Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste prijsvergelijker en beste community. Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers!

Maersk herinstalleerde 45.000 pc's in 10 dagen na NotPetya-aanval

Logistiekbedrijf Maersk moest na de NotPetya-aanval vorig jaar in totaal 45.000 pc's en 4000 nieuwe servers installeren. Dit lukte het bedrijf in tien dagen en in de periode zonder ict daalde het volume afgehandelde containers met 20 procent.

Dat meldt de voorzitter van A.P. M°ller-Maersk, Jim Hagemann Snabe, bij een securitypanel tijdens het World Economic Forum in het Zwitserse Davos. Hij vernam 27 juni dat het bedrijf was getroffen door een malwareaanval.

"De impact was dat we een gehele infrastructuur moesten herinstalleren", vertelde Hagemann Snabe. "We moesten 4000 nieuwe servers, 45.000 nieuwe pc's en 2500 applicaties installeren. Normaal gesproken, ik kom van de it-industrie, zou ik zeggen dat zoiets zes maanden zou duren. Het duurde tien dagen." Hagemann Snabe was voorheen mede-directeur van SAP.

Verder vertelde de topman dat er sprake was van een daling van het volume van containers van 20 procent door de afwezigheid van de it-infrastructuur: "We handelden 80 procent van het volume met de hand af." De topman had achteraf het gevoel dat het bedrijf collateral damage was bij wat waarschijnlijk een staatsaanval was, schrijft Bleeping Computer.

Maersk was in juni vorig jaar een van de zwaarst getroffen bedrijven van een omvangrijke ransomware-aanval. Ook in Rotterdam lagen de terminals van het bedrijf stil.

Door Olaf van Miltenburg

Nieuwsco÷rdinator

25-01-2018 • 18:45

178 Linkedin Google+

Submitter: segil

Reacties (178)

Wijzig sortering
Mag toch hopen dat ze diegene die die ransomware op t net gegooid hebben, te pakken krijgen
Maersk is een van de grootste container bedrijven en dan in 10 dagen dit voor elkaar krijgen dat alles weer goed loopt, petje af
Maersk had dit deels aan zichzelf te danken door niet up-to-date te zijn met software.
Klopt, maar een inbreker is niet minder strafbaar als het slot niet het beste mogelijk is he?

Ik lees hier met regelmaat dat het niet 100% op orde zijn van de beveiliging een argument zou zijn om de wetsovertreder niet geheel verantwoordelijk te stellen. Dat is nonsense.

Om te beginnen daag ik iedereen die verantwoordelijk is voor IT beveiliging uit om te zeggen dat zijn beveiliging 100% is. Degene die dat zegt moet je enorm wantrouwen want een goed beheerder weet dat je beveiliging op zijn best zo goed is als kan. Van onbekende hacks tot menselijke fouten tot interne sabotage, elke IT'er weet dat een groot deel van zijn werk het reageren op problemen is en dat niemand die problemen kan voorspellen.

Als student informatica (zoals ik verwacht en hoop dat veel tweakers zijn) is het niet altijd makkelijk te begrijpen dat je niet elke patch je netwerk op kan slingeren en dat dingen op een offline systeem uitproberen eenvoudigweg niet altijd afdoende is. Iedere IT'er kent het moment dat je muis boven [YES] hangt en het enige dat je nog bedenken kan 'God zegene de greep' is. Daarna haal je koffie en wacht je op schreeuwende mensen aan de telefoon.

Daarom gaat Maersk down, daarom hebben banken storingen en daarom zal Facebook ook vast wel een keer helemaal uit de lucht zijn. Een daarom zal het systeem van elke tweakers ook wel eens weigeren. Is dat nog niet gebeurt dan gaat het nog wel eens gebeuren. Als je nog nooit geklikt hebt op een link waar je niet op had moeten klikken dan gaat dat nog wel gebeuren.

Zat Maersk fout? Vast wel maar omdat we er het vrijwel niets van weten is het niet aan ons om te oordelen. Persoonlijk zou ik de manager die al die systemen in tien dagen weer in de lucht heeft gekregen graag aannemen, zelfs als hij uiteindelijk verantwoordelijk is voor de problemen. Fouten maken we allemaal, de fouten oplossen is belangrijker. Hoe je het ook bekijkt, dit is een top prestatie.
Ik geef je slechts gedeeltelijk gelijk in je betoog. Natuurlijk is het laten openstaan van je voordeur geen enkel excuus om je huis te komen leegroven. En je hebt gelijk dat niemand de problemen kan voorspellen.

Maar soms is er ook gewoon sprake van nalatigheid en grove fouten. Wanneer malware in staat is om eenmaal op je netwerk zich te verspreiden via een verouderd en onveilig protocol waarvan al jaren wordt geadviseerd om het uit te schakelen dan ben je zelf wel degelijk verantwoordelijk voor de omvang van de schade. Er is geen enkele reden te bedenken waarom 45000 PCs en 4000 servers nood hadden aan het SMBv1 protocol.

En wanneer je 50 000 systemen onder je hebt, dan heb je ook geen kleine IT afdeling. Als ik gewoon al bij ons op de firma kijk met slechts 1 tiende van het aantal systemen dan zie je dat er over de infrastructuur en de beveiliging goed word nagedacht. Hoewel het nooit publiek zal bekendgemaakt worden zou het mij trouwens niet verbazen mochten er bij Maersk koppen gerold hebben.
De gemiddelde tweaker heeft echt wel verstand van zaken, en juist daarom snap ik nooit waarom ook weer de gemiddelde tweaker vrijwel nooit snapt dat het netwerk van een gemiddeld Nederlands MKB'tje niet eens te vergelijken is met het netwerk en infrastructuur van een fortune 500 bedrijf dat meer dan 130 landen spant. Als de IT afdeling van zo'n bedrijf het niet "ff" kan oplossen/voorkomen, dan kan de gemiddelde boze Tweaker dat ook niet.

Er wordt hier altijd zo intens makkelijk gedaan over dit soort dingen. Alsof zo'n bedrijf niet om de hoogte is hoe belangrijk IT voor haar is.
Er wordt hier altijd zo intens makkelijk gedaan over dit soort dingen. Alsof zo'n bedrijf niet om de hoogte is hoe belangrijk IT voor haar is.
En waaruit blijkt dan wel dat ze daar van op de hoogte waren? Er zijn tal van gangbare maatregelen die je kunt nemen om te voorkomen dat malware zich zo snel over je servers verspreid. En als je zelf die kennis niet in huis hebt kan je die prima binnenhalen via een externe leverancier. Maersk is geen uniek bedrijf, er zijn wereldwijd honderden ondernemingen van dergelijke omvang en er zijn tal van methodes om dergelijke problemen te voorkomen en te beperken als ze optreden.

Ik krijg eerder het omgekeerde idee hier: de gemiddelde gebruiker redeneert vanuit zijn eigen systeem dat regelmatig onoplosbare problemen vertoont en heeft er weinig inzicht in welke middelen een organisatie van een dergelijk niveau ter beschikking staan om dit soort aanvallen te voorkomen of de schade te beperken.
[...]
En waaruit blijkt dan wel dat ze daar van op de hoogte waren?
Feit dat ik er zelf werk. Ik doel meer op 't feit dat hier wordt gedaan alsof alles super belachelijk geregeld is, en heel erg nonchalant met IT (security) om wordt gegaan binnen zulke grote bedrijven, terwijl dat helemaal niet zo is. Ik ga voor de rest niet heel de bedrijfscultuur en het IT beleid uit te doeken doen, maar toen met het Zepto virus is er een hele happening binnen 't bedrijf geweest om de extensies van dat virus te blokkeren om alle honderde file servers wereldwijd die er draaien binnen de groep. Dit even als voorbeeld, dat het bedrijf wel degelijk op de hoogte is hoe cruciaal de IT omgeving is voor 't voortbestaan van het bedrijf. Daarnaast, overigens, had 't notpetya virus ook kunnen verspreiden op geheel gepatchte machines.
[...]
Ik krijg eerder het omgekeerde idee hier: de gemiddelde gebruiker redeneert vanuit zijn eigen systeem dat regelmatig onoplosbare problemen vertoont en heeft er weinig inzicht in welke middelen een organisatie van een dergelijk niveau ter beschikking staan om dit soort aanvallen te voorkomen of de schade te beperken.
Ik zou eens bij zo'n groot bedrijf gaan werken, en een beetje de infrastructuur, en de gehele IT bestuderen, want ik denk persoonlijk niet dat je dan nog 't zelfde zegt. Whatever een gemiddeld fortune 500 bedrijf "ter beschikking heeft" is echt compleet irrelevant. Het gaat erom of je 't ook kan toepassen, op elke server in elk van de 700+ kantoren, waarvan elk kantoor speciale "local needs" heeft, en alle 45.000 workstations. Een deel hiervan zijn, nu we 't toch over Maersk hebben, op zee en dus gewoonweg erg moeilijk bereikbaar. "T is een klein deel, maar goed, je netwerk is zo sterk als de zwakste schakel.

EDIT: Wat spelvoudjes.

[Reactie gewijzigd door r3chts op 26 januari 2018 00:41]

Feit dat ik er zelf werk. Ik doel meer op 't feit dat hier wordt gedaan alsof alles super belachelijk geregeld is, en heel erg nonchalant met IT (security) om wordt gegaan binnen zulke grote bedrijven, terwijl dat helemaal niet zo is.
Ik zeg niet dat alle belachelijk geregeld is, maar als een virus zich op een dergelijke manier over al je servers kan verspreiden is er volgens mij toch wel iets ernstig mis met je beveiliging en de snelheid waarmee er op een threat wordt gereageerd. Dat zijn geen details die over het hoofd zijn gezien, maar zaken als patching, server hardening, threat awareness en threat response die klaarblijkelijk niet op de juiste manier in zijn gericht.
Ik zou eens bij zo'n groot bedrijf gaan werken, en een beetje de infrastructuur, en de gehele IT bestuderen, want ik denk persoonlijk niet dat je dan nog 't zelfde zegt.
Ik heb al bij een stuk of 10 bedrijven van dergelijke omvang rondgelopen, mijn huidige werkgever heeft zo'n 20.000 werknemers en als daar een probleem van dergelijke omvang op zou treden zou het ook gelijk het einde van de organisatie zijn. Daar is iedereen zich van bewust en daar wordt ook naar gehandeld. Deels door schade en schande wijs geworden, maar zich daardoor wel terdege bewust van de risico's.
[...]
Ik zeg niet dat alle belachelijk geregeld is, maar als een virus zich op een dergelijke manier over al je servers kan verspreiden is er volgens mij toch wel iets ernstig mis met je beveiliging en de snelheid waarmee er op een threat wordt gereageerd. Dat zijn geen details die over het hoofd zijn gezien, maar zaken als patching, server hardening, threat awareness en threat response die klaarblijkelijk niet op de juiste manier in zijn gericht.
De manier waarop je dit verwoord geeft aan dat je geen enkel benul hebt van hoe 't is gegaan, en hoe 't bedrijf intern gehandeld heeft. Geeft niet; je hebt geen insider informatie, en ik respecteer voor de rest je mening, dus laten we 't hier maar bij houden.
[...]
De manier waarop je dit verwoord geeft aan dat je geen enkel benul hebt van hoe 't is gegaan, en hoe 't bedrijf intern gehandeld heeft. Geeft niet; je hebt geen insider informatie, en ik respecteer voor de rest je mening, dus laten we 't hier maar bij houden.
Je bent wel erg aanvallend voor iemand die heel wat uit te leggen heeft, maar niets kwijt wil. Puur op basis van de informatie die ik nu heb is het niet meer dan logisch dat ik tot de conclusie kom dat het geen toeval is dat Maersk zo zwaar geraakt is. En eigenlijk kan ik redelijkerwijs ook geen goede verklaring bedenken waarom dit niet te voorkomen zou zijn geweest met de juiste maatregelen. Niets ten kwade van de mensen die zich ingespannen hebben om dit alles tot een goed einde te brengen, maar de gedachte dat er iets structureel verkeerd gezeten heeft blijft bij mij toch hangen.
[...]
Je bent wel erg aanvallend voor iemand die heel wat uit te leggen heeft, maar niets kwijt wil.
Ik ben het volledig met r3chts eens, en ik vind niet dat hij iets "uit te leggen heeft". ik snap niet hoe jij kan bedenken dat dat wel zo zou zijn.
Dat hij hier uberhaupt over spreekt op tweakers, zodat wij inside information krijgen hierover, vind ik al erg vriendelijk.

En hoe snel een virus kan verspreiden is natuurlijk ook afhankelijk van de kracht van je systemen. Als je infra traag is dan is er een stuk meer tegen te doen dan wanneer je zo'n krachtig netwerk heb met duizenden servers en workstations die het verder kunnen verspreiden.
Het was misschien een beetje ongelukkig verwoord, maar hij stelt dat Maersk niet tekort is geschoten zonder dat verder te beargumenteren. Als ik daar mijn vraagtekens bij zet wordt ik vervolgens aangevallen op mijn mening. Ik zie in zijn reactie verder ook geen inside informatie anders dan wat ook al in het artikel staat. Wat ik bedoel te zeggen is dat Maersk heel wat meer informatie zal moeten geven voordat ik (en de rest van de wereld) er van overtuigd ben dat ze geen blaam treft.
Er wordt hier altijd zo intens makkelijk gedaan over dit soort dingen. Alsof zo'n bedrijf niet om de hoogte is hoe belangrijk IT voor haar is.
Als er een volume-verlies van slechts 20% is dan vraag ik me af hoe belangrijk IT voor Maersk is. Of hebben ze ten tijden van de storing "eventjes" 5000 man extra personeel in dienst genomen?
Ik denk dat vanwege relatief korte tijdsduur volumes nog enigszins op peil gehouden konden worden. Denk aan zaken die al voorbereid waren, containers die al klaar stonden voor verscheping. Tijdelijk afhandelen van aantal belangrijke zaken via snelle communicatie met klanten wat op lange termijn niet werkt. Ik vermoed dat als het iets langer had geduurd de hele boel als een plumpudding in elkaar gezakt was en je veel grotere volume daling had gezien. Daarnaast zal het heel wat extra werk gekost hebben om alles weer administratief op order te krijgen na die 10 dagen vermoed ik.
Nee, gewoon een goede disaster procedure die ervoor zorgt dat 80% met de hand overgepakt kan worden. Denk aan bijvoorbeeld de werktijden verdubbelen door in shifts te gaan werken.

Het lijkt me toch echt sterk dat ik moet gaan uitleggen dat inderdaad niet 80% van de boekingen normaal ook met de hand gedaan worden...?
Dat zeg ik toch ook niet?
Maar soms is er ook gewoon sprake van nalatigheid en grove fouten. Wanneer malware in staat is om eenmaal op je netwerk zich te verspreiden via een verouderd en onveilig protocol waarvan al jaren wordt geadviseerd om het uit te schakelen dan ben je zelf wel degelijk verantwoordelijk voor de omvang van de schade. Er is geen enkele reden te bedenken waarom 45000 PCs en 4000 servers nood hadden aan het SMBv1 protocol.
Inderdaad, dit is gewoon de kern van het probleem. Belachelijk dat ze zich op de borst kloppen omdat ze 50000 systemen opnieuw hebben ge´nstalleerd, maar niet diep door het stof gaan omdat ze de hele infrastructuur kwetsbaar op hebben gesteld.

De filosofie dat het bedrijfsnetwerk een veilige zone vormt waarin alles en iedereen te vertrouwen is is al lang achterhaald. Dit getuigt gewoon van verregaand gebrek aan inzicht of het compleet negeren van de risico's die door de configuratie van de systemen ontstaan. Eigenlijk zelfs geen IT probleem, maar gewoon een indicatie van ernstig mismanagement.
De schade voor maersk had amper impact op het bedrijf.
Na 10 dagen veel hersteld en de geschatte kosten nemen ze gewoon op in de jaaruitslag.
Een maand later stond het aandeel hoger dan voor de aanval.

Dat is niet per se mismanagement - gewoon andere vorm van risicobeheer.
met zo'n install-base zal je ook een hele hoop redundancy hebben tussen afdelingen die je kan isoleren. 2500 applicaties lijkt me trouwens wel enorm veel, zelfs voor zo'n grote firma.
Er zullen heel veel localized apps inzitten, elk land heeft zijn eigen regels rond douane, boekhouding, HR etc dus dat levert eigen (deel) apps op. Het kan snel gaan op de manier..
Dat is niet per se mismanagement - gewoon andere vorm van risicobeheer.
Daar zijn ze dan goed mee weggekomen. Er zijn ook bedrijven (denk aan DigiNotar, maar er zijn er nog wel meer) die een dergelijke cyber attack niet overleefd hebben. Ik krijg toch niet echt het idee dat dit een berekend risico was.
Ik krijg toch niet echt het idee dat dit een berekend risico was.
In het artikel zelf wordt ie geciteerd als "Normaal gesproken, ik kom van de it-industrie, zou ik zeggen dat zoiets zes maanden zou duren.". Bewust het risico nemen dat je hele bedrijf zes maanden plat gaat lijkt me inderdaad niet heel waarschijnlijk.
Ik ben het eens met je redenatie over veiligheid. Op zijn best heb je schijn veiligheid, wat zo ongeveer inhoud dat je baas kan zeggen dat er alles aan gedaan is. Maar dan nog weet je als IT-er dat er meerdere gaten in je systeem zitten.

Ik snap niet helemaal waarom je alleen de manager wil aannemen die dit bereikt heeft. Het is zijn IT afdeling die een heel goed uitwijk scenario/HA of Backup/Restore plan heeft gemaakt. Behalve hier sturing aan geven denk ik niet dat hij hier veel aan heeft toegevoegd.
Het is zeker een prestatie en schijnbaar heeft Maersk alles goed op orde als het gaat om zijn IT landschap en bovengenoemde procedures. Daarvoor mag de manager wel hulde hebben.

Het gevoel van "God zegene de greep" is mij zeer bekend en wordt op ons bedrijf vaak vervangen door "no guts, no glory" waarna er een enter volgt (om het OS generic te houden, muis is toch wel erg microsoft). Zelfs binnen projecten en procedures gebruiken we de term. Altijd lekker als je dan na 30 minuten de telefoon oppakt om te kijken of hij het nog wel doet omdat er niemand belt, om zeker te weten dat de VOIP server niet ook toevallig is omgevallen op zelfde moment.
Klopt, maar een inbreker is niet minder strafbaar als het slot niet het beste mogelijk is he?

Ik lees hier met regelmaat dat het niet 100% op orde zijn van de beveiliging een argument zou zijn om de wetsovertreder niet geheel verantwoordelijk te stellen. Dat is nonsense.
Je doet alsof we de schuld slechts bij ÚÚn partij neer kunnen leggen. Als iemand zijn huis wordt leeggestolen omdat ie vergeet de deur op slot te doen als ie op vakantie gaat, dan gaat de inbreker (als ie gevonden wordt) natuurlijk net zo goed de gevangenis in. Maar je kunt prima daarnaast nog tegen de bewoner zeggen "wow, dat was wel heel erg stom van je!".

Zoals je zelf zegt, SMBv1 draaien (als ik het goed begrepen heb, door de hele organisatie heen, niet slechts op een handvol machines waarvoor er een specifieke reden was) is even knullig als je voordeur niet op slot doen.

Dat gezegd hebbende, zonder computers op 80% capaciteit doordraaien en 50k bakken opnieuw installeren in tien dagen is zeker indrukwekkend!
Even los van dat de inhoud van je bericht klopt, je kunt niet elke patch blindelings pushen. Nieuwste Intel microcode is een mooi voorbeeld. Direct problemen met reboots.
Daarom gaat Maersk down, daarom hebben banken storingen en daarom zal Facebook ook vast wel een keer helemaal uit de lucht zijn. Een daarom zal het systeem van elke tweakers ook wel eens weigeren. Is dat nog niet gebeurt dan gaat het nog wel eens gebeuren. Als je nog nooit geklikt hebt op een link waar je niet op had moeten klikken dan gaat dat nog wel gebeuren.
Het idee dat je zo maar besmet raakt omdat je op een verkeerde link klikt is al 20 jaar nergens voor nodig. Windows update heeft nog nooit iets tegengehouden (alhoewel windows defender tegenwoordig 96.3%+ scoort). Daar hebben we de heuristiek scanners voor uitgevonden. Begin eens met een degelijke security suite, 1tje die 100% haalt bij de 0-days van av-test.org, en je kunt klikken tot je een ons weegt en er is nog niets aan de hand. Zit natuurlijk ook steeds meer machine learning achter die globale trens oppikken. Voor email heb je tegenwoordig ook diverse partijen die het hele emailverkeer analyseren en op basis van trends gaan filteren. Mist je normale software en een degelijke email provider kiest is momenteel het enige wat je neer haalt een gerichte aanval, maar dan moet je om wat voor reden dan ook een interessant doelwit zijn. De gemiddelde consument thuis is dat in ieder geval niet. Bedrijven zijn sneller interessant omdat die voor meer geld gegijzeld kunnen worden.

[Reactie gewijzigd door sdk1985 op 26 januari 2018 02:50]

Alsof die manager geholpen zou hebben bij het herinstalleren? Iemand heeft het risico van niet installeren van updates moeten accepteren. Ik denk dat de ict medewerkers heel wat uutjes overtime hebben gemaakt.
Waarom niet? misschien niet fysiek aan de PC, maar organiseren, faciliteren, communiceren naar hoger management....
Alsof die manager geholpen zou hebben bij het herinstalleren?
Kan je vertellen dat de managers wel degelijk heel erg hard meegeholpen hebben.
OT: Voorspelling van de dag xD facebook is voor mij down :D
Klopt, maar een inbreker is niet minder strafbaar als het slot niet het beste mogelijk is he?
Als jij je auto niet afsluit of dure zaken in zicht bewaard kun jij een boete krijgen.

Zwak management van Maerks zal nu er wel voor zorgen dat dat ICT beleid en budget in orde zal zijn.

Voor de mensen binnen Maerks die al tijdje zeurden was deze aanval een zegen.
Je kon perfect up-to-date zijn met windows en toch de aanval binnen krijgen.
Een lek was een van de tacktieken om verder te komen, maar de payload was een boekhoud app uit Oekra´ne waarvan de auto-update infected was.
Vervolgens als ie op een pc stond kon die de locale user cache schijnbaar leeglezen, vind ie daar een domain admin in kon die vervolgens verder je netwerk in en dm van psexec gewoon je hele netwerk besmetten.
Is dat zo.?
Ik dacht dat het juist door de updates van hun boekhoudsoftware kwam.
Dat lag iets genuanceerder. Uit het hoofd:
- In de Oekra´ne zijn er maar een paar programma's toegestaan voor het doen van belastingaangifte.
- het programma wat gebruikt werd MEdoc had een update verspreid die de malware bevatte
- die update kwam van een server en leek valide voor MEdoc
- Van alle bedrijven die zaken doen in UKR heeft een groot deel MEdoc geinstalleerd
Ik heb geen berichten gelezen (op zich niet verwonderlijk gezien de geruchten dat er een staat achter zit) dat notPetya wordt gelinked aan een staat. Het vingertje wijst dan snel naar Rusland, maar met vingerwijzen zal het stoppen tenzij er bewijs gevonden kan worden op de in beslag genomen MEdoc servers of een van de daders berouw krijgt en op vakantie gaat naar het westen.
De gebruikte tools waren dan weer afkomstig van de NSA, en door shadowbrokers op de markt gebracht. Die laatste groep is dan weer gelinkt aan Booz Allen Hamilton, een contractor voor de NSA met naar wordt gesuggereerd onvoldoende screening van haar personeel. Daarna wordt wat mij betreft alles te speculatief.
In de Oekra´ne zijn er maar een paar programma's toegestaan voor het doen van belastingaangifte.
Letterlijk een paar: het zijn er slechts twee. Ik weet trouwens niet of het gaat om "toegestaan" of om "niemand anders heeft zo'n programma geschreven".
Ik heb geen berichten gelezen (op zich niet verwonderlijk gezien de geruchten dat er een staat achter zit) dat notPetya wordt gelinked aan een staat. Het vingertje wijst dan snel naar Rusland, maar met vingerwijzen zal het stoppen tenzij er bewijs gevonden kan worden op de in beslag genomen MEdoc servers of een van de daders berouw krijgt en op vakantie gaat naar het westen.
Ik heb een boel van die berichten gelezen... en jijzelf ook zo te horen, als je wel hebt meegekregen dat Rusland de zwarte piet toegespeeld kreeg?

Rusland heeft de kennis en een geweldig motief. Er zijn weinig andere organisaties die de kennis hebben en van geen daarvan is duidelijk wat het motief zou moeten zijn. Nee, dat is geen bewijs, maar suggereren dat er geen enkele onderbouwing is en dat Rusland alleen maar de schuld krijgt omdat dat lekker makkelijk is, dat is wel weer het andere uiterste.
Klopt, maar dat blijft speculatief. De Russen hadden een belang om de economie van de Oekra´ne te ontwrichten. Helemaal met je eens. Vandaar ook het vingerwijzen. Zo'n aanslag aantoonbaar herleidbaar naar de Russische overheid zou leiden tot op zijn minst arbitrage en mogelijk stevige sancties. Dan is er wel overtuigend bewijs nodig en daarvan twijfel ik of dat er zal komen.
Even offtopic, maar de geografie nerd in me wil toch even zeggen dat Oekra´ne gewoon zonder het woord 'de' ervoor is. Net zoals we niet zeggen 'de Nederland'. De combinatie 'de Oekra´ne' verwijst eigenlijk naar een landsdeel in de Sovjet Unie (dus tot 1991) voordat het een onafhankelijk land was.

Vroeger zei men ooit ook 'de Libanon', toen het nog een deel van een groter geheel was, en in Nederland hebben mensen het nog wel eens over 'de Oost' als ze over IndonesiŰ praten toen het geen eigen land was.
Slaat "de Libanon" niet op de berg waar het land tegenaan ligt en werd daarom wel gebruikt om het land aan te duiden? En is "de Oost" niet een soort algemenere term die toevallig vaak voor een land gebruikt werd, zoals "Afrika" als land in oud spraakgebruikt verwijst naar "Zuid Afrika"? Omdat men toch wel wist dat als je naar die streek ging je waarschijnlijk specifiek naar dat land ging omdat de meeste mensen er verder niets te zoeken hadden?

[Reactie gewijzigd door mae-t.net op 26 januari 2018 03:54]

We zeggen in deze context niet het Nederland. De Nederland is geen relevant voorbeeld want dat kunnen we nooit en te nimmer zeggen. ;)
Is vrij normaal dat bedrijven niet helemaal up to date zijn.
Er draait vaak oudere software en op maat gemaakte programma's.
Het is voor hun gewoon een te groot risico dat dingen niet goed werken als ze elke dag de upgrades zouden draaien.

Daarnaast is Maersk niet de schuldige.
I can confirm this. Loop zelf momenteel stage op de IT afdeling van een gemeentehuis, en ook hier gebruiken ze schrikbarend oude software. Er wordt zelfs gebruik gemaakt van een bepaald pakket wat ouder is dan ikzelf! Een softwarepakket uit 1997.
Ik kan je garanderen dat ze al een bak met geld uitgegeven hebben aan nieuwe software maar dat het gewoon niet werkt.

heb zelf al vaker bij instanties gewerkt waar ze programma's van 20+ jaar oud hadden.
Probleem was dat het perfect werkte, en telkens als ze veel geld pompten in een nieuw programma deze geeneens in de buurt kwam qua gebruiksgemak, snelheid etc.
Probleem was dat het perfect werkte, en telkens als ze veel geld pompten in een nieuw programma deze geeneens in de buurt kwam qua gebruiksgemak, snelheid etc.
Ja, dat argument heb ik vaker gehoord. Perfect werken betekent in de praktijk doorgaans dat men geleerd heeft om alle tekortkomingen van het oude systeem te negeren of er omheen te werken. Gebruiksgemak betekent doorgaans vooral routine met het oude systeem. Situaties meegemaakt waarin de gebruiker twaalf keer op enter moest drukken om een formulier in te sturen en er over klaagde dat er in het nieuwe systeem op een knop moest worden geklikt. Qua snelheid is men doorgaans vergeten dat het oude systeem in eerste instantie ook niet vooruit te branden was en pas in de loop van de jaren een acceptabele snelheid heeft gekregen. Resultaat is dat de gebruikers het nieuwe systeem geen kans willen geven en de upgrade inderdaad mislukt.
Je hebt duidelijk weinig ervaring in een productie-omgeving (als in robots/industrie).

Ik heb bij een bedrijf gezeten dat anno 2017 nog met DOS 6.2 werkte, omdat de robots die de fabriek aanstuurden nog een RS-232 poort nodig hadden.

Downtime van de robots liep in de 100k / minuut. Dan is ff downtime regelen voor een update zo ontzettend duur , dat doe je niet, je werkt door met het systeem wat perfect werkt.

Ikzelf heb daarin gekeken of we niet "inderdaad" een moderne linux konden neergooien met daarop DOSBOX en zo.... alles ging ergens stuk en de robot kon er niet mee overweg. Soms omdat de nieuwe computer "te snel" was, soms omdat de RS-232 emulatie niet goed ging, en vele andere reden. Uiteindelijk: Update gefaald, we draaien door met wat we hebben.

Deze productie-maatschappij had overigens geld als water, dus dat was echt het probleem niet.
Er werd ook daadwerkelijk aan R&D gedaan omdat ze ook wisten dat DOS 6.2 eruit moet. Maar het lukte gewoon niet, wat we ook probeerden.

Nog een probleem: Als de robots meer dan 2 uur down waren viel een hele fabriek stil omdat het magazijn vol was en er geen pallets meer bij konden. Dan had je het over miljoenen schade!
Je hebt duidelijk weinig ervaring in een productie-omgeving (als in robots/industrie).
Een jaar of 15 ervaring in de industrie, en zeer veel met RS232 gedaan onder DOS, Unix en diverse Windows versies. Het kan voorkomen dat je een verouderd OS aan moet houden, maar dat is dan doorgaans voor enkele machines die je kan isoleren en die ook niet snel het doelwit van een aanval zullen zijn gezien hun incourante OS.
Exact. Dat is ook het algemene motto van ITers. "If it ain't broke, don't fix it". Oftewel, als het werkt, niet updaten.
Maar dus wel vast zitten aan besturingssystemen met bekende bugs.
De software die gebruikt wordt is het probleem niet, het OS dat de boel draaiende houdt.

Zou het niet veiliger zijn om op een volledig gepatcht systeem dergelijke software te virtualiseren?
Het lijkt mij dat zulke systemen of ze nou fysiek of virtueel zijn, op een gescheiden netwerksegment gehouden moeten worden en alleen die porten open gesteld die absoluut noodzakelijk zijn.

Als werkplekken direct toegang tot internet hebben moet je daarvoor ook de benodigde maatregelen treffen. Ik hoor bij ons ook wel eens van een enkele ransomware en dat betekend dan het isoleren van die werkplek en vervolgens de data op netwerkshares restoren. Hoe dan ook heb je data verloren.
Worden ook vreemde dingen gedaan met herbouw en nieuwe software.

Meegemaakt dat een nieuw gebouwd rapportagesysteem gevoed werd met het oude rapportagesysteem (wat dus in de lucht moest blijven, terwijl de rekenregels gewoon beschikbaar waren).

En er gebeuren rare dingen vanuit gekochte software. Excel bestand wat een platte file maakt om in te lezen, maar met een nieuwe Excelversie een niet bruikbaar bestand opleverde (aan 't bestand zelf was niets te zien).
Daarnaast is Maersk niet de schuldige.
Hoezo niet?
Het op orde hebben van beveiliging is niet vrijblijvend. Als het nu niet fout gaat, dan gaat het een volgend jaar wel fout.
Omdat wanneer iemand inbreekt in jou huis, ben je ook niet schuldig, zelfs al heb je vergeten dat ene "raam" dicht te doen.

inbreken is inbreken, wet is er heel duidelijk in.
Omdat wanneer iemand inbreekt in jou huis, ben je ook niet schuldig, zelfs al heb je vergeten dat ene "raam" dicht te doen.
Mag ik je er dan even aan herinneren dat je als beursgenoteerd bedrijf (en dat is Maersk) ook een verplichting tegenover je aandeelhouders en klanten hebt om de organisatie op een verantwoorde manier te besturen, en dat je als er sprake is van grove nalatigheid (en daar is in dit geval sprake van) verantwoordelijk gehouden kan worden voor de schade die daardoor ontstaat. Dit is wel even iets anders als je TV die uit de woonkamer gepikt wordt omdat je vergeten bent de voordeur op slot te doen.
Heeft bijvoorbeeld een rechter al beoordeeld is dat het echt grove nalatigheid is?
Voordat een rechter daar over oordeelt zal het tot ernstige schade moeten komen. De situatie die je dan krijgt is dat de organisatie in kwestie aan zal moeten tonen dat ze alles gedaan hebben wat redelijkerwijs van ze verwacht kon worden. De aanbevelingen van leveranciers opgevolgd hebben, gangbare best practices op gebied van IT beheer uitgevoerd hebben en advies ingewonnen hebben bij gespecialiseerde bedrijven op dit gebied. Als ze dat echt gedaan hadden had het nooit zo ver kunnen komen.

Ik ben zelf afgelopen jaren bij verschillende organisaties van dergelijke omvang werkzaam geweest en hoewel die ook met malware infecties te maken hebben gekregen hadden die door het nemen van de juiste maatregelen nooit dergelijke vergaande gevolgen. Hoewel je nooit exact kan zeggen wat een rechter zal oordelen is hier volgens mij dus geen sprake van overmacht maar nalatigheid.
Maar toch redeneer je dat ze schuldig zijn aan nalatigheid wanneer er geen enkele rechtspraak over geweest is, nu is dit nog steeds dan een mening, en ik denk dat dat precies is wat mensen bedoelen.
Ik heb nergens gezegd dat er geen uitspraak over is gedaan door de rechter. Zie hier bijvoorbeeld de uitspraak tegen de voormalige eigenaren van DigiNotar. Daarnaast kan je ook een boete opgelegd krijgen als er sprake is van een datalek en kunnen er ook flinke boeteclausules in contracten met leveranciers voorkomen. Dat zal zelden in het nieuws komen, maar is wel een reŰel risico voor een bedrijf.
ik denk niet dat je echt gelezen had wat ik als reactie neergezet had, ik bedoelde dus, dat je ze "schuldig" bevindt, ik wist niet dat je ook rechter van beroep was.

dit is niet het geval, en daarom of ze schuldig zijn of niet is exclusief een mening, tot er enig rechter over beoordeeld heeft of het nalatigheid was of niet of enig schuld, we kunnen nu wel doorgaan over voorgaande gevallen van andere bedrijven maar dat verandert niks aan dit feit.

[Reactie gewijzigd door Dennisjehz op 26 januari 2018 00:04]

Aan vage vergelijkingen hebben we niks...
Maar waaraan zijn ze dan schuldig, en ten opzichte van wie of wat is het op orde hebben van beveiliging niet vrijblijvend?

Ik zeg trouwens niet dat het niet dom was van Maersk, maar als je in zware termen van schuld en vrijblijvend gaat praten ben je verplicht (voordat je het vraagt: aan de lezer) om door te denken en nauwkeurig te formuleren.
Aan klanten, investeerders, werknemers, overheid. Je hoeft het natuurlijk niet op orde te hebben maar dan krijg je dit soort dingen..
Dus als je je fiets met twee hangsloten op slot zet en de fiets wordt gejat, dan ben jij de schuldige omdat je ook een kettingslot van Ą 250,- had kunnen gebruiken...? 8)7

Edit: typo

[Reactie gewijzigd door Rabelais op 25 januari 2018 20:05]

Dus als je je fiets met twee hangsloten op slot zet en de fiets wordt gejat, dan ben jij de schuldige omdat je ook een kettingslot van Ą 250,- had kunnen gebruiken...? 8)7
Als we het dan toch over niet geheel correcte vergelijkingen hebben: Ik zie dit meer als een gevalletje van iemand die zijn dure fiets zonder slot op centraal station zet en zich vervolgens op zijn borst klopt omdat hij slechts twee uur te laat op zijn werk is nadat het ding is gejat. Hoe zou jij als werkgever oordelen in een dergelijk geval?

[Reactie gewijzigd door Tribits op 25 januari 2018 21:25]

Die fiets stond alleen niet op slot.
Je bent minimaal verwijtbaar.

Verzekering keert trouwens niet uit hoor als jij je fiets met een stuiterslot had beveiligd, die hebben ook gewoon minimale eisen.

[Reactie gewijzigd door Sinned123 op 25 januari 2018 20:22]

Die fiets stond alleen niet op slot.
Dus... Maersk had geen enkele vorm van beveiliging?
Wow... dat is nieuw voor me. Dan vind ik het extra knap dat ze zonder beveiliging of met zeer minimale beveiliging de boel weer up-and-running hebben gekregen in 10 dagen tijd. Bijna miraculeus zelfs.
Jij komt met een anologie van een fiets aanzetten.
En in die anologie is het een stuiterslot op een fiets, wat bijna hetzelfde is als geen slot.
Is het nog steeds diestal? Ja natuurlijk zonder twijfel.
En toch krijg je de middelste vinger van de verzekering.

Dat bedoel ik met verwijtbaar zijn.

Wat betreft die 10dagen, denk je werkelijk dat ze dat zelf allemaal gedaan hebben?
Bij dit soort grote calamiteiten bel je gewoon Microsoft, die kunnen het hele proces van begin tot eind begeleiden.

[Reactie gewijzigd door Sinned123 op 25 januari 2018 21:09]

De vraag is dus: was de beveiliging van Maersk volslagen hopeloos gedateerd? (dus niet een paar updates gemist). Momenteel heb ik geen enkele indicatie dat dit aan de orde was.
Tja wat is hopeloos.
Patch is naar mijn weten maart 2017 uitgebracht, Maersk is eind juni getroffen.
Dat is 3maanden.
Maar geen idee of die systemen nog langer ongepatch waren.

SMB v1, word al veel langer als onveilig beschouwd.

[Reactie gewijzigd door Sinned123 op 25 januari 2018 21:20]

Wat is er vaag aan deze vergelijking? Ik vond 'm vrij concreet, al zeg ik het zelf.

En ja, in dit geval is er ÚÚn schuldige aan te wijzen: de verspreiders van de ransomware.
Fietsen en miljardenbedrijven zijn niet bepaald equivalent..
Wil je de twee toch vergelijken, onderbouw die equivalentie dan eerst eens.
Laat ik dan een vergelijking maken die voor jou wÚl te begrijpen is...

Een miljardenbedrijf (X) gaat in zee met een gerenommeerd beveiligingsbedrijf (Y) voor, zeg, 10 miljoen euro.
X wist dat er ook een beveiligingsbedrijf is dat nˇg beter is en drie miljoen euro meer vraagt dan Y, maar heeft niettemin besloten dat het met Y in zee gaat.
Y installeert camera's, bewegingsmelders, extra veilige sloten, et cetera.

Volgens jou is X dus in dit geval (mede) schuldig als er een inbraak plaatsheeft? :?
Ja, X blijft gewoon eindverantwoordelijk voor zijn eigen veiligheid / beveiliging.
De vraag is ook niet echt wie er schuldig is, maar hoe dit voorkomen had kunnen en moeten worden.

Uiteindelijk is dit gewoon een schadepost van Z miljoen, waarschijnlijk is het ook goedkoper om de beveiliging beter op orde te hebben.

Is trouwens niet alleen Maersk aan te rekenen, is gewoon een wereldwijd probleem dat overal speelt.

Wij kunnen wel interessant gaan doen over wie er nou schuldig is, maar wat lossen we daarmee op?
Maar je weet ook dat het ALTIJD beter kan, en er zal ALTIJD een bedrijf zien die voor nog 3 miljoen extra, en nog 3 miljoen extra etc. nˇg meer wil.doen voor je. Op den duur maak je elk jaar verlies omdat je al je geld in extra beveiliging mag pompen.

Er is gewoon een moment waarop je besluit dat het nu afdoende is. Voor mijn part in overleg met een verzekering wat redelijk is oid. 100% zekerheid krijg je nergens. Nooit.
Ik snap nooit waarom je zulke oude programma's niet in een virtuele omgeving zou draaien, mocht het crashen, start je "zo" weer een nieuwe op. Maar misschien zit ik ernaast.

[Reactie gewijzigd door Sankel op 25 januari 2018 19:48]

Vaakt slikt de even oude hardware die er aan hangt dat niet.
Als t niet op t net gezet was en gemaakt, dan had Maersk gewoon geen probleem ;) Het zijn diegene die de mazen zoeken om aan geld te komen, dus maakt verder niks uit of je up te date ben, men is gewoon fout door die ransomware al te maken
Dat is geen argument tegen gewoon security patches tijdig installeren... Dat niet doen is gewoon doelbewust een groot risico nemen.
Dus als me achterdeur openstaat, komen alle inbrekers er gelijk aan en "breken" bij me in?
Omgekeerde wereld.
Dat Maersk ind zijn software op orde heeft te hebben, ben ik met jullie eens, maar waarom is er ransomware? Omdat men t kan en er bedrijven instinken in al dit gedoe, gelijk een wijze les voor ze, up te date houden.
Want als je gaat kijken naar percentage hoeveel er up te date is in de bedrijvenwereld, is t soms om te huilen (zelfs XP nog werkend)
Nee, ik zeg enkel dat je dan meer risico loopt dan wanneer je de deur afsluit en nog minder als je ook een alarmsysteem ophangt. :P

Dat je de deur openzet wil niet zeggen dat ze (meteen) binnenkomen, maar de kans is veel groter. Zeker als je huis vol staat met dure spullen, of als je dus een groot bedrijf bent waar veel te halen valt. ;)
Doelbewust risico nemen moet soms. Een bedrijf kritische applicatie welke niet meer werkt na een beveiligingsupdate dan is de keuze al snel gemaakt. De verantwoordelijke manager zal voor dat risico moeten instaan en de software leverancier zal spoedig met een oplossing moeten komen.
Zo kun je ook argumenteren dat vrouwen die zich gewaagd kleden erom vragen om verkracht te worden... :/
Appels en peren, security patches installeren belemmert je persoonlijke vrijheid en lichamelijke integriteit niet... Maar als jij in een streng islamtisch land als jonge vrouw in een bikini rond gaat lopen dan ben ik inderdaad bang dat je een flink risico loopt op verkrachting en daarna nog geexecuteerd wordt ook omdat je “je als een hoer hebt gekleed”.
Of als je in Detroit ‘s avonds over straat loopt en “Yo, you blackies should be working on the plantation!” roept naar een straatbende dan moet je ook niet raar opkijken dat je een kogel door je borstkas krijgt of een mes tussen je ribben, freedom of speech of niet...

Is het dan maar goed dat het gebeurt? Nee absoluut niet natuurlijk! En we moeten dat ook zwaar afstraffen en zoveel mogelijk proberen te voorkomen.

Maar het is helaas de realiteit waarin we leven. Er zijn nu eenmaal cybercriminelen die grote bedrijven aanvallen, als je dan je security patches niet installeert loop je risico. In een ideale wereld zou dat niets uitmaken, maar de wereld is nu eenmaal niet ideaal dus moet je niet raar opkijken als je gehackt wordt als je je beveiliging niet up to date houdt... Idealistisch denken is fijn enzo, maar je moet ook realistisch blijven.

Het geeft niemand het recht jou te hacken, maar ze doen het wel. En dat kan je miljoenen kosten en flinke reputatieschade opleveren.

[Reactie gewijzigd door WhatsappHack op 25 januari 2018 20:05]

Of het houden van vuurwapens goed praten...
Niks mis mee als je deftig opgeleid bent in het gebruik ervan (cfr Zwitserland).
Zeker niet, maar ze nodigen wel uit dat mensen even goed en aandachtig van het uitzicht genieten. Hoe dan ook, je stelt jezelf bloot aan onnodige aandacht.
Klopt helemaal, maar als jij je fiets niet op slot zet neemt iemand m waarschijnlijk ook mee.
Naar mijn idee zelfde verhaal met update's, die zijn er niet voor niks!
Een eerlijkere vergelijking zou zijn: je fiets wel op slot zetten, maar niet met het beste slot dat op dat moment voorhanden is.
Dan zit je als fietser dus alsnog fout wanneer de fiets gejat wordt, volgens jou?
Fout niet, maar wel op de blaren. Als je je fiets bij het station zet met zo'n blikken slotje met een plat sleuteltje, weet je inderdaad vantevoren dat jouw fiets de tweede is die gejat wordt (van de eerste had de eigenaar het sleuteltje erin laten zitten).
Maar toch was je niet fout, de dief wel.
Beide zijn net zo goed schuldig, het ene is alleen illegaal en het andere niet :)
Als ze alles gepatched hadden, dan waren ze niet vatbaar geweest - zo schijnt het.
Voor een kantooromgeving moet dat ook zeker opgaan. Voor de interfaces richting de machines en procesbewaking is het iets meer dan alleen patchen, schat ik in, de boel moet niet alleen veilig, maar ook functioneel zijn. Ga er maar vanuit dat er behoorlijk wat aan elkaar is geklust in het verleden, wat ook allemaal getest moet worden. Daarnaast was de non-Petya ook redelijk geavanceerd. Eternal Blue en Eternal Romance van de NSA via shadowbrokers als ik me niet vergis.
Niet dat ze dat vrijpleit, maar de geleverde inspanning om het nu achteraf (met een bult aan extra kosten waarschijnlijk) te leveren, was vooraf niet zomaar te justificeren. Achteraf gezien dan weer wel.
Uit het Q3 kwartaalrapport:
The effect on profitability from the June cyber-attack was USD 250-300m, with the vast majority of the impact related to Maersk Line in Q3. No further impact is expected in Q4.
Er waren meerdere opties voor notpetya om zich in een netwerk te verspreiden, zelfs compleet gepatchte systemen waren snel vatbaar.
zoals als dames die verkracht zijn, hadden ze maar geen strakke spijkerbroek moeten dragen. zoiets ?
een slachtoffer ook maar iets verwijten qua schuld laat bij mij een nare smaak achter, of het nu de dame uit mijn voorbeeld is of een bedrijf als Maersk.

tijdens mijn opvoeding leerde ik dat je gewoon met je handen van andermans spullen moet afblijven en dat als je zonder toestemming wel aan iemands spullen zit dit strafbaar is.
Nou hadden de betreffende criminelen ook niet de bedoeling om aan deze specifieke andermans spullen te zitten. Dat is opzich alleen een theoretisch argument omdat ze wel andere andermans spullen op het oog hadden, maar toch. Als Maersk ook maar net iets beter dichtgetimmerd was geweest, hadden ze geen collateral damage opgelopen.
ik volg je argument half. het schrijven van, geef het een naam, of acties die het doel hebben om in of aan andermans systemen te komen valt onder mijn argument dat je gewoon met je tengels van andermans eigendommen moet afblijven. ook als je de schutting van de buren sloopt om bij je daadwerkelijke inbraak te komen valt dit wel onder mijn argument. dat je mag verwachten dat elk zelf respecterende organisatie zijn beveiliging op orde moet hebben spreekt voor zich. wat me wel in het oog springt is het zelf op de borstkloppen van de bestuurder hoe snel hij zijn rommel weer op orde had. 4500 systemen x y euro = kosten die niet nodig hadden hoeven zijn. 20% omzet daling, hoeveel kost dat ?
Hoewel ik je beredenering begrijp, is het natuurlijk niet helemaal fair. Ik lees dat het om een paar duizend systemen gaat en het is niet eenvoudig om duizenden apparaten te voorzien van de nieuwste updates en dan ook nog eens compatible te blijven met bestaande software/integraties etc.

Voorkomen is uiteraard beter dan genezen, maar nu komt het er op neer dat het bedrijf de boef is en niet andersom en dat is natuurlijk de omgekeerde wereld. Dat is een beetje hetzelfde als dat je op je voordeur maar 1 slot hebt, maar ze de deur toch openbreken en dat er dan achteraf gezegd wordt: tjah, dan had je maar een extra slot moeten hebben. Oftewel in dit geval worden de boeven goed gepraat en het slachtoffer verteld dat het hun eigen schuld is. Terwijl de boeven eigenlijk gewoon met hun tengels van andermans spullen af moeten blijven.

Maar ik snap je punt uiteraard, maar ik denk dat er veel meer werk in updaten van apparatuur zit dan de meesten hier denken en inderdaad voor een klein netwerkje met 25 computers is dit relatief eenvoudig, maar duizenden computers? En dan hopen dat alles in 1x goed gaat? Tjah ik heb er zo mijn bedenkingen bij, meer omdat ik weet dat als ik het netwerk bij mij thuis die maar 8 computers in het domein heeft staan dat het zelfs daar niet altijd direct goed gaat zoals ik wil.
Maersk had dit deels aan zichzelf te danken door niet up-to-date te zijn met software.
Deze software verspreidde zich niet via een beveiligingsfout, het gebeurde via boekhoudsoftware. Ze gebruiken in dit artikel ook Notpetya. Het "niet gepatcht" was een andere!
En wat denk je daarmee te bereiken? Uit zo iemand krijg je toch niks zinvols. Ik bedoel, van een gevangenis koop je niks en al helemaal niet iets dat in de buurt komt van 20% van de capaciteit van Maersk. Het enige dat je bereikt is dat de volgende gewoon net iets meer doet aan z'n opsec.
Kan het niet anders verwoorden dan "WTF" :/ Denken aan "normale werktijden" a 8 uur per dag (wat het totaal niet geweest zal zijn) start je elke seconde 10,2 machines per seconde. Vraag mij af wat voor superb infra je moet hebben liggen wil je dat kunnen regelen, zowel qua load van de servers als infra.

Petje af!
multicasting van nieuwe images. bestaat al jaren. kan je in 1 klap duizenden systemen gelijktijdig opnieuw inspoelen. denk maar netfix streamen maar dan met een verse OS installatie ipv een game of thrones aflevering.
Moet je dat wel ge´mplementeerd hebben. In de praktijk heb ik nog nooit een image gezien die je letterlijk niet hoeft aan te raken nadat die op een PC is gesmeerd en aangezien dit bij veel bedrijven geen structurele aangelegenheid is is het vaak een kwestie van gewoon clonezilla en een usb stick met een image NAS ergens.

[Reactie gewijzigd door Koffiebarbaar op 25 januari 2018 19:43]

Bij ons gaat het echt helemaal automatisch: Alleen de stick erin doen, F12 ( Dell ) en dan gaat het helemaal van zelf. Inclusief partitioneren etc.
Na 1 uur zie je een inlog scherm en kan de gebruiker weer aan de slag.
Je moet dus wel naar de pc.
Domeinaanmeldingen? Werkplek gerelateerde instellingen? Werkplekspecifieke software? Geen van dat alles? Zijn dit gesysprepde images? Gebruiken jullie daar betaalbare software voor? (oprechte interesse)

Uur is trouwens nog best lang, de imaging actie op-zich kost mij hier maar 10 minuten maar daarna nog wel 10/15 minuten handwerk nadien omdat ikzelf werk met een gegeneraliseerde image die ik over elke pc kan smeren ongeacht hardware. (standariseren lukt niet altijd)

[Reactie gewijzigd door Koffiebarbaar op 25 januari 2018 19:40]

Met machines op het werk bij mij (HP) duurt het installeren (partitioneren, installeren van OS, installeren van laatste updates en het toevoegen in het domein) 20 minuten. De enige handmatige actie is het instellen van booten van netwerk, maar dat is niet lastig bij het plaatsen van het workstation.

We gebruiken CentOS 7 met een remote anaconda config welke door de image van de server word gepulkt, met een redelijk uitgebreide %POST sectie.

Servers gaan op een vergelijkbare manier, beheer via Ansible o.a.
Ik zou graag meer willen weten of de configuratie en de setup waarmee jullie systemeb imagen.

Ik gebruik zelf Windows Server 2012 R2 of 2016 met Microsoft Deployment Tool kit.
Ik stuur je wel even een PB
Ja, dat klopt. Ik moest wel naar de PC toe inderdaad. Verder gaat alles wat jij opnoemt helemaal automatisch. De image bestaat uit een Windows 10 build + Symantec Endpoint Protection + Adobe PDF + Office 2016 + Nog wat werkgerelateerde dingen zoals bijvoorbeeld een Oracle shortcut om je uren in te vullen die gewoon iedereen nodig heeft.

Dan heb ik het wel over een dynamische image, waarin alleen de Windows 10 versie niet dynamisch is. Dus bij elke Windows 10 release kregen we een nieuwe image. Maar een nieuwe build van bijvoorbeeld Office wordt elke keer weer opgehaald van het interne netwerk. Zodra er dan een nieuwe is, hoef je die achteraf niet weer te gaan zitten updaten. :)

Dan kan de gebruiker gaan inloggen, krijgt direct Software Center te zien met zijn / haar specifieke software en kan kiezen om nu bijvoorbeeld snel alleen Autocad te installeren ( snel is relatief met Autocad ;) ) of gewoon alle specifieke software in een keer willen installeren. En ook dat gaat weer vol automatisch. Dan gaat ondertussen Outlook met single sign-on van de login opstarten en daarna ook OneDrive en dan kan de gebruiker aan de slag.

Dus alleen de USB, F12 en user login zijn de interacties.
Clonezilla? Ben je gek. Er bestaan een hele hoop imaging tools die het mogelijk maken om alles automatisch te laten uitrollen. Het enige wat je bij onze builds moet doen is de build handmatig starten (en zelfs dat zou je kunnen automatiseren in geval van nood). Laat die PC een uurtje of twee draaien en je kan je aanmelden met je AD account en beginnen werken. Alle standaard software staat er op. Heb je iets extra nodig had je dit aan het begin van het build process reeds kunnen selecteren of kan je het achteraf uit software center halen.

Bij een kleine onderneming zal het inderdaad minder gestructureerd gaan, maar van zodra je in een onderneming zit met duizenden machines waarin er dagelijks opnieuw ge´nstalleerd worden dan wil je gewoon een gestroomlijnd proces.
Ja, zo is 't dus niet gegaan. Dit is allemaal per USB gebeurd, laptop voor laptop. Vrijwel iedereen in IT heeft achterlijk veel overuren gedraaid in de weken navolgend op de aanval.
Daar kan ik inderdaad een confimerend antwoord op geven, ik voel het nog :) Ondanks die donkere wolk van het verleden, kijk ik er toch nog positief op terug, want de samenwerking die toendertijd is ontstaan was ongekend en gaf een bijzonder voldoenend gevoel.
eh, hoe heb je dat berekend?
49000 computers in 10*8 uur is 49000/80=612,5 computers per uur. Dat is bijna 6 seconde tijd per computer of 0,17 computer per seconde. Nog steeds bizar en ik twijfel dan ook aan zijn statement, maar dat is dus geen 10,2 computers per seconde.
Je vergeet het aantal it werknemers en dat zulke gevallen vaak vereisen dat je langer dan 8u aanwezig bent. Het zou dan dus zijn, bij een werkdag van 8u, 6 seconden per computer per werknemer. Als je 100 werknemers hebt doe je er dus 100 tegelijkertijd en heb je ineens een uurtje per pc. Als je dan ook nog werkdagen van 12u maakt wordt het nog minder spannend. Enige dat een probleem vormt qua tijd is de voorbereiding. Welke hostnamen, backups beschikbaar, welke software op welke machine, kunnen we gelijk verbeteringen doorvoeren, etc. Waarschijnlijk hebben ze goede documentatie gehad en konden ze zo aan de slag.
Jij bent ook al zo'n rekenwonder als Slavy.. ;)
100*6 sec = 600 seconden = 10 minuten. Niet een uur.
Een uur is 3600 seconden.

Maar ik begrijp je punt, ben het met je eens.
Pff ik zie het 8)7 ... ik gooi het erop dat ik een lange dag achter de rug had ;)

[Reactie gewijzigd door mrdemc op 26 januari 2018 17:21]

Gewoon al je personeel zijn eigen pc laten inspoelen en done.
Dat wil ik de receptioniste wel eens zien doen. Sommige technische mensen zullen dat inderdaad kunnen, maar wees maar zeker dat het merendeel door de lokale ITers is gedaan of door mensen die de nodige kennis hebben om te kunnen helpen.
Op mijn werk moest de persoon van de servicedesk gewoon even komen om booten vanaf netwerk in gang te zetten maar daarna ging alles vanzelf :)


Dus ikdenk dat je dat proces wel kan automatiseren ;)
Ik werk niet in de IT sector.
Wij hebben een interne servicedesk ;)

[Reactie gewijzigd door boonpwnz op 25 januari 2018 21:49]

Je kunt niet rekenen. Een normale werkdag heeft 8 x 3600 = 29800 seconden. 10 werkdagen hebben dus 298000 seconden. Voor 45000 werkstations en 4000 servers kom je dan uit op ongeveer 1 pc per 6 seconden. HÚ, daar zit een factor 60 in _/-\o_
Behalve dat je er voor 100% van uit mag gaan dat er 24/7 werk is verricht in dit geval om alles met spoed op de rails te krijgen
Dit is wereldwijd dus dan valt het eigenlijk nog mee kwa tijden.
Het is een knap kunstje, dat zeker.
Maar het was wereldwijd, 4000 servers, 45000 pc’s en dan werken de mensen dag en nacht door in zo’n geval. dus de load per server valt dan wel mee.

[Reactie gewijzigd door gjmi op 25 januari 2018 19:02]

Zeker.
Ik heb een keer bij mijn werkgever hele werkvloeren opnieuw moeten opbouwen na een diefstal/inbraak, dat was met een so-so image die ik opnieuw besloot maken en kostte me voor 70 seats ruwweg 30 uur die ik achter elkaar heb gedraaid. (nieuwe pc's neerzetten, telefoons werkend maken, pc's imagen en afconfigureren)
Destijds vond ik dat iets wat ik gewoon deed want het was crisis maar had daar wel goed een week last van nadat dat het allemaal weer gezegd en gedaan was.

Heb een redelijk goed gevoel bij de benodigde effort voor dit soort kutgeintjes, hier hebben heel wat mensen heel wat effort in gestoken. Petje af.

[Reactie gewijzigd door Koffiebarbaar op 25 januari 2018 19:13]

10,2 machines per seconde-kwadraat is wel knap :P

Maar reken dat er in ploegendienst gedraaid is dus eerder 24 uur per dag en dat er machines tegelijk van images zijn voorzien, dan gebeurden er een heleboel seconden niks, en dan opeens honderden machines in dezelfde seconde.

Hoe dan ook een knappe prestatie.
Dit is een 24/7/365 bedrijf met ploegendiensten. Alleen de kantoorpikkies werken op zulke bedrijven van 9 tot 5. Alle containers blijven gewoon verplaatst worden, alleen het hele administratieve verhaal moet met pen, papier en telefoon/portofoon. Dat vertraagt de werkelijke verplaatsing dus in dit geval met 20%. Dit terwijl de IT kant zich een bult werkt om alles op de rails te krijgen. Knap dat dit in 10 dagen lukt.
Met 6 seconden per pc lukt het niet eens om er langs te lopen, aan te zetten en op F12 te drukken. Zonder wake on lan geimplementeerd lukt het nooit.

Maar om het te laten werken, moesten ze:
- deployment/images klaar hebben staan
- een zodanige server infrastructuur hebben dat de load van zoveel deployments ook aankan.

Wie wel eens meer dan een paar honderd pc's tegelijk gedeployd heeft weet waar de problemen zitten.
En dan alle pc's waar in paniek mensen stekkers uit hebben getrokken omdat ze bang waren dat hun pc besmet zou worden. En dus niet meegingen in de deployment. Ik neem toch aan dat ze nog maanden met de laaste probleempjes bezig zijn geweest.
Je kunt altijd nog van te voren 1 image maken en dan overstappen op de Chinese methode: https://nos.nl/artikel/22...et-1500-man-tegelijk.html

Als je 1 it'er verantwoordelijk maakt voor het checken van 50 PC's per dag dan heb je er 500 in 10 dagen en dus 90 IT'ers nodig die zelfstandig en parallel werken.
Een internationaal bedrijf als Maersk zal zeker een infrastructuur hebben die een dergelijke load aan kan.
Verder wordt er nergens vermeld dat al deze PC's in Nederland of op ÚÚn locatie stonden.

Als men op 5 verschillende locaties/landen tegelijkertijd bezig is met het imagen van de machines, klopt je berekening van 6 seconden per machine dus niet.
Voordeel is natuurlijk wel, dat die 45.000 PC's niet op een plek stonden, maar verspreid staan over de gehele wereld. Dan heb je logischerwijs ook je datacenters verspreid staan (o.a. om snelheid te kunnen garanderen, niemand houdt van een traag netwerk) en verdeel je dus ook de belasting voor de infrastructuur. Anders hadden veel PC's nooit binnen die 10 dagen opnieuw ge´nstalleerd kunnen zijn. ;)
Dat is best wel een prestatie, ook dat de normale werkzaamheden er "maar" 20% onder geleden hebben. _/-\o_
Dat kun je natuurlijk ook omdraaien: 4000 nieuwe servers & 45.000 nieuwe pc's leveren maar 25% winst in afgehandelde containers op. Ik zie mogelijkheden tot besparing ;)
Wat er met de hand word afgehandeld moet achteraf nog in het systeem gezet worden en daarna gaat t geld verhaal weer rollen met de klanten. Dit was gewoon 10 dagen aanpoten voor iedereen en dweilen met de kraan open om alle containers maar verplaatst te krijgen. In 24/7 bedrijven zoals Maersk en mijn eigen werk, is het uitvallen van een computer systeem echt een drama. Er kan idd op de klassieke manier verder gewerkt worden maar dit werkt erg traag en zal andere systemen zoals t telefoon of portofoon netwerk zwaar belasten

[Reactie gewijzigd door chimnino op 25 januari 2018 19:12]

Ik denk dat die 25% winst makkelijk voor dat server en computerpark betaald, en dat iedereen ook wel wat tandjes harder hebben gelopen.
De belasting op het personeel is hoger, je productie is lager, en de houdbaarheid van die situatie op de langer termijn is zeer discutabel.
Iedereen in elke functie in elk bedrijf kan absoluut harder lopen, dat is gewoon een waarheid als een koe, of ze dat zouden moeten is een tweede. Het is werk, geen endurance sport. Werk hoort je niet dermate af te tuigen dat je thuis direct het bed in duikt.

Maar je maakt allicht een grap. :)

[Reactie gewijzigd door Koffiebarbaar op 25 januari 2018 19:25]

Die 20% is verreweg meer waard dan die systemen.
Dat is toch nog $5000 per PC. Goede ROI als je het mij vraagt, met een terugverdientijd in de order van een maand. Die overige 330 dagen van het jaar maar je dan 8G$ aan winst. Misschien niet helemaal een goed te lineariseren probleem op basis van het aantal PC's, maar nou niet direct de business case om minder aan IT te doen. :+
Precies wat ik dacht.
Waarom niet server based computing met 45000 pcs. Zet op elke locatie een aantal rds servers met de nodige applicaties per locatie. Centraal te managen en server side security
10 dagen is wel vrij rap. Alleen lijkt mij 6 maanden ook wel weer een beetje overdreven, tenzij je het op de traditionele manier doet met 1 dvd tje en een bakje koffie.
Met multicast middelen zoals WDS en ghost enz moet dat toch veel sneller kunnen dan 6 maanden?

Desondanks voor die 10 dagen petje af. Zie je maar weer wat er mogelijk is als er nood aan de man is!
er is natuurlijk een groot verschil tussen nieuwe bakken en bestaande bakken installeren..
bestaande machines moet je in wds bv niet meer authenticaten... die kunnen dus gewooon starten met F12, keertje op ENTER en je bent vertrokken, enkel nog inloggne op het domein en de installer draait alweer, kwartiertje later is je desktop klaar, twintig minuutjes voor een server.

als alle machines dezelfde image draaien zonder custom profielen met aparte software enzo, is dat best te doen als het full power voorwaarts is met gans het bedrijf....
Met die 6 maanden heb je het wel over een project met minimale impact en downtime voor de eindgebruikers. We hebben bij ons net op 7 maanden tijd zo een 7000 end user systemen geupgrade van Win7 naar Win10 waarbij de gebruikers 's avonds naar huis gingen en een Win7 vergrendelden en in de ochtend konden aanmelden op een Win10.

En natuurlijk zou het veel sneller kunnen, maar je hebt maar beperkte mankracht om het mee te doen.
Ik denk dat er niet veel geslapen is in die tien dagen. De besmetting was zonder meer een falen van het IT veiligheidsbeleid maar dit is bijzonder indrukwekkend. Blijkbaar was het bedrijf goed uitgerust om iets dergelijks te doen en dat is apart. Er is duidelijk gepland op een totale uitval.

Zal het uitprinten en bij mijn IT afdeling op deur plakken.
Er is duidelijk gepland op een totale uitval.
Of gewoon adequaat gereageerd door de gehele IT afdeling wereldwijd :P
Ondanks dat het veiligheidsbeleid te wensen over liet, kunnen ze in ieder geval wel met trots terugkijken op deze prestatie. Chapeau!
En misschien vermelding vragen voor Guiness World Records ;P
Ongeveer twee weken terug las ik een nieuwsbericht, dat onomstotelijk was vastgesteld, dat de Russen achter Non-Petaya zaten.
Dit bedoeld als een anto-Oekraine actie. Met inderdaad " collateral damage" ....
onomstotelijk vastgesteld ... door wie? Tenzij iemand met bewijzen komt die kunnen aantonen wie het geschreven heeft en er bovendien nog eens bij kan aantonen dat die persoon dat gedaan heeft in opdracht van de overheid blijft het speculatie.
Dat weet ik.
Ik had de link willen plaatsen, maar kon hem niet terugvinden :(
Zou je dan kunnen zeggen dat de hele IT infrastructuur bij Maersk bestaat om 20% meer containers te verwerken?
Tegen een totaal ander kostenplaatje en werkdruk ;) Plus ze zullen wel flink hebben overgewerkt, dat hou je ook niet lang vol.
Stel ik een rare vraag als ik vraag waarmee ze dit hebben gedaan? Massa's mensen met sneakers aan en bootable USB's ? of iets van WDS ? of met Ghost? Of ?
Zo iets, r3chts heeft ook aangegeven:
"... Dit is allemaal per USB gebeurd, laptop voor laptop. Vrijwel iedereen in IT heeft achterlijk veel overuren gedraaid in de weken navolgend op de aanval."

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True