713 Citrix-servers in Nederland zijn kwetsbaar voor remote code execution

Er zijn in Nederland zeker 713 Citrix-servers actief die last hebben van een bekende kwetsbaarheid. Volgens beveiligingsonderzoekers worden die servers op het moment actief aangevallen. Door de kwetsbaarheid kan code op een server worden uitgevoerd.

Dat blijkt uit honeypot-data van beveiligingsbedrijf Bad Packets. Onderzoekers scanden internet op Citrix Gateway- en Citrix Application Delivery Controller-servers. Daarvan is bekend dat ze een mogelijke kwetsbaarheid bevatten. CVE-2019-19781 is een kwetsbaarheid waarmee een aanvaller een remote code execution kan uitvoeren op een systeem. Die zwakte is sinds 17 december vorig jaar bekend. Er is op dit moment nog geen patch beschikbaar. De eerste daarvan volgt volgens Citrix naar verwachting rond 20 januari, met een uitloop naar 31 januari. Wel is er mitigatie mogelijk, zegt Citrix.

De onderzoekers van Bad Packets scanden in totaal meer dan 60.000 Citrix-servers. Daarvan waren er 25.121 kwetsbaar, met ssl-certicaten van 18.155 unieke domeinnamen. Het gaat om kwetsbare hostmachines in 122 landen. In Amerika staan bijna 10.000 kwetsbare servers. Nederland staat naast de VS, Duitsland, het VK, Zwitserland en Australië op de zesde plaats in de lijst met landen waar de meeste servers stonden. In totaal gaat het hier om 713 stuks. De organisatie zegt dat het een honeypot heeft opgezet waarop het nu voor het eerst activiteit ziet. Aanvallers scanden sinds vorige week zelf internet al voor servers waar het bestand smb.conf op stond, een aanwijzing dat de betreffende server kwetsbaar was. Sinds zondag proberen aanvallers ook daadwerkelijk de systemen te infecteren.

Vorige week riep het Nationaal Cyber Security Centrum bedrijven al op hun systemen te patchen. "Vooralsnog is er geen actieve exploit waargenomen, maar deze worden wel verwacht", schreef het NCSC toen.

Reacties (58)

Tha Render_2 13 januari 2020 12:53

Vorige week riep het Nationaal Cyber Security Centrum bedrijven al op hun systemen te patchen.

Ga je dan op hun website kijken staat er:

Citrix adviseert om direct de update te installeren zodra deze beschikbaar is.

Er valt dus nog niets te patchen.. Ook Citrix:

Customers should then upgrade all of their vulnerable appliances to a fixed version of the appliance firmware when released.

Trouwens voor België zijn er 402 kwetsbare hosts gevonden.

CAPSLOCK2000

Beveiliging en antivirus

@Tha Render_2 • 13 januari 2020 13:05

Er valt dus nog niets te patchen.. Ook Citrix:

Dat heb je soms, dit is een goed moment om nog eens na te denken over de beveiliging van je omgeving. Goede verdediging bestaat uit lagen, zodat een gat in de ene laag wordt opgevangen door de volgende.

Helaas wordt er nogal eens gekozen om alle beveiliging toe te vertrouwen aan één magisch product. Als daar dan iets mis mee gaat dan heb je een groot probleem.

walteij @CAPSLOCK2000 • 13 januari 2020 13:49

Helaas wordt er nogal eens gekozen om alle beveiliging toe te vertrouwen aan één magisch product. Als daar dan iets mis mee gaat dan heb je een groot probleem.

Hoewel je hier absoluut een erg goed punt maakt, zie ik ook het tegenovergestelde gebeuren bij bedrijven.

Dus de beveiliging toevertrouwen aan te veel producten (de Citrix ADC op Hypervisor A, achter een F5 op hypervisor B, die weer achter een Bluecoat hangt en ga zo maar door).
Er bestaat niet zoiets als één magisch product voor je security. Dus alles van 1 product aflaten hangen is dom. Andersom, alle producten wantrouwen en daardoor de zoveel lagen aanbrengen dat het overzicht verloren raakt en het achterhalen van een issue meer tijd en geld kost dan het oplossen van een enkel problem is ook niet goed.

CAPSLOCK2000

Beveiliging en antivirus

@walteij • 13 januari 2020 14:17

Hoewel je hier absoluut een erg goed punt maakt, zie ik ook het tegenovergestelde gebeuren bij bedrijven.

Dus de beveiliging toevertrouwen aan te veel producten (de Citrix ADC op Hypervisor A, achter een F5 op hypervisor B, die weer achter een Bluecoat hangt en ga zo maar door).

Dat is inderdaad ook niet goed. Ik zie dit vooral gebeuren bij gebrek aan goed personeel. Er is nogal eens een neiging om een of andere dure magische doos te kopen in de veronderstelling dat die alle problemen oplost. Ze vergeten dan dat je een expert nodig hebt om gebruik te maken van dat gespecialiseerde gereedschap. Zo'n doos blijft dan in de default configuratie staan, wordt zelden onderhouden en doet eigenlijk niet meer dan droevige waarschuwingsmails versturen. Vroeg of laat zit zo'n doos in de weg en dan gaat er iemand net zo lang op de knopjes drukken tot het probleem verdwijnt. Of er dan nog veiligheid over is blijft de vraag.

Andersom, alle producten wantrouwen en daardoor de zoveel lagen aanbrengen dat het overzicht verloren raakt en het achterhalen van een issue meer tijd en geld kost dan het oplossen van een enkel problem is ook niet goed.

Het is koorddansen. Eigenlijk zou ik liever werken vanuit de veronderstelling dat geen enkel product te vertrouwen is, maar, zoals je zegt, dat wordt al snel onoverzichtelijk en onbeheerbaar. Eigenlijk is het weer het probleem waar ik mee begon; het is onbetaalbaar om het echt goed te doen.

Scriptkid @CAPSLOCK2000 • 13 januari 2020 14:45

En dat is dan ook de pitfall.

Hedendaags is het dan ook reasonable security practise je doet wat je kan en dat zo goed mogelijk met de middelen en geld die dat rechtvaardigen.

Je kunt van de bakker op de hoek niet verwachten 100k security te doen waar dat voor een bank niks is.

Cloud lost wel een heel groot gedeelte op maar men moet niet de laatste stukjes vergeten

steven166.sh @Scriptkid • 13 januari 2020 18:02

Cloud lost wel een heel groot gedeelte op maar men moet niet de laatste stukjes vergeten

En ook daar zit voor velen een denk-fout dat de Cloud een magisch product is.

Scriptkid @steven166.sh • 14 januari 2020 08:03

Clouddatacenter infra is een soort van magische box die iig een stuk secureder dan alle onprem datacenters.

Waar het mis gaat is het gebruik van niet saas oplossingen die weer de traditionele fouten bevatten

walteij @CAPSLOCK2000 • 13 januari 2020 14:38

Eens, Security is koorddansen en vaak zonder net.
Als ik niet technische mensen probeer uit te leggen hoe security werkt, kom ik toch wel altijd uit op een ui.

Meerdere lagen, publieke data wordt door laag 1 beschermd (ofwel geen login, maar wel integriteits checks en read-only op publieke sites).
Generieke bedrijfsdata wordt afgeschermd door een username/password en bij voorkeur MFA en kan via internet benaderd worden.
Gevoelige bedrijfsdata is dan weer niet direct vanaf het internet te benaderen (dus extra VPN laag).
Kritieke bedrijfsdata is alleen te benaderen vanaf een werkplek op kantoor, welke bij voorkeur geen directe verbinding met internet heeft, maar voor MKB is dat laatste vaak weer lastiger.

Uiteraard werk je dan ook met Role-Based-Access en Dynamic Access Control, zodat je zeker bent dat vertrouwelijke documenten (zelfs als die op een share staan waar alle medewerkers toegang tot hebben) alleen door mensen geopend kunnen worden die vertrouwelijke documenten mogen bekijken/bewerken.

Edit: linkje naar DAC toegevoegd

[Reactie gewijzigd door walteij op 23 juli 2024 18:02]

mrdemc @Tha Render_2 • 13 januari 2020 13:05

Er valt inderdaad geen patch te installeren nog, maar het gaat hier om verzoeken welke je wel kunt filteren voordat deze in het systeem terecht komen, dat is ook wat Citrix aanraad om te doen. Zie deze url daarvoor:
https://support.citrix.com/article/CTX267679

[Reactie gewijzigd door mrdemc op 23 juli 2024 18:02]

PTR @mrdemc • 13 januari 2020 15:16

Dat deze link naar de mitigatie niet in het artikel is opgenomen vind ik wat apart. Deze kwetsbaarheid is al geruime tijd bekend, en deze oplossing is in het vorige nieuwsbericht over deze kwetsbaarheid ook al genoemd. Als je beheerder bent van een dergelijk systeem dien je deze allang op je netvlies te hebben en geïmplementeerd. Het is nou ook niet echt een hele lastige aanpassing. De patch zal lastiger implementeren zijn, als in goed testen etc.

[Reactie gewijzigd door PTR op 23 juli 2024 18:02]

Joever @mrdemc • 14 januari 2020 16:16

De mitigatie is vervolgens ook te testen met de tool uit het volgende artikel.

https://www.us-cert.gov/n...and-gateway-vulnerability

mrdemc @Joever • 14 januari 2020 16:32

Mooie tool! Eventueel kun je ook een CURL commando uitvoeren richting de specifieke host:

curl -vk –path-as-is https://$TARGET/vpn/../vpns/ 2>&1 | grep “You don’t have permission to access /vpns/” >/dev/null && echo “VULNERABLE: $TARGET” || echo “MITIGATED: $TARGET”

bron: https://www.tripwire.com/...81-what-you-need-to-know/

themac1983 @Tha Render_2 • 13 januari 2020 13:32

Je kunt natuurlijk wel zorgen dat het OS helemaal gepatched is, en je achterliggende servers etc.

Scriptkid @Tha Render_2 • 13 januari 2020 14:47

Met patchen bedoellen ze backend landscape.

Anders kun je via de citrix remote code execution doen tegen een unpatched backend server in server bb.

mkools24 @Tha Render_2 • 13 januari 2020 15:12

Er is een mitigatie die je uit kunt voeren. De patch komt inderdaad later. Pas eind Januari.

Enneh 712 nu, net weer eentje 'gepatched'

grimlock 13 januari 2020 12:48

Wel is er mitigatie mogelijk? Wat bedoelen ze daarmee? "De term wordt gebruikt in het klimaatbeleid voor maatregelen die beogen emissies van broeikasgassen (met name kooldioxide (CO2), methaan (CH4), lachgas (N2O) en fluorverbindingen zoals HFK's, PFK's en zwavelhexafluoride) te verminderen. "

mr.DJ95 @grimlock • 13 januari 2020 12:57

Gelukkig gaat dit niet over de uitstoot van onze Citrix bakken maar over een aanpassing die je kan doen om het probleem/lek etc. te verminderen.

In dit specifieke geval gaat het om een stukje code die je kan aftrappen op de desbetreffende Citrix bakken.

Voorbeeld:

enable ns feature responder
add responder action respondwith403 respondwith "\"HTTP/1.1 403 Forbidden\r\n\r\n\""
add responder policy ctx267027 "HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/vpns/\") && (!CLIENT.SSLVPN.IS_SSLVPN || HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/../\"))" respondwith403
bind responder global ctx267027 1 END -type REQ_OVERRIDE
save config

shell nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0
shell "echo 'nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0' >> /nsconfig/rc.netscaler"
reboot

Zie ook: https://support.citrix.com/article/CTX267679

Zenety @grimlock • 13 januari 2020 12:50

Mitigation

Blokker_1999

Beveiliging en antivirus

@grimlock • 13 januari 2020 12:51

Mitigatie wil gewoon zeggen dat je maatregelen kunt nemen om te voorkomen dat dit lek misbruikt wordt. Heel vaak houdt dit wel in dat je tidelijk bepaalde functionaliteit uitschakeld totdat het probleem definitief is opgelost.

Pep7777 @grimlock • 13 januari 2020 12:52

Dat het lek niet of minder erg kan worden gebruikt. (mitigate = omzeilen)
Een link naar de info van citrix : https://support.citrix.com/article/CTX267679

Stijn Weijters @grimlock • 13 januari 2020 12:51

mit·i·ga·tion
/ˌmidəˈɡāSH(ə)n/

noun
the action of reducing the severity, seriousness, or painfulness of something.

OxWax @grimlock • 13 januari 2020 12:52

Het begrip mitigeren heeft 3 verschillende betekenissen:

1) maatregelen die de negatieve effecten van eerdere beleidsmaatregelen moeten verzachten
2) verzachten; matigen; afzwakken; verlichten
3) zich matigen in het uiten van zijn gevoelens

[Reactie gewijzigd door OxWax op 23 juli 2024 18:02]

Brousant @grimlock • 13 januari 2020 12:59

Wel is er mitigatie mogelijk? Wat bedoelen ze daarmee? "De term wordt gebruikt in het klimaatbeleid voor maatregelen die beogen emissies van broeikasgassen (met name kooldioxide (CO2), methaan (CH4), lachgas (N2O) en fluorverbindingen zoals HFK's, PFK's en zwavelhexafluoride) te verminderen. "

Dat je daarvoor met -1 wordt gemodereerd is niet terecht; kennelijk heb je de moeite genomen om het woord te googelen. Dat bijvoorbeeld Wikipedia de uitleg uitsluitend betrekt op klimaatproblematiek is dan best verwarrend.

OxWax @Brousant • 13 januari 2020 13:04

[...]
Dat bijvoorbeeld Wikipedia de uitleg uitsluitend betrekt op klimaatproblematiek is dan best verwarrend.

Ik lees toch echt een punt na "Mitigatie is matiging, verzachting, vermindering."
Dat die term momenteel veel gebruikt wordt in klimaatproblematiek staat daar los van.
Opwarming is ook zo'n woord.
Als ik de ketel opzet, warmt mijn water op, wat niets met het klimaat te maken heeft

[Reactie gewijzigd door OxWax op 23 juli 2024 18:02]

CasGas 13 januari 2020 15:01

Weet iemand ook of het van toepassing is als je al 2FA (dmv SMS) op je netscaler hebt zitten, dat kan ik ergens terugvinden in de documentatie van deze exploit.

Rolfie

@CasGas • 13 januari 2020 16:05

Dan ben je nog steeds vatbaar.

blorf 13 januari 2020 13:00

Dus je moet sowieso niet het bestand smb.conf in je server-tree hebben staan, dus niet je etc-directory als publicatiemateriaal beschouwen? Lijkt me geen probleem...

mayhemxl 13 januari 2020 13:29

Het betreft geen servers maar network appliances (NetScaler/Citrix ADC). Deze kunnen zowel fysiek als virtueel zijn.

Citrix heeft een update gepubliceerd: https://www.citrix.com/bl...ix-gateway-vulnerability/
Noot bij de mitigerende maatregel: Er zijn licentie requirements voor het configureren voor een responder. Neem indien nodig contact op met Citrix support voor een tijdelijke licentie.

_Thanatos_ 13 januari 2020 14:11

De ironie is dat Citrix (en andere terminal-achtige omgevingen) juist gemaakt zijn om remote code te executen. Maar dit probleem gaat meer over *unintended* (of unattended) remote code execution

nwagenaar 13 januari 2020 14:57

Vorige week riep het Nationaal Cyber Security Centrum bedrijven al op hun systemen te patchen. "Vooralsnog is er geen actieve exploit waargenomen, maar deze worden wel verwacht", schreef het NCSC toen.

Een POC is op 10-1 beschikbaar gemaakt en sindsdien zijn er daadwerkelijk actieve exploits die hier misbruik van maken.

Zie:
https://isc.sans.edu/foru...eway+Vulnerability/25686/
https://isc.sans.edu/foru...+Observed+Payloads/25704/

xoniq 15 januari 2020 11:55

Het ziekenhuis (MCL) in Leeuwarden is al de sjaak:
https://www.omropfryslan....eer-stil-naar-cyberaanval

Chaoss Moderator Spielerij 17 januari 2020 09:13

Enkele versies hebben een patch:

https://www.citrix.com/bl...ix-gateway-vulnerability/

CAPSLOCK2000

Beveiliging en antivirus

@Rudie_V • 13 januari 2020 13:42

Fingers crossed dat de machines of het netwerk plat mogen gaan. Klinkt misschien raar, maar beveiliging is een 24/7 taak en bedrijven die dit niet serieus nemen mogen van mij best plat gaan. Of ransomware, en dan weer lekker betalen. Hoevaak moet het nog in het nieuws komen voordat men dit soort dreigingen serieus gaat nemen? Wie niet luisteren wil...

Ik snap de emotie, die voel ik ook regelmatig, maar het is ook een onmogelijke situatie waar we met z'n allen in verzeild zijn geraakt. We zijn ontzettend afhankelijk geworden van software maar missen de methodes om die degelijk, betrouwbaar en veilig te maken, (mede) daardoor is het ontwikkelen van software ontzettend duur. Daar komt nog eens bij dat het ontzettend moeilijk is om de kwaliteit van software te beoordelen. Je hebt een gedegen IT-achtergrond nodig en toegang tot de broncode om een beetje zinnig oordeel te kunnen vormen. Voor een "gewoon" (niet-IT) bedrijf is het praktisch onmogelijk.

Echt goed bestaat niet, een beetje goed is peperduur. De meeste organisaties zouden hun hele budget in IT kunnen stoppen en nog niet echt veilig zijn. Zonder IT gaat echter ook niet. De IT voegt zo veel waarde toe dat je zonder niet meer kan concurreren. Zo is iedereen min of meer gedwongen om brakke IT te accepteren.

We maken kleine stapjes vooruit doordat de wet (en verzekeraars) steeds meer eisen stellen. Hierdoor wordt de ondergrens opgehoogd voor iedereen, en kun je investeren zonder marktaandeel te verliezen aan een concurrent die niet zou investeren in verbetering als hij daar niet toe gedwongen werd.

De meeste software wordt echter nog geschreven voor markten groter dan de onze waarin dat soort overwegingen een kleinere rol spelen. We zullen de kwaliteit van software wereldwijd moeten verbeteren.

Froos

@CAPSLOCK2000 • 13 januari 2020 22:13

Jemig, ik ben 't met zoveel in jouw tekst niet eens dat ik niet weet waar ik moet beginnen, laat staan dat ik snap waarom je een +2 krijgt. Puntsgewijs dan maar:

"We zijn ontzettend afhankelijk geworden van software maar missen de methodes om die degelijk, betrouwbaar en veilig te maken, (mede) daardoor is het ontwikkelen van software ontzettend duur. Daar komt nog eens bij dat het ontzettend moeilijk is om de kwaliteit van software te beoordelen. Je hebt een gedegen IT-achtergrond nodig en toegang tot de broncode om een beetje zinnig oordeel te kunnen vormen. Voor een "gewoon" (niet-IT) bedrijf is het praktisch onmogelijk."

Het volledig bugfree maken van software is best moeilijk, het blijft wel mensenwerk (naja, meestal dan). Maar veel code wordt al automatisch gecontroleerd en de grote partijen dichten lekken en fixen bugs over het algemeen binnen een paar dagen. Citrix is in deze even een slecht voorbeeld. Kwaliteit van software gaat niet alleen maar over veiligheid maar ook over netheid in het coden, optimalisatie en meer. BIj de meeste commerciele partijen zullen ze sowieso glimlachen als je toegang tot de broncode vraagt. De kans dat je dat krijgt is kleiner dan nul. Ik ben het met je eens dat je een fatsoenlijke IT achtergrond nodig hebt om een IT omgeving fatsoenlijk te beveiligen. Dat wil niet zeggen dat je dat zelf moet hebben. Daar zijn externe dienstverleners voor.

Echt goed bestaat niet, een beetje goed is peperduur. De meeste organisaties zouden hun hele budget in IT kunnen stoppen en nog niet echt veilig zijn. Zonder IT gaat echter ook niet. De IT voegt zo veel waarde toe dat je zonder niet meer kan concurreren. Zo is iedereen min of meer gedwongen om brakke IT te accepteren.

Ik zou niet weten waar je aan refereert maar het huidig kwaliteitsniveau van software is aardig hoog, zeker als je het vergelijkt met een tiental jaar geleden. Nou weet ik niet wat je achtergrond is en vanuit welke positie je je opmerking maakt, maar ik zie al jaren het volgende: IT is al jaren geen bijrol van de administratie meer. IT is een kernfunctie in nagenoeg ieder bedrijf, uitzonderingen daargelaten. Bij de meeste bedrijven wordt geen rekening meer geschreven en kan geen persoon meer werken zodra de IT eruit ligt. Het is dus hoog tijd dat IT dan ook als kernfunctie benaderd wordt, als dat al niet zo is. En IT hoort in de kern al veilig te zijn, dus moet je veiligheid van meet af aan meenemen. Firewalls, antivirus, fatsoenlijk patch management, fatsoenlijk device management. Er zijn standaard werkwijzen genoeg die je kunt adopteren als je niet weet waar je moet beginnen. Er is geen excuus meer voor brakke IT.

We maken kleine stapjes vooruit doordat de wet (en verzekeraars) steeds meer eisen stellen. Hierdoor wordt de ondergrens opgehoogd voor iedereen, en kun je investeren zonder marktaandeel te verliezen aan een concurrent die niet zou investeren in verbetering als hij daar niet toe gedwongen werd.

Opmerkelijke visie. Ik zou toch willen dat mijn bedrijfsdata en financiele gegevens veilig zijn. Daar heb ik de overheid of een verzekeraar niet voor nodig. Ik zou niet willen dat mijn klanten met hun data door mijn toedoen op straat liggen, of dat mijn computers met mijn financiele data gelockt zijn door ransomware. Je gaat toch ook niet de weg op met een auto waar de deuren vanaf vallen of de banden glad zijn? Waarom ga je dan wel met een brakke PC het internet op? Daarbij komt dat bij de meeste bedrijven hun volledige kapitaal alleen nog bestaat uit data. Of dat nu klanten, ontwerpen of productie procedures zijn, uiteindelijk is het allemaal data.

De meeste software wordt echter nog geschreven voor markten groter dan de onze waarin dat soort overwegingen een kleinere rol spelen. We zullen de kwaliteit van software wereldwijd moeten verbeteren.

Nou werk ik voor een software bedrijf en ik begrijp totaal niet waar je op doelt. Iedere software producent wil dat zijn product veilig is en niet in de krant of op internet staan met een lek of een bug. Zoals gezegd, ik ben van mening dat software de laatste 2 decennia al dramatisch in kwaliteit omhoog is gegaan. Met de hele cloud beweging kan men ook bijna niet anders. Lekken worden genadeloos afgestraft en data breaches kosten al snel bakken met geld en de reputatieschade is enorm.

Samengevat: Onwetendheid is geen excuus. Als je een bedrijf hebt, moet je investeren in IT en veiligheid. Je kunt gelukkig tegenwoordig veel software als dienst afnemen zodat je je daar niet echt meer mee bezig hoeft te houden. Toch moet je altijd je systemen updaten, je firewall scherp instellen en je beschermen tegen spam, phishing, virussen en andere rommel. Dat is al jaren zo en dat zal de komende jaren alleen maar belangrijker worden.

Wat je gelukkig tegenwoordig steeds meer ziet is de introductie van Known Good versus op zoek gaan naar het slechte. Ook met behulp van Artificial Intelligence en Machine Learning wordt het 'normale' IT gebruik vastgelegd en als goed bevonden. Zodra de systemen een afwijking zien, wordt alarm geslagen. Dit maakt dat het bewaken van de veiligheid iets makkelijker. Desalniettemin ben en blijf je zelf verantwoordelijk.

CAPSLOCK2000

Beveiliging en antivirus

@Froos • 14 januari 2020 15:14

Het volledig bugfree maken van software is best moeilijk, het blijft wel mensenwerk (naja, meestal dan). Maar veel code wordt al automatisch gecontroleerd en de grote partijen dichten lekken en fixen bugs over het algemeen binnen een paar dagen.
Citrix is in deze even een slecht voorbeeld. Kwaliteit van software gaat niet alleen maar over veiligheid maar ook over netheid in het coden, optimalisatie en meer.

Dan zijn we het eens, het schrijven van foutloze code is bijzonder moeilijk. We hebben tools om kleine foutjes te vinden, maar ontwerpfouten (bv geen encryptie gebruiken waar dat wel nodig is) vinden dat soort tools niet. Dat soort tools vind ik een 'brute-force' oplossing. In plaats van problemen te voorkomen proberen we ze achteraf op te sporen.

Als we een brug bouwen dan rekenen we van te voren uit of de brug sterk genoeg is en hoeveel veiligheidsmarges er nodig zijn om te compenseren voor te verwachten foutjes. In de IT rekenen we eigenlijk nooit uit of software veilig is of niet, we weten nauwelijks hoe dat moet. Het is heel normaal dat een programmeur meer tijd bezig is met debuggen dan met ontwerpen.

BIj de meeste commerciele partijen zullen ze sowieso glimlachen als je toegang tot de broncode vraagt. De kans dat je dat krijgt is kleiner dan nul.

Dat klopt en dat is precies mijn probleem. Ik kan zelf eigenlijk niet controleren of ze kwaliteit en veiligheid leveren. Als ik niks kan controleren, waarom zou ik dan meer betalen voor product A dan voor product B?

Ik ben het met je eens dat je een fatsoenlijke IT achtergrond nodig hebt om een IT omgeving fatsoenlijk te beveiligen. Dat wil niet zeggen dat je dat zelf moet hebben. Daar zijn externe dienstverleners voor.

Dat klopt maar dat is het probleem verplaatsen. Hoe beoordeel je externe dienstverleners. Ze beloven allemaal dat ze perfect zijn, maar er is geen controle of toezicht, je moet ze dus maar op hun woord geloven. Als ik twee aanbieders heb die hetzelfde beloven dan kies ik de goedkoopste. Dus moeten alle aanbieders concurreren op prijs en is er weinig ruimte voor kwaliteit en veiligheid.

Ik zou niet weten waar je aan refereert maar het huidig kwaliteitsniveau van software is aardig hoog, zeker als je het vergelijkt met een tiental jaar geleden.

Het gaat beter, maar we gebruiken ook veel meer software dan 10 jaar geleden en zijn er meer van afhankelijk, dus ik weet niet of we netto beter af zijn.

Het is dus hoog tijd dat IT dan ook als kernfunctie benaderd wordt, als dat al niet zo is.

Daar leg je de vinger op de zere plek. Niemand kan nog zonder IT, maar dat betekent niet dat iedereen er ook oog voor heeft. Zelfs de lokale fietsenmaker heeft tegenwoordig een website nodig en een computersysteem voor de boekhouding. Ga die maar vertellen dat IT een kernfunctie van z'n bedrijf is en dat hij beter een nieuw SSL-certificaat kan kopen dan een nieuw uithangbord voor z'n winkel. De meeste organisaties willen geen IT-organisatie zijn, ook al zijn ze dat defacto wel.

En IT hoort in de kern al veilig te zijn, dus moet je veiligheid van meet af aan meenemen.

En boeven horen in de gevangenis te zitten, maar hoe krijgen we dat voor elkaar?

Firewalls, antivirus, fatsoenlijk patch management, fatsoenlijk device management. Er zijn standaard werkwijzen genoeg die je kunt adopteren als je niet weet waar je moet beginnen. Er is geen excuus meer voor brakke IT.

Dat kan, maar het kost allemaal geld.

Opmerkelijke visie. Ik zou toch willen dat mijn bedrijfsdata en financiele gegevens veilig zijn. Daar heb ik de overheid of een verzekeraar niet voor nodig. Ik zou niet willen dat mijn klanten met hun data door mijn toedoen op straat liggen, of dat mijn computers met mijn financiele data gelockt zijn door ransomware.

Natuurlijk wil niemand dat. Dat betekent niet dat ze de kennis of het geld hebben om een goede keuze te maken. Je bent fietsenmaker, je kan kiezen tussen twee firewalls. Eentje kost 1 euro per maand, eentje kost 10.000 euro per maand. Allebei beloven ze 100% kwaliteit. Je zaak heeft 1000 euro per maand te besteden. Die van 1 euro per maand is een luie prutser, zo goedkoop kan helemaal niet, maar dat weet jij niet want je bent geen IT'er en je hebt geen inzage in de broncode. Welke kies je?

Natuurlijk kies je die van 1 euro per maand. Als je die van 1.000 euro per maand kiest gaat je bedrijf failliet. Beide producten zijn, voor zover jij dat kan beoordelen, echter even goed. Het bedrijf dat 1.000 euro per maand vraagt zal z'n prijs moeten verlagen tot ze ook 1 euro per maand kosten. Dan weet je dat er ook bezuinigd wordt op de kwaliteit. Via de wet (of verzekering) kunnen we basis-eisen leggen zodat je niet hoeft te concurreren met een oplichter die een onrealistisch lage prijs vraagt.

Je gaat toch ook niet de weg op met een auto waar de deuren vanaf vallen of de banden glad zijn?

Ik niet, maar je doet nu net alsof je nog nooit een auto met vale banden hebt gezien. Het is stom, maar ze rijden wel degelijk zo rond.

Waarom ga je dan wel met een brakke PC het internet op? Daarbij komt dat bij de meeste bedrijven hun volledige kapitaal alleen nog bestaat uit data. Of dat nu klanten, ontwerpen of productie procedures zijn, uiteindelijk is het allemaal data.

Dat weet jij en dat weet ik, maar overal is er altijd een gebrek aan geld, middelen en mensen. Overal worden compromissen gesloten. Daarbij trekt IT(beveiliging) vaak aan het kortste eind omdat beveiliging het grootste deel van de tijd onzichtbaar is en omdat IT al snel een bodemloze put is. De duurste oplossingen zijn eigenlijk nog niet goed genoeg.

Samengevat: Onwetendheid is geen excuus. Als je een bedrijf hebt, moet je investeren in IT en veiligheid. Je kunt gelukkig tegenwoordig veel software als dienst afnemen zodat je je daar niet echt meer mee bezig hoeft te houden. Toch moet je altijd je systemen updaten, je firewall scherp instellen en je beschermen tegen spam, phishing, virussen en andere rommel. Dat is al jaren zo en dat zal de komende jaren alleen maar belangrijker worden.

Het is geen excuus, het is een observatie. De wereld zou anders moeten zijn, maar dat is niet zo.

Wat je gelukkig tegenwoordig steeds meer ziet is de introductie van Known Good versus op zoek gaan naar het slechte. Ook met behulp van Artificial Intelligence en Machine Learning wordt het 'normale' IT gebruik vastgelegd en als goed bevonden. Zodra de systemen een afwijking zien, wordt alarm geslagen. Dit maakt dat het bewaken van de veiligheid iets makkelijker. Desalniettemin ben en blijf je zelf verantwoordelijk.

Allemaal lapmiddelen voor slechte IT.

Froos

@CAPSLOCK2000 • 14 januari 2020 16:57

Zonder nu weer in een heel quote unquote verhaal te vervallen: als ik het goed begrijp vind jij alle software per definitie onveilig, duur en tast het de integriteit van kleine ondernemers aan die niet begrijpen waarom ze veel geld moeten investeren in iets dat ze geen waarde oplevert. Correct me if I'm wrong.

Ik blijf erbij dat onwetendheid geen excuus is. En dan bedoel ik niet dat jij ontwetend bent (we zijn hier tenslotte op een tech forum site, dus ik ga er vanuit dat je het snapt) maar ik bedoel daarmee de gemiddelde MKB ondernemer, want dat lijkt je referentiekader te zijn. IT is nu eenmaal een kerndeel van je bedrijf geworden, of je het nu wil of niet. Sterker nog, IT is een kerndeel van onze samenleving geworden, met digitaal bankieren, social media en digitale overheid. Je kunt niet zonder, hoe graag je ook zou willen. Dan kun je blijven vasthouden aan het goede handwerk, zoals die fietsenmaker of bakker, maar dat is je ogen sluiten voor de werkelijkheid. Er zijn ook politieke partijen die graag terug zouden willen naar de jaren 50 of de jaren 70 toen de wereld nog naar hun denkbeeld was. Je kunt de tijd echter niet terugdraaien. Dus net zo min als dat zij hun zin gaan krijgen, gaat het de gemiddelde ondernemer lukken om IT buiten de deur te houden.

En natuurlijk zal er die ene persoon zijn die met gladde banden probeert met 160 door de IJTunnel te rijden. Maar die gaat vroeger of later een ongeval krijgen. In het gunstigste geval heeft hij/zij alleen zichzelf verwond maar in het ongunstigste geval ook een onschuldig slachtoffer dat toevallig net de straat overstak. Zo is het ook met IT. Ja, je kunt heel snel zonder beveiliging door internet. Niet lang, wel snel. In het gunstigste geval ben je alleen zelf de pineut. In het ongunstigste geval liggen je klantgegevens op straat en hang je voor het lekken van data. En terecht. Als beheerder van die data heb je een verantwoording naar die personen toe wiens data jij bezit. Zorgvuldig handelen begint bij jezelf.

Lapmiddelen voor slechte IT zeg jij, innovatie zeg ik. Wat is slechte IT? Het feit dat iemand misbruik maakt van fouten van anderen in software? Maakt dat de software slecht of de persoon die het misbruikt? Je geeft zelf al de analogie: Alle boeven zouden in het gevang moeten zitten. Maar er worden iedere dag nieuwe mensen geboren. Theoretisch gezien dus ook nieuwe boeven. Alleen weet je nog niet wie. In de IT is het hetzelfde. Er zal vast ergens een bug in software zitten, alleen weet je nog niet waar en wat de impact is. Sommige fouten zitten er al jaren en jaren in en worden nu pas ontdekt, zie bijvoorbeeld de speculative execution bugs bij Intel. Sommigen dateren 20 jaar terug. Known Good gaat uit van dat je weet wat je zou moeten krijgen. In principe zoals de gemiddelde politieman ook werkt. Die kijkt ook naar wie afwijkt van de norm. Die gaat vast iets doen of doet iets dat niet mag.

Wat is wijsheid? Net als bij het uitzoeken van je IT partner of de juiste software, speelt vertrouwen een grote rol. Heb je vertrouwen in de persoon die voor je zit? Uiteindelijk is het allemaal mensenwerk, ook al gaat het over een stuk IT. Dan kun je zeggen dat je niemand verrtouwt en dat iedereen per definitie het slechtste met je voorheeft. Het resultaat daarvan is dat je alles zelf moet doen want dan weet je wat je hebt.

Voor wie dat niet haalbaar is (en dat zullen de meesten zijn), zijn er partners die je, als het goed is, te goeder trouw verder helpen. Of het nu met een Citrix beveiligingsprobleem is of met de juiste keuze voor een stukje software of hardware. En ja, die rekening krijg je sowieso. Maar hem niet willen betalen omdat je IT niet wilt of snapt, is geen argument.

[Reactie gewijzigd door Froos op 23 juli 2024 18:02]

CAPSLOCK2000

Beveiliging en antivirus

@Froos • 14 januari 2020 17:36

Zonder nu weer in een heel quote unquote verhaal te vervallen: als ik het goed begrijp vind jij alle software per definitie onveilig, duur en tast het de integriteit van kleine ondernemers aan die niet begrijpen waarom ze veel geld moeten investeren in iets dat ze geen waarde oplevert. Correct me if I'm wrong.

Close enough. Niet per definitie, maar wel in praktijk. Het is zo moeilijk om het goed te doen dat we voor de meeste software die moeite niet nemen. Als we de moeite wel nemen is de software vaak bijzonder simpel en kaal, kijk bijvoorbeeld naar vliegtuigindustrie.

Ik blijf erbij dat onwetendheid geen excuus is.

Het is ook geen excuus, maar het is een situatie waar je rekening mee moet houden. Geld, tijd en kennis zijn eindig. Vroeg of laat is het op.

Lapmiddelen voor slechte IT zeg jij, innovatie zeg ik. Wat is slechte IT?

Goede IT is het werk van ingenieurs. Mensen die nadenken, een plan maken en dat doorrekenen zodat ze kunnen bewijzen dat hun ontwerp goed is. In praktijk kunnen we dat haast niet. Het doorrekenen van een software-ontwerp is zo moeilijk dat niemand het ooit doet voor een serieus programma.
Er is een hoop innovatie rond het vinden van bugs, maar is nauwelijks ontwikkeling om te voorkomen dat fouten gemaakt worden. Daarom noem ik het lapmiddelen. We doen aan symptoombestrijding zonder het onderliggende probleem op te lossen.

Voor wie dat niet haalbaar is (en dat zullen de meesten zijn), zijn er partners die je, als het goed is, te goeder trouw verder helpen. Of het nu met een Citrix beveiligingsprobleem is of met de juiste keuze voor een stukje software of hardware. En ja, die rekening krijg je sowieso. Maar hem niet willen betalen omdat je IT niet wilt of snapt, is geen argument.

Wederom, ik argumenteer niet, ik observeer. Het gaat niet om de rekening niet willen betalen, maar de rekening niet kunnen betalen. Als het geld op is, dan is het geld op. Ik heb hier regelmatig gebruikers die een website willen laten bouwen en zich doodschrikken van de prijs. Vervolgens gebruiken ze hun hele budget om de site te bouwen en is er geen geld voor onderhoud. Dan kan ik hoog of laag springen maar er komt niet meer geld bij en na twee jaar is zo'n website lek.

Scriptkid @CAPSLOCK2000 • 13 januari 2020 14:55

Zoeiezo bestaat het begrip veilig niet zolang mensen in sommige landen te veel vrijetijd hebben of voor exploits te goed betaald worden.

Immers een bug is pas een bug nadat hij gevonden is waardoor het te laat is.

En het is onmogelijk om alle issues van te voren te bedenken zeker als je de integratie van meerdere 3th party software mee moet nemen.

chielsen @CAPSLOCK2000 • 13 januari 2020 22:13

Je hebt wel gelijk, maar de vraag is wel waar het gaat eindigen. Als partijen als de CIA kunnen worden gehackt, kan je dan wel echt ooit genoeg doen op helemaal veilig te zijn?
Wordt het zou duur dat de multinationals (Big Tech) nog machtiger worden omdat kleine bedrijven het gewoon niet kunnen betalen?
Als je kijkt hoe duur het is om bijvoorbeeld software voor automotive(wat stuurt) te bouwen in vergelijking met een consumenten app... Dat zou de hele innovatie in 1 keer stopzetten. Ik mag hopen dat het nog wel even wat meer wild westen blijft. Wat vooral belangrijk is is dat we niet al te veel aan het internet hangen en er altijd bewust van zijn dat het gehackt kan worden.

Groningerkoek @Rudie_V • 13 januari 2020 13:36

Grote onzin, de meerderheid van de bedrijven installeren software en gebruiken aanbevolen methoden om hun systemen en processen te beveiligen, als dan later blijkt dat er in die software een fout zit kun je dit niet die bedrijven verwijten. Of is het ook jouw fout als jouw auto die je 2 jaar geleden hebt gekocht door een softwarefout besluit om een noodstop op de snelweg te maken waardoor iedereen op elkaar klapt.

bzzzt @Groningerkoek • 13 januari 2020 13:44

Als jij de brief van de dealer om voor een software-update terug te komen al maanden op je kast hebt liggen en er niets mee gedaan hebt vind ik inderdaad dat jou wel wat te verwijten valt...

Groningerkoek @bzzzt • 13 januari 2020 13:56

In dit geval is er nog geen update beschikbaar.

Zackito @Rudie_V • 13 januari 2020 14:01

Want een VPN client bevat nooit lekken?

Afhankelijk van de inrichting kan je via een VPN meer schade veroorzaken dan via een Citrix connectie.

Citrix heeft hier juist de oplossing voor en dit heet netscaler. Het is niet helemaal de bedoeling om je netscaler in hetzelfde LAN te hangen als je VDI's/VDA's (citrix) en overige servers, via bijvoorbeeld acces rules kan je er dan voor zorgen dat enkel het nodige verkeer heen en weer kan gaan tussen je netscaler en je citrix omgeving.

Zie: https://support.citrix.co...mages/0EM0z000000BLQ3.png

Zolang je eindgebruiker vanaf een externe locatie inlogt loop je altijd een bepaald risico omdat geen enkele software water dicht is.

Rataplan_ @Rudie_V • 13 januari 2020 14:35

Je hebt geen idee wat een Netscaler is, of wel? Dat is juist een o.a. security appliance die VPN, 2FA, reverse proxy, ssl tunneling en dat soort zaken doet, en die hang je tússen je lan en internet in. Soort DMZ device dus.

Maar zoals al gezegd door anderen, elke softwateyen appliance kan (en zal) lekken bevatten.

MarcelG @Rudie_V • 13 januari 2020 16:29

Dit *is* de 'VPN' die je tussen de Citrix server het het internet hangt....het gaat hier om een exploit van de ADC, voorheen bekend als Netscaler. Dus, in jouw analogie: het VPN is juist lek.

mayhemxl @Rudie_V • 13 januari 2020 13:40

Dat is dus niet het geval. De kwetsbare appliance is onder andere een VPN appliance, en dient er in veel gevallen juist voor om de Citrix servers niet direct aan het internet te hoeven hangen.

Abom @Rudie_V • 13 januari 2020 13:51

De producten waar deze lek in zit zijn juist de apparaten/diensten die je aan het internet koppelt, zodat je je Citrix omgeving veilig aan het internet kunt koppelen.

Op dit item kan niet meer gereageerd worden.

713 Citrix-servers in Nederland zijn kwetsbaar voor remote code execution

Lees meer

Reacties (58)

Sorteer op:

Weergave: