat ict nu net vaak een ‘lui’ vak zijn...
Mooi verhaal maar je restore strategie klopt dus niet, of je backup strategie waar je uit kunt backuppen.

Ik verschillende bedrijven die gewoon na 30 min weer up and running waren hoor door juiste protocollen omdat ze weten wat ze doen en gedaan hebben en niet iemand nodig hebben die ze bij moet staan!
Ik verschillende bedrijven die gewoon na 30 min weer up and running waren hoor door juiste protocollen omdat ze weten wat ze doen en gedaan hebben en niet iemand nodig hebben die ze bij moet staan!
30 minuten??? Je eigen laptop recover je niet eens in die tijd. Laat staan het detecteren van een aanval, het bepalen van de vector, het vaststellen van de scope, het opstellen van het remidiation plan, het informeren van de stakeholders, het uitvoeren van het herstel en het uitvoeren van een most-mortem.

30 minuten is net voldoende tijd om het draaiboek uit de kast te pakken.
Dat hangt er heel erg vanaf wat er ge´nfecteerd is. Als een of meerdere van mijn virtuele servers ge´nfecteerd zijn dan staan ze ook binnen een half uur weer in de staat terug vanuit de backup.

Er zijn ook zat bedrijven die met een hele kale versie van bijvoorbeeld windows draaien. Als het draaiboek van jouw organisatie is dat je direct een image over een ge´nfecteerd systeem heen zet zonder verder uit te zoeken hoe of wat dan is 30 minuten ook nog haalbaar.

Ga je een heel onderzoek enz doen dan zal daar inderdaad meer tijd in gaan zitten.

Je eigen laptop vergelijken met zakelijke situaties is dan ook niet echt representatief
Misschien wel handig om te weten voor sommige Tweakers onder ons.
Er zijn tools die het leven makkelijker maken zoals checken van update levels en missing updates

Voor oudere software zoals:

Win7 x64 and Win7 x86, W2008R2 and W2008R2 Server Core, WMS2011, WHS2011, 2008R2ess, SBS2011ess,

zijn er tools beschikbaar voor het checken van je update's, met uitgebreide uitleg.

Er is er ook een beschikbaar voor windows 8.1 / server 2012

Tool heet KUC
Check deze site: http://www.windows-update-checker.com/

Daarnaast Patchmypc is ideaal, (checkt zo'n beetje alle software op software update's
En als laatst PatchCleaner, die alle setup files weg gooit (draaien na Windows Updates)
Dat draaiboek is dan wel goed verstopt 😂

Maar iig wel analoog en niet op een server...
Het maakt ook veel uit of je IT medewerkers op locatie hebt zitten.
Als je er meteen naar toe kunt gaan met een USB stickje dan gaat het sneller.

Bij ons is dat niet zo omdat we remote beheer doen, dus in 30 minuten een machine inspoelen lukt niet. Je moet veel medewerkers er namelijk "doorheen" praten (druk nu op F10, doe vervolgens dit, etc).
En in 30 minuten kunnen we wel een machine herinstalleren, maar vervolgens moet SCCM nog de Windows updates en software waar de gebruiker recht op heeft installeren voor die machine/gebruiker.
Het duurt uiteindelijk wel een paar uur voordat een gebruiker weer aan het werk kan.
Met hippe termen gaan strooien maakt jouw stukje tekst Úcht niet geloofwaardiger hoor. Ik zou dat voortaan laten, zeker omdat sommige termen hier absoluut niet op hun plek zijn.

Een half uur is niet ondenkbaar, als het om een klein bedrijf gaat met een eenvoudig netwerkje.
Grotere bedrijven met een complexe structuur zullen er meer werk aan hebben.
Simpelweg een image restoren is slechts een klein onderdeel van het herstelplan, en zit achteraan in de keten.
gaat het hier om "het detecteren van een aanval, het bepalen van de vector, het vaststellen van de scope, het opstellen van het remidiation plan, het informeren van de stakeholders, het uitvoeren van het herstel en het uitvoeren van een most-mortem."?

welke hippe term is hier niet op zijn plek? het is een van de weinige keren dat ik zie dat het woord '(attack) vector' wel in de goede context wordt gebruikt.
Nou dat denk ik niet hoor. Een laptop heb ik in 12 minuten ge-imaged en een snapshot staat ook zo terug...

Draaiboek ? Die ken ik uit mijn hoofd en werk ik alleen bij voor anderen, en ik met zovelen IT-ers.

Disaster-recovery heb je blijkbaar weinig gedaan omdat je al naar een draaiboek wil grijpen op momenten dat je gewoon als IT-er moet kunnen schakelen.
Disaster-recovery heb je blijkbaar weinig gedaan omdat je al naar een draaiboek wil grijpen op momenten dat je gewoon als IT-er moet kunnen schakelen.
Erg leuk als je 30 pc's van een lokale mkb'er beheert, maar onmogelijk als je 1000 werkplekken hebt. Laat staan een iot-container terminal.


Ten tweede, als je enkel een image terug gooit, ben je binnenkort weer de pineut, aangezien je het lek niet boven water hebt.

[Reactie gewijzigd door JackBol op 29 juni 2017 11:21]

Juis bij de grote jongens gaat het snel en bij de MKB-er minder snel.

Hence ik beheer zon't netwerk... ik provision mijn shit from scratch in max een uur en dan ben ik 400VM's verder.

Laptops is heel simpel, ff laten PXEbooten en je bent weer on the go, dat deed ik in 2000 al bij de grote jongens ;)

[Reactie gewijzigd door RutgerM op 29 juni 2017 11:21]

Ik denk dat inmiddels uit de reacties wel duidelijk is dat er weinig met je uitspraken kunnen meegaan. Ik vraag mij sterk af hoeveel ervaring jij hebt met vrijwel volledig maatwerk werkplaatsen (bijv. 50 PC's van ontwikkelaars van soft- Ún hardware). Je praat over images, snapshots, pxe boot. Dit zijn allemaal zaken die werken op het groter geheel, maar dan heb je die laatste 90% nog niet ...
Ik zou je graag willen uitnodigen om een voorstel te maken. Ik heb meerdere klanten/opdrachtgevers die zeer ge´nteresseerd zullen zijn in jouw supersnelle en kostenbesparende oplossingen. Gewoon een willekeurige klant:
- 90 Fysieke servers (170 gevirtualiseerd mixed Windows Server 2012R2/2016, REHL);
- 5000 Standaard werkplekken (Win10 Enterprise)
- 2000 Speciale werkplekken (Win10 Enterprise, uitrol van apps niet mogelijk vanwege beperkte schaal, onmogelijk te packagen/streamen etc.)
- Totale storage omvang 2,2PB;
- Netwerk is 1Gbps allover, backbone 40Gbps
- Internet link 2x 10Gbps

Als jij dat binnen 5 dagen weer van scratch af aan draaiend kunt krijgen, ben je voor eeuwig de held.
Op een gegeven moment ga je zowiezo de pineut zijn, op dat moment is het de enige wat je kan doen de schade beperken, Toch wil ik nog wel eens zien dat je een laptop of desktop restaging doet op 12 min.

2000 pc's beperkte schaal? en onmogelijk te packagen lijkt me zeer onwaarschijnlijk. Moeilijker te packagen vanwege complexiteit kan ik nog in komen maar niet te packagen ben ik nog nooit tegen gekomen. wij packagen zelfs applicaties die slechts naar een handvol systemen gaan en indien nodig zelfs maar op 1 systeem komen.

Op dit moment beheren we ongeveer 30000 clients en ongeveer 5000 servers in zowel overheidssector en openbare omroepen. Ook hier zijn zijn moeilijk te packagen of te appv'en pakketten.
Dat zijn niet 2000 met dezelfde toepassing. Dat zijn er zo'n 2 tot 20 met een speciale app. Packagen of virtualiseren is duurder dan handmatig installeren.En dat dus voor heel veel verschillende gespecialiseerde toepassingen (medische sector).
Ik ben wel benieuwd in welke laag jij dan je winst gaat vinden.
Maar geef eens een leuke setup dan? Dan kan je laten zien dat je kritieken terecht zijn. Sleurhutje is volgens mij oprecht ge´nteresseerd. Als je daadwerkelijk zoveel kennis hebt dat je zegt dat je hebt moet je het nu ff laten zien ipv doorgaan met cynische / denigrerende reacties.

[Reactie gewijzigd door SpiceWorm op 29 juni 2017 13:44]

De manier waarop je communiceert en vooral het kort door de bocht zegt mij dat je nog wat levenservaring moet opdoen en weinig ervaring hebt met custom omgevingen. Het gaat niet altijd om "baantjes beschermen", soms is het inherent aan de werkwijze dat er een noodzakelijkheid voor maatwerk werkplaatsen. Nogmaals er zijn ook bedrijven die simpelweg niet de financiŰle middelen hebben om dit breed op te zetten. Kun je ze dat kwalijk nemen? Ik vind van niet.
Niet de financiele middelen hebben? Dat je geinfecteerd bent door deze ransomware komt omdat je de windows updates hebt uigesteld of omdat je nog windows xp draait. Beide zijn erg domme managementkeuzes. Als je geen 20 euro per werkplek kan uitgeven voor windows 10 oem sinds dat je windows xp hebt aangeschaft kan je beter stoppen met je bedrijf.

edit: goh een hoop systeembeheerders met lange tenen hier.

[Reactie gewijzigd door SpiceWorm op 29 juni 2017 13:24]

En weer zo'n kort door de bocht reactie ... Wat kan een bedrijf doen als ze een component (dat kan ˇˇk hardware zijn) integreren dat specifiek gebruik maakt van een bepaalde software versie wat bijwerken of zelfs upgraden van Windows bemoeilijkt of onmogelijk maakt? Toch upgraden!? Dan weet je zeker dat je dienstverlening te onder gaat. Klagen bij de fabrikant? Als je een kleine speler bent, kijken ze zo om je heen. Of de fabrikant komt met de suggestie om hun nieuwe product te integreren, maar dat betekent dat jij jouw producten wellicht grondig op de schop moet gooien, wat dan weer flink wat centen kost. Contracten afsluiten met de fabrikant over afspraken dat software geŘpdate blijft? Ook dit is een lastig verhaal en zal zeker voor de kleine bedrijven niet haalbaar zijn.
Hele computersystemen zijn ge´nfecteerd. Wil je dus beweren dat het hele bedrijf op windows xp moet draaien omdat de alle computers exotische hardware /software moeten kunnen draaien? Ik vind dat erg ongeloofwaardig, als verhaal maar ook als bedrijfsstrategie.
Ik heb het niet over "hele bedrijven" die op Windows XP draaien, ik heb het over de situatie dat ÚÚn of meer systemen (op) verouderde (systeem)software draaien om redenen die ik aanhaal.
Naja bij deze aanval blijken complete bedrijven ge´nfecteerd te zijn. Vorige maand hebben ze nog een waarschuwing gehad over het bestaan van dit lek. En toch is er een maand later niks geregeld. Geen firewall, geen proxy of andere ad-hoc oplossing als je dan toch echt niet kan patchen/upgraden.
Ik heb bij een bedrijf gewerkt dat een jaar of 3 geleden nog voor een groot deel op XP draaide. Toen bekend werd dat de XP support ging stoppen is besloten alle XP-machines af te sluiten van het internet. Ik meen dat dit gedaan is door alles in een apart VLAN te hangen.
En wat als aan een Windows XP machine een high-tech apparaat hangt dat een half miljoen heeft gekost en de fabrikant is niet meer? Ze zouden dolgraag alles overzetten naar Win10, maar technisch gewoon niet mogelijk zonder vele miljoenen extra te investeren voor maatwerk (meet)apparatuur. Heeft dus lang niet altijd met managementkeuzes te maken.
Blijkbaar heb je geen flauw idee hoe het werkt in een industrie waar sommige machines 10-tallen miljoenen kosten en nog op XP moeten draaien (omdat de fabrikant niet meer bestaat of niet verder ontwikkeld).

Soms is er geen andere manier dan toch maar die oude software gebruiken totdat er weer financiŰle ruimte is om "even" 20 miljoen uit te geven voor een machine.
Complete netwerken worden ge´nfecteerd, hangen die allemaal aan die speciale machine van 10-tallen miljoenen?

Bouw dan een speciale interface om te communiceren met die windows 95 / 98 / XP machine waarvan je weet dat de ransomware er niet overheen kan communiceren, noem het een proxy. Ik weet het niet hoor maar alleen in een zeer beperkt aantal situaties zou zoiets niet kunnen (real time besturing met zeer strakke timings).
Het ging mij er om dat er zo makkelijk gezegd wordt: "dan vervang je die XP machines toch gewoon even". <- Dat is dus in lang niet alle gevallen zomaar even mogelijk.

Uiteraard zijn er manieren om deze machines zo ge´soleerd als mogelijk in het netwerk te hangen, maar daarmee zijn ze nog steeds niet vervangen.
Gezien de stortvloed aan kritische reacties op jouw posts lijkt me dat je hier een schrijf fout hebt gemaakt. Het is: "Ik concludeer snel" :+
En wat zeg jij nu over mij dan? Blijkbaar wel met kennis over mijn persoon?! Om een goede discussie te krijgen betekent ook dat je open moet staan voor andere meningen, visies en standpunten. Nergens heb ik beweerd het in theorie niet met je eens te zijn, dat heb ik een aantal keer zelfs expliciet aangegeven. Ik weet ook dat de praktijk anders is/kan zijn en tegen jouw nogal boude stellingen (impliciet afschrijven van mensen/bedrijven) uit je eerste posts en je algemene wijze van communiceren heb ik geageerd. Blijkbaar was ik niet de enige die daarover struikelde en je kunt het draaien hoe je wilt, maar daar zit wel een punt

[Reactie gewijzigd door Primal op 29 juni 2017 14:05]

een korte reactie op het eerste deel: bijna altijd heb je als IT medewerker niet de keuze voor het soort klant. Dit wordt op een ander niveau besloten.
Dat ben ik met je eens, maar iedereen schijnt hier voor eigen parochie te reageren... ik in ieder geval wel gelukkig :)
Geef eens aan hoe je omgaat met custom omgevingen dan?

Op dit moment werk ik in de gezondheidssector en daar staan zoveel speciale machines met configuraties die door leveranciers custom ingericht worden voor die specifieke machine of functie, daar kan je dan wel leuk PXE-booten, maar dan heb je die speciale configuratie nog niet terug.

Er worden zoveel als mogelijk images van die werkplekken gemaakt, maar dan nog red je het never-nooit-niet in 30 minuten.

Ook ik ben van mening dat je nog niet in genoeg omgevingen gewerkt hebt met custom configuraties, dan zou je die 30 minuten niet uiten namelijk ;)

Zoals hierboven al aangegeven: 30 minuten is net genoeg tijd voor de constatering dat er iets aan de hand is, dan gaat het pas rollen. Reken op z'n minst maar op uren, zo niet dagen voor de complexe omgevingen.
Leuk en ja daar maken wij ook gebruik van.
Jammer alleen dat het in deze omgeving zeker 3-400 custom machines betreft.

Dan hebben we ook nog een mix van VDI, Citrix (meerdere omgevingen en versies), custom fysieke machines, speciaal ingerichte TC's en dan dus "custom device specifiek ingerichte machines" die meestal 1 taak hebben.

Overal weten we wel een oplossing voor te bedenken, maar er speelt ook nog zoiets als financiŰle haalbaarheid.

Deze omgeving is het 100% NIET mogelijk om binnen 30 minutenweer draaiend te hebben, ongeacht welke terminologie je er tegenaan gooit (EN zeker te weten dat het virus niet terugkomt). Dat lukt je in geen enkele complexe omgeving.
Je kijkt veel te zwart-wit. Natuurlijk heb je gelijk dat de inzet van IT niet optimaal is bij veel bedrijven, maar dat is wÚl de realiteit. Om welke reden dan ook. Dat is mijn punt! En daar zul je als beheerder mee om moeten gaan, omdat er lang niet altijd (financiŰle) mogelijkheden zijn om het (volledig) anders te doen. Jij schrijft dat soort bedrijven af en plaatst ze in de hoek op een manier van "eigen schuld dikke bult" als er iets gebeurt. Of zelfs als incompetent.

Neem even afstand, haal adem, zet je ego opzij en probeer er nu eens open naar te kijken.
Veel bedrijven hebben te maken met legacy en komen daar niet zo heel eenvoudig vanaf.
Dat heet 'realiteit' en 'budget'.

Je kunt vanuit je ivoren toren wel terecht roepen dat ze hun zaakjes niet op orde hebben, maar dat voegt zo bar weinig toe aan de hele discussie.
Nou waarom doe je niet een rondje bij alle bedrijven waarvan jij vindt dat ze fout bezig zijn?

Je begint inmiddels ongeloofwaardig over te komen m.b.t. je zienswijze.
De IT-ers kunnen er toch ook niets aan doen dat veel bedrijven niet de financiŰle middelen hebben om een state-of-the-art omgeving op te zetten... }:O
Volgens mij vergeet je dat provisioning nog niet bestaat voor het menselijk brein. En dat al je bijvoorbeeld IE vervangt op iemand desktop voor chrome dat je de helft van je eindgebruiker aan de lijn kan hebben dat ze niet op internet kunnen komen.
Custom applicatie vervang is 1 deel, het andere deel is toch de gebruikers kennis geven en eventueel een cursus geven hoe ze er mee om moeten gaan.
Daarnaast zijn er genoeg complexe applicatie met 10+ koppelingen waarvoor je toch eerst 10 it afdelingen moet informeren over de verandering die je doet.
Waarschijnlijk heb je alleen ervaring met office..
Huh ? Dat vang je juist af met provisioning...
IK krijg mijn eigen laptop binenn 30 minutten wel recoverd hoor
This alleen uitzoeken waar het probleem dan vandaan kwam
En uitzoeken als de ransomwaren geen code/firmware/bios heeft overgeschreven
Daar zit het meeste tijd in en dat haal je niet met 30 minutten
maar een windows her instaleren binnen 30 gaat makkelijk.
Vind dit een beetje broodje-aap verhaal en lekker kort door de bocht gegeneraliseerd en tegelijkertijd beoordeeld ... Er zullen best bedrijven zijn die in bepaalde specifieke situaties in staat zijn om binnen zo'n relatief korte tijd hun systeem weer up-and-running hebben. Ik geloof echter dat het overgrote deel van de gevallen waar er sprake is van significante schade factoren meer tijd vragen.
Wat is voor elkaar hebben!? Puur op het theoretische vlak heb je gelijk, maar praktijk en theorie kunnen ver uit elkaar liggen en dan zijn financiŰle middelen vaak de doorslaggevende factor. Dan heb ik het over de bedrijven die hard moeten werken voor hun centen, niet over de multinationals die weer hun geldboom aanspreken. Ik werk zelf bij een software bedrijf met 'tig' ontwikkelaars en inherent aan de functie is er alleen in de basis uniformiteit. Daarbovenop is alles maatwerk ingericht door de ontwikkelaar zelf. Als op een bepaald moment van de dag dit virus zou toeslaan, hebben we een groot probleem. In de basis is er een image, maar de hoeveelheid verschillende extra software, scripts, systeem aanpassingen per ontwikkelaar is enorm groot. Een image trekken van ieder systeem is ÚÚn ding, maar daarmee ben je er nog niet. Natuurlijk zijn er backups, maar ook daarmee ben je er nog niet. Weer terugkomen bij exact hetzelfde punt als waar je gestopt bent is ontzettend moeilijk, zo niet onmogelijk. De financiŰle investering die gemoeid gaat met het zo efficiŰnt mogelijk maken van het herstellen van de systemen weegt gewoon niet zwaar genoeg. En dat zijn alleen nog maar de werkstations en dan heb ik nog niet eens over niet-file gebaseerde data. Als je echt pech hebt en je hebt een virus te pakken dat gebruik maakt van een zero-day exploit en op meerdere fronten tegelijk schade aanricht, dan gaat dat optimistische plaatje dat je schetst echt niet op. Bovendien zijn er veel complexere omgevingen te bedenken.

[Reactie gewijzigd door Primal op 29 juni 2017 11:22]

Nee omdat die zeker willen zijn. Een mag terugzetten kost inderdaad niet zo veel tijd. Maar even kijken hoe en wat er precies is gebeurd kost wÚl tijd. Dat doe je Úcht zeker weten niet in een half uur. Leuk als het enkel workstations zijn. Maar zodra er ook servers plat liggen moet je die wel terug zetten. En een virusje met een ransomware vergelijken is ook wel kort door de bocht naar mijn idee. Die laatste heb je niet zo maar weer terug online. Uitzoeken met welke variant je te maken hebt. Nakijken wat er allemaal ge´nfecteerd is. Als het mee valt en je enkel virtuele servers hebt die eraan zijn kun je die misschien terug zetten. Dat kost ook wel even wat tijd. Dan als dat okÚ is nagaan of alles inderdaad goed ingesteld staat, verwijzingen etc. Meest banale, staat de tijd ook goed? Dan push je inderdaad zo nieuwe images naar workstations. Dat is het minste werk.
Ik denk dat 0vestel0 precies daarmee wil zeggen dat het niet alleen op patches in draaien en backups terug zetten neer komt. Er komt op zo'n moment veel meer bij kijken. (correct me if I am wrong).

Het komt zeker voor dat backups worden teruggezet voordat er uitgebreid onderzoek is gedaan en kijhard gezegd kan worden vanaf welk moment (en hoe) het systeem ge´nfecteerd is.

[Reactie gewijzigd door Hunter23 op 29 juni 2017 11:11]

Zelfs als die 30 minuten al zou kloppen (wat me sterk lijkt, of waren het allemaal ZZP'ers?) dan hebben die bedrijven gegokt op het herstellen van de systemen zonder daarbij te controleren of nieuwe besmetting nog mogelijk was. Je kunt een werkstation wel herstellen maar als andere systemen het virus nog hosten dan is het dweilen met de kraan open.
Zolang je lekker kan terug snapshotten is er geen probleem hoor.

Je wil niet weten hoeveel snapshots er dagelijks terug gezet worden door foutX.
Als je "even" zo'n 8000 werkplekken opnieuw in moet spoelen en 900+TB aan data moet nalopen, ben je iets langer bezig dan 30 minuten. Dat loopt echt al snel in de vele dagen.
30 Minuten is echt onmogelijk. Of je raffeld het maar gewoon af. Als ze maar kunnen werken methode.
Dat je dit bij klanten doet die hier genoeg geld voor over hebben, prima, ga je gang met je enterprise systems. Bij het gros van de bedrijven is dit niet simpelweg niet haalbaar. Je bent, uit jouw bewoordingen op te maken, betrokken bij de uitvoer of uitrol van dit soort type enterprise systemen. De complexiteit van een organisatie, organisatorisch en financieel staan zo te zien verder van jouw spreekwoordelijke bedje af.
Enterprise is gewoon beschikbaar op FOSS basis hoor, sterker het is zelfs upstream naar de betaalde varianten.
Het punt is, en dat ontloop je iedere keer, dat er bedrijven zijn die simpelweg de financiŰle middelen niet hebben om het in te richten zoals specialisten als jij dat willen. Wat doe JIJ dan? Tot nu toe ontwijk je die stelling of schuif je deze bedrijven in de "eigen schuld" hoek. Er zijn genoeg van dit soort bedrijven die de hoek van de werkende maatschappij vertegenwoordigen. Het lijkt erop dat jij vooral ervaring hebt met bedrijven waar geld (geen enkele) rol speelt. Aaand back to reality again ...
Probleem met FOSS is dat je daardoor bijvoorbeeld weer geen certificering krijgt als de producten of leveranciers geen certificering hebben. Ander nadeel dat ik al zo vaak in de praktijk heb meegemaakt is dat bij een geconstateerd probleem er niet of nauwelijks een verplichting is het probleem binnen een bepaalde tijd op te lossen. En als er wel SLA's zijn en goede support is, is het product niets goedkoper of beter dan andere producten.
Daarom is het ook FOSS, je weet waar je mee bezig bent of niet... mijn inziens bepaald dat heel snel ze kwaliteit van de IT-er of zijn wil om iets te kunnen/willen leren.
Het gaat niet om restore of backup strategie. Het gaat om uitzoekwerk, onderzoek, controle en nogmaals controle. Virussen en malware nestelen zich ook in snapshots of zetten deze mechanismen uit. Ze nestelen zich op plekken in de hardware zoals bios en plekken op disksets die niet door een image worden overschreven. Hoe kun jij in zo'n korte tijd controleren en garanderen dat alles schoon is? Daarnaast. Ik ken ICT omgevingen waarbij een foutief afgesloten server meerdere uren nodig heeft om op te starten ivm controles en data integriteit checks. Die bedrijven investeren zeer veel en goed in de automatisering. Maar in worst case scenarios is een halve dag tot een dag reŰel. Een goede disaster recovery kost tijd. Hoe goed je het ook voor elkaar hebt en hoeveel geld je er ook in steekt.
"in sommige situatie heb ik een restore in 30 minuten kunnen doen, jouw restore duurt langer dus doe je iets fout", je argument klinkt hetzelfde als tegen een monteur zeggen dat het vervangen van de motor van een auto te lang duurt omdat jij in 15 minuten een band kan verwisselen. Als je de oorzaak van andermans probleem niet weet kun je geen uitspraak doen over een realistische oplostijd.

Als alle servers en endpoints in een bedrijf met 1000 pc's besmet zijn kun je niet in 30 minuten alles hersteld hebben. Je kunt 1 restore niet extrapoleren naar een complete infrastructuur restore. Dan loop je opeens tegen beperkingen aan van je restore media, je netwerksnelheid, het handmatig activeren van een restore job, de volgorde waarin je moet restoren en dan heb je eerst al moeten zorgen dat al je besmette systemen van het netwerk af zijn.

0vestel0 zal ook wel weten dat sommige infecties direct bij het endpoint een halt kunnen worden toegeroepen en dat de recovery tijd dus heel kort is, zijn reactie is bedoeld tegen de mensen die beweren dat elk incident dus maar snel op te lossen moet zijn.
idd. Ik bedoel ook in geval van een bedrijfsbrede disaster. Niet een simpel virusje.
Ik had een klant die leverancier was van een grote winkelketen, die keten was hun leveranciers tot op de laatste nagel aan het uitkleden met gekke voorwaarden en kortingen door hun strot heen te duwen.

De IT'er die daar zat besefte ook wel dat zijn infrastructuur beter kon, maar bijvoorbeeld de enige vorm van hardware redundantie die hij kon betalen was zoeken op ebay en marktplaats naar iets wat lijkt op zijn eigen hardware en onder de 100 euro kost. Je kunt wel nagaan dat die geen budget had om een WDS server neer te zetten als de directeur dacht dat hij de applicaties ook wel met de hand kon installeren.

Het besef en de wil is er maar het geld niet. Dat bedrijf leeft op een minimale marge, mag of kan niet leveren aan andere partijen omdat ze daar dezelfde lage marge krijgen. Om dan denigrerend te spreken over een IT'er die met zijn dochtertje moet zwemmen geeft wel aan dat je niet bereid bent buiten je eigen bubble te kijken. Jij hebt dan het geluk dat je goed IT gereedschap hebt, maar besef dan ook dat niet elk bedrijf dat kan betalen, soms staat de balans gewoon letterlijk op rood.
totaal ongerelateerd aan de discussie maar ik dacht dat ik mensen kende die star zijn maar jij spant toch wel echt de kroon. Waarom kun je niet accepteren dat het bij andere anders gaat wat ook goed kan zijn in de betreffende situatie. hoe kun jij voor alles en iedereen inschatten wat goed of fout is ?
Omdat alles onderhevig is aan verandering, veel mensen willen dat alleen niet accepteren dus blijven ze maar bij het oude en dan ineens loop je vreselijk achter.
Offsite backup is gewoon niet voor iedereen haalbaar voor een enkele backup opdracht gebruiken we voor het operationele al dagelijks ongeveer 800 LTO 6 tapes en ja dit is 6.25TB per tape. Dit zijn dan nog niet eens de video en audio files die hier nog staan waar bijna geen wijzigingen aan gebeuren.

zelfs met de 2 10Gig internet connections is dat niet (bet)haalbaar
Helemaal mee eens. En dan heb je het over een relatief klein bedrijf van 10 pc's.

Elke pc meer maakt het exponentieel lastiger.
Ik heb zelfs bedrijven gezien die alles perfect voor elkaar hadden, maar toch plat gingen.
Dan heb je het dus niet perfect voor elkaar als bedrijf.
Mee eens
Het is niet zo makkelijk als men denkt hier
Het bedrijf waar ik werk hebben zelfs mensen van microsoft enz in laten vliegen om het probleem op te lossen
Voor nu liggen we al bijna een week stil
Wat een dure woorden allemaal. Er is maar 1 groot virus en dat heet Microsoft !
Wellicht eens interessant om een heel duidelijk artikel te maken over hoe jezelf te wapenen tegen dit soort dreigingen, ofjah, in ieder geval hoe je het risico minimaliseert en waar het gevaar meestal schuilt. Backups bijhouden is nooit verkeerd (een must tbh), maar hoe de verspreiding precies te werk gaat is nog niet altijd even duidelijk ( is het een worm? infectie via email? malicious urls of ads? user executed software? ). Na eigenlijk een relatief rustig decennia sinds het Blaster Virus era toen elke week wel een massive outbreak was, is dit weer voor het eerst Úcht een serieuze dreiging :o

Vroeger was een format C voldoende en was je weer up and running, nu zijn zelfs je overige partities niet meer veilig. Is dit te voorkomen door deze bijv. zelf te encrypten?

[Reactie gewijzigd door quintox op 29 juni 2017 10:14]

- Backups!
- Data niet op je lokale machine bewaren
- Installeer updates binnen een week nadat ze uit komen (OTAP doorlopen waar mogelijk)
- Loop instellingen na en zet uit wat je niet gebruikt (oude protocollen etc)
- Scherm netwerken van elkaar af met firewalls
- Least privilege principe hanteren. Niet iedereen hoeft Admin rechten, en je standaard account heeft de rechten ook niet nodig.
- Backups!
- Niet overal klakkeloos windows installeren, soms zijn er betere alternatieven
- Niet onnodig veel software op je computer zetten. Al die 'handige' tools kunnen stuk voor stuk lek zijn.
- Backups! (had ik al gezegd dat die handig waren?)
- Nadenken en niet zomaar op 'OK' klikken.
- En maak zo nu en dan eens een backup ;)

Succes!
In een andere post ook al genoemd. Bij BBC news ggisteren zat een juriste die goed doorhad waar het probleem zit. Veel bedrijven draaien tegenwoordig 24x7. Hun core business is niet IT. Veel operational managers komen met allerhande bogus reden om IT niet z'n werk te kunnen laten doen omdat er dan geen 24x7 garendeerd en die managers dus niet hun target halen. Zolang bedrijven dus niet de beslissingen nemen vanwege de kosten om daadwerkelijk 24x7 te kunnen draaien en IT hun werk te kunnen laten doen lopen ze altijd gevaar op. Daarnaast het fenomeen cached passwords in combinatie met psexec gaf deze tool de mogelijkheid zich zo te verspreiden.

In the old days werd OS software ontwikkeld met het idee, niets mag behoudens. Daar is later een omkeer in gekomen van Allles mag behoudens. Kijk naar bijvoorbeeld Windows 10, de eerste gebruiker die wordt aangemaakt is de Administrator. Als je dat image uitrolt in de organisatie is psexec de uitgelezen optie om de besmetting 100% effectief te maken. Dat kan je overigens weer blokkeren door dezelfde techniek te gaan gebruiken dat menig professionele wifi omgeving kan. IP isolatie implementeren in switches met exception rules.
Ok, voor een Tweaker is dit duidelijk, en dat is tevens ook het punt dat ik probeerde te maken ;) Hoe krijg je dit voor elkaar als je het een leek wilt uitleggen? ofjah, iemand zonder vergaande kennis van IT ( iig security ). Is dit met software/tools op te vangen? ( uitgezonderd van backups, dat is gewoon een must :P )

Backups zijn bovendien een paardenmiddel, broodnodig, maar last resort.. dat telt niet onder de noemer "jezelf wapenen" ;)

Verder zitten er uiteraard goede tips tussen, maar men is helemaal niet bewust van de risico's als deze tips niet gehanteerd worden. Hoevaak zie je wel niet out-dated java, flash, reader, IE en zelfs Windows versies ( danwel niet up to date of 3 versies terug. ). Men ervaart de vensters als irritant en klikt ze weg en is vaak niet bewust van de risico's van outdated versies. "Waarom updaten, het werkt nu toch ook?"

Jezelf wapenen tegen wormen begint denk ik toch Úcht bij de zwakste schakel binnen een netwerk. Daar vind de infectie plaats en vervolgens is iemand die wÚl zijn security in orde heeft de lul door een zero-day exploit die via het lokale netwerk misbruikt word.
ik heb mij er niet in verdiept, maar het komt volgens mij via mail op het netwerk en verspreid zicht dan als een worm via SMB
Of WMI of psexec.....
ik heb mij er niet in verdiept, maar het komt volgens mij via mail op het netwerk
Deze zou via een updateprocedure van een boekhoudprogramma zijn binnen gewandeld.
Wat ik in elk geval weet is dit:

Ten opzichte van Wannacry infecteert NotPetya alleen via lokale netwerken. Dat houdt dus in dat er een al ge´nfecteerde computer op het lokale netwerk moet zitten om de rest te infecteren. Bovendien moeten computers die het virus oplopen eerst rebooten voor de encryptie in werking wordt gezet. Als je dus weet dat je ge´nfecteerd bent, niet opnieuw opstarten tot je zeker weet dat je het uit je systeem hebt kunnen slopen.

Voor meer informatie over NotPetya, maar ook over vele andere gerelateerde onderwerpen, zie hier de blog van MalwareBytes, de persoon die WannaCry (per ongeluk) heeft uitgeschakeld toentertijd. Hij schrijft erg prettige, en ik denk voor de meeste Tweakers ook volledig begrijpelijke artikelen over dit soort onderwerpen.

Overigens is hij ook bereikbaar via Twitter, goede vragen (die niet al makkelijk via een andere route te beantwoorden zijn) beantwoordt 'ie graag.

[Reactie gewijzigd door PeterBennink op 29 juni 2017 10:15]

Waar WannaCry ook zeer waarschijnlijk per ongeluk (te vroeg) gelekt/lostgelaten is. Zoals ik het heb begrepen zat het te goed in elkaar om dan zo'n knullige kill switch erin te hebben die verbinding maakt met een simpel domain. Zat dit er niet in, dan was de schade niet meer te overzien.

Dit soort blogs vertellen wel vaak over de werking van bepaalde threats en wat ze proberen te zoen, maar zoals Svennd al zei "Dat is wel een van de minst vertelde verhalen, vaak zijn consumers al wel op de hoogte van ransomware, (of het nu ransomware was of niet) maar niet hoe ze zich beschermen," Probleem met dit soort malware is dat het niet eens je eigen fout hoeft te zijn. Vroeger was het je eigen onverantwoorde gedrag wat tot infecties kon leiden, tegenwoordig hoef je maar op een ongelukkig netwerk te connecten.

Hoe bescherm je jezelf tegen dit soort infecties? Kort antwoord: niet, maar er moet toch wel meer te doen zijn?

[Reactie gewijzigd door quintox op 29 juni 2017 10:21]

Waar WannaCry ook zeer waarschijnlijk per ongeluk (te vroeg) gelekt/lostgelaten is. Zoals ik het heb begrepen zat het te goed in elkaar om dan zo'n knullige kill switch erin te hebben die verbinding maakt met een simpel domain. Zat dit er niet in, dan was de schade niet meer te overzien.
Ik snap niet helemaal wat je hier mee wil zeggen. Uiteindelijk zat die killswitch er wÚl in, en is MalwareBytes wÚl degene geweest die 't heeft gestopt. Hypothetische situaties kan je niet heel veel mee. Bovendien heeft de infosec community, ook nadat wannacry gestopt werd, het volledige virus nog verder uitgeplozen. Dat is onder andere de reden dat er daarna een flinke campagne is begonnen om SMBv1 overal uit te schakelen. Het probleem komt pas op het moment dat mensen hier niet naar luisteren.
Dit soort blogs vertellen wel vaak over de werking van bepaalde threats en wat ze proberen te zoen, maar zoals Svennd al zei "Dat is wel een van de minst vertelde verhalen, vaak zijn consumers al wel op de hoogte van ransomware, (of het nu ransomware was of niet) maar niet hoe ze zich beschermen,"
Googlen op 'protect against petya' (dat is om de een of andere reden wel de naam die dit nu heeft gekregen in de mainstream media) levert voldoende goede artikelen op, dus ik weet niet helemaal wat jullie mÚÚr willen. Daarom linkte ik juist naar dit artikel, ik ging er vanuit dat de overige informatie al goed beschikbaar was.

Overigens weet de gemiddelde consument wel dat het belangrijk is om je software up-to-date te houden, maar toch doen ze het niet, omdat ze daar geen zin in hebben. Dat komt er dan nog eens bij: mensen weten in elk geval ÚÚn hele goede methode om hun computer veilig te houden, maar weten en doen blijken vervolgens nogal ver uit elkaar te liggen.
Probleem met dit soort malware is dat het niet eens je eigen fout hoeft te zijn.
Dat is absoluut niet waar. Beveiliging van je computer, of het gebrek daar aan, is absoluut gewoon je eigen fout. Oplossingen komen je niet altijd aanvliegen, daar zul je inderdaad zelf naar op zoek moeten gaan, maar dat houdt niet in dat het niet je eigen fout is als je dat niet doet.
Vroeger was het je eigen onverantwoorde gedrag wat tot infecties kon leiden, tegenwoordig hoef je maar op een ongelukkig netwerk te connecten.
Ook op 'ongelukkige' netwerken kan je jezelf beveiligen. En als je dat niet doet, maar wel connect met een 'ongelukkig' netwerk, dan is dÓt juist je onverantwoorde gedrag.

[Reactie gewijzigd door PeterBennink op 29 juni 2017 11:26]

"Ook op 'ongelukkige' netwerken kan je jezelf beveiligen." Hoe bescherm je jezelf tegen een worm dat binnenkomt via de mail van ÚÚn van je collega's die vervolgens via LAN jou systeem infecteert middels een zero-day exploit waar nog geen patch voor is?

Dat is het probleem van zero-day exploits en met name wormen.. iemand anders zijn onverantwoord surft gedrag kan voor infecties op je eigen systeem zorgen ondanks dat je alles netjes helemaal dicht gepatched heb. Jij bent dan niet de zwakskte schakel.

Kijk hoe Stuxnet te werk ging, daar kun jij als eindgebruiker ( hoe verantwoord en veilig je denkt te werken ) helemaal niks tegen doen.

[Reactie gewijzigd door quintox op 29 juni 2017 11:48]

Jij hebt het er over dat er geen patch is. Hoe zit het met de artikelen die zeggen dat die er wel zijn? Microsoft zegt dat Windows 10 hier al tegen beveiligd is als je de security update van halverwege maart hebt ge´nstalleerd. Uiteindelijk hoeft er niet altijd een beveiliging te zijn tegen het exacte virus, maar tegen de exploit waar (misschien op een nieuwe manier) gebruik van wordt gemaakt.

En tuurlijk, er zijn situaties waarin je minder kan doen om jezelf te beveiligen. Dan heb je nog steeds backups.
Een zero-day exploit is natuurlijk geen zero-day meer als er een patch voor is ;) In de 1e dagen van WannaCry was er nog geen patch beschikbaar en kon je er dus ook niks meer tegen doen als de worm zich binnen jou netwerk bevond. Op het moment van uitbraak was je pc wellicht 100% up to date en alsnog 0% bestand of weerbaar tegen WanaCry.

https://nl.wikipedia.org/wiki/Zerodayattack
Nee inderdaad, tot in zoverre heb je helemaal gelijk, ik ben bekend met 0days, praatten beetje langs elkaar heen geloof ik. Hoewel het natuurlijk wel zo is dat SMBv1 al tijden onveilig was, je had toen misschien nog geen specifieke reden om het uit te zetten, als in, niemand had het nog (op grote schaal) misbruikt, maar dan ben je gewoon aan het wachten tot iets misbruikt wordt, en dan zie ik het toch als je eigen schuld. Ook bij grote bedrijven: zij hebben de afweging gemaakt of ze ˇf veel tijd wilden besteden aan hun systemen altijd up-to-date te houden (want ik snap dat dat enorm veel tijd kost) ˇf hun tijd anders(/beter?) te besteden en het risico voor lief te nemen. Ik durf niet te zeggen wat de betere optie is, misschien is het tijdsefficiŰnter om constant backups te maken, en die als er iets fout gaat te herstellen, maar als er iets fout gaat is het gewoon je eigen schuld.
Dat klopt, en voor Tweakers of iig hobbyisten is het bekend en dichtgetimmerd ( zo zijn er meer zaken zoals SMBv1 ), maar weet de gemiddelde consument dit? Wie verteld hem dit? Zijn nog zat applicaties die bijv. automatisch het SMB protocol kiezen, Synology staat bijv. ook standaard ingesteld op SMB2 en niet SMB3.

Ik denk dat de gemiddelde gebruiker nog nooit gehoord heeft van zoiets als SMB, laat staan hoe je het moet aanpassen. Zelf vind ik dat ik redelijk bekend ben met computers, zowel Windows als Ubuntu, maar voor mijn gevoel mis ik nog een hoop zaken wat voor systeembeheerders gemeengoed is. Zijn er tools voor Windows die soortgelijke kwetsbaarheden dichttimmeren of iig een alert geven dat er actie vereist is? Googlen naar dat soort tools betekent vaak dat je bij lugubere partijen uitkomt die goude bergen beloven ;)

Daarom was Hitmanpro (vroeger) ook zo fijn, ÚÚn all-in-one tool waar vrijwel alles inzat. Zoals de GeekSquad MRI discs ;)

[Reactie gewijzigd door quintox op 29 juni 2017 14:55]

Zijn er tools voor Windows die soortgelijke kwetsbaarheden dichttimmeren of iig een alert geven dat er actie vereist is?
Ja, dat is m'n punt dus: Windows up-to-date houden! De gemiddelde gebruiker hoeft helemaal niet te weten wat er nou precies gebeurt in zo'n update, hij moet 'm gewoon uitvoeren, meer wordt er niet van 'm gevraagd.
Nee ik bedoel Úcht wat anders, er zit voldoende in Windows wat niet gefixed wordt met een patch maar wel een beveiligingsrisico vormt. UAC tot max openschroeven is hoogst irritant en niet altijd nodig.

SMB is nou zo'n voorbeeld waar Windows updaten hier niks aan verandert. Ik kan nog steeds dat protocol gebruiken net zoals ik nog steeds data over HTTP zˇnder TLS kan versturen.. het is niet verstandig, maar wÚl mogelijk. Zo denk ik dat er genoeg Services op de achtergrond draaien die wellicht niet nodig zijn. Zowel Microsoft als vendor services die risico's kunnen vormen en waarvan het niet meteen duidelijk is of ze wel moeten draaien.
Dat up to date houden als enorm irritant ervaren wordt komt denk ik ook omdat het zˇoo vaak gebeurd.

Om de haverklap weer updates van windows waardoor je weer minuten tot een half uur zit te wachten voor je kan werken of af kan sluiten.
CPU usage die ineens omhoog schiet omdat er weer wat in de achtergrond staat te updaten etc.
Updates die eeuwig duren om te installeren.

Dat zou allemaal een stuk sneller en minder 'in your face' mogen zijn.
Ik weet niet hoe updaten op Windows tegenwoordig in praktijk gaat (sinds 2008 MacOS), maar zoals jij het beschrijft klinkt het inderdaad een beetje ouderwets.

Echter is dat dan toch echt nog steeds een afweging die je als gebruiker zelf maakt. Updaten kan je toch ook gewoon doen net voor je langere periode geen gebruik hoeft te maken van het systeem? Je kiest er ook zelf voor om het 'in your face' te laten zijn. En als je er dan voor kiest dat je updaten niet belangrijk genoeg vindt: prima, maar dan is het dus wel je eigen fout als er daardoor iets fout gaat.
WannaCry was dan waarschijnlijk ook een test. En het had voor velen een wake-up call moeten zijn.
Dat is wel een van de minst vertelde verhalen, vaak zijn consumers al wel op de hoogte van ransomware, (of het nu ransomware was of niet) maar niet hoe ze zich beschermen, als je ziet dat zelfs tweakers naar websites wijzen die vage oplossingen geven weet je dat er duidelijker moet.

Aanvulling : zelf encrypten heeft beperkt nut, in dit geval, omdat ik vermoed dat encryptie verhinderd dat de files gezien worden zonder dat het OS geladen is, maar bij wannacry eindig je gewoon met 2x encrypted files.

[Reactie gewijzigd door svennd op 29 juni 2017 10:13]

Het Blaster virus, dat waren nog eens tijden. We hebben ook nog Conficker gehad in 2009, dat was de grootste met circa 0.7% van alle Windows machines, en daarna Flashback in 2012, dat op zijn hoogtepunt 1% van alle Macs onder controle had, maar dat wordt niet zoveel bij bedrijven gebruikt.
#Memberberries
Het Kournikova virus..... O+
Of Sub Seven }>

[Reactie gewijzigd door walteij op 29 juni 2017 10:19]

CIH virus jaren 80
overschreef de bios eeprom van je 386/486 met troep....
errug lollig NOT
behalve dan als je een epromprogrammer had
Dat zou ik nou idd ook eens willen weten...
Ik heb 5 hdd's in mijn bak liggen waarvan het meeste me niets uitmaakt als het weg is (kan ik wel opnieuw installeren), maar als het toevallig mijn schijf met foto's etc is, dan...
backups zijn natuurlijk aanwezig, online, offline en in de cloud, maar toch voorkom ik liever dat dat nodig is...

Hoe kan ik nou voorkomen dat zo'n ding, die wss begint op mijn systeemschijf, overwaait naar al mijn andere schijven?
1. Preventie dmv poorten dicht, onnodige services uit (smb1), goede mail scanner, goed verstand (websites en mail attachments)
2. Shares benaderbaar maken met andere credentials. De malware draait onder jouw user account, als je voor elke share/andere schijf een extra set credentials nodig hebt kan de malware daar niet bij. Veiligheid gaat regelmatig ten koste van gemak. Of beter gezegd, het is vaak gemakkelijker om wat beveiligingslagen achterwege te laten.
Ah dank je, dan ben ik in ieder geval goed op weg :) alleen inloggen met andere credentials is nog niet geregeld. Is een beetje onpractisch voor andere schijven, maar als ik er 1 op die manier isoleer voor foto's en documenten, wordt het opeens best overzichtelijk ^^
hang ze in een nas of leg ze los in je pc en plug de sata kabel alleen in als je ze nodig hebt. het is plug and play :)
Nee, nas vind ik niets, teveel geld voor veel te weinig functionaliteit die ik nodig heb.
Sata loshalen klinkt goed, maar mijn comp,is af en toe een beetje onbereikbaar, dus dan ga ik voor de verschillende credentials...
Tweaker Chuk had in een vorig nieuwsbericht over Petya een link naar een YT-video gepost waarin Petya wordt geanalyseerd. Voor de ge´nteresseerden.

https://www.youtube.com/watch?v=vtDgA_aasfc
Credits to Chuk

Ben het verder wel met je eens. Er wordt heel veel nieuws gebracht over de ransomware/wipers, maar nooit een artikel over hoe je jezelf nu kunt verdedigen tegen dit soort dingen (waarbij er meer wordt verteld dan het intrappen van de open deur 'Zorg dat de systemen de laatste updates/patches draaien').

[Reactie gewijzigd door PatrickPR op 29 juni 2017 10:26]

Ik zie zo'n soort van toekomst waarin virussen het volledige web hebben overgenomen.

er is nog 1 enkele pc ergens op de wereld die werkt...

"pappa, wat is dit voor stekkertje" (steek netwerkkabel in pc)

helaas....
...snif

(beetje in het licht van The Last Dodo)
Zal wel loslopen -> South Park, internet down.
De nieuwe dreigingen komen waarschijnlijk met nieuwe methodes en zero-day exploits. Kennis over huidige werkwijze uiteraard handig, maar 100% garantie geeft dat niet.
Klopt, maar de infectie zelf vind meestal niet plaats door een zero-day of onbewuste actie, de verspreiding vervolgens wel. Het kan zich bijv. immers verspreiden via een lokaal netwerk zodra een computer binnen dat netwerk ge´nfecteerd is. Kennis over de werkwijze kan ervoor zorgen dat men meer rekening houd met de zwakste schakel en de bijbehorende risico's voor zowel de schakel als de hele ketting ( Juffrouw Anita de secretaresse bijv. ).
Tja, een ransomware-aanval zie ik altijd gewoon als vergelijkbaar met het defect gaan van je HDD. Alles wissen en de backup terugzetten.

Als je dan geen backup hebt (of standaard-images in het geval van kantoor-PC's) dan heb je zelf ergens iets niet goed gedaan. Kost je misschien een dag tot een paar dagen downtime, maar je kan niet zeggen dat er onherstelbare schade is aangericht.
Windows herinstalleren op een SSD duurt echt geen dagen meer hoor!? inclusief alle apps ben ik misschien 4uur bezig!
4 uur per werkplek, dat gaat aardig in de kosten lopen. Ik zou er niet aan moeten denken dat ik zo lang bezig ben met het installeren van 1 Windows machine (zelfs met een HDD doe ik er niet zo lang over).
Via MDT is dat een kwestie van een uurtje per werkplek.
Ja toegegeven, locale data ben je kwijt, maar een standaard werkplek met standaard applicaties is via MDT echt wel binnen een uur te realiseren.
Als MDT goed is ingericht, kun je zelfs applicaties per werkplek (gebaseerd op de afdeling) laten installeren. Is gewoon een kwestie van PXE-boot, wat opties aanklikken en de installatie zijn werk laten doen. Bij een van mijn vorige werkgevers warden zo 8 systemen in een uur geinstalleerd. De werkplekbeheerder zette ze aan, koos de juiste computernaam en afdeling, klikte op "Install" en de rest ging vanzelf.
Dat zijn de kosten niet hoor. De grootste kosten komen doordat medewerkers met geinfecteerde systemen niet op hun computer kunnen werken.
Als je het zo regelt is het inderdaad goed. Maar ik reageer juist op iemand die aangeeft dat een Windows herinstalleren (inclusief apps) op een SSD 4 uur kost. Dat vind ik veels te lang, dat zal bij ons op het werk niet worden gewaardeerd.
Kwartiertje met Acronis
Dan staat de image hooguit op het systeem en daarna heb je nog de nodige handelingen (al dan niet automatisch) voor het weer volledig operationeel krijgen van het systeem in de zakelijke omgeving
dat is dan ook het verschil tussen handmatige setup thuis en geautomatiseerd op je werk...
Ook van mijn setup thuis heb ik een custom installatie. Als er iets mis is met mijn PC staat die binnen 30minuten alweer helemaal gereed.
in mijn ervaring is het bijhouden van een acronis image meer werk dan het 1-2x per jaar opnieuw installeren van windows. je moet die image regelmatig backuppen op een veilige plek, en een hoop software die geinstalleerd staat en instellingen die gedaan zijn wil ik eigenlijk niet per se bewaren. af en toe die c schijf helemaal schoonvegen bespaart ook weer clean up werk.

[Reactie gewijzigd door Origin64 op 29 juni 2017 12:09]

Een uur klinkt vrij lang voor een MDT installatie. Volgens mij heb je je netwerk of MDT-server dan niet helemaal op orde.
Daarom staat er ook 'binnen een uur' :).
Deze tijd staat er ook omdat ik de medewerker dit alleen heb zien doen met 8 systemen tegelijkertijd en hij pakweg iedere 50 minuten alle systemen kon omwisselen.
MDT zal vast sneller zijn als je maar 1 systeem doet (die werknemer moet namelijk ook op alle systemen even een paar keer klikken, wat ook weer tijd kost).
"Via MDT is dat een kwestie van een uurtje per werkplek. "
En de nuance staat precies 1 zin verder.....
Met die criteria kun je ook zeggen "binnen een maandje" om het vervolgens weg te nuanceren.
Mooie snelle stick , easy2boot en je windows staat binnen 10 min op je SSD !.
dan even zorgen dat je zelf een WSUS heb draaien, knal je de laatste updates er even op .. drivers office enz .. en door .

maar idd, de client machine zal zo zeer je probleem nog niet zijn.
Daarbij gaan wij uit van een "normale werkplek" maar op industrieel niveau zijn er vaak specifieke programma's ge´nstalleerd welke ingeleerd moeten worden op de machines e.d.
en dan gaan we het over andere bedragen hebben, want externe monteur moet komen.
deze gaat aan de gang met voorrijkosten van 300,- en dan de rest nog.
en stilstand is verlies.
Een schip laten liggen kost ook 10 duizenden per dag !
veeam endpoint protection, is gratis en kan gewoon dagelijks delta naar een share backuppen. Met de bijbehoorende baremetal restore iso ben je zo weer terug. En die nas backup je gewoon naar een tweede ergens in de wereld.
En de rest van het herstel? De hoeveelheid data die je moet terugzetten? Vergeet niet dat we het hier niet over consumenten hebben maar bedrijfsnetwerken.

Leuk dat jij je paar apps enz in een paar uur weer hebt terug staan, maar de slachtoffers in dit geval hebben toch wel heel wat andere eisen dan een thuiscomputer ;)
heel veel bedrijfssystemen draaien al lang in de cloud...email wordt op een externe server opgeslagen...de werkstations zijn tegenwoordig veelal halve terminals geworden hoor! en als je een bedrijfsserver hebt...jah dan moet je altijd backups hebben...maar werkstations....maakt in veel gevallen niet veel meer uit!
Totdat iemand zo'n ransomvirus de cloud in weet te krijgen...
tja dat zal misschien ooit gebeuren...maar dan praat je weer over servers...waar wel degelijk dagelijkse of uurlijkse backups van horen te zijn!
En die op een non windows OS draaien bovendien.
dat is dan het goede er aan
het slechte is dat ze ongetwijfeld een keer met een dergelijk virus komen wat op unix/linux/rt11/rsts-e draait en dan de cloudservers te grazen neemt.
als er daar niet iemand keihard op de noodrem trapt dan overschrijft de automatische backup ook de goede backup met de vernaggelde data.

oke oke
doomscenario
maar ik kan niet garanderen dat het niet gebeurt
als het goed is is het backupsysteem bij cloud providers iets uigebreider dan 1 backup die dagelijks wordt overschreven.
Er zijn ook genoeg virussen voor onder andere linux. Windows is alleen wat vaker het doelwit omdat het zoveel wordt gebruikt, maar je moet niet doen alsof linux nooit virussen/exploits enz heeft.
Virussen voor Linux? Dus mallware die werkt zonder user interactie?
BRON?

Trojans zijn er ja, maar virussen?

[Reactie gewijzigd door hackerhater op 29 juni 2017 11:48]

Zeker wel. De linux kernel krijgt elke maand wel een patch waarin verschillende CVE's (kwetsbaarheden) worden opgelost. Daar zou een kwaadwillende dus zo een virus voor kunnen schrijven.

Als systeembeheerder kun je het beste die patches automatisch installeren, en ergens midden in de. nacht (om 03:00 ofzo) de vereiste reboot uitvoeren.
Het zou kunnen en als je niet up to date blijft
maar als de meeste dat doen is een virus schrijven niet zo nuttig
automatisch patches installeren zonder te weten of het gevolgen heeft voor de software die draait? in een fatsoenlijke omgeving is dat dus echt een nono..
Ik zei bron
Dus een lijst met virussen die echt werken niet een artikeltje dat zegt dat je voorzichtig moet zijn met wat je installeerd (doh)
Op zich wel verbazingwekkend natuurlijk gezien nixxen toch op talloze servers gebruikt worden, dus je zou zeggen dat het wel een aantrekkelijk doelwit vormt.

Ik denk dat het verschil hier is dat windows en andere desktop omgevingen veel grotere software pakketten draaien die minder gericht zijn op security (denk kantoorwerk, als je het vergelijkt met servers en aanverwante ) *en* dat ransomware natuurlijk lucratiever is bij gebruikers die niet professional zijn.

Daardoor zie je ws minder direct gerichte virussen op OS-niveau, maar veel meer aanvallen gericht op wat er op die servers draait ( CMS-en ). Je moet toch op een manier binnenkomen en via deze kant een root verkrijgen via een slecht geconfigureerde server lijkt haalbaarder.
Ik denk dat het verschil hem vooral al zit in het "soort" personen waar op gemikt wordt. En dat is veelal de gebruikers die verder geen IT gerelateerde kennis of interesse hebben. Dat zijn vaak de personen die ieder mailtje gewoon open klikken ook al zitten ze bijvoorbeeld voor hun mobiel bij telfort en ontvangen ze een factuur per e-mail van KPN. In plaats van zo'n mail weg te gooien kijken ze toch even of er niet wat interessants in staat.

Van de personen die linux/unix/windows op een server gebruiken mag je over het algemeen verwachten dat ze niet op een server hun e-mail gaan zitten en willekeurige bijlages gaan openen of dat ze op een server diverse "gratis" software pakketten gaan installeren of gewoon simpel naar de meest vage websites browsen. Als je dat als beheerder wel doet (en dan niet op een remote desktop server natuurlijk) dan moet je toch eens gaan nadenken of je wel het juiste beroep hebt gekozen.

Waar linux servers inderdaad meestal op gepakt worden is dat ze of onwijs achter lopen, of de rechten totaal niet kloppen of een of ander brak software pakket de deur wagenwijd open gezet heeft. Maar dat is meestal net zo hard van toepassing voor windows servers.
Dat zijn trojans. Leer het verschil
Als jouw workstation schrijfrechten heeft op een of andere clouddrive, dan kan dat ook gewoon ge´nfecteerd worden hoor. Niks ooit, gebeurt nu al.
Gelukkig zijn diverse cloud drive oplossingen zoals Onedrive inmiddels het licht gaan zien en heb je in de zakelijke omgevingen de mogelijkheid om bijvoorbeeld al het synchroniseren van bepaalde extensies en bestandsnamen tegen te houden. Het is natuurlijk geen garantie maar het zorgt wel net weer even voor een extra stap in de preventie.
er zijn altijd scripts te bedenken waarop het fout gaat....dat betekent niet dat t ook gaat gebeuren op grote schaal! we hadden t over het herinstalleren van desktops waarop zakelijke cloudoplossingen draaien...niet over dropbox of onedrive!
Onedrive is gewoon een zakelijk oplossing als onderdeel van 365. Daar naast heeft @Zoop het over een clouddrive en dat is exact wat Onedrive ook is. Wel een beetje op blijven letten en niet direct zo negatief er in gaan zitten @bArAbAtsbB

[Reactie gewijzigd door daredevil__2000 op 29 juni 2017 13:10]

Uhm, onedrive is een belangrijk onderdeel in veel MS based zakelijke cloudoplossingen..
Data op lokale machines.... in bedrijven.... ;)
Nee, dat gaat helemaal goed komen.
Als ik naar mijn userprofile kijk van ~890GB waar een hele hoop gewoon 'werk' data is (natuurlijk check ik projecten verder in/publiceer ik services van wat ik gemaakt heb), ben ik blij dat er een hoop lokaal staat. In veel sectoren kßn dat gewoon niet anders. Ja, mijn mail staat in cloud (hoewel ik een lading PST's in mijn profiel houd), ja: er is een grote geodatabase, maar ivm. latency/vertraging doe ik een hoop werk vˇˇr publicatie lokaal (snelle, frequente mutaties op 90mln records gaat op m'n filesystem toch sneller). Zelfde geld voor gecompliceerde meshes, en LiDAR data...

Ik weet dat ik eerder niche ben dan norm, met m'n big (geo)-data werk, maar ik heb bij genoeg bedrijven gewerkt waar gewoon puur voor de performance een hoop lokaal, of: zo dicht mogelijk (lees: dichtbij genoeg dat ransomware een probleem is) bij de workstations als mogelijk wordt geplaatst.

En dan nog, heeft hij nergens werkelijk lokale data gezegd. Ransomware van deze aard zoekt elke CIFS-link op die het maar kan en molt wat er op staat, je team-drive is dus dood, mogelijk het projecten archief, etc... sterker nog: sommige van deze ransomware systemen hebben de neiging (half)-open ODBC of JDBC links op te zoeken, en daar ook alle mogelijk kwaad uit te voeren wat maar mogelijk is... weg project database...
Je kan op netwerkomgevingen ook prima inregelen wat het niet weggeschreven kan worden. Enige basis bescherming is al op basis van known filenames en extensions bestanden laten blokkeren voordat ze weggeschreven kunnen worden. Dit kan ook prima bij bijvoorbeeld een OneDrive
IT Policy, uit ervaring vaak moeten knokken voor netwerkschijfruimte (en niet omdat er vakantiefoto's op schijf stonden). En vervolgens is het beleid om lokale stations niet te back-uppen.
Ik heb bij een groot NL bedrijf gewerkt waar het meer dan normaal was (helaas) om data lokaal op te slaan.
Op universiteiten is het lokaal op de eigen PC opslaan ook nog steeds de meest gangbare methode van dataopslag ;(
Met de opkomst van de laptops is het al helemaal moeilijk geworden om mensen over te halen om vooral het netwerk te gebruiken. Men heeft de data liever (letterlijk) bij de hand. Zelfs backups maken wordt vaak vergeten, maar daar komt men meestal pas achter als het te laat is.
Bij het huidige bedrijf hebben wij dat opgelost door in Windows 8/10 met OneDrive te werken. Alles in de cloud. Helemaa top. Ook op MacOS overigens. Waar wij ook mee werken.

Behalve wat afdelinsdata dit staat allemaal op SharePoint. Een nadeel. Als Microsoft een grote storing heeft zijn wij wel de sjaak
totdat het netwerk er weer eens uit ligt om tal van mogelijke redenen.
Wat ik bij een hogeschool en universiteit heb gezien is dat je inlogt op een lokale pc, maar dat je account met userdata (dus documenten, downloads, afbeeldingen etc.) op een server staan en dat bij het inloggen alles naar die lokale PC wordt gedownload. Het lijkt dus alsof alles van jou op de C schijf staat, maar dat is in feite niet zo. Het besturingssysteem wordt veelal vanuit een image gedeployed, dat kan dus wel echt op de PC staan. Maar soms hoeft ook dat niet: Dan wordt er via een ethernet boot (PXE) een image vanaf de centrale server opgestart. Of die dan eerst naar de HDD wordt gekopieerd weet ik niet, maar dat kan wel.

Hierdoor zijn die computers vaak ook zo vreselijk traag. Ze werken veelal met ouderwetse HDD's, moeten bij het inloggen dus al jouw bestanden downloaden en bij het uitloggen, nadat alles is gesynchroniseerd, al jouw bestanden weer weggooien. Hoe meer bestanden je hebt, hoe langer dit proces duurt. Daarom heb je soms ook maar een paar honderd MB aan opslagruimte. (was op mijn middelbare school, begon ooit met 50 MB!)

[Reactie gewijzigd door arjan1995 op 29 juni 2017 12:05]

Op steeds meer plekken gaat men gelukkig over naar thin clients. Soms met alleen een harde schijf of ssd om het besturingssysteem van te draaien, soms dat nog niet eens. Verder draait alles in de local cloud.
Dat maakt bij veel bedrijven geen reet uit, aangezien veel van deze shit ook nog even rond gaat snuffelen op mappings op je netwerk. Het enige wat dus werkt is een aparte image van je storage ;-)
Als je intern het niet voor elkaar krijgt om je storage binnen een aantal uren te herstellen dan heb je het niet echt super voor elkaar. Wanneer onze complete virtuele omgeving en alle storage geraakt zou worden dan kan ik met de backup oplossing alles binnen ongeveer 4 uur weer volledig operationeel hebben. Uiteraard wil je wel voor die tijd eerst de besmettingsbron lokaliseren zodat de besmetting niet direct opnieuw plaats zal vinden.
Als je intern het niet voor elkaar krijgt om je storage binnen een aantal uren te herstellen dan heb je het niet echt super voor elkaar.
Of zoveel data dat dat effectief niet lukt.

Alleen al op onze engineering afdeling hebben we bijna 8TB aan data.
Nee, dat krijg ik niet 1-2-3 gerestored als ik van 0 moet vertrekken.
Wij hebben hebben ongeveer 10TB aan actieve lokale data (als in niet in de cloud). Op basis van een sas compellent en enclosures hebben we voor nog geen Ą20.000 een oplossing neer weten te zetten waar dat prima mee lukt ;)

[Reactie gewijzigd door daredevil__2000 op 29 juni 2017 16:08]

goed, jij wint ;)

Ik zal het anders zeggen: het is niet voor iedereen mogelijk omdat de infrastructuur of het budget het niet toe laat om alles snel te restoren.

Uiteraard hebben we wel enkele maatregelen getroffen zodat we geen restore van 0 moeten beginnen bij de meest courante 'normale' calamiteiten.

Als dat toch noodzakelijk is, dan gaan wij het niet redden in 4 uur.


En een investering van 20000 euro om dat tˇch mogelijk te maken, dat gaat hier niet gebeuren.
Binnen 4 uur operationeel zijn was voor ons ook geen must hoor. De organisatie heeft als wens om binnen een dag weer online te zijn.

Dit is voort gekomen uit het vernieuwen van onze virtuele omgeving en een nieuwe backup oplossing. Waar het maken van een backup van alles normaal een vol weekend in beslag nam is dit nu terug gebracht naar 10 uur en dat is dan inclusief compressie op het hoogste niveau en deduplicatie.

Wij hebben als bedrijf vanuit de overheid een aantal eisen aan onze omgeving, Specifiek daarvoor hebben wij deze oplossing moeten kiezen. 1,5 jaar terug had een volledige herstel bij ons ook een volle dag gekost.

Mocht mijn eerste tier backup (welke niet zomaar te bereiken is vanaf de rest van het netwerk) onderuit gaan dan moet het van tape terug komen. Dan ben ik wel een uurtje of 6-7 onderweg.
SDD en hulp middelen als boxstarter.org en snappydriver install (SDI) ben je zelfs binnen een paar uur wel weer online.
Hier idem.

Voor werkplekken WDS/MDT icm RES, duurt ook ongeveer 4 uur.

Voor servers Veeam icm Evault.
Eerst het grote image terugzetten, daarna de laatste sync (changes) er terug overheen.
Ja dat is leuk. Maar als er nog 20 werkstations zijn die een image van dezelfde server aan het restoren zijn gaat het zeker wel langer duren!
maar je kan niet zeggen dat er onherstelbare schade is aangericht.
En wie betaald dat de vele miljoenen die bijvoorbeeld Maerks heeft verloren? Komt die ook terug met je backup? Of de kosten om een backup terug te zetten op een paar honderd machines?
Het bedrijf zelf. Het lijkt dat me dat het de faalkosten zijn van een verkeerd bedrijfsbeleid. Zeker na de WannaCry zouden beheerders toch een inschatting moeten maken welke systemen zo kritiek zijn, dat je binnen een bepaalde tijd de schijf wil kunnen herstellen.
Klopt. Want na WannaCry was er al een jaar tijd om een grote omslag in he IT beleid te doen. Oh wacht, nee, het was maar een maand geleden...
Erg naief allemaal hier
Klopt. Want na WannaCry was er al een jaar tijd om een grote omslag in he IT beleid te doen.
Ach, dan noemen we TeslaCrypt. Dat is van maart 2016.
Tja, het wordt nu steeds grootschaliger en dichterbij etc. Ergens is er een punt dat je beslissingsbevoegden kunt gaan overtuigen. Ik weet niet genoeg van Teslacrypt, maar ik denk wel dat WannaCry veel meer aandacht heeft gekregen etc
Dat is wel zo.

"dankzij" Wannacrypt en al-dan-niet-Petya is het plots geen probleem meer dat ik de Windows Updates op zondag installeer of op een ander moment dat 200% betaald wordt.

Vroeger moest ik daar maar mee wachten tot
* er een moment tijdens mijn normale werkuren was (waarvan een deel na de kantooruren valt)
* er geen backups bezig waren
* er geen managers/directieleden/servicemedewerkers via VPN ingelogd waren
* ...
verkeerd bedrijfsbeleid? jij gaat er van uit dat er een verkeerd bedrijfsbeleid is, maar oa 0-day exploits etc daar doe je heel weinig tegen, hoe goed je bedrijfsbeleid ook is.
Op zich is dat ook wel een beetje hun eigen schuld natuurlijk. Waarom hadden ze hun systemen niet up-to-date?
Deze aanval werkte ook op een up-to-date systeem, het openen van een attachment zorgde ervoor dat aangesloten apparaten in het netwerk ook aangepakt konden worden.

Dit is dus 100% tussen monitor en stoel.
Het lijkt er niet op dat emailbijlagen tot de verspreidingmethodes behoort: reviews: Internetaanval treft grote bedrijven - Wat gebeurde er precies?
Deze mail kregen wij binnen van een klant.

""Geachte leveranciers,

Zoals recent in het nieuws te lezen worden er vele bedrijven getroffen door aanvallen van ransomware.

Dit keer zit de ransomware verscholen achter pdf bestanden in bijlagen van e-mails.

Wij voelen ons daardoor genoodzaakt om extra beveiligingsmaatregelen te nemen.

Wij accepteren daarom geen digitale facturatie, betalingsherinneringen etc. meer en willen deze graag van u per post ontvangen.

Indien u vragen heeft over bovenstaande vernemen wij het graag.

Met vriendelijke groet,"""

Bedankt Microsoft Windows, door Uw onveilige software kunnen we terug bomen gaan kappen.
Of is het alweer de schuld van de gebruiker?
Behalve dat de malware initieel via de update van een boekhoudprogramma zou zijn verspreid.
Kon de man tussen keyboard en stoel niet veel aan doen, als daar al iemand zat op die moment (autoupdate).
Het was niet dmv het openen van een attachement. In dit geval was het niet 100% tussen de monitor en stoel.
Behalve dat een kapotte hdd in een bedrijf meestal een enkel geval is. Bij deze aanvallen is in een keer je volledige ict structuur platgelegd. Eigenlijk kun je het vergelijken met een ddos aanval, alleen dan op de ict afdeling.
En hoe lang duurt het om images van schijven terug te zetten? Dat kan tegenwoordig bijna voor 100% geautomatiseerd vanaf een centrale server. Alle machines vanaf een USB-stick of vanaf het netwerk booten met een restore-programma, en een middagje data schuiven.

Als je servers compromised zijn dan is er natuurlijk wat meer werk, maar je kritieke infrastructuur draaien op een platform wat kwetsbaar is voor dit soort ransomware is hoe dan ook een slecht idee.
...
Als je servers compromised zijn dan is er natuurlijk wat meer werk, maar je kritieke infrastructuur draaien op een platform wat kwetsbaar is voor dit soort ransomware is hoe dan ook een slecht idee.
En op welk platform wil je gaan draaien dan? Ook linux/unix enz wordt regelmatig getroffen door virussen en exploits hoor. Ze zijn misschien wat minder vaak het doelwit omdat het niet zo massaal als het windows OS wordt gedraaid maar ze zijn gewoon van tijd tot tijd ook doelwit.
Ik moet de eerste ransomware-aanval op een Unix/Linux platform nog tegenkomen. Vooral als je je servers virtualiseert en je dus zonder problemen terug kan via snapshots, is de schade daarin gewoon beperkt.
Het virtualiseren van servers is OS onafhankelijk. Je kan met bijvoorbeeld windows servers net zo makkelijk terug. Dat is niet voorbehouden aan alleen unix/linux servers, dus ik snap niet helemaal waarom je dat noemt in combinatie met unix/linux
En wat als dus de centrale server ook te pakken genomen is.
En wat als dus de centrale server ook te pakken genomen is.
Als je je centrale server in je infrastructuur laat pakken door ransomware en je daar geen backups van hebt, dan mag je als IT'er gelijk je ontslag indienen, als je niet al een claim van het bedrijf krijgt van grove nalatigheid...
je bent echt behoorlijk naief... een zero-day exploit kan het hele zaakje zo lek als een mandje maken. En tuurlijk zul je daar wel backups van hebben, maar wie weet, misschien is er dus malware/ransomeware die zo extreem is dat die dus ook je backups kan verpesten. AI kan zeker voor dat soort dingen gaan zorgen in de toekomst.
je bent echt behoorlijk naief... een zero-day exploit kan het hele zaakje zo lek als een mandje maken. En tuurlijk zul je daar wel backups van hebben, maar wie weet, misschien is er dus malware/ransomeware die zo extreem is dat die dus ook je backups kan verpesten. AI kan zeker voor dat soort dingen gaan zorgen in de toekomst.
Ik ben benieuwd hoe jij denkt dat malware aan off-site backups gaan komen of zelfs aan backups die geschreven worden op WORM media. (Dat is dus precies de reden waarom je offsite backups nodig hebt en niet moet vertrouwen op een NAS in je netwerk.)

Tenzij die malware een robotje kan bouwen wat fysiek tapes kan verknippen en DVD-R's kan bekrassen.

[Reactie gewijzigd door Stoney3K op 30 juni 2017 12:48]

Ik backup al jaren mijn OS niet meer, alleen mijn eigen (belangrijke) data. Herinstallatie is met een SSD tegenwoordig zo gedaan.
In dit soort berichten gaat het in de comments meestal dan ook over bedrijfsnetwerken, en niet over thuisgebruikers.
Ik backup al jaren mijn OS mee, herinstalleren van programma's en mijn persoonlijke instellingen duurt al snel een dag.
Je vergeet denk ik wat een dag of zelfs een uur (onverwachte) downtime kan kosten. Afhankelijk van het bedrijf en de grootte kan dat in de miljoenen lopen....
Je vergeet denk ik wat een dag of zelfs een uur (onverwachte) downtime kan kosten. Afhankelijk van het bedrijf en de grootte kan dat in de miljoenen lopen....
Het is nog altijd minder dan grote hoeveelheden data die onherstelbaar zijn vernietigd, waardoor je een hoop werk opnieuw moet doen.

Dingen opnieuw verzinnen is nog altijd kostbaarder dan een bedrijf dat een dag stil ligt, dat kan net zo goed gebeuren bij iets als een stroomstoring. Dat moet je als ondernemer in het risico meecalculeren.
Een beetje kort door de boch.
Dus een randsomware aanval is de uitval van enkele honderden harde schijven tegelijk bij bedrijven in jou statement.
De statistische kans hierop is nihil, of je moet een paar triljard schijven hebben.

Ik snap de opmerking niet helemaal. Voor een prive persoon kan het zo overkomen maar dat betekent ook dat je nog een zeer oude niet gepatchte versie van Windows draait. Iets dat sowiezo niet aan te raden is. (buiten de backcup)
Voor een bedrijf waar het vaak moeilijk is om van deze oude versies af te komen en er zijn legio redenen waarom dit vaak niet kan. Een aanval is voor zo'n bedrijf van een heel ander kaliber en 'even een backup terugzetten' van een veelvoud van werkstations is iets dat bedrijven zelfs in uitwijk oefeningen niet testen. (of althans zelden)

Schijnbaar is de enige motivatie geweest om economische schade aan te brengen en dat is ook gelukt. De vraag is alleen gezien de bron van besmetting (een boekhoud/logistiek pakket update) of dit alleen maar een trial was om te zien of het werkte. De impact was voor individuele bedrijven groot maar voor de wereld economie niet meer dan een incident. De vraag is dan ook wat de motivatie is die erachter zit en waarom dit op deze relatieve kleine schaal is gedaan.
WFW3.1

Message
Your system is too old for our virus
contact your System administrator for an upgrade
Zo zullen de meeste grote bedrijven het wel geregeld hebben. Natuurlijk levert het kosten op over de dagen dat de systemen niet werken en hersteld moeten worden. De vraag is dan, wie heeft er nu baat bij om een heleboel systemen een paar dagen plat te leggen?

Als ik dan mijn Alu hoedje op zet zou ik denken dat het puur ter afleiding van iets anders was.
Waarom zou een backup (in de cloud) niet besmet zijn? Als het virus al dagenlang bestanden aan het aanpassen is geweest, dan kan het best zo zijn dat je 1 of meerdere bestanden hebt opgeslagen met het virus. Daar kom je echt heel lastig vanaf en ik vraag me af of veel online datastorage bedrijven daar ook wel goed op scannen.

En hoe dan ook er gaat werk verloren. Alleen al het werk waar je mee bezig was.
Waarom zou een backup (in de cloud) niet besmet zijn? Als het virus al dagenlang bestanden aan het aanpassen is geweest, dan kan het best zo zijn dat je 1 of meerdere bestanden hebt opgeslagen met het virus. Daar kom je echt heel lastig vanaf en ik vraag me af of veel online datastorage bedrijven daar ook wel goed op scannen.
Een beetje clouddienst heeft dan ook versiebeheer waardoor je een eerdere versie kan terugzetten. En ze slaan over het algemeen ook alarm als er ineens een enorme hoeveelheid data gewijzigd of verwijderd wordt -- juist omdat dat een verdacht scenario is van een ransomware-aanval.
Maar dat is nog steeds geen garantie. En volgens mij hebben de grootste clouddiensten helemaal geen versiebeheer (als we het tenminste hebben over onedrive e.d. die veel consumenten gebruiken).
Wat een enorm slechte vergelijking. Als er een HDD defect is, dan is het idd kwestie van restoren en dan is daarmee de kous af. Maar hier? Backup restoren zonder de root cause (worm) te vinden en te elimineren is gewoon dweilen met de kraan open!
Wat is dan nu de beste methode om backups te maken? Is dit veilig genoeg over het SMB protocol naar een linux bak?
nee, smb shares kunnen door normale clients (waaronder de IT werkstations) benaderd worden en zijn dus kwetsbaar voor dit soort aanvallen.

daarnaast 1 backup is geen backup

edit: maar er zijn weinig bedrijven die clients backuppen....dus je bedrijf wordt nog steeds lamgelegd. als dat een paar dagen duurt bij jou (je kan geen rekeningen versturen) of je belangrijkste klanten (geen betalingen) en je bent failliet

[Reactie gewijzigd door burnedhardware op 29 juni 2017 10:44]

Mwah, een bedrijf dat zijn IT goed voor elkaar heeft kan remote images deployen, en dan kunnen je clients in een uurtje weer up zijn. Servers zijn een ander verhaal als die getroffen zijn.
Zelf maak ik een backup van een backup naar een externe hdd van de belangrijkste servers. Dit doe ik handmatig aangezien ik deze niet in het netwerk wil blijven hebben wanneer er geen backup weggeschreven wordt op die externe hdd. Echter is het ook van belang om het smbv1 protocol dicht te zetten. Dit kun je doen door onderstaande stappen in de Powershell (Run als administrator) te volgen:

Om te controleren of je de SMBV1 protocol aan hebt staan:
Get-SmbServerConfiguration | Select EnableSMB1Protocol

Om de protocol te disabelen:
Set-SmbServerConfiguration -EnableSMB1Protocol $false

Daarnaast raadt MS aan om de patch MS17-010 te installeren.

Hopelijk heb je er wat aan!
Deze sleutel is bij de oorspronkelijke Petya-ransomware daadwerkelijk aan de encryptiesleutel gerelateerd. Bij de NotPetya-malware is de sleutel echter het resultaat van een functie de willekeurige data genereert.
Met wat geluk betekend dat, dat de HDD encryptie met een standard key is encrypted. Als die te achterhalen is, wordt decrypten weer een makkie.
Maar ik vrees dat we in dit geval niet zo heel veel geluk zullen hebben. Als het inderdaad klopt dat de malware is ontworpen om data te vernietigen, is er goed over nagedacht en hebben de makers ook vast de HDD encryptie via een random key (ipv een standard key) ingesteld, om er zeker van te zijn dat de data vernietigd wordt.
Hoe zou je encrypted data (met een random key) kunnen onderscheiden van random data? Als het doel is om data te vernietigen, is overschrijven met random data toch veel makkelijker dan de boel versleutelen? Ik ben wel benieuwd of NotPetya de bestanden werkelijk versleutelt :)
Ik ben ook benieuwd of de data wel echt versleuteld is. Indien de opzet is vernietigen dan is random veel sneller (en zeker niet te repareren).
Indien het wel versleuteld is dan zou de random gegenereerde key toch (deels) gebruikt kunnen zijn waardoor het wel omkeerbaar zou kunnen zijn? Over de sleutels welke gebruikt worden voor de encryptie kan ik echter niets vinden.
Voor bedrijven helpt dat niets. als je halve kantoor eruit ligt kan je er niet op wachten toe een paar dagen later een decryptiesleutel wordt gepubliceerd.

Als je in een fabrieksongeving werkt en een aantal kritische systemen geraakt is valt ook je productie stil (veel fabriekssystemen zijn verouderd of worden niet gepatched omdat de softwareboer bang is dat het anders niet meer werkt. nog vaker oud en ongepatched.) bedenk maar eens wat je zou doen als jij zou werken in deze supermarkt waarbij tig winkels zijn stilgevallen

[img]https://ic.tweakimg.net/ext/i/imagenormal/2001550237.jpeg[/img]

In dat geval wens ik je veel sterkte.

[Reactie gewijzigd door burnedhardware op 29 juni 2017 10:25]

De 25 blocken worden overschreven, niet encrypted. Dus je kunt ze niet decrypten
Wat als er een ransomware varriant gemaakt wordt die zich een half jaar schuil houd en daarna pas alles gaat versleutelen. Wat heb je dan nog aan een backup?
Net zoveel als aan iedere andere back-up.
Want als die ransomware alles over 6 maanden gaat versleutelen, zijn mijn back-ups tot 6 maanden - 1 (dag/uur/week) nog gewoon unencrypted :).
Helaas zijn er ook binnen de ICT wereld slimme slechterikken. De ransomware begint vanaf dag 1 met encrypten, maar slaat de decryptie key nog een tijd lokaal op. Probeer jij een file te openen, dan wordt deze on the fly gedecrypt.

Na 6 maanden wordt de key lokaal verwijderd. Probeer jij je backup van gisteren maar eens terug te zetten...
Maar dan kunnen mijn collega's die het bestand willen openen een probleem, zij hebben die key immers niet.
Encrypted bestanden op een netwerkschijf zullen op gaan vallen.
Zet je dan ook de backup van de local key ook mee terug?
Dat ligt eraan hoe je de backup maakt. Bij een snapshot zal deze idd ook ergens verstopt staan (al wordt deze waarschijnlijk na het terugzetten opnieuw verwijderd na een call naar de c&c server) .

Als je gewoon de bestanden los backupped zal je de key waarschijnlijk niet hebben.
Die zijn er dus al, en dan heb je niets aan je backup ;)
Als je alleen domweg backups kopieert dan wel, maar een beetje beheerder moet toch vrij snel door hebben dat je op een gegeven moment geen PDF's en Excel bestanden meer aan het backuppen bent, maar encrypted blobs.
Waaraan moet je dat dan doorhebben? De versleutelde bestanden kunnen nog steeds dezelfde naam hebben en vergelijkbare grootte.
Een scanner eroverheen draaien die de inhoud checkt.

Het is sowieso verdacht als 1 medewerker bijvoorbeeld allemaal encrypted documenten op een netwerklocatie zet, zelfs als het geen virus is.

[Reactie gewijzigd door Dreamvoid op 29 juni 2017 10:40]

Noem eens een softwarepakket dat voor dat scannen wordt gebruikt?
Ik bedoel dat de malware pas na 6 maanden begint met encrypten. Als de malware zich ergens in verstopt, kan dat ook meegenomen worden in een backup. Gaat een leuke tijd voor de beheerders in zitten om er achter te komen waar het zit. Vooral omdat je geen idee hebt hoelang het al aanwezig is.
Sssssssht, breng die gasten nou niet op ideeŰn!

Interessante stelling. Dan kon het nog wel eens erg lastig worden om er van af te komen zonder te betalen, ik hoop dat zo'n stukje software nooit gemaakt gaat worden maar snap dat dit helaas slechts een kwestie van tijd is... ;(
Staat gemoteerd, ik ga nu ff wat in elkaar knutselen
Dan moet je het nog handiger doen. In die 6 maanden gaan versleutelen en tegelijk decrypten als het benaderd wordt. Maar goed, als je een decrypter meelevert die je gaat uitschakelen is de kans ook weer groter dat die via analyse gekraakt wordt...
De kans op ontdekking is dan ook groot, zodra je het bestand vanaf een andere pc/tablet/etc opent kom je erachter dat je besmet bent. Zeker bij bedrijven waar bestanden vaak door meerdere clients worden gebruikt moet je snel zijn.
De les is dat besmetting dus binnen kan komen door automatische updatemechanismen in software.
Zoals bijna iedereen dat hier gebruikt om grote en kleine pakketten te updaten. Iedere beheerder gebruikt dat, of het nu notepad ++ is of betaalde software. En beheerders zitten vaak met veel rechten, of op z'n minst in een vlan met toegang tot alles.
Z'n update vraagt altijd elevation om te installeren dus dat wekt geen argwaan.
In dit geval was het dus de update van een boekhoud programma.
In hoeverre het gebruik van windows XP in bedrijven een rol speelde bij de interne verspreiding is nog niet duidelijk, maar er is/komt ook malware die zich met w10 clients ook kan verspreiden.
Windows XP was niet vatbaar toch?
Windows XP is dood... helaas is de crematie uitgesteld :?
de eerste 25 blocks van een hdd-sector overschrijft zonder dat herstel mogelijk is
Betekent dat dat met software als bijvoorbeeld photorec of recuva de rest van de bestanden waarschijnlijk wel terug te halen is?
De eerste 25 blokken bevatten informatie over de indeling van de schijf, en waar het operating system staat.
De data, mits niet versleuteld, zou je dus nog kunnen lezen. Maar dan moet je wel met datarecovery aan het werk.
En dat is precies wat bijv. Recuva is ;) dus dat zou in mijn opinie waarschijnlijk prima werken ja.
Recuva kan volgens mijn geen ruwe disk scannen. Alleen partities.
Dan maak je een partitie aan, en scan je die :)
Eh, jawel - ik heb dat meermalen gedaan. Als je een nieuwe partitie aanmaakt met dezelfde specificaties zonder formatteren, dan kun je die prima scannen om de data 'er onder' te vinden met Recuva.

https://www.piriform.com/...mode/the-deep-scan-option

[Reactie gewijzigd door JapyDooge op 29 juni 2017 14:22]

Dan is nu de hamvraag welk land hier achter zit.. Vinger wijzen naar Rusland in 3..2..1..

Nee, geloof niet dat Rusland hier achter zit.
Het is in elk geval iemand die grote schade wil aanrichten in de Oekraine, want ruim 80 procent van de besmettingen zit daar.
Rusland is ook hard getroffen hoor.. Maar idd... Ukraine 't meest.
Dat valt volgens mij eigenlijk besr mee. Ik heb gehoord van Rosneft, maar zijn hun operaties ook gestaakt?

Ik zag verder een staafdigrammetje met de besmettingen. Oekra´ne 80% en rusland stond niet eens in die top 10...

[Reactie gewijzigd door Martao op 29 juni 2017 11:37]

> Het is in elk geval iemand die grote schade wil aanrichten in de Oekraine,

Zou kunnen, maar we weten het niet. Oekra´ne kan een afleidings-manoeuvre zijn, kan ongeplanned, zijn etc

[Reactie gewijzigd door antisceptic op 29 juni 2017 11:46]

Dan zijn het vast nederlandse hackers want die hebben tegen het associatie verdrag met oekranie gestemd.
Ik denk eerder aan tegenstanders van het Eurovisie Songfestival.
Gezien Oekraine veel harder geraakt is dan de meeste andere landen samen lijkt het me een logische conclusie dat dat het doelwit was, niet?
Nee, dat hoeft niet. Het kan ook een gerichte actie tegen dat specifieke softwarebedrijf geweest zijn. En dat de meeste besmettingen in de Oekraine zijn wil niet zeggen dat de schade daar het grootst is, het kan best zijn dat de financiele schade in Nederland veel groter is. In de Oekraine zit niet zo gek veel van waarde.
Nobody knows... Er zijn zaken uit de 'gelekte' NSA toolkit gebruikt, dus iedereen kan het zijn. De NSA kan die rommel zelf gelekt hebben om zo makkelijker te kunnen opereren. En niemand kan overtuigend bewijs leveren over de werkelijke dader. Het gaat er dus maar net om wie je zelf wilt dat het is...
Want...? Waar baseer jij de veronderstelling op dat het de Russen niet zijn? Ik bedoel, er is genoeg reden om te verdenken dat er wel Russen achter zitten, maar ik kan me zo niet een reden bedenken om dit gelijk aan de kant te schuiven. Of jij weet meer dan wie dan ook.
Omdat Rusland zelf ook hard geraakt is ;)
Op zich niet gek gezien het feit dat Oekra´ne de meeste schade heeft geleden onder deze aanval. Kan jij een ander land aanwijzen dat een motief heeft om Oekra´ne aan te vallen? Een operatie om het imago van Rusland te schaden zou onnodige verspilling van tijd en geld zijn, aangezien dat imago al op de bodem van de put ligt ;)

We kunnen wel overdreven sceptisch gaan doen en naar de NSA (of crab people) wijzen, maar niet alles is een complot met dubbele bodem of false flag operatie. Soms is het een geval van "If it looks like a duck, swims like a duck, and quacks like a duck, then it probably is a duck."

Het is overigens wel knap dat de Russische tactiek van misinformatie zo goed werkt (en zelfs door de Amerikaanse president wordt gebruikt). Als je maar genoeg ruis in de media veroorzaakt, weten mensen uiteindelijk niet meer wat echt en nep is. Ik trouwens ook niet, maar vind ouderwets Rusland de schuld geven wel verfrissend.

[Reactie gewijzigd door Framoes op 29 juni 2017 10:25]

En stel nu eens dat het niet Rusland is.. En je gaat dat land meer beledigen en vals beschuldigen... Ik zou als ik Mr Putin was een beetje zo ontzettend klaar zijn met het westen.

Dat is natuurlijk voor Nederland helemaal niet handig. Nee, ik hoop dat iedereen zijn verstand gebruikt en pas schuldigen aanwijst als alles 100% bewezen wordt (en nee, niet door de Amerikanen).
Putain is al lang klaar (lees: nog lang niet) met het westen, dus baat het niet dan schaadt het zeker niet!
Alsof Rusland uit is op een duurzame, gelijkwaardige relatie met Europa. De strategie van Rusland is chaos en onrust creŰren om zelf meer macht naar zich toe te trekken.

Poetin is een autoritaire ex-KGB chef die uit is op een Rusland vergelijkbaar met de voormalige Sovjet-Unie. Niet Communistisch, maar wel net zo groot. Zie hun geopolitieke beleid. Oke, misschien wil hij wel de mate van onderdrukking die de Sovjet-Unie kende. Kijk naar hoe politieke tegenstanders worden aangepakt en hoe men andersdenkenden (zowel religieus, cultureel als qua geaardheid) te grazen neemt.

De kritiek daarop wuift hij ook weg. En het maakt hem ook weinig uit wat men over hem zegt, zolang hij in Rusland voldoende steun heeft. Een gezonde relatie tussen Europa en Rusland zit er voorlopig niet in.

Dat moet je overigens ook niet willen met dit soort beperkte democratieŰn met autoritaire leiders. Het laatste dat je wil, is dit soort regimes steunen.
Dat klopt. Daar ben ik ook zwaar op tegen. Als we afhankelijk waren geweest van Russisch gas, was Poetin waarschijnlijk een van de beste vrienden van onze Premier.

Turkije heeft de vluchtelingendeal en Saoedi-ArabiŰ heeft olie en invloed in de regio.

Daar kom geen enkel ethisch besef bij kijken. Maar dat betekent nog niet dat we nu het Russisch handelen dan ook moeten legitimeren.

[Reactie gewijzigd door Framoes op 29 juni 2017 13:52]

Mocht dat sarcasme zijn: ;)

Mocht dat geen sarcasme zijn: gezien mijn sterke persoonlijke interesse in politiek en de studie die ik daarom heb gekozen en afgerond, mag ik hopen dat ik wel een beetje verstand heb van politiek ;)
Haha. Ja, als de ICT'ers die van school af kwamen nou ook al de praktijk ervaring had die nodig was............ Dan was de wereld een stukje beter geweest ;)

Leuk wat je uit een boekje leert maar als je naar de realiteit kijkt dan zou je toch anders moeten concluderen.
Als je met een goed onderbouwde reactie komt wat jouw idee is over dit onderwerp, wil ik best naar je luisteren.

p.s. Je kan ICT en politiek(e) wetenschappen niet echt met elkaar vergelijken. Het gebruik van theorie en praktijk verschilt in die vakgebieden als dag en nacht van elkaar.
Er is een verschil tussen iets voorlopig aannemen en dan een gericht onderzoek instellen om het te toetsen, en iets aannemen, lang onderzoeken, ontdekken dat het bewijs niet helemaal sluitend te krijgen is, en dan toch doorgaan met vervolging.

[Reactie gewijzigd door Origin64 op 29 juni 2017 11:45]

Mijn hardware draait grotendeels op Ubuntu. Er staan sowieso geen belangrijke gegevens op; enkel het het OS en de verzameling software die ik gebruik. Mijn softwareverzameling wordt eigenlijk zelden of nooit uitgebreid, dus mocht ik ooit een backup moeten terug zetten ben ik binnen 30 minuten klaar en enkele minuten om wat updates te installeren. Persoonlijke files staan zowel op een NAS en in de cloud.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*