Nederlandse energiebedrijven waren vermoedelijk vatbaar voor Industroyer

Nederlandse energiebedrijven waren vermoedelijk vatbaar voor de eerder deze zomer ontdekte Industroyer-malware, die zich richt op energiebedrijven elders. Nederlandse leveranciers gebruiken dezelfde of vergelijkbare systemen als de door de malware getroffen organisaties.

Staatssecretaris Klaas Dijkhoff van Veiligheid en Justitie bevestigt niet dat de systemen kwetsbaar zijn voor de Industroyer-malware, maar zegt in antwoord op Kamervragen dat het niet uit te sluiten is dat Nederlandse systemen ook slachtoffer worden van de malware. "In de Nederlandse energiesector wordt veelal gebruikgemaakt van apparatuur en communicatieprotocollen gelijk aan, dan wel vergelijkbaar met de apparatuur en protocollen waar de malware Industroyer zich op richt. Dit is inherent aan standaardisering en interoperabiliteit."

Eset, de ontdekker van Industroyer, heeft het Nationaal Cybersecurity Centrum en de energieleveranciers in Nederland zelf op de hoogte gesteld van de bevindingen. Daardoor wisten ze tijdig van het probleem van Industroyer, zo claimt Dijkhoff.

De energieleveranciers zijn verantwoordelijk voor de eigen beveiliging, zegt Dijkhoff. "Het is aan de partijen zelf om maatregelen te nemen die de kans op misbruik beperken of wegnemen, zoals het installeren van software-updates om kwetsbaarheden weg te nemen, en om maatregelen te nemen die de impact van misbruik kunnen beperken, zoals het implementeren van detectie- en monitoringoplossingen om de aanwezigheid van bekende vormen van malware te kunnen herkennen. Het managen van cybersecurityrisico’s is voor de energiebedrijven een continu proces."

Industroyer is een modulaire malwarevariant, met verschillende componenten. Zo is er een hoofdcomponent aanwezig in de vorm van een backdoor, die alle andere modules aanstuurt. De component maakt verbinding met een c2-server op het Tor-netwerk via https en kan op die manier commando's van de aanvallers ontvangen. De backdoor heeft een functie om in te stellen dat hij alleen op bepaalde uren van de dag functioneert, mogelijk om detectie te voorkomen. Verder heeft de backdoor functies als het uitvoeren van processen, het downloaden van bestanden en het uitvoeren van een shellcommando. Voor het geval dat de eerste backdoor wordt ontdekt, is er een tweede backdoor beschikbaar, in de vorm van een kwaadaardige versie van Notepad.

IT-banen

Reacties (53)

Knijper1962 24 augustus 2017 11:52

Ik pleit voor air- gapped systemen, zonder USB poorten oid . De echt noodzakelijke updates na grondige evaluatie door meerdere security bedrijven , met de hand installeren .

-1 ?? Op wiens tenen trap ik?

[Reactie gewijzigd door Knijper1962 op 24 juli 2024 09:32]

SgtElPotato @Knijper1962 • 24 augustus 2017 11:56

Ik ben het er zeker mee eens dat er strengere eisen gemaakt moeten worden. Maar ik vraag me dan af door wie? De overheid die net zo min verstand er van heeft? Een bedrijf dat doet alsof ze er verstand van hebben?

Hammetje @SgtElPotato • 24 augustus 2017 12:04

We hebben het hier niet over regels voor een kleine eenmanszaak, maar over energiebedrijven. Energie/ stroom/ electriciteit is essentieel en kan tot levensgevaarlijke situaties leiden wanneer dit wegvalt. Wat mij betreft is de overheid hier wel heel simpel in door te zeggen dat zij vinden dat de verantwoordelijkheid van deze sytemen bij de energiebedrijven ligt. Alhoewel dat klopt, is de overheid ervoor verantwoordelijk dat de burgers op een redelijke manier beschermd worden - wat mij betreft moet de overheid zich hier dus zeker wel mee bemoeien.

Harrie_ @Verwijderd • 24 augustus 2017 12:46

_{Volledig offtopic:}
Ik vind het een beetje te kort door de bocht om 'de overheid' op deze manier weg te zetten. Alsof de overheid een constante is die niet kan wijzigen. Het is natuurlijk een feit dat de overgrote meerderheid van ministers, staatssecretarissen en leden van de kamer zeer weinig kaas heeft gegeten van ICT en de mogelijke bedreigingen voor onze infrastructuur op dit gebied, maar op termijn zullen er heus wel mensen in deze overheidsorganen terecht komen die wel verstand van zaken hebben op dit gebied.

Verder wijs je naar markten waar de overheid teveel (wat is teveel?) of alle invloed heeft, maar wat is dan het alternatief? Alles volledig aan de vrije markt overlaten? Dan krijg je op termijn situaties zoals in de VS waarbij private bedrijven de gezondheidszorg of justitiële instellingen commercieel gaan uitbaten met alle gevolgen en kosten voor de gewone burger van dien.

Feit is dat wij als natie vanuit een erg socialistisch stelsel steeds meer naar een kapitalistisch stelsel zijn gaan bewegen waarbij allerlei overheidsorganen zijn geprivatiseerd. Enerzijds wordt er geprivatiseerd en anderzijds moet de overheid een centrale rol blijven spelen in bepaalde markten om te voorkomen dat de commerciële exploitatie maximaal ten nadele van de burger komt. Ik denk dus dat de overheid gewoon moet heroverwegen in welke diensten en markten zij aan het roer moet willen staan en welke overgelaten moeten worden aan de private sector. Just my 2 cents, maar ik vind in ieder geval dat je in je argumentatie hier de plank volledig mis slaat @Verwijderd

Verwijderd @Harrie_ • 24 augustus 2017 13:59

Ik vind het altijd bijzonder dat je overtuigd kunt zijn dat bepaalde markten beter af zijn als ze centraal gestuurd worden vanuit de overheid, omdat het dan beter, eerlijker en goedkoper zal zijn. Maar als dat zo zou zijn bij complexe markten als de zorg en onderwijs, waarom gaan we dan niet onze voedselvoorziening niet ook centraal sturen? Zouden we niet allemaal betere, goedkopere schoenen hebben als de overheid de markt van schoenen over zou nemen? Op termijn komen er vanzelf mensen in overheidsorganen terecht die verstand hebben van schoenen. Waarom als de overheid beter, moeilijke en belangrijke markten kan organiseren, waarom dan niet alle markten? Zouden we niet veel beter af zijn dan?

En dan nog je naïviteit dat de zorg nu vrij is van commerciële exploitatie ten nadele van de burger. Het feit dat de overheid bepaalt wat in in de zorgverzekering komt heeft er voor gezorgd, dat er vrijwel geen concurrentie meer is op dat gebied. Prijzen kunnen door ziekenhuizen, zorginstellingen, farmaceuten ieder jaar massaal verhoogd worden. Juist door de overheid wordt deze markt totaal onbetaalbaar en zijn er marktparticipanten die zichzelf gigantisch verrijken.

Onderwijs is alleen maar duurder geworden de afgelopen tientallen jaren, terwijl het door techniek veel goedkoper en beter zou moeten worden. Vroeger waren docenten nog tijd kwijt, om lesmateriaal over te schrijven, toen kwam de kopieermachine, en nu is het allemaal digitaal. Zelfs digitaal lesgeven, zoals in de vrije markt gebeurt met bedrijven als Pluralsight is ongelooflijk schaalbaar. Al deze ontwikkelingen zouden er voor moeten zorgen dat dit soort activiteiten goedkoper en beter zouden zijn. Maar alleen in centraal gestuurde markt is het alsnog mogelijk dat de kwaliteit omlaag gaat en de prijs omhoog gaat.

Nee, ik heb vrij weinig vertrouwen dat de overheid dit wel kan. Het hele ICT gebeuren is een drama bij de overheid. Bij defensie, bij politie, bij UWV, bij de belastingdienst, bij de SVB. Overal is het een puinhoop. En dan kun je zeggen, dat komt omdat het te complex is. Vast en zeker, maar zodra die ambtenaren in de tweede kamer, honderden wetten gaan verzinnen voor de beveiliging van dit soort infrastructuur, dan kun je er gif op in nemen dat dit ook allemaal zo complex wordt, dat er helemaal niks meer fatsoenlijk geïmplementeerd kan worden.

Oh ja, en alles wordt verschrikkelijk veel duurder.

@Harrie_ Ik vind je betoog sympathiek, maar ik zie niet in waarom de overheid een centrale rol moet spelen in bepaalde markten.

Harrie_ @Verwijderd • 24 augustus 2017 16:04

En dan nog je naïviteit dat de zorg nu vrij is van commerciële exploitatie ten nadele van de burger.

Dat heb ik nooit gezegd, ik wijs er alleen maar op dat dat zonder die sturende rol de vrije markt ervoor kan zorgen dat een ambulancerit of je been ingipsen zomaar € 10.000,- kan gaan kosten; zoals nu in de VS het geval is.

Verder snijdt hetgeen wat je nu zegt een stuk meer hout en leg je ook bij een aantal zaken de vinger op de zere plek. Maar dat is precies wat ik in de laatste alinea van mijn 'betoog' aanhaal. De overheid zal moeten heroverwegen met welke zaken zij zich wel en niet moet bemoeien.

Consumentengoederen zoals schoenen, kleding en voedsel kun je prima aan de vrije markt overlaten. Er zijn tig aanbieders en iedereen kan relatief eenvoudig deze goederen morgen gaan aanbieden of produceren; er zal dus niet snel een monopolie of oligarchie ontstaan. Een veel aanbieders betekent tenslotte dat er op prijs geconcurreerd wordt. De overheid hoeft dan alleen een controlefunctie uit te oefenen; namelijk dat er geen chloor in je kippenbout terechtkomt.

t link @Verwijderd • 24 augustus 2017 15:34

En dan nog je naïviteit dat de zorg nu vrij is van commerciële exploitatie ten nadele van de burger. Het feit dat de overheid bepaalt wat in in de zorgverzekering komt heeft er voor gezorgd, dat er vrijwel geen concurrentie meer is op dat gebied. Prijzen kunnen door ziekenhuizen, zorginstellingen, farmaceuten ieder jaar massaal verhoogd worden. Juist door de overheid wordt deze markt totaal onbetaalbaar en zijn er marktparticipanten die zichzelf gigantisch verrijken.

dit is niet iets wat ik systematisch zie, en ik werk in de (betwistbaar) kwetsbaarste doelgroep van de zorg. wat we vooral zien is dat alles wegbezuinigd word door verzekeringen/gemeentes die het te duur vinden, maar dat er dan vervolgens geen alternatief komt (terwijl dit via diezelfde vrije markt princiepes er wel zou moeten komen, want het is een gigantisch gat in de markt. blijkbaar kan het dus niet goedkoper, anders had iemand dat al opgerigt). klinieken in hele provincies worden gesloten zonder dat er een alternatief komt in die provincie, wachtlijsten van meer dan 2 jaar van jongeren die alleen maar kunnen wachten en wegkwijnen tot ze eindelijk in behandeling mogen. het is een shitshow met de verzekeringen, maar dat heeft niks te maken met zorgbedrijven die duurder worden om er gebruik van te maken. dat zou ook niet echt kunnen aangezien een verzekeraar bepaald of ze een kliniek vergoeden ongeacht in welke catogorie van zorg ze vallen. medicatie word ook niet goedkoper als het uit de basisverzekering word gehaald, het word vooral duurder omdat er geen bulk deals meer kunnen worden gesloten met hetzelfde gemak.

[Reactie gewijzigd door t link op 24 juli 2024 09:32]

BeosBeing @Verwijderd • 7 september 2017 16:40

En dan kun je zeggen, dat komt omdat het te complex is. Vast en zeker, maar zodra die ambtenaren in de tweede kamer, honderden wetten gaan verzinnen voor de beveiliging van dit soort infrastructuur, dan kun je er gif op in nemen dat dit ook allemaal zo complex wordt, dat er helemaal niks meer fatsoenlijk geïmplementeerd kan worden.

Kijk dat is nu ook juist het probleem. Ambtenaren zijn continu bezig met het bedenken van wetten en regelgeving, zowel op het gebied van belastingrecht, strafrecht, ontslagrecht, maar ook op allerlei andere zaken zoals uitkeringen. Ook zijn ze continu bezig nieuw beleid te ontwikkelen. Deels is dat nodig om veranderingen in de internationale samenleving op te vangen, deels is het ook dat die ambtenaren niet stoppen omdat ze, zodra ze even niets doen, ze als overbodig worden weg gereorganiseerd. Dat laatste zorgt voor nog meer wijzigingen als dat al nodig is.

Met dat continu veranderende beleid en die continu veranderende regelgeving is het voor een jurist al nauwelijks bij te houden welke wetgeving voor iedere situatie van toepassing is. Met name bij uitkeringen en bij ziekteverzuim speelt dit. Tegen een steeds weer veranderende situatie is niet op te automatiseren.
De ambtenaren, en dus ook de politici, zouden wat dat betreft even pas op de plaats moeten maken zodat de systemen bij de belastingdienst, UWV, SVB e.d. kunnen worden aangepast aan hoe de situatie nu is, en met zoveel mogelijk flexibiliteit naar de toekomst. Echter ambtenaren weten altijd weer dusdanige regelingen te verzinnen dat het niet in het bestaande model te passen valt en dan moet het systeem weer van de grond af opnieuw ontworpen.

Quilt @Harrie_ • 24 augustus 2017 14:14

Alsof er bij ons geen private dokterspraktijken, private ziekenhuizen, private verzekeringsfondsen, private apoptheken, private farmaceutische bedrijven zijn.

De keuze hoeft niet tussen twee extremen te gaan.

Daarnaast is er een stelselmatige verhoging van het aandeel overheidsuitgaven/BBP te merken in West-Europa sinds WOII. De stelling dat we van socialisme -> kapitalisme zijn gegaan, vind ik toch betwistbaar.

Merk trouwens op dat je geen concrete voorstellen doet van welke diensten niet meer door de markt zouden mogen gebeuren.

Harrie_ @Quilt • 24 augustus 2017 16:14

Als je concrete voorstellen wil, dan krijg je ze

Het is mijn (subjectieve!) mening dat ten minste de volgende zaken 100% door de overheid gereguleerd zouden moeten zijn/worden:
• Infstructuur: wegen, bruggen, rails
• Alle OV
• Alle G/W/E + kabels (koper, coax, glas) in de grond
• Gezondheidszorg
• Sociale huur

Dat onze (huidige) overheid waarschijnlijk niet in staat is om deze zaken op een fatsoenlijke manier te organiseren is een tweede... maar op de lange termijn ljikt het me beter dat de overheid hierin expertise ontwikkelt en dit voor haar rekening neemt i.p.v. de vrije markt.

sn34ky @Harrie_ • 24 augustus 2017 21:32

Als suggestie heb ik daar ook de post bij.
In Nederland een paar zomers geleden verdwenen er opeens veel pakketten omdat ze Oost Europeaanse arbeiders inhuurden (zo goedkoop mogelijk).

Als dat zo doorging zou Nederland ook op de lijst komen waar winkels en handelaren niet naar willen opsturen. Dat zou naast onze reputatie ook de economie negatief beïnvloeden.

Ik ben voor zo min mogelijk overheids bemoeienis, maar sommige dingen moeten gewoon goed geregeld zijn. We betalen ons al blauw aan belasting, dan mag je in ruil verwachten dat essentiële zaken goed geregeld zijn in het voordeel van de belasting betaler en niet voor een handje vol aandeelhouders.

field33P @sn34ky • 24 augustus 2017 23:02

De vraag is alleen wat je definieert als een essentiële dienst. Ik zou de post bijvoorbeeld niet meer definiëren als een essentiële dienst sinds vrijwel iedereen een internetverbinding heeft.

En inderdaad, we betalen ons blauw aan belastingen. Door het regelen van steeds meer zaken die dan als 'essentieel' bestempeld worden (kleding is toch ook essentieel?) zou je nog meer moeten gaan betalen.

Jerie

@Harrie_ • 26 augustus 2017 19:24

• Infstructuur: wegen, bruggen, rails
• Alle OV
• Alle G/W/E + kabels (koper, coax, glas) in de grond

De laatste 2 (#2 kun je over twisten maar zeer zeker #3) zijn eigenlijk ook onderdeel van de infrastructuur. Bekijk de definitie hier maar: https://nl.wikipedia.org/wiki/Infrastructuur wat je als eerste definitie noemt is de verkeersinfrastructuur.

Door ze niet als zodanig (infrastructuur) te benoemen doe je afbreuk aan hoe belangrijk zij voor ons zijn.

Verder worden er momenteel dingen uitbesteed (en via marktwerking), maar die zijn dan wel aan regels onderworpen.

Gezondheidszorg is belangrijk voor een gezond en welvarend leven en zou onderdeel moeten zijn van primaire levensbehoefte.

Dak boven je hoofd is ook onderdeel daar van. Toch zijn niet alle primaire levensbehoeften in handen van de overheid (neem bijv kleding).

Ik ben het dan ook in beginsel met je eens, maar gezonde marktwerking kan ook werken. Het probleem zit hem vaak in de regels die te vrijblijvend/zwak zijn. Neem bijvoorbeeld sociale huur. Een x% in een stad moet dat zijn. Er is een gigantisch gebrek aan sociale huur, terwijl men juist koop en vrije sector huur bouwt want dat is lucratiever. Hoe los je dat op? Door dat x% omhoog te gooien. Maar dat wil je ook weer niet teveel in een bepaalde stad, gemeente, of wijk hebben (dan krijg je namelijk achterstandswijken). Dus moet je dat landelijk regelen. De gemeentes regelen het dan maar. Uiteraard niet van vandaag op morgen, daar mag wat tijd tussen zitten. Wanneer dat niet geregeld wordt, dan spreek je van politieke onwil. Dat een partij als de VVD dat heeft mag niemand verbazen, die zal sociale huurprobleem worst wezen. Maar een partij als PvdA mag er wel achter aan gaan en zich daar hard voor maken.

Somoghi @Harrie_ • 24 augustus 2017 13:38

De overheid hoeft natuurlijk ook geen uitvoerende taak te hebben in deze, het kan ook een sturende / controlerende rol zijn.

De overheid zal qua snelheid en flexibiliteit niet veranderen. De komende decennia in ieder geval niet. Belangrijke beslissingen worden doorgeschoven en uitgesteld. Wat wel kan is de wijze waarop er mee omgegaan wordt wijzigen. Gelijk de juiste vraag stellen met een mogelijke oplossing, neem ze zoveel mogelijk werk uit handen. Dus niet: probleem -> los op! Maar; probleem -> mogelijke oplossing(en) -> beste oplossing (met onderbouwing) -> ok?

Dus in dit geval niet het hele probleem bij de overheid neerleggen, gaan jullie de energiesector maar doen.
In mijn optiek functioneert de markt, maar is er enkel wat sturing en controle nodig op de technische uitvoering, laten ambtenaren nu best redelijk zijn in het controleren.

Ulysses @Verwijderd • 24 augustus 2017 13:19

Psst, stop eens met enkel het nieuws te volgen en ga eens een jaartje werken bij een overheidsinstelling. Zal je beeld behoorlijk veranderen.

Beta

@Hammetje • 24 augustus 2017 12:20

Ook gevolg van de privatisering. Overheid stoot het af, maar van sommige organisaties is dat erg onwenselijk. Of nouja: zo lang het goed gaat is er niets aan de hand.
Voor het maken van beleid kan de overheid wel een goede initiator zijn!

Verwijderd @Beta • 24 augustus 2017 12:27

Overheid heeft ook genoeg (cyber) security vraagstukken open staan, incluis simpele shit zoals https websites beschikbaar hebben/afdwingen, dus dat overheid e.e.a. beter doet ben ik eigenlijk totaal niet van overtuigd.

SgtElPotato @Hammetje • 24 augustus 2017 12:42

Ik ben het er volledig mee eens dat bij deze nutsbedrijven security essentieel is, echter vraag ik me af hoe het dan geregeld moet worden. Moet de overheid dit doen terwijl ze er geen verstand van hebben? Moeten ze bedrijven inhuren om protocollen op te stellen terwijl ze zelf niet weten of ze goed zijn?
Ik zou dan kiezen voor boetes als zon nutsbedrijf geraakt zou worden door een van deze virussen, hoe en wanneer en wat maakt niet uit. Ben je getroffen, dan is je security niet op orde en krijg je een dikke boete vanwege nalatigheid.

De verantwoordelijkheid laat je dan bij de nutsbedrijven maar je dwingt ze min of meer wel om hun security op orde te krijgen en te houden.

Nox @SgtElPotato • 24 augustus 2017 12:09

Als er genoeg motivaties zijn (in de vorm van geld oid) om je installatie goed te beveiligen dan gaat dat vaak vanzelf. Alleen hebben de energiebedrijven niet echt door denk ik dat zij een cruciaal belang vervullen in de maatschappij. Zonder energie flikkert alles ineen.

Op het moment dat nalatigheid een boete kan opleveren (en dit is nalatigheid) dan zou dat al een hoop schelen. Regelen vanuit de overheid resulteert waarschijnlijk in een bende, als de overheid gewoon kon aangeven dat ze een audit moeten doorstaan (en mag iemand vanuit de industrie even een goede audit voorstellen aub) en dat iedere 3 maanden of jaarlijks doen, dan heb je veel minder last van dit soort gezeik.

Dus, als de overheid simpel zegt: storing door nalatigheid kost je geld en zorg dat je een audit van kaliber xyz doorstaat. Dan heb je het gros al afgedekt om te voorkomen dat energiebedrijven centen besparen op dit soort belangrijke elementen van hun core business. Die audit niet halen resulteert gewoon in je licentie verliezen. De energiebedrijven kunnen bij iedere partij een audit aanvragen op gebied van it-security.

Helaas kan je niet de markt volledig open stellen en dan hopen dat de markt het reguleert, dat is meermaals geen succes gebleken hier in Nederland. Het enige wat bedrijven dan doen is zo goedkoop mogelijk energie produceren, dan ben je nog slechter er vanaf.

SgtElPotato @Nox • 24 augustus 2017 12:44

Volledig mee eens dat een boete een van de weinige oplossingen is. De overheid heeft zelf niet alle verstand van beveiliging dus dat moet je hun niet laten doen, een flinke boete op nalatigheid van de security is de enige oplossing. Je dwingt deze bedrijven om het op orde te houden.
En dan geen lullige boeten van een paar ton, maar in de miljoenen dan dwing je ze ook om het op orde te houden.

Nox @SgtElPotato • 24 augustus 2017 13:17

Gewoon de verantwoordelijken hun bonus

want het zou anders 'niet hun geld' zijn waar ze mee lopen te kloten.

tweaknico @SgtElPotato • 24 augustus 2017 14:11

Percentage van de omzet (niet de winst) kan een goede zijn. 5-10% moet voldoende zijn.
Dan is er in ieder geval veel uit te leggen aan aandeelhouders..., en zullen aandeelhouders ook sneller instemmen met kostenverhogingen die risico's beperken.

CAPSLOCK2000

Nederland
Netwerk en systeembeheer

@SgtElPotato • 24 augustus 2017 14:39

Ik ben het er zeker mee eens dat er strengere eisen gemaakt moeten worden. Maar ik vraag me dan af door wie? De overheid die net zo min verstand er van heeft? Een bedrijf dat doet alsof ze er verstand van hebben?

Zelf zou ik liever beter toezicht zien op de eisen die we nu al hebben. Eigenlijk is de eis heel simpel "het moet veilig zijn". Daar kun je nog een hoop detail aan toe voegen, maar het komt op hetzelfde neer. Iemand zal moeten controleren of het ook op een zinnige manier wordt uitgevoerd. Op te veel plekken is toezicht en controle een papieren exercitie. De auditor stuurt een vragenlijst naar IT en die zetten een vinkje in alle vakjes en dat was het dan. Een audit halen is geen garantie voor veiligheid. Een audit niet halen is een garantie dat je systeem niet echt veilig is, maar je mag het niet omdraaien.

Neem als voorbeeld backups. Een typische auditor vraagt "Maak je backups en hoe bewaar je die?" maar niet "Wanneer heb je voor het laatst gecontroleerd of je backups volledig zijn en of je ze nog kan restoren?"

Een goede controleur vinden is moeilijk, maar er is nog zo veel te verbeteren dat we ook wel met wat minder kunnen beginnen door gewoon de basics te controleren.

SgtElPotato @CAPSLOCK2000 • 24 augustus 2017 17:57

Als je met controles gaat werken zal het eerder fout gaan omdat je waarschijnlijk dingen vergeet te controleren, want man-uren kosten geld en gaan ze dus besparen.
Met een boete van zoveel % van de omzet of winst pak je ze harder en zet je ook echt druk om de veiligheid te garanderen.

Verwijderd @Knijper1962 • 24 augustus 2017 12:05

Zonder USB, hoe ga je die updates installeren dan met de hand? Overtypen met een PS/2 toetsenbord?

De centrales in Iran waren ook air-gapped. Het maakte het wel moeilijker, maar niet onmogelijk.

Edit: CD-ROM, goede inderdaad. Was dat medium alweer vergeten.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 09:32]

The Zep Man

Netwerk en systeembeheer
Nederland
Malware

@Verwijderd • 24 augustus 2017 12:09

Zonder USB, hoe ga je die updates installeren dan met de hand?

CD's. Mooi read-only medium waarbij het medium zelf geen elektronica heeft en niet verder beschreven kan worden mits goed afgesloten. Alleen de data die erop staat doet ertoe. Ook is een CD-R een informatiestroom één kant op als je geen brander maar alleen een lezer gebruikt aan de ontvangende kant.

Voor live communicatie in een enkele richting kan je ook gebruik maken van een seriële port met een IR diode en sensor ertussen. Door het ontbreken van een elektronische aansluiting is daarmee alleen communicatie in één richting mogelijk (bijvoorbeeld van de veilige omgeving naar de onveilige omgeving).

[Reactie gewijzigd door The Zep Man op 24 juli 2024 09:32]

Great-Force @The Zep Man • 24 augustus 2017 12:23

Een CD is mooi, maar wie stopt hem in de computer? Wie heeft er toegang tot de computer buiten de updates om? Waar staat de computer? Fysieke beveiliging van het pand? Wie brand de CD? Overal waar een menselijke factor aan te pas komt, vormt een beveiligingslek. Als er een paar corrupte schakels tussen zitten, dan ben je alsnog vatbaar. Dat is de les die van de centrales in Iran is geleerd, en ja, ook de overheid kan een aanval doen door middel van vertrouwde personen de update uit te laten voeren.

Niet Henk @Great-Force • 24 augustus 2017 12:49

Hacks met fysieke toegang tot de computersystemen zijn (vooralsnog) zeldzaam.

Als je de werking van een computersysteem wil verstoren, en fysieke toegang hebt, kan dat ook met een voorhamer

. Misschien minder subtiel en lastiger te detecteren, maar geen beveiligingsupdate gaat daar tegen helpen. Je kan er ook een hardware keylogger/virtueel toetsenbord die op afstand commando's kan uitvoeren in stoppen. Daar valt gewoon nauwelijks tegen te beveiligen, buiten toegang tot het systeem te beperken.

Fysieke beveiliging is gewoon essentieel voor goed veilige systemen. Ik heb nog niet gehoord dat dit niet op orde is bij energiecentrales.

SuperDre @The Zep Man • 24 augustus 2017 13:50

Het is niet alsof je niet een alleen leesbare USB stick kunt maken..

Fairy @Verwijderd • 24 augustus 2017 12:10

Niet te letterlijk, maar het zou ook op read-only media kunnen, bijvoorbeeld via CDROM. Kinderen van vóór 1990 weten wel wat ik bedoel

Stoney3K

Nederland

@Fairy • 24 augustus 2017 22:37

Niet te letterlijk, maar het zou ook op read-only media kunnen, bijvoorbeeld via CDROM. Kinderen van vóór 1990 weten wel wat ik bedoel

Die zul je nog altijd fysiek in een drive moeten duwen. En de persoon die die CD in de drive moet stoppen, kan dus ook het CD'tje omwisselen voor een geïnfecteerd exemplaar die daarna in de shredder verdwijnt.

Fairy @Stoney3K • 25 augustus 2017 08:10

Maar dan heb je al wel 99% van de overige infectiemogelijkheden uitgesloten.

Jouw scenario zou je nog kunnen ondervangen door de handelingen door 2 of 3 personen te laten uitvoeren. Dan zouden ze allemaal corrupt moeten zijn...

Great-Force @Knijper1962 • 24 augustus 2017 12:14

Gisteren heb ik op NPO2 een docu gezien over Stuxnet. Daar werd de conclusie getrokken dat air-gapped systemen een illusie zijn. Als je de PLC's kan infecteren, kun je een gigantische chaos creëren die bijna niemand kan stoppen (tenzij echt fysiek de stekker eruit te trekken). Zonder elektriciteit geen waterzuivering, geen verlichting, beperkte medische dienstverlening, beperkte communicatiemiddelen, etc.
De PLC's moeten vanuit een systeem worden aangestuurd, echter blijft deze niet voor altijd op dezelfde firmware draaien. Iemand zal updates moeten doorvoeren met bijvoorbeeld aansturing voor nieuwe elektrische schakelingen in de verdeelstations, etc. Ook al is dit slechts een terminal, er is altijd wel een COM poort of iets aanwezig als je de PLC open trekt. Overal waar een menselijke factor aan te pas komt, ondanks dat het nog zo goed gecontroleerd is, is een beveiligingsrisico.

The Zep Man

Netwerk en systeembeheer
Nederland
Malware

@Knijper1962 • 24 augustus 2017 12:06

De echt noodzakelijke updates na grondige evaluatie door meerdere security bedrijven , met de hand installeren .

Grondige evaluatie en cryptografisch ondertekend, zodat het onderliggende systeem ook de authenticiteit en integriteit kan verifiëren. Een evaluatie kan iets missen en iets kan ongeautoriseerd ondertekend zijn, waardoor beide nodig zijn om gelaagde beveiliging te vormen.

Verwijderd @Knijper1962 • 24 augustus 2017 12:16

met de hand installeren.

Onorthodoxe methode. M.i. werken update mechanismen het best als je er niet naar om hoeft te kijken. Op het moment dat iemand iets moet doen is m.i. juist het moment dat het niet goed gaat. Dat zie je ook met backups.

Knijper1962 @Verwijderd • 24 augustus 2017 12:28

Als iets te gemakkelijk automatisch gaat, kan er ook vanalles mee-geïnstalleerd worden, waar niemand erg in heeft.
Ik vind, dat met name zaken als nuts bedrijven, en wat we verder kunnen beschouwen als onontbeerlijk voor onze maatschappij, niet veilig genoeg kunnen maken. Ik zou ook graag zien dat er in zulke gevallen snel teruggegrepen kan worden op echt oude techniek die niet via internet geregeld KAN worden. Bijvoorbeeld de waterschappen die alle gemalen nu op afstand bedienen. Een aanval geeft ons halve landje natte voeten als water niet wordt afgevoerd. Vroeger (vóór Tim Berners Lee, vóór arpanet ) werkten die gemalen ook gewoon.
Eén misser, en we gaan bijna terug naar de middeleeuwen. ( toen werkten waaiersluizen gewoon op eb en vloed) en dat is dan alleen maar waterafvoer. Over andere zaken kunnen we het best eens hebben in een café of zo

Aetje @Knijper1962 • 24 augustus 2017 12:41

De enige manier waarop je dit af kan dwingen, is dat wettelijk te vereisen. Commerciele bedrijven werken voor winst, en ICT security (zelfs ICT in het algemeen) wordt als een te minimaliseren kostenpost gezien. De afweging "wat zijn de kosten voor de beveiliging" tegen "wat zijn de kosten -voor het bedrijf- bij het herstel na een infectie" is een afweging die management maakt. Als die nadelig uitvalt voor de veiligheid wordt een systeem moedwillig kwetsbaar gehouden.

Rudie_V 24 augustus 2017 11:54

Staatssecretaris Klaas Dijkhoff van Veiligheid en Justitie bevestigt niet dat de systemen kwetsbaar zijn voor de Industroyer-malware, maar zegt in antwoord op Kamervragen dat het niet uit te sluiten is dat Nederlandse systemen ook slachtoffer worden van de malware.

Als je na dit bericht nog slachtoffer wordt dan ben je schuldig. Bedrijven zijn nu gewaarschuwd en zouden geen slachtoffer meer mogen worden, anders is de schade die hier uit kan volgen deze bedrijven aan te rekenen.
Nalatigheid in beveiliging van dit soort essentiele bedrijven moet hard bestraft worden. Desnoods koppel je de systemen maar los van het internet en ga je maar in een soort van lockdown-modus totdat er updates beschikbaar zijn.

Verwijderd @Rudie_V • 24 augustus 2017 12:14

Desnoods koppel je de systemen maar los van het internet en ga je maar in een soort van lockdown-modus totdat er updates beschikbaar zijn.

Want dat kan je als ICT'er in een hoge omzet industrie gewoon even ad-hoc doen zonder enige gevolgen voor je baan of verdere carrière.

Doorgaans heb je als ICT'er een adviserende rol richting het bedrijfsbesuur op het moment dat je aan processen gaat rommelen. Als jij zomaar aan stekkers gaat trekken dan kan dat, maar dan moet je toch wel echt een goed verhaal hebben. Zo'n neus en lippen statement van Klaas Dijkhoff die inhoudelijk verder geen blind idee heeft hoe e.e.a. is ingeregeld (gezien dat allemaal geprivatiseerde issues zijn) is dat niet echt.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 09:32]

Rudie_V @Verwijderd • 24 augustus 2017 12:30

Waarom zou dit de verantwoording van de ICT'er moeten zijn? En is de omzet van een bedrijf belangrijker dan een groot maatschappelijke voorziening als de stroomvoorziening? Bovendien kunnen dit soort essentiele bedrijven schadeclaims verwachten bij een te lange onderbreking, dus heeft het bedrijf er nog baat bij ook, want als het mis gaat dan komen er veel meer schadeclaims binnen dan het kleine beetje extra kosten die het loskoppelen van het internet of een lockdown-modus met zich meebrengen.
Ook is het maatschappelijk belang van een werkende stroomvoorziening belangrijker dan wat wel of niet kan in een bepaalde industrie en of diens winst daarmee wel of niet in gevaar zou kunnen komen. Bovendien is dit geen beslissing van een ICT'er maar zou het bedrijfsvoering of misschien een wettelijke bepaling moeten zijn.

bArAbAtsbB @Rudie_V • 24 augustus 2017 12:31

hahaha ja werkte het maar zo....die malware ontwikkeld zich toch ook weer....je kan geen enkel systeem wat gekoppeld is aan het internet 100% veilig hebben! das een utopie!

Rudie_V @bArAbAtsbB • 24 augustus 2017 12:43

Dat stel ik ook nergens. Maar in deze tijd is geen plek meer voor naiviteit, of hoeveel voorbeelden moeten er nog komen van met malware getroffen bedrijven en diens gevolgen, en moet je er juist vanuit gaan dat als je niets doet je slachtoffer gaat worden en daarom moeten dit soort essentiele bedrijven gedwongen worden maatregelen te nemen. Als er volgende week een energiebedrijf komt met de melding dat hun centrale stil is gevallen door deze malware dan kan je ze dat zeker aanrekenen en kan je je afvragen of zo'n bedrijf wel capabel is om zo'n essentiele dienst te verlenen.

Aetje @Rudie_V • 24 augustus 2017 12:43

Desnoods koppel je de systemen maar los van het internet en ga je maar in een soort van lockdown-modus totdat er updates beschikbaar zijn.

Dan moet je het beheer ervan natuurlijk niet geoutsourced hebben naar Verweggistanie (over het algemeen India). Als je zelf lokaal geen beheerders meer hebt kun je je systemen niet zomaar meer ontkoppelen.

Rudie_V @Aetje • 24 augustus 2017 12:50

Dit is voor de samenleving en continuiteit van de dienstverlening geen argument.

Aetje @Rudie_V • 24 augustus 2017 12:56

Samenleving en continuiteit van dienstverlening zijn ondergeschikt aan het winstoogmerk bij commerciele organisaties. Vandaar dat Aetje het ook niet verstandig vind dat nutsbedrijven gecommercializeerd geworden zijn. Maar dat is een andere discussie

Rudie_V @Aetje • 24 augustus 2017 13:11

Ben het met je eens dat sommige bedrijven en diensten niet commercieel zouden moeten zijn. Maar overheden vinden privatiseren belangrijk zodat de toch al rijke elite ons nog meer geld uit de zakken kunnen kloppen uit diensten die iedereen nodig heeft.

Maar daarom heeft de overheid ook eisen gesteld om de continuiteit van deze diensten te waarborgen. Providers zijn nog een voorbeeld waar je geld terug kan krijgen als de dienst door schuld van de provider te lang onderbroken is.

ToolBee 24 augustus 2017 12:09

Als "vreemde" mogendheden, USA incluis, echt iets willen implementeren maakt die "air-gap" ook niets uit.

Gister nog eens de reportage op RTLZ gekeken over stuxnet en de aanvallen op Iraanse nucleaire installaties. Redelijk onthutsend over hoe onveilig we eigenlijk zijn!

bArAbAtsbB 24 augustus 2017 12:30

snap echt niet waarom deze systemen genetwerkt zijn aan systemen met internet! juist dit soort systemen zouden toch stand alone moeten draaien...met een rapportage naar een lokale folder ergens die weer uitgelezen kan worden ergens! Energeiebedrijven en waterbedrijven zouden allemaal niet aan het internet gekoppeld moeten worden (de kritieke systemen)

fruumel @bArAbAtsbB • 24 augustus 2017 13:13

In de industrie is het zo dat men in de meeste gevallen niet aan het internet verbonden is met de installaties waarop de software draait.
Velen denken ook blijkbaar dat industriële software evenveel updates nodig heeft dan meer commerciële software maar in de industrie zijn updates zelden of nooit nodig. Zijn ze toch om 1 of andere reden nodig dan is dat via cd-rom of via een usb die rechtstreeks van de leverancier komt. Downloaden kan ook maar dan zit je wel met de risico's dus af te raden.
Maw beveiligen is relatief eenvoudig: backups maken van de programma's en alleen met internet verbinden als bvb een integrator online eventjes wil mee volgen of aanpassingen wil doen. Is de integrator klaar dan internet terug afkoppelen. Updates van de software waarop de programma's draaien alleen doen indien het niet anders kan.

De overheid heeft groot gelijk door dit niet op zich te nemen, denk niet dat ze dit kunnen trouwens, is te specifiek maar voor de beheerder zeer eenvoudig om zelf te doen.

shadowrune @bArAbAtsbB • 24 augustus 2017 13:19

Het merendeel van de systemen zitten ook niet op het internet en zijn volledig als netwerk geïsoleerd. Overal wordt er rekening gehouden met security en vaak zijn de kritieke systemen niet op basis van IP, maar bestaan nog uit oudere technieken, zoals modems of oude point-2-point protocollen. Toch is de grootte van een netwerk meteen een gevaar, omdat je aan de ene kant een 'smart' netwerk wil hebben om alles goed te kunnen besturen en beveiligen, maar aan de andere kant alles gescheiden en secure wil houden.

Het deel wat wel extern gekoppeld wordt, wordt voorzien van firewalls, DMZ's en fysiek gescheiden netwerken. Ik zal dan ook niet zeggen dat alles 100% veilig is, maar weet wel, dat er voldoende maatregelen getroffen worden en dat men continue rekening houdt met de boze buiten wereld.

mutley69 24 augustus 2017 13:50

Wil je overleven in deze wereld - dan moet je streng zijn voor jezelf - anders gaat 't mis. Dat wil ook zeggen jezelf pijn doen - zaken blokkeren. Trop is teveel zei ex-minister Vandenboeynants indertijd - wel op IT-vlak (waar hij wellicht niks van kende) heeft ie gelijk. Snijden tot de strakke noodzaak is altijd het gezondst.
Gooi alle softwareleveranciers die nodeloze functionaliteiten toevoegen gewoon buiten - of dreig tenminste - zodat de huidige waanzin stopt. Een wordprocessor moet niet kunnen browsen en mailen. Een mailprogramma moet vooral geen wordprocessor gebruiken en dus macro's aankunnen.
U leest tussen de lijnen inderdaad dat ik bepaalde bedrijven expliciet viseer. Dat doe ik al vanaf windows95 op de markt gekomen is - en ik heb totnogtoe al over heel de lijn gelijk gekregen - maar ik ben daar vet mee... (ik wordt ook een dag ouder en dus wat vetter dan in de magere jaren).
Laat u niet opsluiten werk modulair - en sloop wat niet nodig is - laat u vooral niet meeslepen.
Desnoods moet u add-ons installeren en internet-filters om de zaken tegen te werken - doen!
En ja ook firewallen daar waar't kan - da's veel werk, en veel zoekwerk op de moment dat er iets niet werkt - maar 't is van moetes.

ooojeee 24 augustus 2017 20:43

Kan iemand mij uitleggen om wat voor soort systemen het gaat die kwetsbaar zijn? Dat haal ik niet uit het artikel...

"Systemen die veelal door energieleveranciers gebruikt worden" kan ik niet zo veel mee. Ik werk zelf voor een energieleverancier maar krijg het gevoel dat ze eerder software in het distributie- of generatienetwerk bedoelen.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (53)

Sorteer op:

Weergave: