Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Ziekenhuis in Leeuwarden staakt extern dataverkeer tijdelijk wegens hackpoging

Het Medisch Centrum Leeuwarden heeft tijdelijk het externe dataverkeer afgesloten vanwege een poging van hackers om in te breken in de systemen van het MCL. Het ziekenhuis vermoedt dat de poging verband houdt met de vorig jaar bekend geworden Citrix-kwetsbaarheid.

Het Medisch Centrum Leeuwarden zegt dat het besloot het externe dataverkeer af te sluiten om te voorkomen dat kwaadwillenden bij bedrijfsgegevens komen. Het betekent in ieder geval dat patiënten tijdelijk niet bij hun elektronisch patiëntendossier, mijnMCL, kunnen. Ook het dataverkeer met andere ziekenhuizen ondervindt hinder en medewerkers van het Leeuwardense ziekenhuis kunnen thuiswerkplekken tijdelijk niet gebruiken.

Een woordvoerder kon tegen het AD nog niet zeggen of de hackpoging succesvol is afgewend. Daar wordt naar verwachting later meer over bekendgemaakt. Tegen Tweakers zegt een woordvoerder van het ziekenhuis dat er nog onderzoek plaatsvindt en dat nog niet alles bekend is.

Het ziekenhuis zegt dat het voor de communicatie naar buiten met Citrix-servers werkt. Onlangs bleek dat ruim 700 Citrix-servers in Nederland kwetsbaar zijn voor remote code execution. Momenteel is er nog geen patch beschikbaar voor deze zwakte, waarvan het bestaan sinds december vorig jaar bekend is. Die komt naar verwachting eind januari. Citrix heeft wel een mitigatie voorgesteld. Het MCL zegt dat het die voorstellen heeft doorgevoerd. Het Nationaal Cyber Security Centrum waarschuwde bedrijven en instellingen eerder deze week al om dat te doen. Volgens het MCL had de aanval met 'aan zekerheid grenzende waarschijnlijkheid' te maken met deze kwetsbaarheid in Citrix, vertelt een woordvoerder aan Tweakers. Wat de aanvallers in het netwerk wilden doen is nog niet bekend. "Dat zou vooral waarschijnlijk zijn om ofwel data te stelen, ofwel om ransomware te plaatsen", zegt de woordvoerder. "We zitten nu nog midden in het onderzoek met onze eigen ict-afdeling en een extern beveiligingsbedrijf om de impact te bestuderen." Voorlopig lijkt de schade beperkt, maar ook daarover is nog weinig bekend.

Het is niet bekend hoe lang het externe dataverkeer afgesloten blijft. Het MCL zegt dat dat deels afhangt van de snelheid waarmee Citrix de problemen kan oplossen. Volgens het ziekenhuis ondervinden de interne communicatie en de patiëntenzorg geen problemen.

Door Joris Jansen

Nieuwsredacteur

15-01-2020 • 11:49

161 Linkedin Google+

Submitter: JL-IP(!)

Reacties (161)

Wijzig sortering
We moeten volgens mij ophouden met verwijten naar bedrijven en organisaties die eigenlijk de veiligheid wel op orde hebben, op een paar kleine gaatjes na misschien, en veel meer werk maken van het opsporen en arresteren van de cybercriminelen en veel strengere straffen voor hun misdaden in de wet vastleggen. De criminelen zijn de boosdoeners! In een ziekenhuis kom je fysiek met een breekijzer of een stevig bestelbusje ook wel binnen. Ik hoor niemand zeggen dat ze meer betonnen en dikke stalen poorten, hekken en tralies moeten zetten. On-line kun je aangevallen worden, ok, maar fysiek kan dat ook. En in alle gevallen moet onze focus liggen op het aanpakken van de criminelen en niet op de slachtoffers die nog ergens een steviger (ook digitaal/online) slot hadden moeten gebruiken om de aanval af te weren!
En als het nodig is dan moeten misschien cryptocurrencies ook in de ban worden gedaan want hun belangrijkste bestaansrecht is dat ze perfect anonieme geld-transacties mogelijk maken. Ja, daarvoor bestaan legitieme toepassingen, maar het is maar de vraag of die opwegen tegen het criminele gebruik dat ervan gemaakt wordt! Misdaad bestaat en zal blijven bestaan zolang misdaad loont.

[Reactie gewijzigd door pauldebra op 15 januari 2020 12:18]

Je parallel loopt niet lekker. Beton en stalen poorten wijken af van een digitale aanval: het is niet schaalbaar (je kunt maar 1 busje tegelijk besturen), de pakkans is groot (want je bent er bij) en de belanrijkste: je kunt je aanval alleen doen in de jurisdictie waar je wat over te zeggen hebt (NL grondgebied).
Digitaal: je script het en doet 1000 bedrijven vanuit je kelder. Je bent er niet bij en, heel belangrijk: je doet het in een ander land.
Straffen torenhoog maken is voor de buhne zolang de pakkans 0% is en er niet uitgeleverd kan worden.
Ik heb het wel met je eens dat je eigenlijk de bron aan moet pakken, maar dat begint een paar stappen daarvoor. Er moet wereldwijd overeenstemming zijn tussen alle landen dat dit soort praktijken niet onbestraft blijven. En dan heb je altijd een paar bosuien er tussen zitten die dit torpederen (bijv. de USA die geen burgers wil laten berechten op niet USA grondgebied zoals het International Gerechtshof in Den Haag).
Hogere straffen helpt niet, dat is al zo vaak wetenschappelijk onderzocht en in de praktjk bewezen.
De pakkans moet omhoog, dat werkt wel.
Dit is gevaarlijke flauwekul: Toen banken nog veel geld in kas hadden waren die inderdaad beveiligd op die manier.
Mensen vertrouwden een bank met hun geld om die reden.
Tegenwoordig zijn persoonlijke gegevens veel geld waard, en rust op ieder bedrijf dat die beheert dezelfde taak als een bank: zorg dat die niet gestolen worden! Mensen moeten die clubs kunnen vertrouwen.
Natuurlijk moet je "zorgen" dat waardevolle spullen (geld, persoonsgegevens...) niet gestolen worden. Maar dat blijft een kat en muis spel tussen wie zijn spullen verdedigt en wie ze probeert te stelen.
Het blijft altijd een balans tussen wat we onmogelijk kunnen maken en wat we alleen maar moeilijk kunnen maken maar dan met een zekere pakkans. Ik heb soms de indruk dat er nog te weinig nadruk op de pakkans wordt gelegd en dat alle inspanning gaat naar het onmogelijk maken van inbraken... en dat laatste is vrees ik een onbereikbaar doel.
Het blijft altijd een balans tussen wat we onmogelijk kunnen maken en wat we alleen maar moeilijk kunnen maken maar dan met een zekere pakkans
Nou zoals anderen al aangeven, gaat het ook om scaleability: 1 inbraak in een systeem met 100.000 records is voldoende en aanzienlijk profijtelijker en daardoor kansrijker dan 100.000 inbraken met 1 recordje. Dus de neiging van de (onder meer) overheid en semi-overheid naar steeds grotere systemen moet dan gepaard gaan met navenante beveiliging. En dat laatste gebeurt gewoon vaak niet. De drive is schaalvergroting en kostenverlaging, en niet betere beveiliging (dit nog afgezien van de vraag of je die überhaupt op kan lossen, en dus of je die schaalvergroting dan dus eigenlijk wel moet willen...)
Daarbij speelt mee dat een hacker maar 1 exploit hoeft te vinden om succesvol te zijn, terwijl beheerders alle fouten moeten vinden en oplossen om succesvol te zijn. Dat maakt dat het spelletje eigenlijk in het voordeel van de aanvallers is.
Daarnaast hebben criminelen tijd, tijd die wij niet hebben.
Eigenlijk zouden de leveranciers van software ook verantwoordelijk moeten gesteld worden, zij leveren software met gaten af.
Leveranciers spelen hier dus ook een rol in om het aantal exploits te minimaliseren.
Daarnaast is er een ander schaal probleem, er is een klein team van beheerders en er zijn heel veel meer criminelen...
Beetje lastig als de meeste hackers uit Rusland, China, Iran, Noordkorea of Marocco en Turkije komen :+

Ga je het land binnenvallen?
Landen die niet meewerken aan bestrijding cybercrime afsluiten van het grote internet ? :-)
en wie gaat dat dan bepalen?
Het internationale gerechtshof ? :)
Wordt niet door iedereen geaccepteerd helaas
Het Internationaal Gerechtsof is het hoogste juridische orgaan van de Verenigde Naties.
Yep, en b.v. de US of A erkent het niet. Sterker nog als er US burgers daar aangeklaagd zouden worden is NL in staat van oorlog met de US... tot de US burgers weer thuis zijn.
Strengere straffen hebben nog nooit geholpen. Kijk maar eens naar de uitpuilende gevangenissen in landen waar ze heel zwaar straffen en de gevangenis echt geen pretje is. En dan heb ik het nog niet eens over de doorstraf. Het feit alleen al dat een land die straffen uitvoert, betekent dat ze niet werken.
Ik weet ook niet waarom strenge straffen wel of niet werken. Ik meen gehoord te hebben dat ze in Singapore wel werken...
Wat volgens mij in elk geval wel werkt is ervoor zorgen dat de misdaad waarover dit nieuwsbericht gaat niet loont. Er zijn misdaden (soms moorden) die uit persoonlijke omstandigheden voortkomen maar veel misdaad heeft alleen geld "verdienen" als doel. Zorgen dat er niets meer te verdienen is met misdaad is bijvoorbeeld ook wat geprobeerd gaat worden tegen de plofkraken: plofkraken zonder buit hebben geen zin en zullen dan ook stoppen. Zo zou ook cybercriminaliteit kunnen aangepakt worden door ervoor te zorgen dat er geen geld mee verdiend kan worden. Voorlopig gaat dat nog faliekant mis, en ik weet ook niet wat de oplossing is.
Ik meen gehoord te hebben dat ze in Singapore wel werken...
Ja, dat is het bekende verhaal met propjes op de grond enzo. Dat werkt wel inderdaad. Maar overtredingen en misdrijven zijn verschillende dingen. Als op fout parkeren €1000 boete stond, deed niemand het meer. Een misdrijf bega je omdat je bijvoorbeeld een flinke bak geld denkt te kunnen pakken. En misdadigers denken in principe allemaal dat ze een waterdicht plan hebben en dat ze niet gepakt worden. Tenzij ze heel erg simpel zijn, maar dan maakt de dreiging van een zware straf ook niets meer uit.

Evengoed, hoe je ook is, of wat iemand ook gelooft, heel zwaar straffen is (blijkbaar) geen middel om misdaad tegen te gaan. De praktijk wijst dat uit. Je hebt daar geen studie of wetenschap voor nodig.
Bit en andere anonieme coins spelen daar ook een grote rol in. dat zou moeten gewijzigd worden, zodat die geldtransakties traceerbaar worden.
Zou ook interessant zijn om fiscale fraude beter te kunnen opsporen.
Ondank de zeer zware straf werden er zat dure auto's (mercedes, bmw etc.) in Hong Kong gestolen en naar China gebracht in zeer snelle speedboten. Het zorgde wel voor veel geweld, de autodieven vochten zich liever dood dan gearresteerd te worden.

Dus hoe helpen zware straffen daar?
Het zit hier op de wal vol stuurlui :)
We hebben ook al 5 miljoen bondscoaches in Nederland :-)
Crypto bannen kan ten eerste niet en ten tweede wordt 99,9% van alle misdaad gefinanceerd met fiat.
Vandaar dat Ransomware vaak met Crypto valuta moet worden ingelost.
Kan ik wel inkomen en ik vind het geen onzin. Cybercriminelen opsporen en berechten, en niet zielig doen van slechte jeugd. Misdaad loont blijkbaar nog steeds.
Je moest eens weten wat o.a. verzekeringsmaatschapijen vragen van bedrijven rondom fysieke beveiliging voordat ze hen willen verzekeren. Ja, daar worden wel degelijk regelmatig eisen gesteld van meer beton, zwaardere poorten of meer beveiliging.

Misdaad zal altijd blijven lonen. Slechts een deel wordt opgepakt. Maar als je het risico durft en wenst te nemen dan kan de beloning vaak ook enorm zijn.
Hoe goed je de beveiliging ook hebt het kan altijd een keer mis gaan, het enige wat je kan is de risico,s zo klein mogelijk houden.

Fysiek aanvallen? waarom zou je extra sloten moeten hebben, bij de meeste bedrijven loop je zo binnen doormiddel van social engineering, ik als monteur in verleden kwam ook best ver en werkelijk niemand stelde vragen van wat doe je hier.
(zaken waarbij niemand wist dat ik kwam omdat het niet goed doorgegeven was).

Ik kwam ook gewoon achter deuren waarbij je geen pasje had, gewoon even wachten tot iemand voorbij loopt, vrijwel niemand wacht tot de deur goed gesloten was dus snel voet tussen de deur en gaan.

Ik kon zo de laptop inprikken in het netwerk, een beetje bedrijf heeft het wel beveiligd etc maar ook genoeg bedrijven prik je zo je eigen spul in en geen firrewall houdt je meer tegen.

[Reactie gewijzigd door mr_evil08 op 15 januari 2020 16:26]

> breekijzer of bestelbusje
Hoeft niet eens. Social engineering. Zorgmedewerkers zijn erg behulpzaam vanuit de aard van het beestje.
Ook internationaal...
Nigeriaanse Scams,
Indiase Microsoft HELP desks...
Onzin. Je bent als organisatie net zo goed zelf verantwoordelijk voor een adequate beveiliging van je bedrijfsinformatie en ongeacht de - naar jouw mening - lage straffen en pakkans voor cybercriminelen ontslaat je dit niet van je verantwoordelijkheid om je bedrijfsinformatie en de informatie van je werknemers en/of relaties niet goed te beveiligen en/of het ontbreken van goede processen op gebied van informatiebeveiliging.

Het is zelfs zo dat dit wettelijk wordt afgedwongen (alleen al de AVG spreekt van adequate organisatorische en technische maatregelen) en daarbij zijn er normeringen (NEN7510-1:2017 voor de zorg en ISO/IEC 27001:2013) die je als organisatie hierbij kan assisteren.

Het is daarom voor een organisatie zoals de MCL niet verkopen dat ze niet adequaat hebben gereageerd op een potentieel lek in hun infrastructuur dat al sinds 17 december 2019 bekend is gemaakt door Citrix en sinds 18 december 2019 ook vanuit de Nationaal Cyber Security Centrum is gecommuniceerd.

Tel daarbij op dat het NCSC op 24 december de Advisory opgeschaald heeft naar High/High (zie https://advisories.ncsc.nl/advisory?id=NCSC-2019-0979) kan ik niet anders concluderen dat ze daar hebben liggen te slapen en wat het nog ernstiger maakt is dat zij extreem gevoelige persoonsgegevens verwerken (lees: gezondheidsinformatie).
Ik ben het met het begin van je stuk eens, maar ik vind dat je uiteindelijk veel te kort door de bocht gaat met je conclusies. In dit artikel wordt al aangegeven dat de mitigaties vanuit Citrix al door waren gevoerd, dus ze hebben sowieso niet liggen slapen. Daarbij zou het kunnen zijn dat ze juist hun systemen beter aan het monitoren waren VANWEGE deze kwetsbaarheid. Er staat ook nergens dat de hackpoging succesvol was, dit afsluiten kan puur een voorzorgsmaatregel zijn. Feitelijk weten we niet precies wat er speelt, alleen dat er aan de hand van een hack poging actie is genomen door de complete verbinding af te sluiten.
Elke organisatie heeft en krijgt in bepaalde vorm te maken maken met hack aanvallen, zeker als ze een remote omgeving op internet aangesloten hebben dan zijn Security Vulnerability scans om te kijken of ze vatbaar zijn voor een bepaalde exploit meer regel dan uitzondering.

Het is een behoorlijke heftige voorzorgsmaatregel om de externe toegang bij hack pogingen te blokkeren als zij de mitigation fix voor 10 januari hebben uitgevoerd.

Gezien het tijdsverloop en de tekst op hun site lijkt het mij meer dan aannemelijk dat zij de mitigation fix hebben uitgevoerd naar aanleiding van het nieuws van afgelopen maandag en dat aanvullende analyse heeft uitgewezen dat er al misbruik is gemaakt van de kwetsbaarheid.
aannemelijk
Hoe waarschijnlijk het in jouw ogen ook lijk, een aanname blijft een aanname. Pas sinds afgelopen zondag zijn er daadwerkelijke exploits beschikbaar gekomen, dus het zou ook zomaar kunnen zijn dat deze hack poging gedetecteerd is dat daar direct op gereageerd is door de verbinding af te sluiten. Ik zou dat zelf ook adviseren aan mijn manager als hier hetzelfde zou gebeuren. Better safe than sorry en zo heftig is het niet om remote access uit te zetten. Een mitigation is zeker géén fix, dus ik zou het risico ook niet nemen bij een daadwerkelijke aanval.
Klopt. Deze aanname is in dit geval een persoonlijke mening op basis van mijn logische beredenering.

Voor de duidelijkheid: de mitegation fix is een workaround dat er voor zorgt dat de Citrix appliance niet meer vatbaar is voor de traversal path flaw (de daadwerkelijke oorzaak) en daarmee niet meer kwetsbaar is voor remote application execution mogelijkheden.

Echter als de mitegation fix is of wordt toegepast op de Citrix appliance nadat deze al is ge-exploit, dan is er een aanzienlijke kans dat de appliance nog steeds toegankelijk is voor hackers omdat enkele scripts die het lek misbruiken ook backdoor accounts aanmaken op de appliance en/of een tool actief maken waardoor men alsnog toegang kan verkrijgen tot het apparaat.

Wat betreft je tijdslijn, dit is niet geheel correct.

- Op 9 januari (donderdag) werd door het NCSC melding gemaakt dat er actief gescand werd naar kwetsbare systemen, dat er nog geen actieve exploit bekend was maar wel binnenkort verwacht kon worden.
- Op 10 januari (vrijdag) heeft Project Zero India een POC van de kwetsbaarheid op GitHub geplaatst
- Op 11 januari (zaterdag) werd de kwetsbaarheid actief misbruikt door kwaadwillenden
- Op 11 januari (zaterdag) heeft het NSCS gemeld dat de exploit publiekelijk is en geeft men het advies om de mitigation fix uit te voeren
- Op 13 januari (maandag) hebben diverse sites (waaronder Tweakers, Nu.nl, NOS, etc) melding gemaakt van dit probleem en dat wereldwijd gezien ruim 25.000 Citrix appliances vatbaar waren voor de kwetsbaarheid

Bronnen:
NCSC: https://www.ncsc.nl/actueel/advisory?id=NCSC-2019-0979
Project Zero India: https://github.com/projectzeroindia/CVE-2019-19781
SANS ISC Infosec melding op 11 januari: https://isc.sans.edu/foru...o+Install+Backdoor/25700/
SANS ISC Infosec Update op 13 januari: https://isc.sans.edu/foru...+Observed+Payloads/25704/

[Reactie gewijzigd door nwagenaar op 15 januari 2020 15:21]

Wie zegt dat ze niet adequaat hebben gereageerd? Jij? Werk jij daar en heb je daardoor inside information?
Of ben je gewoon uit je nek aan het kletsen aangezien het MCL heeft gemeld dat ze wel degelijk de voorgestelde mitigatie hebben uitgevoerd. En dat ze niet zeker weten of ze gehackt zijn of niet. Dus het zekere voor het onzekere kiezen.
Vanuit mijn optiek een zeer verstandig besluit.
Op hun site staat het volgende:
Woensdag 15 januari 2020 10:15
Het MCL heeft vastgesteld dat hackers een poging hebben gedaan in te breken in de digitale systemen van het MCL. Uit voorzorg heeft het MCL daarom alle dataverkeer met de buitenwereld tijdelijk afgesloten.

Patiënten kunnen dus tijdelijk niet bij hun elektronisch patiëntendossier mijnMCL. Ook dataverkeer met andere ziekenhuizen wordt gehinderd en medewerkers kunnen geen gebruik maken van thuiswerkplekken.

MCL werkt met Citrix-servers voor communicatie met de buitenwereld. Eerder deze week werd bekend dat er een kwetsbaarheid in Citrix was ontdekt. Daar heeft het MCL op geacteerd. Desondanks heeft deze aanval plaatsgevonden. Deze aanval heeft naar verwachting te maken met deze kwetsbaarheid in Citrix.

Door het afsluiten van het extern dataverkeer wil het MCL voorkomen dat kwaadwillenden bij bedrijfsgegevens kunnen komen. Het MCL heeft verder alle maatregelen genomen die Citrix heeft geadviseerd. We weten nog niet hoelang het gaat duren. Dat hangt mede af van de snelheid waarmee Citrix de problemen kan oplossen. De interne communicatie binnen het MCL en de patiëntenzorg ondervinden geen hinder.

Houd voor verdere berichtgeving de website in de gaten
Als ze daadwerkelijk de mitegation fix hebben uitgevoerd voor 10 januari j.l. dan waren de getroffen Citrix appliances (Netscalers, ADC, Gateways, etc) niet meer vatbaar voor de aangegeven exploit en kunnen ze geen misbruik maken van de remote execution kwetsbaarheid.

Aanvullend de informatie van de woordvoerder (bron: https://www.ad.nl/tech/zi...-na-cyberaanval~a45daf1e/) waarin het volgende staat aangegeven:
Door het stilleggen ervan hoopt het ziekenhuis te voorkomen dat ,,kwaadwillenden bij bedrijfsgegevens kunnen komen”. Hoelang de situatie gaat duren, durft Medisch Centrum Leeuwarden nog niet te zeggen.
Een poging om in te breken is één ding, maar vanuit persoonlijke optiek is een poging iets waar elke organisatie in bepaalde vorm wel mee heeft te maken.

De logische beredenering/conclusie is bij mij en op basis dat men vandaag het besluit hebben genomen om alle (inkomende?) externe verkeer te blokkeren dat er een aanzienlijke kans is dat de fix niet voor 10 januari is toegepast en dat derden externe toegang hebben verkregen tot hun Citrix appliances.

[Reactie gewijzigd door nwagenaar op 15 januari 2020 13:26]

"mitigation" betekent niet dat het lek gedicht is maar moeilijker toegankelijk is, er is nog geen patch
De mitigation was NIET foolproof er waren mogelijkheden om er omheen te werken, alleen minder makkelijk.
Je gaat ook helemaal voorbij aan 0-day issues.

Dus toen er iemand binnen bleek te zijn hebben ze de buiten deuren dicht gedaan. Dat is geen foute maatregel. wat laat, maar niet fout.
Realistisch scenario:

Management:
Ik lees in de telegraaf dat dat Citruss spul allemaal gehakt is. Gebruiken wij dat ook?
IT:
Ja, dat klopt. Er is een mogelijkheid dat men hier misbruik van maakt dus wij hebben wij voorbereidingen getroffen en een tijdelijke mitigation fix uitgevoerd..
Management:
Mitiwat? Simpel ja of nee, is het gegarandeerd dat het opgelost is.
IT:
Eeuhmm, tja. Garanties kunnen we niet geven tot Citrix met een patch komt.
Management:
patch? Simpeler graag, hoe voorkomen wij 100% dat we niet gehakt worden?
IT:
Nou, als je het echt zeker wilt weten kunnen we de internet verbinding afsluiten?
Management:
Nou, als het echt niet anders kan, sluit maar af. Miriam, laat communicatie maar een persbericht opstellen. Gebruik mooie woorden als 'aan zekerheid grenzende waarschijnlijkheid' en 'de patiënt staat voorop' enzovoorts. Ik ga 'thuis' werken', bel me wanneer we weer 100% operationeel zijn.
IT:
Maar als we de internet verbinding af....
management:
Doeeeeiiiiiiiiii

/edit: @HermanHeineken goed punt, aangepast.

[Reactie gewijzigd door dycell op 15 januari 2020 16:35]

Management:
Nou, als het echt niet anders kan, sluit maar af. Miriam, laat communicatie maar een persbericht opstellen. Gebruik mooie woorden als 'aan zekerheid grenzende waarschijnlijkheid' en 'de patiënt staat voorop' enzovoorts. Ik ga terug naar de golfbaan, bel me wanneer we weer 100% operationeel zijn.
Met dit weer is het niet lekker golfen, dus zo realistisch is je scenario niet ben ik bang.
Wat een onzin, ze handelen gewoon juist en proberen erg te verkomen. Oké misschien iets aan de laten kant maar ze ondernemen in iedergeval actie.

[Reactie gewijzigd door eliasje op 15 januari 2020 18:45]

Laten we contant geld ook maar gelijk in de ban doen, want daar kan je ook makkelijker anoniem mee zijn. En de hele ruilhandel doen we er ook bij, want stel dat iemand een zero-day ruilt tegen drugs of wapens wil in ruil voor je encrypte HDD decryption key.
Dus ruilen is ook verboden. Alles moet via online banking waar alles getrackt kan worden.

Eigenlijk zetten we ook gelijk gps zenders op elk persoon die niet afneembaar zijn, zodat we dat ook kunnen tracken, mochten criminelen mondeling terreur plannen willen bespreken die we niet via backdoors in chatapps kunnen afluisteren.

En naast je chats en email, mag al je data en deuren en ramen geen beveiliging gebruiken.
Want alleen criminelen maken er misbruik van. De overheid gaat t alleen gebruiken om je veiligheid te garanderen. Dus wellicht komen ze in de nacht door je raam naar binnen zonder dat je t weet, maar dat is voor je eigen veiligheid, dus wees gerust. Oja, en zo bestrijden ze kinderporno en mensenhandel en terroristen

Klinkt goed

/s
Contant geld is lang niet zo anoniem als het lijkt, en het kan ook nog minder anoniem worden gemaakt als serienummers van bankbiljetten systematisch zouden worden bijgehouden. (De bank weet nu niet welke serienummers jij uit de flappentap trekt maar dat zou wel kunnen gerealiseerd worden, net als dat alle serienummers van wat in de tap zit op het moment van een plofkraak ook zou kunnen worden bijgehouden.) Contant geld is een fysiek iets dat je moet overhandigen... losgeld in contant geld betalen maakt criminelen wat gemakkelijker te pakken dan wanneer het met cryptomunten gebeurt. En in een supermarkt wordt nu alleen maar met een apparaatje snel gekeken of een bankbiljet waarschijnlijk echt is, maar nog niet of het niet als gestolen staat geregistreerd...
Natuurlijk moet je wel beveiliging hebben omdat je het criminelen anders te makkelijk maakt en er is niet genoeg politie om ze dan nog op te pakken. De politie komt niet in de nacht door je raam zonder dat je het weet, maar met een huiszoekingsbevel mogen ze wel naar binnen. En dat krijgen ze niet zomaar.
Beveiliging is een lastig ding: je moet zoveel mogelijk criminelen buiten de deur houden (maar perfect kan dat waarschijnlijk niet) maar de politie moet nog wel in staat zijn om met een gerechtelijk bevel naar binnen te komen. Voor de digitale wereld geldt ook zoiets en daar loopt het nog niet zoals in de fysieke wereld: de politie kan soms niet naar binnen (zie het recentste iphone-kraak probleem) en criminelen hebben nog mogelijkheden om ontraceerbaar hun werk te doen. Werk aan de winkel voor zowel de wetgever, de handhavers als de informatici.

[Reactie gewijzigd door pauldebra op 15 januari 2020 14:21]

wacht even, stel ju nu serieus voor een achterdeur in encryptie te stoppen?

... hoe vaak in de afgelopen 50 jaar hebben we in de ICT al lopen roepen dat dit het stomste idee in het bestaan van stomme ideeën is?

met een analogie die kantnogwal raakt met betrekking tot...

[Reactie gewijzigd door dakka op 15 januari 2020 14:54]

Nee hoor, ik stel niet voor om een achterdeur in encryptie te stoppen. Wanneer jij bij een huiszoekingsbevel de politie niet wil binnenlaten in je huis dan komen ze met een stormram of iets dergelijks en ze komen hoe dan ook binnen. (Je huis hoeft geen achterdeur te hebben waarvan de politie de sleutel heeft.) Wanneer jij bij een gerechtelijk bevel de politie geen toegang wil geven tot je telefoon dan moet er een equivalent van die stormram zijn om de telefoon te ontsluiten. Dat heeft nog niet noodzakelijk iets met encryptie te maken, en al helemaal niet met encryptie op communicatie die met de telefoon heeft plaatsgevonden.
Op dit moment kan je voor het weigeren om bijvoorbeeld een telefoon "langs de voordeur" te ontgrendelen onvoldoende worden gestraft om dit met tegenzin dan toch maar te doen. Maar dat zou kunnen veranderd worden...
"Dat heeft nog niet noodzakelijk iets met encryptie te maken, en al helemaal niet met encryptie op communicatie die met de telefoon heeft plaatsgevonden"

Waar heeft t dan wel mee te maken?
Want volgensmij is t precies de encryptie waaar ze tegenaanlopen
Het gaat om het ontgrendelen van de telefoon. Dat is dus een pincode. De pincode maakt de telefoon toegankelijk maar daarom nog niet alles wat daarmee gedaan is. Nu is het zo dat een telefoon na een aantal foute gokken (10 bij de iPhone stond ergens in een artikel) op een andere manier weer vergrendeld wordt.
Encryptie gaat over het versleutelen van data op de telefoon of communicatie die met de telefoon gebeurt, en niet over het ontgrendelen van de telefoon zelf.
Weet niet hoe t precies zit, maar op nieuwe android telefoons is al je data op je telefoon encrypted en moet je het dus decrypten met je pincode/pass/pattern

Dus tenzij je een achterdeur in die encryptie wilt bouwen kom je er niet in als de eigenaar niet meewerkt
De eigenaar hoeft van mij niet mee te werken als er op het niet meewerken maar een hele grote straf staat. Wanneer de politie voor de deur staat met een huiszoekingsbevel dan ben je echt wel verplicht om ze binnen te laten, ook al is dat een vorm van meewerken aan je veroordeling. Waarom dan niet verplichten om je telefoon te ontgrendelen? Ik zie hier een grote gelijkenis, maar misschien ben ik de enige.
volgensmij kunnen ze dat al afdwingen met biometrische unlock methoden, maar je pin en pattern en wachtwoord kan dat niet.

"ja ik werk graag mee, maar net toevallig ben ik mn pin vergeten, sorry meneer de agent"

Ga dat maar eens bewijzen dat ie het niet vergeten is.
Waarschijnlijk kan je wel een deal sluiten zodat hij t unlockt dus dat is geen groot issue.

Groter probleem hiervoor is vaker dat de eigenaar dood is (zie iPhone unlock cases in US)

Ik heb liever dat t blijft hoe t is en dat zelf mn vingerafdruk of face unlock niet ontgrendelt mag worden door politie zonder mijn medewerking of na mijn dood

[Reactie gewijzigd door WORPspeed op 15 januari 2020 18:35]

In de middeleeuwen hadden ze ook methoden om mensen mee te laten werken.
hoe heten die ook al weer.. De Ijzeren maagd, het rek, duimschroeven, ..
Maar wanneer de rechter zegt dat ik mijn telefoon moet ontgrendelen kan ik dat nog steeds weigeren. Je hoeft namelijk niet mee te werken aan je eigen veroordeling.
En dat kan gecriminaliseerd worden: je hoeft niet mee te werken aan je eigen veroordeling voor de misdaad waarvoor je telefoon misschien bewijsmateriaal bevat. Maar de wetgever kan het weigeren van je telefoon te ontgrendelen tot een misdaad maken en dan kan je voor die misdaad veroordeeld worden.
Ah digitaal martelen ipv. fysiek martelen... iemand vastzetten tot de telefoon ontgrendeld wordt.
en zo toch mee werken een een mogelijke veroordeling?... Waarom het BW niet helemaal het raam uitgooien?
en die ruilhandel doen we lekker wel de ban in he?
Want zonder traceerbare serienummers kunnen we niet traceren wanneer de criminelen hun drugs voor wapens ruilen.
De politie kan wel degelijk de woning heimelijk proberen te betreden als onderdeel van een onderzoek voor bv. het plaatsen van camera's microfoons, hiervoor is wel toestemming van een rechter commissaris voor nodig.
Niet alleen ziekenhuis Leeuwarden "slachtoffer" ook gemeente Zutphen https://www.telegraaf.nl/...rservers-gemeente-zutphen

Hoop toch niet dat we nu constant in het nieuws gaan krijgen waar ze een poging gedaan hebben om binnen te komen.
De inbraak bij de gemeente Zutphen vond maandag (13 januari) plaats en werd dinsdag ontdekt. Volgens de gemeente is er "geen signaal gekregen dat er daadwerkelijk toegang tot onze systemen is verkregen of gegevens zijn gestolen. Om dit zeker te weten, laten wij onderzoek uitvoeren. (..) De aanval vond plaats op de toegangspoort tot de Citrix-server." https://www.zutphen.nl/In..._netwerk_gemeente_Zutphen

Volgens het AD is er "software op het toegangsportaal van het netwerk geplaatst."
Wel is duidelijk dat onbekenden software hebben geïnstalleerd op het toegangsportaal van de gemeente. Via dit toegangsportaal kunnen ambtenaren op afstand van het stadhuis inloggen op het netwerk. (..)
Vooralsnog gaat Zutphen er vanuit dat de hack niet verder dan het toegangsportaal is gekomen.


Geen 'pleister' op het 'gaatje' geplakt ;(
,,Citrix was bezig met een pleister voor het gaatje in het toegangsportaal. Die is er door ons te laat opgeplakt’’, zegt Machiel van der Velde, adviseur informatieveiligheid van Zutphen. Hij werd dinsdag gebeld door de informatiebeveiligingsdienst (ibd) voor gemeenten. Zij hebben inzicht in de systemen en zagen dat de ‘pleister’ door Zutphen nog niet was geplakt. In overleg met de leverancier van Citrix was dit niet gedaan omdat het hele toegangsportaal juist dinsdagavond nog vervangen zou worden. ,,Je kunt je afvragen of dat handig is geweest, maar dat is achteraf.’’
https://www.ad.nl/zutphen...te-zutphen-aan~a4b24c2c6/
(AD artikel is een "Premium" artikel)

[Reactie gewijzigd door zonder.h op 15 januari 2020 16:19]

Ik vraag me oprecht of of het uitstellen daadwerkelijk 'in overleg met Citrix' is gebeurd.
Voor wat het waard is maar het staat er nét anders: 'In overleg met de leverancier van Citrix'
Werkelijk een slechte leverancier.

Het toepassen van de mitigation was ongeveer 5 minuten werk en had practisch geen risico,

Wij kregen zelf van wel 10 verschillende kanten het dringende advies om dit te doen, inclusief van onze huidige leverancier, onze vorige leverancier, support partners waar we al 2 jaar niet mee gewerkt hebben en Citrix zelf.
Volgens de site van Medisch Centrum Leeuwarden: MCL werkt met Citrix-servers voor communicatie met de buitenwereld. Eerder deze week werd bekend dat er een kwetsbaarheid in Citrix was ontdekt. Daar heeft het MCL op geacteerd. Deze aanval heeft naar verwachting te maken met deze kwetsbaarheid in Citrix.

Eerder deze week? Het NCSC heeft op 18-12-2019 de kwetsbaarheid al gemeld en op 24-12-2019 de kans / schade gezet op high / high.
Tzt zullen bedrijven, instellingen en overheden overgaan tot een intern netwerk dat fysiek hard gescheiden is van internet. Risico’s worden simpelweg te groot.
Ziekenhuizen hebben echter ook een onderlinge data uitwisseling tussen de ziekenhuizen in het land, dat wordt gebruikt bij overplaatsingen, medische spoedgevallen, etc.

Ook vanuit dienst optiek en laagdrempelige medebeoordeling van een niet dienstdoende collega bieden thuiswerk opties via een Citrix netwerk een optie.

Het volledig afsluiten van de ziekenhuis netwerken gaat de Nederlandse gezondheidszorg dan ook niet ten goede komen.

Waar men dan eerder naar toe zal moeten is een separaat, gescheiden Nederlands internet en universeel internet. Ontoegankelijk voor elkaar. En waarbij inbreekpogingen binnen de publieke zorgsectoren zoals ziekenhuizen maximaal worden aangepakt.

Ziekenhuizen zijn hierin natuurlijk niet de enige kritieke diensten die je niet aan een universeel netwerk gekoppeld wilt hebben. Denk ook overheidsinstanties, onderwijsinstellingen, maar ook zaken als fabrieken, energiecentrales, etc.

Ook daarin zal simpelweg alles afsluiten voor regionale / landelijke toegang lang niet altijd reëel zijn.
Komt het 'probleem' ook niet gewoon uit de hoek dat elk ziekenhuis zijn eigen systemen heeft en zijn eigen infrastructuur waar maar iets overheen gelegd wordt zodat het kan communiceren met andere ziekenhuizen? Dan zou toch één systeem/één infrastructuur die door elk ziekenhuis (en dus ook huisartsenpraktijken, zorgcentra etc.) de uitkomst moeten zijn.
Ieder systeem blijft kwetsbaar. Voor niets is 100% zekerheid te bieden. En bijv. Citrix voor externe toegang is juist een systeem dat vrij universeel wordt ingezet in een groot aantal ziekenhuizen in Nederland (en wereldwijd). Ondanks dit, blijft er zoals we nu in de praktijk zien een risico op kwetsbaarheden.

Het grootste probleem is de huidige onschendbaarheid van de daders. Nagenoeg straffeloos kun je te werk gaan vanuit verre landen. Internationale wetgeving en opsporingsmogelijkheden staan in het niet wanneer vergeleken tot het groeiend aantal ransomware problemen.

Die onschendbaarheid moet je kwijt raken. En dat kan op 3 manieren:

1: Internationale wetgeving en opsporingsmogelijkheden verbeteren. Maar laten we eerlijk zijn. We kunnen het wereldwijd niet eens eens worden dat een wereld zonder kernwapens een betere optie is dan een wereld met kernwapens. Dit gaat in de komende jaren dan ook geen reële optie zijn.

2: Ziekenhuizen, onderwijsinstellingen, overheidsinstellingen, NUTS voorzieningen, OV, risicovolle industrieën, etc. allemaal loskoppelen van het internet om te voorkomen dat deze slachtoffer kunnen worden van ransomware aanvallen. Een praktisch echter vrijwel onhaalbare oplossing.

3: Een geheel gescheiden, separaat Nederlands (of EU breed) internet opzetten, gescheiden van het universele internet. In dit geval niet om de burger de toegang tot de rest van de wereld te ontzeggen, maar om onze eigen kritieke infrastructuur te beschermem tegen kwaadwillenden van buitenaf. En hoewel een technische klus, ben ik persoonlijk bang dat dit de meest haalbare optie is waar we binnen korte tijd nagenoeg niet meer onderuit zullen komen.

In een meer en meer verbonden wereld is de chaos natuurlijk compleet als we de huidige paden blijven bewandelen. Het is slechts een kwestie van tijd voor de eerste ransomware aanvallen volgen op bijv. autonome voertuigen in dat geval. En dan mag je maar hopen dat dit inhoudt dat je de auto niet kunt starten.

Scherm je jezelf af van de buitenwereld, dan kun je middels nationale wetgeving en opsporingsmogelijkheden hier in ieder geval keihard op ingrijpen.
Goed voor de handelsrelaties etc. En wat ga je dan afsluiten? Http verkeer? Al het verkeer? Dus bijvoorbeeld e-mail en social media ook?
En er zijn geen criminelen IN de EU...?
Er zijn ook in NL voldoende internet criminelen opgepakt... een afgescheiden internet zal in dat kader niet echt helpen. Er zal mogelijk een andere vorm van criminaliteit ontstaan.. mensen die een "Reverse" -VPN hosten voor internationale criminelen?

Ransomware aanval op voertuigen is een ding, voor criminelen is er vermoedelijk meer te halen uit een wagen overnemen terwijl de eigenaar er in zit.... de auto kan pas weer remmen na overmaken van een bedrag.... is een veel groter risico.
En ik heb minder vertrouwen in de automobiel industrie die zich liever als crimineel gedragen dan als een voorbeeld burger. (Dieselgate..)
Er is al het een en ander qua infra voor ziekenhuizen. Vriend van mij werkt bij een bedrijf dat veel van het dataverkeer, databases, interne en onderlinge communicatie van ziekenhuizen verzorgd. Dacht dat het dit bedrijf betreft: https://openline.nl/zorg met o.a. de mogelijkheid om het dataverkeer direct door de wasstraat te routeren.

[Reactie gewijzigd door Jorgen op 15 januari 2020 13:13]

Dat is hoe het iedere keer gaat, een of andere partij die denkt het wiel opnieuw uit te vinden:
https://imgs.xkcd.com/comics/standards.png
Daar kunnen ze toch "gewoon" darkviber aanleggen tussen ziekenhuizen? Dan kunnen ze onderling data wisselen zonder de boze wereld eraan toe te voegen! :)
Ik ken een aantal ziekenhuizen die dit onderling hebben. Zelfs een ring, waardoor een graafmachine wel schade aanbrengt, maar de functie gewaarborgd blijft.
Veel sterkte dat te realiseren. We doen iets dergelijks al met VPN over het publieke net. Maar VPNs zijn ook niet allemaal even veilig gebleken en er hoeft maar 1 gebruiker een bridge tussen beide netwerken op te zetten om alles om zeep te helpen qua scheiding.
Voor die onderlinge uutwisseling zouden de ziekenhuizen een soort van collectief VPN moeten gebruiken waar verder niemand op kan. Een soort VCN dus (Virtual Collective Network).
NL-Intranet.

Totdat er iemand vind dat het toch wel handiger is dat zowel intern als extern tegelijkertijd benaderbaar is, en het probleem is weer terug.

Persoonlijk denk ik dat met de hele cloud heisa niet meer snel voor een intern netwerk gekozen wordt.
Ik vind een landelijk intranet geen slecht idee. Dat zou ik niet per se fysiek afscheiden, maar eerder logisch.

Zo kan je bvb. cloud servers gebruiken die geen publiek IP hebben en binnen het datacenter een 'landelijk intranet' lijn kunnen aanvragen, wat een publieke lijn onmogelijk maakt. Als zo'n netwerk enforced wordt voor bepaalde instellingen (bvb. over 3 jaar verplicht), zullen datacenters dit wel voorbereiden. De infra hiervan moet dan gecertificeerd worden door de overheid, incl. hun onbestaande backdoors.

Dan kan een overheid ops center alle API's goedkeuren e.d., de firewall en ook de toegang van publieke read-only datanodes heel precies instellen. Zo kan je het gebruik van API's enforcen. Het grote gevaar hierbij is het log zijn van de dienstverlening wegens personeelstekort/besparingen. Toch lijkt een geolied systeem niet echt onmogelijk?
Leuk als de overheid je ook verplicht om een electronisch patiënten dossier via internet beschikbaar te stellen.
Volgens mij verplicht niemand een ziekenhuis om het dossier via internet toegankelijk te maken. Het dossier moet wel voor de patiënt inzichtelijk zijn, dat dat via internet op de meest eenvoudige manier gaat maakt dat nog niet de verplichte weg.
Sorry hoor maar er is een mitigatie voor dit probleem al voor Kerst, ik heb die toen overal al uitgevoerd werkelijk 2 minuten werk. Daarna is het wekenlang in het nieuws geweest, als je dan nu nog gehackt wordt omdat je niks gedaan hebt en heel je netwerk moet afsluiten dan ben je echt dom of laks of beide. Er is allang bekend hoe serieus dit lek is.

Maar ik weet hoe het gaat, ten tijde van het blaster virus wilde ook niemand patchen want ja, er kan iets anders stuk gaan. Tot heel het netwerk down ging, zie hier nu ook.
Dat. En Citrix heeft er een handje van dingen met patches stuk te maken. Wij zijn ook zeer voorzichtig met het patching van Netscalers. Dat gaat normaal gesproken zeer uitgebreid de teststraat in; maar daar maken we wel een afweging van risico... deze hebben we toen 'ie uitkwam al gedaan.

Maar goed, nog meer argumenten op die meuk bij de eerst volgende mogelijkheid uit te faseren.
Dat sowieso ja, het is inderdaad best een ramp om die dingen te beheren maar dat is met alles onprem eigenlijk maar zeker Citrix.
En de cloud is beter?.... omdat ze daar dezelfde spullen gebruiken?
Bij een goede internet storing (glashub gesloopt, kabel doorgraven, ISP down...[ kijk naar KPN & T-Mobile storingen ] ) heb je een serieus cloud probleem. En dan is er in een Ziekenhuis dus geen zorg meer mogelijk als er geen "on-prem" hardware meer is. Alle info staat tegenwoordig digitaal, als het dan ook buiten de deur staat is er niets meer.
Zolang er informatie is die aan realtime aan beide kanten van de scheidingslijn gelijk moet zijn ga je koppelingen behouden. Ik hoop dat iemand iets uitvind wat daarvoor kan zorgen zonder gaten te veroorzaken en dan zou je zoiets kunnen maken.
Dat was vaak ook zo, maar voor gemak en thuiswerken zijn veilige interne netwerken toch maar gekoppeld aan het internet met virtualisatie en citrix oplossingen
En hoe ga je dan communiceren met anderen? Alles terug op floppies?
idd.. op weer op papier uittikken met een carbon vel ertussen .....
hm. ook nog te veel techniek. Een stapel droog en nat hout buit op de binnenplaats, terug naar rook signalen.
Dat is een moeilijk gegeven in een ziekenhuis? Stel je komt van een ander ziekenhuis met een aandoening dat in ziekenhuis B snel behandelt dient te worden. (bv bloedklonter in de hersenen). dan denk ik dat het in ziekenhuis B wel handig is dat ze toegang hebben tot bepaalde gegevens (allergieën e.d.. ) Nog meer tijd verspillen door te bellen / faxen / whatever lijkt me in tijdskritieke behandelingen nefast.
Of wat met mensen die via een vpn verbinding werken, want dat is iets dat je als ziekenhuis wel aanbiedt lijkt me.
: Patiënt komt 's nachts binnen, de aanwezige arts komt er niet uit en vraagt uitleg aan de specialist, die zit natuurlijk thuis te netflixen/slapen/chillen. Dan denk ik dat het handig is dat de specialist de mogelijkheid heeft om al het één en ander via de vpn verbinding te bekijken en zijn oordeel te geven of dan te beslissen om af te komen.
Daarbij is telefonie tegenwoordig vaak VOIP dus ook telefoons en fax kunnen uit de lucht zijn.
Intern netwerk: daar zit volgens mij juist het probleem. Een goed beheer wordt te ingewikkeld voor een gemiddeld bedrijf/instelling. Fysiek scheiden is ook geen oplossing, met usb sticks kan er nog steeds een hoop kwaad gedaan worden.
Dus jij sluit liever alle interne systemen direct op het internet aan...
Ik vrees dat het beveiligingsbeleid van vrijwel alle hard- en software leveranciers voor apparatuur van klanten van de afgelopen 30+ jaar dat effectief om zeep geholpen heeft.

Dan heb je 200 to 1000 probleem gevallen ipv. 1 of 2.
Ik heb liever helemaal geen interne systemen. Alles SAAS.
Ah dus jij sluit je liever je ziekenhuis als de stroom in de buurt uitvalt en de onderstations van het netwerk buiten de deur buiten bedrijf raken. (Zelf heb je natuurlijk wel noodstroom "on-prem" om de operatie kamers en Intensive-Care in stand te kunnen houden, alleen even geen data meer.).
beter geen data dan gehackte/onbetrouwbare data
Dus je sluit liever een paar ziekenhuizen omdat er een paar weken geen dataverbinding mogelijk is als er een apache door een hoogspanningskabel vliegt.

Dan is on-prem data + agregaat een betere backup... Dan heb je nog een paar ziekenhuizen in de lucht.
Een ziekenhuis heeft met wat meer zaken rekening te houden dan alleen een pack hack pogingen.

Overigens als je ziekenhuis in de cloud gehackt wordt, (er is geen garantie dat door niets gehackt wordt...) valt er verder weinig meer af te sluiten. En is alles gewoon kwijt.
Naast de enorme bandbreedte die je nodig hebt omdat MRI etc. scans best wat ruimte innemen.
We zien hoe het gaat met al die ransom ware aanvallen en nu citrix.
Cloud beschermt niet echt tegen ransomware... ook daar kan de zaak ge-encrypt worden.
Tegen ransomware zijn andere middelen nodig. bv. een Versioned filesystem waarbij de versioning buiten bereik van de machines moet gebeuren.. Strict scheiden van management en gebruik etc.
Als je alles als webbased saas in de cloud afneemt dan heb je zelf geen systemen en kun jij niet gehackt worden of geransomt. Je data natuurlijk wel, maar daar is de saas aanbieder verantwoordelijk voor. Wat ik probeer te zeggen is dat beveiliging zo complex is geworden dat het bijna niet meer te doen is. Zie Maersk, Universiteit Maastricht, GWK, Citrix-lek. Niet de kleinste bedrijven/instellingen en toch gaat het mis. Saas aanbieders hebben dit als core business en kunnen een hoger kennis niveau garanderen.
Je hoopt dat saas aanbieders dat kunnen en doen.
Maersk is een probleem van een andere orde: de leverancier van een stukje software (belasting aangifte voor douane Ukraine) was gehackt en aan noodzakelijke software die ze gebruikten (reguliere update) was wat extra functionaliteit toegevoegd ergens in (december-februari)... terwijl de extra code in mei de zaak begon te slopen. Daar helpt alleen een test tegen die versneld naar de toekomst reist tegen.
Ik betwijfel of een willekeurige Saas aanbieder een eigen module voor de douane aangiften voor elk land gaan bouwen.

SAAS werkt voor universsel bruibare producten niet voor een door functionele eisen sterk versnipperd landschap.
Onlangs bleek dat ruim 700 Citrix-servers in Nederland kwetsbaar zijn voor remote code execution. Momenteel is er nog geen patch beschikbaar voor deze zwakte, waarvan het bestaan sinds december vorig jaar bekend is. Die komt naar verwachting eind januari.
Dit is echt onacceptabel. Zijn hierover geen SLA's afgesproken waarbinnen dit soort kritieke kwetsbaarheden opgelost moeten worden? Vooral gezien het gebruik van Citrix binnen de overheid en gezondheidszorg lijkt het mij dat men hier bovenop moet zitten. Binnen maximaal een paar dagen met een patch komen die het lek dicht/onbruikbaar maakt lijkt mij dan ook geen rare eis.

Als het 2 maanden duurt om een remote code execution op te lossen ligt het of aan de kwaliteit van de software, of aan de kwaliteit van de ontwikkelaars. Beide moeten naar behoren functioneren.
er is een workaround die men kan uitvoeren. Beter dat ze het goed uitzoeken/fixen dan vlug/snel en met een berg fouten.
Dat is nogal makkelijk hé. Een oplossing uitleveren die nog brakker is dan het probleem dat je probeert op te lossen is echt slechter dan wat extra tijd te nemen.
Als het 2 maanden duurt om een remote code execution op te lossen ligt het of aan de kwaliteit van de software, of aan de kwaliteit van de ontwikkelaars. Beide moeten naar behoren functioneren.
Of kwaliteit van management.

Het is en blijft triest dat zoveel partijen ICT praktisch hebben afgestoten terwijl het juist gezond verstand zou moeten zijn om intern een gezonde evenknie te hebben, al dan niet regionaal geregeld.

Zowel internationaal als nationaal zijn er maar enkele partijen die diensten leveren aan grotere partijen. Ik blijf het maar vreemd vinden dat die partijen praktisch allemaal soortgelijke diensten afnemen zonder dat ze meer samen werken om bepaald gebruik te stroomlijnen.


Meest recent voorbeeld met Universiteit van Maastricht was dat betalen goedkoper was dan stilstand.
nieuws: Universiteitsblad: Universiteit Maastricht betaalde losgeld na ransom...
Binnen maximaal een paar dagen met een patch komen die het lek dicht/onbruikbaar maakt lijkt mij dan ook geen rare eis.
Een SLA is niet meer dan een stuk papier waarmee je achteraf aan tafel kan zitten om te gaan praten over een financiële vergoeding. SLA's worden gemaakt op basis van de te verwachtten problemen, de complexiteit van deze problemen en daarmee de doorlooptijden van patches. Dus mocht er dan iets zijn waar men niet op had gerekend, dan kan het wel eens (veel) langer gaan duren. Geld, geld en nog eens geld, dat is waar een SLA uiteindelijk over gaat. Geen enkele SLA zal een bug gaan fixen.

Het is hier vanuit de luie stoel bijzonder gemakkelijk om te oordelen hoe complex de bug is en dus ook of het wel of niet raar is dat ze nog geen patch hebben uitgebracht.
Dit is echt onacceptabel. Zijn hierover geen SLA's afgesproken waarbinnen dit soort kritieke kwetsbaarheden opgelost moeten worden?
Je kan geen ijzer met handen breken. Er is Citrix alles aangelegen om dit probleem op te lossen maar omdat het complex is en zeer grondig getest moet worden kost dat gewoon tijd. Als jij dat niet acceptabel vindt denk ik dat Citrix graag eens met je praten wil, want iemand die een dergelijk traject kan inkorten tot een paar dagen zal bijzonder welkome zijn.
[...]

Dit is echt onacceptabel. Zijn hierover geen SLA's afgesproken waarbinnen dit soort kritieke kwetsbaarheden opgelost moeten worden? Vooral gezien het gebruik van Citrix binnen de overheid en gezondheidszorg lijkt het mij dat men hier bovenop moet zitten. Binnen maximaal een paar dagen met een patch komen die het lek dicht/onbruikbaar maakt lijkt mij dan ook geen rare eis.
Je hebt het niet over een consumentenproduct waarbij de impact 0 is zodra er een fout in de firmware/software zit en het product down gaat of fouten maakt. Je hebt het over enterprise producten waar echt geen enkele fout geoorloofd is en het bij een gigantisch grote groep klanten fout kan lopen waar nog veel kritiekere systemen draaien dan een ziekenhuis. Dat daarom een patch niet in enkele dagen uitkomt heeft te maken met alle testen die doorlopen moeten worden voordat zo'n patch daadwerkelijk uitgebracht kan worden.

Citrix is een gigantisch bedrijf en heeft vermoed ik genoeg knappe koppen in dienst om een goede patch te kunnen maken. Maar testen (heul veel testen) kost veel tijd.

[Reactie gewijzigd door Luchtbakker op 15 januari 2020 14:30]

Er is een mitigation, die is vrij eenvoudig te implementeren, daarmee is de prio 1 er echt wel af.

Dat dit een nogal pijnlijke kwetsbaarheid is, die er letterlijk al jaren inzit is een groter probleem wat Citrix niet even op gaat lossen. Het Netscaler platform wordt veel weggezet door de 'same vendor lekker makkelijk' combinatie met de Citrix werkplekoplossing. Ik denk dat veel bedrijven zich eens goed achter de oren gaan krabben of die gemakskeuze wel de juiste was...
Of kwaliteit van management, zal een kwestie van resources zijn ?
- Uitpluizen hoe en wat
- Ontwikkelen
- Testen
etc etc.
We hebben het hier niet over een aanpassing notepad.exe natuurlijk.
Enige haast is overigens inderdaad wel geboden :)
Volgens mij is Citrix instelling noch overheid.

Wat mij betreft doet de IT dienst hier sowieso niets fout, en reageren ze op een correcte manier nu.

[Reactie gewijzigd door Aiii op 15 januari 2020 12:02]

Er is al een mitigatie oplossing van Citrix sinds half december, als je verantwoordlijk bent voor een Citrix Farm, ben je wel degelijk te langzaam met uitrollen.

[edit: heb hier overheen gelezen “Citrix heeft wel een mitigatie voorgesteld. Het MCL zegt dat het die voorstellen heeft doorgevoerd.”

Maar waarom dan toch dichtzetten?
En wat heeft Citrix met EPD voor patiënten te maken? Neem aan dat patiënten niet bij deze data komen via een Citrix server.

[Reactie gewijzigd door sarcast op 15 januari 2020 17:26]

Maar wanneer doorgevoerd? En ook werkelijk goed doorgevoerd?
Het was al mogelijk om te implementeren vanaf 16 december.

Ik lees nog niets over nieuwe exploits.
Ik kan het je niet vertellen, het zijn exact de vragen die ik zelf ook had.
Ja, hulde voor de IT afdeling van het MCL! Voorgestelde mitigaties doorgevoerd, intrusion detected, netwerk op slot.
Goed gedaan!
Wat hadden ze volgens jou dan nog moeten doen? Misschien dat je me daarmee kan overtuigen.
Vorig jaar actie ondernemen. Netscaler gewoon op goede versie behouden.

Als dit was gedaan, had men nu bijna geen actie te hoeven ondernemen met de huidige bekende informatie.
Jij concludeert dat ze niet op tijd hebben 'gemitigeerd'? Dat is volgens mij nog niet bekend gemaakt.
Citrix heeft wel een mitigatie voorgesteld. Het MCL zegt dat het die voorstellen heeft doorgevoerd
Dit lijkt me toch een correcte actie vanuit een werkend beleid, dat Citrix blijkbaar niet zo rap is met patchen, hebben zij blijkbaar al andere maatregels genomen.

Kan best dat ze dus al 'veilig' zijn, maar puur voor de zekerheid zooitje platgooien als ze merken dat er aanvallen binnen komen, dat noem ik niet bepaald slecht beleid.
Vorig jaar bekend geworden maar nog niet gepatched met welke patch? De patch is er dus (nog) niet, wel is er afgelopen Donderdag een advies uit gegaan over hoe de kwetsbaarheid voorlopig voorkomen kan worden en heeft het MCL deze dus naar eigen zeggen al direct door gevoerd wat netjes op tijd is, sneller kon niet.
Nu is er een aanvalspoging en zegt MCL dat ze de boel dichtgooien en eerst even grondig gaan uitzoeken wat de risico's zijn, oftewel iemand probeerd iets en MCL reageerd daar adeqaat op.
Wat had je verwacht? Citrix kwetsbaarheid wordt gevonden, MCL download van een of andere vage Russische website een vage patch (die niet bestaat...) en komt er later achter dat iemand het iig probeert te hacken en MCL zegt dan 'nee kan niet gehackt worden dus boeie lekker weekend houden'...
Dit is een keer een instelling die alles goed doet en dan nog klagen...
Is dit niet het advies, wat de zelfde dag al uitkwam, als het security bulletin van Citrix. De remediation was namelijk al direct bekend.
Ja, dat is inderdaad het zelfde advies wat op 18/12/2019 uitkwam.
Ik denk dat jij niet in de gaten hebt dat er nog geen patch voor is. Heb je het bovenstaande artikel wel gelezen? Of alleen de kop?
Ik kan me de kant van leveranciers wel voorstellen. Wij hebben vanuit het bedrijf ook te maken met organisaties als Citrix. Ontwikkeling van Patches kost tijd. het is enerzijds het oplossen van je lek. Anderzijds zorgen dat je met de code niet meer stuk maakt.
Liever wil je horen we hebben het lek gedicht dan we hebben een patch uitgebracht het probleem is opgelost maar we hebben wel 700 Citrix servers onderuit getrokken.
QA is belangrijk bij software bedrijven. Goede actie van het MCL om in zo de hack af te slaan.
Mwa, kijk eens hoe snel Microsoft reageerde met een patch voor een CVE die pas sinds gisteravond bekend is.

Dat staat wel sterk in contrast met de snelheid waarmee Citrix nu reageert.
dan noem je er ook 1. MS en QA.Citrix is ongetwijfeld aan het doden en aan het controleren dat hun code ook werkbaar is.

[Reactie gewijzigd door niels123455 op 15 januari 2020 14:45]

Er is een mitigation die vrij triviaal te implementeren is. Dat is een structurele oplossing al een stuk minder dringend.
Wat had jij beter gedaan? Andere servers bestellen en in de tussetijd het netwerk open houden?
Zelf een patch schrijven?
Kun je niet ziekenhuis ipadressen whitelisten zodat iig ziekenhuis verkeer wel doorgaat? Neem aan dat dat gewoon vaste ipadressen zijn.
En dan blijkt het kleine ziekenhuis ergens in de polder wel gehacked te zijn die gewhitelist staat bij de grotere. Goed bezig.
En daarom kan je al de andere deuren niet gesloten houden ?
Verkleint het risico toch al aanzienlijk.
Totaal niet, risico verklein je door het te vermijden van te voren niet achteraf. In dit geval is het moeilijk omdat het probleem bij Citrix ligt. Dit kan nu al ergens zijn geïnfecteerd en dan zijn ze de klos. Ook zijn hackers niet dom en weten zij ook dat de ziekenhuizen onderlinge verbindingen misschien open gaan zetten en daar zijn de aanvallers zeker ook op voorbereid.

[Reactie gewijzigd door El Nova op 15 januari 2020 13:36]

Ik vraag mij toch af. Wie wil zijn primaire processen (citrix) nu direct aan het internet hangen? Daar hebben we toch VPN's voor? Het lijkt er steeds meer op dat gebruikersgemak (een vpn is lastig) voor veiligheid gaat.
Hoe ga je dat doen dan met diensten die je extern bijvoorbeeld aan patiënten wil aanbieden? Je kan moeilijk elke patiënt een VPN verbinding verschaffen. In plaats worden deze diensten bijvoorbeeld achter een Citrix Netscaler gehangen waarbij je alleen poort 443 open stelt eventueel gekoppeld aan digid.
Op dat vlak helemaal mee eens. Maar medewerkers die nu thuis zitten en niets kunnen doen is niet van deze tijd. (tenzij het complete ziekenhuis netwerk onderuit zou gaan)

@El Nova alles kan kapot daar ben ik mij ook van bewust. Maar een VPN is niet voor niets uitgevonden. Maakt het toch alweer een stuk lastiger dan de boel compleet aan internet hangen.
Dit moet je zien als de VPN concentrator die een zwakheid blijkt te hebben. Want dat is effectief wat je met dit apparaat doet: een SSL VPN opzetten.
Klopt, en daarbij een VPN is nooit volkomen veilig. We leven ook in een wereld waar gisteren een product is gemaakt, en morgen kan er alweer een hack voor zijn. Je kunt er niet altijd wat aan doen.
Nee dit is inderdaad een heel dom iets. Als er 1 ander al geinfecteerd is, en deze kan geinfecteerd zijn zonder dat die het momenteel weet (dit is de truc en de basis die ze uitvoeren in de hoop dat het zich dus verspreid wanneer mensen dingen gaan doen zoals jij angeeft) verspreidt het zich in een seconde. Zodra het genoeg of de grote slachtoffers te pakken heeft activeren ze het en gaan ze lekker aan de slag.

[Reactie gewijzigd door El Nova op 15 januari 2020 13:20]

Dat zou kunnen. Is niet eens moeilijk. Maar gezien het 'we klappen alles dicht' vermoedt ik dat ze of slechts een vereenvoudigde versie van het verhaal vertellen, of dat ze de Netscaler als firewall gebruiken. En als je die niet meer vertrouwd...
Nu gaat bij mij de vraag leven zullen ze de Mitigation Steps for CVE-2019-19781 hebben doorgevoerd? Of is er nog een "door" gevonden aangezien Citrix probeert z.s.m. met een patch te komen.
Aldus het artikel zelf: Citrix heeft wel een mitigatie voorgesteld. Het MCL zegt dat het die voorstellen heeft doorgevoerd.
Ja, okey als bedrijven deze dus hebben doorgevoerd is het systeem (Netscaler ADC) nog steeds kwetsbaar voor een exploit?

als ik conform https://github.com/trustedsec/cve-2019-19781 moet geloven en de url van bijvoorbeeld een netscaler benader en een 403 krijg zou een netscaler meer/minder kwetsbaar zijn: https://host/vpn/../vpns/cfg/smb.conf
Iemand een verduidelijking wat "mitigatie" wil zeggen?
bv mitigating circumstances
verzachtende omstandigheden.
Een doekje voor het bloeden.
Minder erg maken.
Dus NIET opheffen of fixen.
in dit geval een duur woord voor "work a round"
Het probleem is niet opgelost maar is met een aanpassing in de configuratie niet/lastiger uit te buiten.
Sterker nog, het is "work around".
In dit geval: schade beperken door maatregelen te treffen
Zie het als een pleister voordat de fix in de vorm van een update wordt gereleased.
De vraag moet zijn binnen welk tijdsbestek hebben ze de mitigatie uitgevoerd. Daarnaast is het simpel te controleren of het lek misbruikt is, er zijn immers "verdachte" xml bestanden aanwezig op een Netscaler.
Wij hebben hier eigenlijk bijna dagelijks mee te maken.

Ook vandaag heb ik met een 3tal gebruikers contact opgenomen om na te gaan of zij wel vanaf Australië ingelogd hebben, bij de ander waren er sinds de 2e week van januari meer dan 500 failed login attempts en zo is dit wekelijkse kost in vergelijkbare situaties. Ik ben er inmiddels al aan gewend.

Die gasten zijn vaak ook best onhandig. Gebruiken VPN verbindingen, want dat is "veilig", maar ondertussen zie je dat iemand op 1 dag heeft geprobeerd in te loggen vanuit "Amerika, China, Europa en Azië". 8)7 |:( |:(

Ransomware is "hot" op dit moment, maar hackers kunnen met data op de zwarte markt ook gewoon veel geld verdienen door dit simpelweg door te verkopen.

Het geeft tegenwoordig heel veel extra werk vergeleken met 2 jaar terug en daarvoor. Dat is ongekend, maar de realiteit.

Wanneer men lekken weet te misbruiken wordt het echter heel moeilijk.

[Reactie gewijzigd door Mit-46 op 15 januari 2020 15:29]

En jammer dat kwetsbaarheid niet snel gefixt is, als ik zo lees.
Is dit de schuld van Citrix dat het niet snel genoeg gaat?

Bij andere software bedrijven wordt dat zelfs binnen een dag patch uitgegeven, maar nu zie ik dat het nog steeds aantal dagen doorloopt sinds het nieuws. Zolang servers in de wereld niet gepatched worden, blijven de nieuwsberichten komen.

Zelfs mijn buurman doet boekhouding via Citrix. Hij maakt zich wat zorgen over.

[Reactie gewijzigd door MrDummy op 16 januari 2020 14:13]

Wat een drama. Het is zo moeilijk om dit tegen te gaan.
Ik onderschat het niet, al ben ik wel een type dat eerder op zn backup vertrouwt dan zn actieve bescherming.
Wij zijn ook een keer getroffen door een crypto virus en dit werd notabene onbewust zelf geactiveerd door iemand die bij de ICT afdeling werkte, dus met admin rechten enzo.

Wij hebben simpelweg onze backups teruggezet in 9 uur tijd, nadat we eerst de pc die de encryptie draaide, losgemaakt hadden.

Nu was het bij ons bijna einde van de dag toen dit gebeurde, dat was mazzel.
Maar voor een ziekenhuis is het natuurlijk altijd drama, vooral omdat er ook mensenlevens op t spel staan.
Mochten ze iemand als dader kunnen aanwijzen dan zou ik deze persoon liever extra hard gestraft worden hierdoor. We hebben het niet over een fabriek van autobanden o.i.d.
Dat vond ik ook, maar mn manager wilde het rustig aan doen. :-)
Ik had vrij snel door wat er gedaan moest worden, maar hij wilde een hoop dingen 1 voor 1 doen terwijl dit ook in 1x allemaal tegelijk kon.
Tsja, andere prioriteiten denk ik.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True