Nederlandse bedrijven zijn gehackt hoewel melding dat had kunnen voorkomen

Meerdere Nederlandse bedrijven zijn niet geïnformeerd over een kwetsbaarheid en daardoor gehackt. Het Nationaal Cyber Security Center was op de hoogte, maar ondernam geen actie omdat het niet om vitale bedrijven ging.

Begin deze maand publiceerde een hacker de inloggegevens van Pulse Secure-accounts van meer dan 900 bedrijven, meldde ZDNet. Dat is zakelijke vpn-software, waar vorig jaar een lek in werd ontdekt. Er is al lange tijd een patch beschikbaar, maar de desbetreffende bedrijven hebben die update niet geïnstalleerd.

Bij die publicatie zaten ook vpn-inloggegevens van verschillende Nederlandse bedrijven, schrijft het Financieel Dagblad. Volgens de krant gaat het onder meer om een dochterbedrijf van industrieconcern VDL, datacenterbedrijf ITB2 en groothandel Coen Bakker Deco die gespecialiseerd is in kerstversieringen.

Nadat de kwetsbaarheid in Pulse Secure vorig jaar bekend werd gemaakt, vonden beveiligingsonderzoekers, onder wie Matthijs Koot, honderden kwetsbare bedrijven in Nederland. Koot stuurde zijn bevindingen naar het NCSC, omdat individueel benaderen van de bedrijven niet haalbaar was.

Het NCSC gooide de informatie grotendeels weg, omdat het overheidsorgaan alleen kijkt naar bedrijven in vitale sectoren, zoals banken en telecombedrijven. Koot zegt tegen het FD dat er daardoor nu allerlei wachtwoorden op straat liggen, terwijl dat voorkomen had kunnen worden.

Een woordvoerder van het NCSC zegt tegen de krant dat het er 'binnen de juridische mogelijkheden' alles aan heeft gedaan om organisaties te informeren. Organisaties 'buiten het wettelijk mandaat' kunnen niet geïnformeerd worden, aldus de instantie. Koot is daar boos over en hekelt de passieve houding van het NCSC. Hij stelt dat bijvoorbeeld ransomware-aanvallen op niet-vitale bedrijven alsnog voor besmettingen zouden kunnen zorgen bij vitale bedrijven.

Koot is aangesloten bij het Dutch Institute for Vulnerability Disclosure. Dat initiatief is eind vorig jaar opgericht met het doel om bedrijven op de hoogte te brengen van kritieke kwetsbaarheden, maar heeft niet de middelen om iedereen te bellen. Ook komen meldingen van buitenlandse onderzoekers vaak alleen bij het NCSC terecht, stelt de onderzoeker.

Het NCSC waarschuwde eind vorig jaar wel dat veel Nederlandse bedrijven nog kwetsbaar waren omdat ze gebruikmaakten van verouderde vpn-software. Dat ging echter om een algemene waarschuwing, de getroffen bedrijven zijn niet individueel op de hoogte gebracht. De door FD genoemde getroffen bedrijven zijn inmiddels ingelicht en hebben hun systemen geüpdatet.

Door Julian Huijbregts

Nieuwsredacteur

17-08-2020 • 10:36

156

Submitter: Webgnome

Reacties (156)

156
154
108
8
0
34

Sorteer op:

Weergave:

Pulse Secure is toch de enige partij die de klanten makkelijk kan waarschuwen en dat ook MOET doen.
Waarom wordt daar niets over gezegd in het artikel.
Ik ben het helemaal met je eens. Ik vind het heel bijzonder dan nu het NCSC er op wordt aangekeken dat ze iets wel of niet hebben gedaan, terwijl de eerste verantwoordelijkheid ligt bij de aanbieder of leverancier van de dienst of het product.
Mmm(edit). Reageerde op een eerdere post van wouterie waar hij zegt dat het primair verantwoordelijkheid is vd leverancier waarop ik reageerde met:

En uiteraard de gebruiker vh produkt.
Wie had het NCSC moeten waarschuwen? Info@bedrijf.nl en voor zekerheid info@bedrijf.com? En wie reageert daarop bij het bedrijf? Ze zijn blijkbaar al niet super actief op security gebied als ze al hun vpn oplossingen niet up to date houden..
Of had ncsc de receptie van elk bedrijf moeten bellen, naar de it afdeling vrageb (nee, ik heb geen naam maar ik ben van ncsc en grote kans dat u gehackt kan worden....).
Zouden die kwetsbara bedrijven dan wel actie hebben ondernomen???
Hoeveel effort moet een overheids organisatie steken in tekortkomingen van zakelijke partijen?

[Reactie gewijzigd door tonkie_67 op 22 juli 2024 23:08]

1. Heeft Pulse Secure de betreffende software in deze situatie aan de klant geleverd of aan een reseller?
2. Wat als een dienstverlening tussen reseller en klant komt te vervallen?

Naar mijn idee moet je als klant gewoon in control zijn. Je hoort een CMDB bij te houden. op basis van deze data dient er op nieuwsbrieven/rss/CERTS/etc. te worden inschreven en actie te worden ondernomen op relevante kwetsbaarheden. Aanvullend kan er met een vulnerability assessment tool het netwerk periodiek worden gescand. Heb je hier allemaal geen tijd/expertise/geld voor? Dan besteed je dit uit, maar om blind aan te nemen dat dit (gratis) voor je gedaan wordt is gewoon naïef.
Daarom zeg ik ook aanbieder/leverancier. Geen idee hoe ze het hebben geregeld, maar blijkbaar houden ze niet zo van updates installeren.
Waarom kijkt het NCSC dan wel naar "vitale" onderdelen en doet het daar adviezen. Vitaal is ook maar een oormerk wat aan een bedrijf gehangen wordt. Ik denk dat ieder directeur zijn eigen bedrijf vitaal vind. Het is dus een glijdende schaal. Wat mij betreft trekt men het mandaat voor het NCSC in waar het gaat om het informeren van vitale bedrijven en maakt deze zelf verantwoordelijk voor hun IT beleid of je informeert iedereen als je de informatie hebt. Op deze wijze (en met deze argumentatie) maak je jezelf belachelijk en overbodig.
Het is hun taak om de vitale onderdelen actief te benaderen, het is niet hun taak om dat voor de hele wereld te doen. Dat vitaal is altijd een discussiepunt, maar de opdrachtgever van het NCSC heeft dit netjes voor hen gedefinieerd. Het is niet een oormerk wat de directeur op zijn eigen bedrijfje plakt, het is vanuit maatschappelijk standpunt een vitaal bedrijf. Daarnaast kan iedereen hun informatie en waarschuwingen lezen, echter doet niet iedereen dat. ALS je dan je eigen bedrijf zo vitaal vindt zou je ook de beschikbare bronnen raadplegen.
Waarom? Het NCSC is daar op ingericht en heeft dat mandaat. En idd, je krijg niet zomaar het label vitaal. Dat word door de overheid toegekend en - als je dat kan had maken - kun je je daar ook voor aanmelden. Wie serieus een kans maakt, weet de weg wel te vinden hoor.

En verder... het NCSC kan wel bezig blijven; Nu was het Pulse Secure, vorige maand was F5 groot nieuws, Cisco ASA heeft het nieuws gehaald, maar ook Fortinet had issues met de ssl vpn.

Iemand nog Iets gehoord in december en januari over de Netscaler/Citrix ADC? Toen heeft net NCSC wel veel meer de publiciteit gezocht en is vervolgens door velen in de IT verguisd omdat men het niet eens was met de rigoreuze adviezen die toen gegeven werden (*uit* zetten). Pfff, als het NCSC elke High/High bug op die manier opvolging geeft, dan hoort niemand door het rumoer de boodschap nog.

Ik vind het een rare gedachtengang en eerlijk gezegd zelfs symptomatisch voor de “Pamper”-generatie dat het überhaupt verondersteld wordt dat iemand anders dat wel even voor je regelt. Iedere organisatie heeft de verantwoordelijkheid om zelf zijn IT en security op orde te hebben. Dat niet iedere organisatie dat doet, om welke reden dan ook, wil niet zeggen dat een andere dat dan maar voor hen moet doen.

Er zijn voor de IT-er genoeg bronnen beschikbaar waar je dit soort issues kan nagaan;
Zelf kun je al genoeg doen door een overzichtelijke CMDB bij te houden met je assets en de bijbehorende software releases en die elke maand te controleren.
Je kan je abonneren op nieuwsgroepen, rss-feeds, sites als Tweakers, Security.nl en de website van het NCSC raadplegen. En als je het belangrijk genoeg acht, maar het in de tijd gewoon niet redt, kun je ook altijd een licentie van Nessus, Nexpose, Alienvault of andere relevante scan oplossing aanschaffen en hun tooling implementeren om je te helpen om in controle te komen en te blijven.

Er zijn ook genoeg initiatieven in diverse branches die net zo iets doen als het NCSC voor de vitale bedrijven, maar het begint bij initiatief vanuit de eigen organisatie. En als je je IT uitbesteed hebt omdat je het zelf niet kan of wil, ontslaat het je niet van de verplichting om na te gaan of je leverancier wel in control is.

Goedkoop is duurkoop mensen. IT security is hoort geen sluitpost op de begroting te zijn.

[Reactie gewijzigd door Firefox op 22 juli 2024 23:08]

Alweer enige jaren geleden hadden we hier in Nederland "De Waarschuwingsdienst"... Weet je nog? Kon je als particulier en als bedrijf een gratis abonnement op nemen en dan kreeg je een waarschuwing in de mail als er kwetsbaarheden ontdekt werden of een virus rondwaarde...Is een stille dood gestorven ondanks doorslaand succes... Als ik jouw redenering nu vertaal naar de gezondheidszorg moeten dus alle consultatiebureaus opgedoekt worden want ouders moeten volgens die redenering zélf op zoek naar vaccins voor hun kroost en dat dan ook nog zélf toedienen... 8)7
Als je zo'n vergelijking wilt doortrekken, dan zou ik eerder denken aan een fabrikant van babyvoeding waar iets misgegaan is in een productieserie. Het lijkt me dan aan die fabrikant om te zorgen dat de klanten op de hoogte worden gesteld van de fout in het product.

In de software-wereld is dit ook gebruikelijk. De maker/verkoper van de software brengt zijn gebruikers/klanten op de hoogte van fouten en updates. Er zijn miljoenen software-pakketten en het is voor een organisatie als NCSC onmogelijk om alles te volgen en goede voorlichting te garanderen.
Maar toch wel al je bedenkt waar NCSC de afkorting van is? Nationaal Cyber Security Centrum
Bij mooie woorden horen ook daden, het is toch geen loze werkverschaffings-organisatie?
En tuurlijk ligt er ook verantwoordelijk het bij de leverancier, maar als NCSC dien je ook rekening te houden dat ze die verantwoordelijkheid niet adequaat pakken.
Het gebruik van de lekenterm "cyber" (ook in het Engels geen goed taalgebruik) en Engelse woorden geven al aan dat het hier gaat om een instituut dat helaas opgericht is in een hype. Het zou wel een goed instituut kunnen worden, maar ik zou beginnen met het aanpassen van die kinderachtige naam. B.v. "Rijksinstituut voor Informatieveiligheid".
Het helpen van private bedrijven door een overheid is niet zomaar een ding is wat een overheid zou moeten doen onder het mom van eerlijke concurrentie. Ik vraag me af of het juridisch kader sowieso aanwezig is in Nederland. Er zijn natuurlijk landen die dit wel actief doen. Dan denk ik aan een China. Die dit soort zaken zelfs offensief oppakken. Wij hebben op het wereldtoneel altijd een neutralere rol gehad, wat volgens mij goed voor ons heeft uitgepakt.
Leuk dat jij aan de naam van de organisatie een takenpakket ontleent, maar dat is helaas niet hoe de wereld werkt. Gelukkig heeft het NCSC een duidelijk gedefinieerde verantwoordelijkheid, welke vrij in te zien is op hun website. Het monitoren van security voor alle organisaties in Nederland valt hier niet onder.
@Wouterie De kans is groot dat Pulse secure mails heeft gestuurd naar actieve klanten, maar dat die klanten er niets mee hebben gedaan. Of mails zijn niet aangekomen bij de betreffende mensen (outdated emails) of blijven liggen op andere afdelingen. Maar als je na 15 maanden nog steeds geen kritische patches heb geïnstalleerd is er iets mis met de interne IT!

Je vergelijking is super scheef. Wil je die vergelijking maken, dan is het kind 18 maanden oud en heeft nog geen vaccinatie gehad, ouders hebben al verschillende brieven van de staat gekregen dat het kind ingeënt dient te worden, maar die brieven zijn ongeopend met het oud papier meegegaan of de ouder 'gelooft' niet in vaccinatie... Ondertussen wordt er op het nieuws al een jaar gewaarschuwd voor kinkhoest onder jonge kinderen en ondertussen zit het kind met zware hoest problemen en een longontsteking... Terwijl de ouders het afdoen als een langdurige verkoudheid...

De ouders hebben het kind 'geinstalleerd' en in gebruik genomen in deze vergelijking. Ze hebben het kind in zoverre gemaakt als dat je een willekeurige hoop DNA/RNA samenvoegt en er door natuurlijke processen een kind wordt geproduceerd. Daar komt 0,0 ontwerp van de ouders aan te pas.
Als de leverancier geen up to date contactgegevens heeft, hoe moet NCSC ze dan wel kunnen bereiken? Ik neem aan dat er een contract is met Pulse Secure, dat er dus een contracthouder en contactpersoon is. Als NCSC gaat mailen naar info@allebedrijvendiezekennen.nl dan schiet het ook niet echt op.
Volgens mij hoeven ze dat ook niet want er was een mooi lijstje van bedrijven met die kwetsbaarheid.
Wat een kromme vergelijking. Wie is de leverancier van vaccins en wie is de afnemer? Ouders kopen dit niet in bij de leverancier... Als ouders wel zelf zorg inkopen, dan kunnen ze weer nauwelijks terecht bij het consultatiebureau. Dus wat wil je nou eigenlijk zeggen met deze vergelijking?
Het wordt tijd dat de rol van het NCSC word verruimt om dit soort dingen te voorkomen. Hun platform moet ook opengesteld worden voor niet vitale bedrijven. Het is te gek voor woorden dat dat nog niet is gedaan. Hiermee had een hoop gezeik voorkomen kunnen worden.
Er wordt steeds geroepen dat Nederland cybertechnisch achterloopt. Op deze manier blijven we dat doen....
Het wordt tijd dat de rol van het NCSC word verruimt om dit soort dingen te voorkomen. Hun platform moet ook opengesteld worden voor niet vitale bedrijven. Het is te gek voor woorden dat dat nog niet is gedaan. Hiermee had een hoop gezeik voorkomen kunnen worden.
Er wordt steeds geroepen dat Nederland cybertechnisch achterloopt. Op deze manier blijven we dat doen....
Ik snap je idee, maar hoe schaal je het op naar nationaal niveau. Moeten we dan elke server in Nederland de beheerder gaan aanmelden zodat het NCSC die kan bellen in het geval dat men ergens over struikelt?

Hoe vervelend en moeilijk ook, maar als beheerder heb je een eigen verantwoordelijkheid. Het NCSC doet dit voor de vitale sectoren omdat de gevolgschade voor de "BV Nederland" te groot wordt, dus houdt men vanuit de overheid toezicht. Maar men is nu al onderbezet....
Nee, maar je kan wel om te beginnen een mailinglist maken waarmee kritieke flaws doorgegeven kan worden. Ja, er is een RSS feed, maar dat weten niet heel veel mensen.
Het NSCS kan ook een dashboard maken (hebben ze al genaamd MISP) en met een abbo model vrij geven, waarmee de kosten gedekt kunnen worden. Je zou zelfs kunnen zeggen hoe groter het bedrijf hoe hoger de contributie.
In dat dashboard kan je dan yara rules vinden en andere threatintel.
En nadat je een mailinglist gemaakt hebt moet je ook nog even een instagram en twitter account bijhouden want heel veel mensen weten niet dat je mailinglist hebt. En daarna moet je ze ook nog even allemaal bellen want heel veel mensen weten niet dat... etc etc. Systeembeheerders mogen best ook zelf hun verantwoordelijkheid pakken.
Ze hebben al een twitter en Linkedin account. ;)
Nee, maar je kan wel om te beginnen een mailinglist maken waarmee kritieke flaws doorgegeven kan worden. Ja, er is een RSS feed, maar dat weten niet heel veel mensen.
Mensen die die RSS feed niet weten te vinden, zullen de aanmeldpagina voor een mailinglist ook niet weten te vinden.
Het NSCS kan ook een dashboard maken (hebben ze al genaamd MISP) en met een abbo model vrij geven, waarmee de kosten gedekt kunnen worden. Je zou zelfs kunnen zeggen hoe groter het bedrijf hoe hoger de contributie.
In dat dashboard kan je dan yara rules vinden en andere threatintel.
Idem met hier boven. Ik ben het wel met je eens dat het vrijgeven van de MISP feed geen probleem zou hoeven op te leveren.
Ja, als er fysiek wordt ingebroken of je laat je deur open staan, komt de politie toch ook gratis langs? Wanneer de AIVD hoort dat er een aanslag gepleegd gaat worden bij fysiotherapiepraktijk "de stijve" maken ze toch ook niet de afweging of het wel een vitaal bedrijf is om te beschermen?
Het is dat de hedendaagse politie macht zelfs een markplaats scammer nog niet op kan sporen. maar in principe zou ik het wel mooi vinden als er inderdaad een politie afdeling zou zijn die niet alleen reageert maar ook preventief werk verricht.
Het is dat de hedendaagse politie macht zelfs een markplaats scammer nog niet op kan sporen. maar in principe zou ik het wel mooi vinden als er inderdaad een politie afdeling zou zijn die niet alleen reageert maar ook preventief werk verricht.
Dat doen ze niet eens fysiek: voor preventieadvies voor fysieke inbraak moet je ook een commerciele partij inschakelen, die eventueel wel een "politiekeurmerk veilig wonen" afgeeft. Maar als het gaat om betrokkenheid bij de controles is echt geen sprake....
Dat ligt er ook wel aan waar je woont. Toen ik nog op het platteland woonde, had ik een gezond respect voor de politie. Proactief, gezond verstand enz. Na een aantal jaar grote stad werd het helaas vooral scepsis.
Nu woonde we in een van de probleem wijken van NL en ontmoet de Politie helaas meerdere keren per jaar vanwege autodiefstal/ -inbraak, huis inbraak tot aan onder schot gehouden worden aan toe.
Het niveau van de gemiddelde agent was net zo treurig als die van de gemiddelde pracht jongere.
Terug op het platteland zie ik de bevestiging dat de politie wel echt je vriend kan zijn.
Herinner je nog "de Waarschuwingsdienst"? Liep toch als een trein maar is, door bezuinigingsdrift, een stille dood gestorven. Effectief? Check. Inclusief? Check. Nationaal? Check.
Dat was een goede dienst. Mee eens. Maar ik heb het beeld dat een hoop mensen in deze iscussie verwachten dat de overheid je gaat waarschuwen als ze een ongepatchte router aan het internet knoopt....
In Duitsland mailt de Duiste zuster van het NSCS het abuse adres dat bij het IP hoort en vanuit daar wordt de melding doorgezet naar de gene die dat ip gebruikt.

Dit is bijvoorbeeld een mail die we voor een van onze klanten kregen:
On 05 Jun 06:04, reports@reports.cert-bund.de wrote:
> Dear Sir or Madam,
>
> Redis is an open-source in-memory database server with a simple
> key-value data structure often used with dynamic web applications.
>
> If a Redis server is openly accessible from the Internet and no
> SASL authentification has been configured, anyone who can connect
> to the server has unrestricted access to the data stored with it.
> This allows attackers to modify or delete any data or potentially
> steal sensitive information like login credentials for web
> applications or customer data from online shops.
>
> Affected systems on your network:
>
> Format: ASN | IP | Timestamp (UTC) | Redis version
> 24940 | <IP> | 2019-06-03 17:28:49 | 5.0.5
>
> We would like to ask you to check this issue and take appropriate
> steps to secure the Redis servers on the affected systems or
> notify your customers accordingly.
>
> If you have recently solved the issue but received this notification
> again, please note the timestamp included below. You should not
> receive any further notifications with timestamps after the issue
> has been solved.
>
> Additional information on this notification, advice on how to fix
> reported issues and answers to frequently asked questions:
> <https://reports.cert-bund.de/en/>
>
> This message is digitally signed using PGP.
> Information on the signature key is available at:
> <https://reports.cert-bund.de/en/digital-signature>
>
> Please note:
> This is an automatically generated message. Replies to the
> sender address <reports@reports.cert-bund.de> will NOT be read
> but silently be discarded. In case of questions, please contact
> <certbund@bsi.bund.de> and keep the ticket number [CB-Report#...]
> of this message in the subject line.
Dat is nette dienstverlening.
En bovendien zijn er tal van bedrijven die dit soort diensten als commerciele dienst aanbieden (als 1 vd diverse maintenance diensten): als je dit voor iedereen gratis en voor niets doet.
En als bedrijven die gewaarschuwd zijn niets doen: moeten ze actief monitoren om te kijken of de bedrijven wel de adviezen opvolgen?
Sorry hoor: dit is imho echt een eigen verantwoordelijkheid waarbij overheids organisaties wel een algemene adviserende en informerende taak hebben. Maar actief iedere individueel waarschuwen... en voor wat dan: elke gemiste windows security update? Niet aanpassen van default ww? Waar stopt het?
Het NCSC heeft van de overheid de opdracht om dit alleen voor de vitale sector te doen. Die kun je het dus niet kwalijk nemen. Ze voeren simpelweg de opdracht uit die aan hen is opgelegd.

Er zijn wel al initiatieven die dit gat aan het opvullen zijn (grappig genoeg ook i.s.m. het NCSC):
https://www.connect2trust.nl
Wat ik me dan afvraag, hoe erg zou het zijn geweest als ze dan toch in dit geval een mail hadden verstuurd aan dit soort bedrijven? Hoe vreselijk is het in dit geval als je dan pro-actief buiten je mandaat gaat.
Waarschijnlijk is er geen haan die er naar kraait, hooguit een overijverige ambtenaar.
Je bedoelt een port scan doen op servers van bedrijven waar je geen recht hebt om dat te doen?
Nee? Als je het artikel leest, zou je deze zin moeten zien:
Het Nationaal Cyber Security Center was op de hoogte, maar ondernam geen actie omdat het niet om vitale bedrijven ging.
Daarin lijkt op te maken dat het NCSC deze kwetsbare bedrijven reeds in beeld had, maar dat het sturen van een mailtje (vanwege het mandaat) er blijkbaar niet af kan. Dat vind ik moeilijk te verkopen.
Wat is vitaal dan? Je kan het ze dus wel kwalijk nemen omdat ze met een slechte opdracht zijn gaan lopen ipv. teruggeven en zeggen: dit is knudde.
Het NCTV heeft een beschrijving van vitale infrastructuur. Deze wordt ook door het NCSC gehanteerd:
  • Energie
  • ICT/Telecom
  • Drinkwater
  • Water
  • Transport
  • Chemie
  • Nucleair
  • Financieel
  • OOV
  • Digitale overheidsprocessen
  • Defensie
bron

[Reactie gewijzigd door the_shadow op 22 juli 2024 23:08]

Hoewel ik het niet me je oneens ben, is dit altijd de “achteraf reactie”.
Als het bij voorbaat wordt gezegd en het benodigde budget daarbij wordt aangevraagd zijn er altijd weer andere prioriteiten die dat budget nodig hebben.
Waar wij, als tweakers, behoorlijk digitaal zijn en nut en noodzaak snappen hiervan, denk ik dat je als je dit een maand of 2 geleden aan “NL” had voorgelegd, het geld per direct naar de zorg werd gesluisd en niet naar het NCSC.
Ik persoonlijk zou liever het geld naar het NCSC zoen gaan dan naar weer een standbeeld in de stad, maar daar denkt de culturele sector natuurlijk heel anders over.
Dit is echt geen achteraf dingetje. onder andere de CISO van het bedrijf waar ik werk was hierbij betrokken.
Er is al heel lang een roep bij het NCSC om dit breeder aan te pakken. Ook voordat dit incident speelde.
Dit heeft er ook voor gezorgd dat er andere initiatieven zijn ontstaan (Nederlands Security Meldpunt bijv.) Puur omdat het NCSC het vertikt om ook de kleinere bedrijven een mailtje te sturen.
Ter aanvulling: het Nederlands Security Meldpunt is ook een initiatief van het Dutch Institute for Vulnerability Disclosure. Vandaar dat de sites ook zo op elkaar lijken :)
Of ze hernoemen zichzelf naar Sectoraal CSC natuurlijk, en halen hun budget voortaan bij de betreffende sectoren op..

Ik kan me best voorstellen dat sommige zaken wat makkelijker aandacht van zo'n NCSC krijgen dan anderen, maar de schetste interpretatie van hun 'mandaat' (of gebrek daaraan) gaat m.i. duidelijk te ver.

[Edit: typo]

[Reactie gewijzigd door Gwaihir op 22 juli 2024 23:08]

Gemiste kans. Maar als ik een raampje open zie staan bij de buren die op vakantie zijn, dan app ik ze zelf ipv dat ik de politie gaan bellen om daarna verontwaardigd te zijn dat die geen actie heeft ondernomen..
Ik vind deze metafoor niet opgaan. Immers de buren zijn weg en kunnen niet even snel het raampje dichtzetten.

Een bedrijf die zijn zaakjes niet op orde heeft, en die gewaarschuwd wordt, kan wel actie ondernemen. Doen ze dat nog niet dan is het niet gek dat er ingebroken wordt.

Waarom had er niet een mail van NCSC uit kunnen gaan naar die bedrijven met je raampje staat open? Wat in onze wet of procedures belemmert de NCSC om dat te doen? Dit is toch een gemiste kans?

Ik ben wel benieuwd welke type bedrijven er buiten het wettelijk mandaat vallen en of deze niet gewoon geïnformeerd hadden kunnen worden met een simpele mail. Dit had een heleboel schade bij deze bedrijven kunnen voorkomen.
Al wordt het bedrijf niet gewaarschuwd door de overheid, dan nog vind ik dat ze zelf ook wel aktief mogen bij houden wat er staat en of er patches beschikbaar zijn voor de apparatuur die ze hebben.
Ik hou ook zelf de firmware van mijn beveiligingsapparatuur in huis bij, daar hoeft de overheid mij niet voor te waarschuwen. De fabrikant geeft de melding dat er een nieuwe update is.

In het geval van dit probleem is de patch sinds mei 2020 uit (als je nog op 9.0 draait ipv 9.1) 24 april 2019 en wordt er al even voor gewaarschuwd door Pulse Secure zelf ( https://kb.pulsesecure.ne...urity_Advisories/SA44101/ ) en heeft deze een CVSS score van 10 meegekregen wat eigenlijk inhoud: direct installeren.

Neemt overigens niet weg dat het ontzettend lang geduurd heeft voordat ze het probleem opgelost hebben.. meer dan een jaar (blijkbaar is er al een fix sinds 24 april 2019). En ik vraag mij af of er gereageerd was als het NCSC het als extra waarschuwing had gepubliceerd. Bij de Citrix patch hebben ze dat wel gedaan en reageerde er ook niemand op in december.

EDIT:
Ik zie dat het nog veel erger is. In April 2019 heeft Pulse Secure bedrijven aktief gewaarschuwd (via bovenstaande advisory) voor dit probleem en dat er een out-of-band fix beschikbaar was. In januari dit jaar heeft er ook al een heel artikel gestaan dat 1000-den bedrijven vatbaar zijn.
https://www.scmagazineuk....access%20on%20the%20Pulse
Beyond issuing the original public Security Advisory – SA44101, but commencing that day in April 2019, we informed our customers and service providers of the availability and need for the patch via email, in product alerts, on our community site, within our partner portal, and our customer support web site. Since then, our customer success managers have also been directly contacting and working with customers.
Edit2: Het gaat niet alleen om PulseSecure
Threat actors will take advantage of the vulnerability that was reported on Pulse Secure, Fortinet and Palo Alto VPN products
Oftewel: deze bedrijven hebben echt zelf de boot gemist en een gat in hun security laten ontstaan. Zo te lezen hebben ze er alles aan gedaan om hun klanten te informeren.

[Reactie gewijzigd door SunnieNL op 22 juli 2024 23:08]

Volgens mij stel ik nergens dat bedrijven niet zelf hun beveiliging op orde zouden moeten hebben dat zou wel moeten. Dit is echter natuurlijk de perfecte wereld en zoals de praktijk nu uitwijst gebeurd dit lang niet altijd.

We kunnen nu wel heel makkelijk die bedrijven zelf de schuld geven en zeggen eigen schuld dikke bult. Echter aan de bedrijfsbelangen hangen ook banen van burgers. burgers die onze overheid zou moeten beschermen. Daarnaast kan buitgemaakt informatie van marktpartijen ook gebruikt worden tegen burgers.

Als dan een beveiligingsonderzoeker een lijstje maakt met bedrijven die een lek hebben vind ik het gewoon onverantwoord om deze bedrijven niet in te lichten en de informatie naar de prullenmand te verwijzen.

@Groningerkoek Misschien moet er dan toch maar is worden nagedacht over hoe we dit soort informatie bij bedrijven kunnen krijgen. Ik heb hier ook geen kant en klare oplossing voor en ook geen inzicht in waar het geld vandaan moet komen maar volgens mij is voorkomen altijd beter dan genezen.

Mogelijk dat bedrijven zelf tegen een lichte vergoeding lid kunnen worden van een door de overheid beheerde verzamelpot met dit soort info. Dan kan een deel van de kosten terug worden gewikkeld naar het bedrijfsleven.
Het informeren is een probleem, maar dat was in dit geval allemaal al gebeurd en de NSCS had geen enkele toegevoegde waarde kunnen bieden. Het andere probleem is dat bedrijven vaak erg laks zijn met dit soort dingen, die zeggen rustig in in April: Oh yep serieus probleem, volgend jaar maar even kijken.
Tja tegen laksheid bestaat natuurlijk geen oplossing behalve een schop onder de kont.
Je zou het kunnen kwalificeren als uitlokking als er zonder zeer goede reden pas laat wordt ingegrepen en dan kan het beboet worden, net zoals dat jij een boete kunt krijgen voor het open laten staan van je autoramen met een camera op de achterbank.
Het NCSC werkt met een zogenoemde 'FotoLijst'. Aangesloten organisatie geven dan aan bij het NCSC welke producten ze hebben (high-level) en het NCSC stuurt beveiligingsadviezen wanneer er voor iets van jou producten wordt gemeld. ( https://www.ncsc.nl/actueel/beveiligingsadviezen )

Initieel heeft het NCSC het Pulse lek met CVE10 ingeschaald op een Low/Medium en dus niet echt actie ondernomen.... Pulse heeft wel haar klanten gemaild over de CVE en het advies te upgraden (SA44101)

Pas toen de Black-Hat presentatie was gegeven met de hack op Twitter en het publiceren van de source code to attack, werd het High/High en werd er ineens actief gecommuniceerd en gescand. (zowel NCSC als Resellers)
Jammer dat het dan al eind augustus 2019 was....

Nu is het een jaar later en komt dit nog steeds terug omdat bedrijven hun beveiligingsbeleid niet op orde hebben.

PS: Voor zij die het blog willen lezen over het lek en een How-To video...
https://blog.orange.tw/20...lse-secure-rce-chain.html
Als ze elke keer bedrijven bij dit soort dingen moeten benaderen moeten ze wel het budget krijgen voor een eigen afdeling/call-center die dit soort dingen oppakt. Hoeveel werk denk je dat het is om een mailing te maken waarbij je eerst zelf honderden mailadressen nog moet opzoeken? En de politiek moet de taakomschrijving aanpassen.
Het ging nu alleen wel over bijzonder veel raampjes.
Met een lijst van domeinen en een tactische WHOIS-lookup kun je zo een lijstje van securitycontactadressen vinden. Als dat securityadres niet correct is, is dat een groot probleem omdat veel domeinregistratieinstanties dan tot intrekking van het domein over kunnen gaan.

Aan de andere kant kun je bij kutbedrijven dan een rechtszaak aan je broek krijgen, en met 900 bedrijven is de kans groot dat er wel eentje tussenzit die niet graag op hun falen gewezen wordt.

Ik had het op dezelfde manier gedaan eerlijk gezegd, gewoon om te zorgen dat ik niet direct in de vuurlinie van gehackte bedrijven zou liggen.
Met een lijst van domeinen en een tactische WHOIS-lookup kun je zo een lijstje van securitycontactadressen vinden. Als dat securityadres niet correct is, is dat een groot probleem omdat veel domeinregistratieinstanties dan tot intrekking van het domein over kunnen gaan.
Dat is de theorie, ik heb het in praktijk nog nooit zien gebeuren dat iemand z'n domein kwijt rakat om dat de contactinformatie niet klopt. Zolang de rekening maar betaald wordt loopt alles gewoon door.
met 900 bedrijven
Het kost natuurlijk wel een bak tijd om 900 bedrijven te benaderen en door te dringen tot iemand van management of de technische dienst die het probleem snapt. Iemand zal daar voor moeten betalen.
Mijn baas zit er niet op te wachten dat ik een paar weken bezig ben met andere bedrijven te informeren.
Ik heb een geval rechtstreeks gehoord van legitiem persoon die een domein kwijtraakte door foutiveve informatie. Het kan ook gebeuren door opdrachten van overheden en door handelen van registries en top level domain beheerders zelf. Sommige operators zijn niet mals en handelen snel bij misbruik.

ARF is een oplossing om abusemeldingen te automatiseren. Er is software voor beschikbaar, maar hoe dan ook, de eerste keer dat opzetten kost veel tijd. Je kunt als security researcher ook aansluiting zoeken bij mensen die dit al hebben opgezet, maar die zijn niet dik gezaaid en soms is het alleen commercieel beschikbaar.
Met een lijst van domeinen en een tactische WHOIS-lookup kun je zo een lijstje van securitycontactadressen vinden.
Als ik een `whois tweakers.net` doe. Zie ik voornamelijk "REDACTED FOR PRIVACY" en niet eens een contact adres van tweakers zelf.
Je hebt gelijk, dat zal wel standaard zijn nu de GDPR van kracht is gegaan. Jammer, dan werkt dat trucje niet.
Heeft niets met GDPR te maken, het wordt al jaren (al gezien in 1994) aangeboden bij domain namen om een "secure" identity te krijgen. veelal zit er een referentie aan een merken bureau in zodat die kunnen monitor of er ergens inbreuk op merknamen gedaan wordt. Dan wel een "extra" dienst om meer geld van een klant te vangen door een domain verkoper. kost maar $ 10/ jaar / domain naam oid.
1994 is ruim voor welke vorm van privacy wetgeving dan ook.
Ja, dat geloof ik, maar voor zover ik weet is het wel jaren de standaard van goede bedrijven geweest om op zijn minst een security- of abuse-adres neer te zetten in de WHOIS, al is het maar een verwijzing naar security@bedrijfsnaam.nl.

Veel hostingproviders hebben nu een vinkje "verberg gegevens" ofzo dat standaard aanzet en gewoon alle gegevens weghaalt. Wel zo makkelijk voor namen, maar dit soort praktische adressen worden daarmee ook weggehaald...
Veelal werden adressen buiten beeld gehouden om spammers geen ingang te bieden. (pre filter/ SPF/DKIM/... tijdperk ...) en er waren geen "security" issues. De ISP zette vaak een abuse adres neer op de IP whois informatie.
Zelfde antwoord als hierboven:
https://www.sidn.nl/whois/?q=tweakers.net
Ik zie meer, wel even doorklikken op "Toon mij de gegevens"
Wou gaan mopperen, dat je dat niet kan automatiseren.
Maar deze is gewoon beschikbaar zonder te moeten klikken https://api.sidn.nl/rest/whois?domain=tweakers.nl
Ik geef toe, je moet inderdaad soms wel net wat meer moeite doen dan alleen de WHOIS te checken van de website zelf. Maar als je op SIDN.nl bij dpgmedia.nl kijkt dan krijg je wel degelijk een technical contact te zien.
Een beetje hacker kan toch de (security) contact van een domain wel uit WHOIS trekken en dan geautomatiseerd waarschuwen? Over de schutting gooien bij een overheidsinstantie die daar niet op ingericht is, is ook weer zoiets. Al is het wel echt jammer dat ze geen feedback hebben gegeven, dan had er alsnog de keuze gemaakt kunnen worden om zelf te waarschuwen.
Volgens die redenatie kan een beetje overheidsinstantie dit ook prima. Een instantie zoals NCSC zou juist heel erg blij moeten zijn met mensen zoals Matthijs Koot. Als je vervolgens onderzoeksresultaten op een presenteerblaadje krijgt aangeboden en alleen nog hoeft te informeren, is het wel heel erg makkelijk om te zeggen dat dit buiten scope valt.
Dat er iets gevonden word en dit vervolgens aan een instantie gemeld word die er weinig tot niets mee lijkt te doen vind ik tot daar aan toe.

Maar volgens mij is het nog steeds de verantwoordelijkheid van de bedrijven zelf om te controleren op dit soort zaken en de door hun gebruikte software up to date te houden.
Er was inmiddels ook al een patch/update uit... Dus je moet de laksheid van bedrijven niet afschuiven op een instantie die daar niet voor verantwoordelijk is.
Ja, maar hef dan gewoon het NCSC op. Die hebben als taak: "Wij voorkomen maatschappelijke schade en beperken dreigingen". Alleen de beperking vitaal (wat een of ander random lijstje is) houd ze tegen te doen waarvoor ze betaald worden.
Dat klopt niet helemaal wat je zegt.
Het NCSC is het centrale informatieknooppunt en expertisecentrum voor cybersecurity in Nederland en draagt van daaruit bij aan het vergroten van de digitale weerbaarheid van de Nederlandse samenleving, specifiek de digitale weerbaarheid van Rijk en vitale aanbieders.
Het betreft hier dus specifiek het Rijk en Vitale aanbieders.
Wat dan "vitale aanbieders" zijn kan nog over gediscussieerd worden, maar over het algemeen zijn dat bedrijven en instanties die vitale zaken beheren in ons land, zoals waterschappen, energiebedrijven en bv spoorbedrijven.
Niet alle I(C)T gerelateerde bedrijven zijn vitaal.

Op mijn werk krijgen wij ook meldingen van het NCSC, maar 9 van de 10 keer zijn wij al op de hoogte omdat wij zelf ook van onze vendors zelf bericht krijgen, of het al via de RSS feeds binnen hebben.

[Reactie gewijzigd door Thasaidon op 22 juli 2024 23:08]

De discussie zit voornamelijk op de definitie van vitaal. Een bedrijf wat failiet gaat omdat ze niet op tijd gepatched hebben en overlopen worden met malware is heel sneu, zeker omdat er mensen op straat komen. Maar dat is niet vitaal tenzij je toevalig handelt in uranium. Dan had je wel een telefoontje gekregen. Ik betwist niet het nut van het NCSC maar wel de keuze voor wat men vitaal vind. Zo zit scheepvaartverkeer er wel op, maar transport over de weg niet. Als dat goed platgelegd wordt en de supermarkten leeg zijn, zijn er ook rellen. Vandaar dat ik het lijstje nogal arbitrair vind.
Helemaal mee eens. Maar uiteindelijk doe je dit om indirecte gedupeerden te beschermen, zoals gebruikers, andere bedrijven die zaken doen met deze bedrijven, schade aan de economie etc.

Hetzelfde argument kan gebruikt worden bij grote bedrijven die omvallen en staatssteun nodig hebben. Dit gebeurt vaak ook om de impact op de omgeving te minimaliseren, niet omdat het bedrijf zelf nu zo belangrijk is.
Sinds GDPR is de whois database nog al waardeloos geworden.
Een bedrijf moet vaak expliciet toestemming geven om contact gegevens, te publiceren in de whois database. Als de hoster van het domein er al aan mee wilt werken.
Whois staat nog steeds vol gegevens hoor. GDPR is namelijk voor persoonsgegevens en niet voor bedrijfsgegevens.
Dus je kan nog steeds een administratief/technisch contact persoon (email) daar vinden.
Als ik een `whois tweakers.net` doe. Zie ik voornamelijk "REDACTED FOR PRIVACY" en niet eens een contact adres van tweakers zelf.

tweakers.net gebruik ik nu al voorbeeld.
Sommige TLDs mag je inderdaad je domein boer je gegevens laten maskeren. Maar als het goed is blijft er dan een optie over om via de domein boer nog steeds in contact te komen met de eigenaar.

Maar bij .nl mag dat niet, dus voor de meeste NL bedrijven kan je heel makkelijk de contactgegevens krijgen via sidn.
Als je het gemaskeerde e-mail adres mailt komt dit alsnog bij diegene die bijvoorbeeld de administratieve contact persoon is (of de technische contactpersoon wat me dit geval handiger lijkt). Er staat wel ergens beschreven hoe je dit kunt doen. Ik ben achter de methode gekomen bij het indienen van een juridisch verwijder verzoek bij Google.
https://www.sidn.nl/whois/?q=tweakers.net
Ik zie meer, wel even doorklikken op "Toon mij de gegevens"

[Reactie gewijzigd door bit3m3 op 22 juli 2024 23:08]

Dat klopt, maar het is alsnog niet bruikbaar want daar mag/kun je geen massale oproepen uitvoeren.

De sidn whois server geeft die gegevens niet de laatste keer dat ik keek. Daar heb je als onderzoeker ook last van query rate limiting en vaak wordt niet eens aangegeven wat de limieten zijn.

Als een partij als NCSC wel toegang heeft tot de informatie, direct of indirect (via SIDN), dan zijn zij de partij die wel kunnen waarschuwen.

Er is nog een optie en dat waarschuwen met behulp van netwerk whois (zoals van ripe). Dat kan in een RFC gestandaardiseerde rapportage formaat (ARF) zodat ontvangers het kunnen automatiseren.

Maar dat is ook niet eenvoudig uitvoerbaar voor een onderzoeker. Het zou wel iets zijn dat de NCSC zou kunnen ontwikkelen als ze het niet al hebben.
Maar blijkbaar wist NCSC welke ramen dat waren.
Nadat de kwetsbaarheid in Pulse Secure vorig jaar bekend werd gemaakt, vonden beveiligingsonderzoekers, onder wie Matthijs Koot, honderden kwetsbare bedrijven in Nederland. Koot stuurde zijn bevindingen naar het NCSC, omdat individueel benaderen van de bedrijven niet haalbaar was.
Voor een individu inderdaad niet haalbaar, maar voor de NCSC wel.

Dat ze zich focussen op vitale bedrijven is een ander verhaal, maar het excuus dat het veel ramen zijn is in mijn mening nosense.
Pulse Secure had al zijn klanten moeten informeren.

Tevens moet het mogelijk zijn om, de bedrijven welke geen patch hebben geïnstalleerd, te blokkeren. Nemen ze vanzelf wel actie.
Wie moet die beslissing nemen? Pulse Secure? Ik denk dat al hun klanten onmiddellijk overstappen. Bedrijven willen zelf beslissen welke risico's ze accepteren en dat is terecht. Niks zo irritants als een leverancier die regels stelt aan wat je mag doen met apparatuur of software waar je voor hebt betaaald.
Mijn eigendom, mijn regels.

Als we dit willen zal de overheid het moeten doen zodat dit in gelijke mate wordt afgedwongen voor alle bedrijven, want individueel zullen ze het nooit doen, dat is zakelijke zelfmoord.
Het punt is dat er gewoon een patch voor het lek was. Een beetje bedrijf informeert zijn klanten als er een lek gedicht is. Het zou zomaar kunnen dat ze dit ook gedaan hebben, dat weet ik niet, en dat de beheerders bij de bedrijven het niet hebben geupdate.
Natuurlijk moest Pulse Secure de mensen informeren. Indien dat niet gebeurd is is dit nalatigheid. Na x aantal tijd zou het ook niet verkeerd zijn om de onveilige verbindinen te blokkeren.

Microsoft en andere grote vendors doen dat ook, oude-niet veilige protocollen blokkeren via Windows Update. Ik denk niet dat er al veel mensen 'gaan lopen' zijn omdat Microsoft dit doet.

Oké het is even onhandig als bedrijf wanneer er iets meer werkt, maar ik ben zelf System Engineer en zoek dan liever op dat moment een oplossing (of workarround) dan wanneer ik onwetend ben en mijn systemen nog 1 jaar onveilig werken tot dit gebeurd..
Die allemaal in 1x tegelijk dicht konden.
Het ging nu alleen wel over bijzonder veel raampjes.
En grootschalig alarm slaan is de NCSC ook niet in dank afgenomen. In de nasleep van het Citrix lek is er behoorlijk veel discussie geweest waarom het NCSC zo groot en publieklijk alarm heeft geslagen. De doelstelling van het NCSC was op zich terecht, maar in praktijk zag je ineens in Nieuwsuur en andere programma's "het grote bedreigende Citrix-probleem" opduiken. Daardoor werden directies ineens wakker, en hadden CISO's ineens een dagtaak aan het uitleggen dat men Citrix niet gebruikte, waardoor andere zaken zijn blijven liggen.

Voor dit soort dingen moet je als bedrijf niet afhankelijk zijn van een overheidsorganisatie die toevallig een kwetsbaarheid ziet vanaf het internet. Je moet als bedrijf structureel weten wat je in huis hebt, structureel in de gaten houden wat je leveranciers voor advisories uitgeven en via routinematige processen strak patchen. Dan ben je in control. De rest is alleen maar paniekvoetbal.

[Reactie gewijzigd door J_van_Ekris op 22 juli 2024 23:08]

En is het dan uiteindelijk de schuld van die politie, of hadden de buren dat raampje gewoon niet open moeten laten staan.
De toon van dit nieuwsbericht neigt naar het eerste, maar die bedrijven hadden natuurlijk hun zaakjes op orde moeten hebben.
Hier sluit ik me volledig bij aan. De verantwoordelijk is en blijft die van de bedrijven zelf.
Hoe dan als je niet weet dat het slot gekraakt is, en er geen patch is of melding van fabriek af.
Net als jij en ik burgers een soort van burgerplicht hebben en nalatigheid in de wet is opgenomen.
Dan heeft een overkoepelende veiligheidsdienst die verantwoordelijkheid toch ook

Edit.
Oh hier was een patch beschikbaar, maar idd vraag is, moet je dan iedereen waarschuwing geven als overkoepelende...???

[Reactie gewijzigd door Mel33 op 22 juli 2024 23:08]

Mee eens. De vraag is dan echter waarom wij een met publiek geld gefinancierd Nationaaal Cyber Security Center moeten betalen. Als die tent er alleen maar is voor "vitale" bedrijven, dan dienen die bedrijven het NCSC te financieren.
Het is ófwel een publieke organisatie, en dan dienen ze geen onderscheid te maken, dànwel een vehikel voor bepaalde bedrijven, maar dan dienen ze een ander financieringsmodel te kiezen.
Mee eens. De vraag is dan echter waarom wij een met publiek geld gefinancierd Nationaaal Cyber Security Center moeten betalen. Als die tent er alleen maar is voor "vitale" bedrijven, dan dienen die bedrijven het NCSC te financieren.
Het zijn meestal commerciele bedrijven die een sleutelrol vervullen bij het in leven houden van Nederland (zie https://www.nctv.nl/onder...verzicht-vitale-processen). Dus energieleveranciers, waterleveranciers, Rijkswaterstaat, etc.. Bedrijven waarbij letterlijk het gehele land geheel stilvalt als ze het verprutsen.
Het NCSC heeft een RSS feed waar iedereen gebruik van kan maken. Echter, vitale bedrijven (waarvan duidelijk is dat problemen "maatschappij ontwrichtend" zijn) worden met het handje nagebeld met de waarschuwing dat ze a.u.b. z.s.m. hun problemen moeten fixen.
Het is een "fout" van het bedrijf (de buren), dat ze voor bekende problemen vatbaar zijn.
Maar de NCSC (politie) had van mij, wel het raam mogen dicht doen. Als de hele buurt er last van heeft.
De politie doet het raam niet dicht. Ze geven alleen een extra waarschuwing naast die van de fabrikant van het raam. Daarnaast had je ook een systeem kunnen kopen dat jou waarschuwd dat je raam nog open staat (vulnerability scanner) want die had het ook wel opgemerkt met een CVSS score van 10.
misschien hadden de buren het raampje niet open moeten laten staan, maar eigenlijk hoort iedereen met de tengels van andermans spullen af te blijven.
En wat als je bij de hele straat, ieder huis, een raampje open ziet staan?
Groepsapp van de wijk gebruiken.
Dat hebben maar weinig wijken + het is wel wat groter dan een wijkje.
Daar bereik je ook alleen maar de groep mee die toevallig DIE App gebruiken
Probleem is alleen dat er heel veel raampjes open stonden, in heel veel wijken en in heel wat steden. Succes met appen. :)
Als de hele stad open staat, dan niet.
Gemiste kans. Maar als ik een raampje open zie staan bij de buren die op vakantie zijn, dan app ik ze zelf ipv dat ik de politie gaan bellen om daarna verontwaardigd te zijn dat die geen actie heeft ondernomen..
Snap ik. Maar hoeveel moeite ga je er in stoppen als je niet het telefoonnummer van de buren in je toestel hebt zitten. Of dat het een bedrijf is waar je een raam ziet openstaan als je 's avonds laat voorbij loopt.

Ik denk dat dat het voor de hand ligt dat als je als burger of overheid iets ziet dat je het probeert te melden bij de verantwoordelijke zodat deze actie kan nemen. Echter, we verwachten niet van de politie dat ze actief gaat controleren of iedereen zijn huis wel goed afsluit en ons belt als dat niet voldoende gebeurd is. Dit komt omdat dit private idee niet opschaalt naar landelijk niveau. Zeker niet als het mensen/bedrijven zijn waar je niet rechtstreeks een band mee hebt georganiseerd.
Precies.
Koot is boos omdat Koot niet heeft gedaan waarvoor zijn initiatief is opgericht, meer dubbele maatstaven kun je je niet voorstellen.
Misschien dat Koot intern eens de noodklok moet gaan luiden in plaats van vingertje wijzen.
Het komt op mij inderdaad ook erg over als "wij hebben de capaciteit niet, maar hullie hadden wel moeten bellen met al deze bedrijven". Beetje flauw, het NCSC heeft deze waarschuwing ook de deur uitgedaan, als je als bedrijf een beetje serieus de dreigingen in de gaten houdt had je hem echt wel gezien.
De metafoor klopt niet.

Er zit een productiefout in de sloten van je buren's ramen waardoor het mogelijk is om makkelijker in te breken terwijl ze het gevoel hebben dat het veilig is. De leverancier is op de hoogte van het probleem en heeft een kosteloos alternatief beschikbaar (aangeboden of niet, dat staat niet in het artikel). Vervolgens zou de politie dit moeten komen melden.

Als je een raam zelf open laat staan neem je bewust een risico. In het geval van een defect slot, neem je geen bewust risico tenzij de leverancier dit heeft vermeldt.

Daarnaast ga je er hierbij vanuit dat je de contactgegevens van je buren hebt, maar zou je ook de moeite nemen om die eerst nog op te zoeken, vooral als het meerdere onbekende buren betreft.
Alleen ging het er hier om dat alle ramen op de bovenverdieping en de tuindeur openstonden. Dat is wel even wat anders dan slechts "een raampje".
Wat mij steeds weer verbaast bij dit soort berichten is dat wachtwoorden kennelijk in 'plain text' worden opgeslagen?
Wachtwoorden worden niet plaintext opgeslagen, Echter door het lek te misbruiken haal je de wachtwoorden uit een database en kun je ze decrypten. Dat wordt dan wel weer 'plain text' gepubliceerd of doorverkocht.
Het lijkt me dat ze gewoon gigantische rainbow tables gebruiken. Honderdduizenden wachtwoorden die al gehashed zijn, dan vergelijken, en als het gelijk is weet je het wachtwoord (een rainbow table bevat een hash en het bijbehorende plain text wachtwoord)
De wachtwoorden waren onversleuteld opgeslagen op een forum door een hacker (volgens ZDNet). Er staat nergens dat er gebruik gemaakt wordt van plain text paswoorden.
Bor Coördinator Frontpage Admins / FP Powermod 17 augustus 2020 10:42
Organisaties 'buiten het wettelijk mandaat' kunnen niet geïnformeerd worden, aldus de instantie.
Hoe steekt dit juridisch in elkaar vraag ik mij dan af. Waarom kunnen bedrijven buiten het wettelijk mandaat niet geïnformeerd worden en wat is het doel van zo'n beperking?
Het bestaansrecht van zo'n organisatie is gedefinieerd in het wettelijk mandaat. Die legt op welke functie moet worden verricht, en beperkt tot die definitie. Je wilt bijvoorbeeld niet dat de nationale politie ineens een taxi dienst (met zwaailichten) gaat aanbieden. Als het wettelijk mandaat enkel is vitale bedrijven informeren over kwetsbaarheden, dan kunnen ze niet meer doen voor niet vitale bedrijven.
Dat hadden, ze in het kader van de communicatie die reeds plaatsvond, zonder een besluit te nemen, ook best even naar de hackers kunnen terugkoppelen hoor.
Die hadden dan een 'besluit' tot waarschuwing van die niet-essentiële bedrijven kunnen nemen.

Volgende keer de kranten inlichten ipv ncsc.
In dit geval was het vrij duidelijk om welke bedrijven het ging, maar als je dan weer terug gaat naar het Citrix probleem...wie informeer je dan? Alle 1,8 miljoen bedrijven direct? Of dan maar algemeen. Maar als je 1x direct communiceert bij een issue, wat doet een bedrijf wanneer het geen directe waarschuwing krijgt? Welke van die 1,8 miljoen bedrijven draait welke software?
Hoe steekt dit juridisch in elkaar vraag ik mij dan af. Waarom kunnen bedrijven buiten het wettelijk mandaat niet geïnformeerd worden en wat is het doel van zo'n beperking?
Om te voorkomen dat ze in alle goede bedoelingen ook dingen gaan doen die niet de bedoeling zijn. Zoals het pentesten van jouw server.

En het hangt af van formatieplaatsen: je krijgt een opdracht, en in de ideale wereld dan ook precies voldoende mensen om het werk te doen. Extra werk (en dus extra mensen en kosten) zijn dan uit den boze tot een beleidsmaker/wetgever beslist dat dat deel van de organisatie extra dingen moet gaan doen.
Sorry, maar moet de overheid zorgen dat deze bedrijven hun beveiliging op orde houden, het gaat niet om een zero day lek, de patches zijn beschikbaar? Ik vind dat niet.
Als jij als bedrijf schade leidt doordat je zo dom bent niet te patchen, is dat jou keuze. Beheer van je omgeving betekend ook weten dat je leverancier patches uitbrengt.

[Reactie gewijzigd door swhnld op 22 juli 2024 23:08]

Uiteindelijk is de rol van de overheid natuurlijk ook om haar burger en bedrijven te beschermen tegen criminaliteit. Net zoals dat de politie preventief patrouilleert door de stad of op komt dagen als er wordt ingebroken zou dit in het digitale domein niet anders hoeven te zijn. Het is immers ook een kleine moeite (naar mijn mening), de informatie hadden ze al maar ze kiezen er bewust voor om er niks mee te doen.

De FBI, om maar een voorbeeld te nemen, houd cyber dreigingen actief in de gaten en waarschuwt bedrijven hiervoor.
nieuws: FBI waarschuwt bedrijven voor hackersgroep die usb-sticks met malware...
nieuws: FBI helpt bedrijven hackers te ontmoedigen door het planten van nepdata
nieuws: FBI waarschuwt bedrijven voor opkomst van nieuwe typen ddos-aanvallen
De rol van de overheid is je beschermen, maar niet als politieagent voor je deur staan om te controleren of je het wel op slot doet als je weg gaat, of wel? De reclames zijn er voor, Deur op slot, ramen dicht, licht aan, geef inbrekers geen kans. Overheid stopt bij waarschuwen.

Daarbij de vraag is altijd, hoe ver moet het gaan, en hoeveel belastinggeld mag het kosten, en wie gaat dat betalen? Extra taak voor overheid is meer belasting voor ons (of ze de belasting voor bedrijven verhogen en die het doorberekenen naar de klanten, of dat de belasting rechtstreeks voor de burgers omhoog gaat in de vorm van bijvoorbeeld BTW, jij en ik betalen de rekening).

Voor bedrijven is het heel simpel, IT oplossingen implementeren en onderhouden kost geld. Door geen onderhoud te doen spaar je kosten uit, maar loop je een risico op inbraak. Dat risico kun je als bedrijf gewoon nemen en geld uitsparen om je winst te maximaliseren. Gaat het dan mis, gaat het je alsnog geld kosten of ben je failliet. Maar zulke afwegingen maken is een kwestie van risico nemen om een bedrijf te draaien. Wil je geen risico nemen moet je niet gaan ondernemen maar een baan in loondienst zoeken.
Wat je hier aanhaalt zijn algemene meldingen zoals die door het NCSC ook gedaan worden. Dit staat ook in het artikel:
Het NCSC waarschuwde eind vorig jaar wel dat veel Nederlandse bedrijven nog kwetsbaar waren omdat ze gebruikmaakten van verouderde vpn-software. Dat ging echter om een algemene waarschuwing, de getroffen bedrijven zijn niet individueel op de hoogte gebracht.
Waar Koot nu tegen ageert is dat het NCSC niet bij alle bedrijven los is langsgegaan met deze waarschuwing in de hand. Dat is dan ook wat ik hierin wat apart vind, er wordt immers ook gezegd dat het instituut waar Koot is aangesloten "[zelf] niet de middelen [heeft] om iedereen te bellen." Iets zegt me dat voor alle lekken alle bedrijven van Nederland rondbellen over kwetsbaarheden ook niet binnen de middelen van het NCSC valt.
Dat is wel echt een erg veelvoorkomend probleem. Ik spreek in ieder geval uit persoonlijke ervaring dat je soms afhankelijk bent van een leverancier van een stukje software en er zijn geen/weinig andere opties.

Die leverancier patcht en updatet de boel voor een jaar elke maand. Daarna elk halfjaar. Na 3 jaar komt er geen update meer. Ja wat doe je dan?

Het is dus niet zo zwart/wit. Kijk uit laksheid is dan weer wat anders..
HetNCSC heeft natuurlijk wel een zorgplicht. Als ambtelijke instantie hebben ze de plicht om te verwijzen naar andere al dan niet ambtelijke instanties. Er is gewoon sprake van plichtsverzuim. Disciplinaire maatregel zijn op zijn plaats, evenals kamervragen.
Nee hoor, die plicht hebben ze niet.
HetNCSC heeft natuurlijk wel een zorgplicht. Als ambtelijke instantie hebben ze de plicht om te verwijzen naar andere al dan niet ambtelijke instanties. Er is gewoon sprake van plichtsverzuim. Disciplinaire maatregel zijn op zijn plaats, evenals kamervragen.
Weet je dit zeker? Volgens mij gaat het NCSC alleen over vitale sectoren. Niet over andere dingen. De rest is voor de commerciele partijen (zoals Juniper). Als Juniper al niet kan achterhalen wie een van hun producten in gebruik heeft, hoe moet een NCSC (die geen enkele bestaande relatie heeft met het overgrote deel van de bedrijven in Nederland) dat dan wel? Ze hebben een taak uit te voeren om de vitale infrastructuur van Nederland veilig te houden, volgens mij hebben ze daar hun handen al vol aan....
Ik lees nergens dat hij Pulse Secure heeft ingelicht, zij zouden hun klanten moeten inlichten, daardoor zouden ineens alle klanten op de hoogte kunnen worden gebracht ipv enkel de Nederlandse die hij gevonden heeft.

Als je een lijst van 900 bedrijven kan scannen, dan kan je ook wel mailadressen vinden om hen op de hoogte te brengen, zonder dat je ze allemaal moet opbellen zoals in de jaren 80 :/
Misschien wel, maar als je op die manier je verantwoordelijkheid pakt, moet je
- 900 emailadressen vinden. Webmster@.... zal wel niet overal werken
- 900 emails versturen (en dan zo, dat bedrijven het niet als spam afdoen, dat lijkt me nog niet 1-2-3 gedaan)
- controleren welke daarvan aankomen en welke niet
- controleren bij welk bedrijf de storing is opgelost
- niet aangekomen emails opnieuw een goed email adres opzoeken

en ga zo maar door. Ik kan me de reactie van de onderzoekers om het bij het NCSC te beleggen prima voorstellen. Overigens stel ik voor elk bedrijf dat privacy-gevoelige informatie van Nederlanders heeft tot een vitaal bedrijf te benoemen.
Overigens stel ik voor elk bedrijf dat privacy-gevoelige informatie van Nederlanders heeft tot een vitaal bedrijf te benoemen.
Dat zijn alle huisartsen, apothekers alle retailers met een webshop, etc.. Eigenlijk al snel iedereen die iets meer doet dan een "Mijn konijn" website runnen. Lijkt me wat ondoenlijk, zeker als er een stel prutsers tussen zitten die het niet voor elkaar hebben.

De "Vitale sectoren" zijn vrij scherp benoemd (zie https://www.nctv.nl/onder...verzicht-vitale-processen). Dit zijn sectoren waar we als land met zijn allen een krankzinnig groot probleem hebben als het misgaat, en dus wordt de overheid actief. Op sommige punten missen ze echt onderdelen (hoogwaterbescherming valt hier officieel niet onder....), maar als de snackbar op de hoek creditcard-gegevens lekt, dat is een klusje voor de snackbar zelf, de bank en wellicht de AP.
900 mails is peanuts en als je mooi je contactgegevens er in zet zonder vreemde toeren uit te halen (zoals gokken wat een geldig adres zou zijn), zullen die ook allemaal aankomen. Eens de mail in het bedrijf is geraakt, moet je niets meer opvolgen. De verantwoordelijkheid leggen bij een derde partij die dat wettelijk niet mag doen en dan nog kwaad zijn achteraf is gewoon luiheid/onwetendheid.

Eens jij beslist om een bedrijf aan te vallen (een portscan is ook een aanval), dan ben je moreel ook verplicht om dat bedrijf in te lichten, anders ben je de naam security-onderzoeker/white hat onwaardig en ben je niet meer dan een scriptkiddie.
Emails sturen is voor iets dringends nooit een goeie oplossing. Daar komt mijn haar van recht, nog steeds zijn er mensen die denken dat het uitroeptekentje zetten bij een email iets dringend maakt, met een SLA van gisteren.

Als het dringend is BEL je of ga je persoonlijk langs. Dat noemt service. Een iets of wat bedrijfje heeft toch wel sales/account managers/service delivery managers enz... laat die hun klanten maar verwittigen.
Schandalig. Stuur dit volgende keer maar naar Ultimum in plaats van NCSC. Hadden direct contact opgenomen met de gedeputeerde.

[Reactie gewijzigd door Lieftalig op 22 juli 2024 23:08]

Wat jij voorstelt kan net zo goed schandalig worden gevonden. Waarom zou het prima zijn om dat bedrijf zomaar te informeren over problemen bij andere bedrijven terwijl het niets te maken lijkt te hebben met de meeste andere bedrijven? De gegevens die gestolen zijn lijken zelfs persoonsgegeven te zijn. Dan informeer je dus een willekeurig ander bedrijf over een mogelijk datalek bij andere bedrijven zonder dat je toestemming van die bedrijven hebt om ze daarover te informeren. Dat is mogelijk zelf illegaal.
Oké, bedrijven zijn uiteindelijk zelf verantwoordelijk voor hun IT beveiliging.
Hieruit blijkt maar weer dat het publiek, en het bedrijfsleven, en misschien ook de politiek, een totaal verkeerde indruk hebben van wat het Cyber Security Center werkelijk doet. Of dat de functie van het opgerichte Cyber Security Center niet helemaal duidelijk is overgekomen. En wellicht wil het IT personeel wel maatregelen nemen. Maar hebben ze te maken met een bestuur/directie dat totaal geen verstand heeft van ICT e.d. En wanneer als je als systeembeheerder iedere keer "bij wijze van spreke" een steile heuvel op moet fietsen, met wind tegen, om de directie te overtuigen van een noodzakelijk (geld kostende) maatregel). Dan zakt de motivatie, onder het motto "laat maar zitten, ze willen het niet". En gaat men zich indekken. Men kaart het wel aan, krijgt een negatief antwoord. Maar als er later dan toch problemen ontstaan. Dan heb je jezelf als IT'er ingedekt. Je had het aangekaart. maar er mocht niks aan gedaan worden. En zo wordt de eventuele verantwoordelijkheid afgeschoven.
De verantwoordelijkheid afschuiven is bij een hoop bedrijven ook de reden dat ze in de cloud gaan, ook al kost het meer geld. Dan is er niemand intern verantwoordelijk. Raar, maar waar.

Op dit item kan niet meer gereageerd worden.