Volkskrant: ransomwarebende eist 800.000 euro losgeld van Hof van Twente

Hackers die de gemeente Hof van Twente hebben geïnfecteerd met ransomware hebben ook de back-upservers weten te versleutelen. De groep eist 800.000 euro aan losgeld en dreigen volgens de Volkskrant ook data online te zetten.

De Volkskrant wist contact op te nemen met de hackers, die vijftig bitcoin eisen als losgeld voor hun ransomware. Het is niet bekend om welke ransomware het gaat. Wel schrijft de krant dat de criminelen toegang kregen door wachtwoorden voor toegang via het Remote Desktop Protocol te bruteforcen. Toen de criminelen binnendrongen op het systeem hebben ze 24 virtuele servers versleuteld en daar de gegevens van gestolen. De criminelen eisen volgens de Volkskrant vijftig bitcoin aan losgeld. Dat is met de huidige koers van de munt, die bijna op recordhoogte staat, iets minder dan 800.000 euro.

De gemeente Hof van Twente werd vorige week getroffen door een cyberaanval. Het was toen nog niet bekend dat het om ransomware ging, al leek het daar al wel op. De Volkskrant wist contact te leggen met de criminelen via het e-mailadres dat in de losgeldbrief stond. Opvallend is dat de gemeente zelf, maar ook de politie nog geen contact met de groep heeft opgenomen. Dat zou volgens de gemeente komen doordat de politie adviseert meer tijd te nemen voor onderzoek.

De criminelen hebben naast de interne systemen ook de back-ups met data versleuteld. Ook is de data gestolen. De hackers dreigen die informatie openbaar te maken, een trend die steeds meer ransomwarebendes sinds dit jaar volgen. Het zou gaan om erg gevoelige informatie.

De gemeente wil tegen de Volkskrant niet zeggen of ze van plan is te betalen of niet. De politie en gemeente zouden al lange tijd geen toegang kunnen krijgen tot de versleutelde servers, omdat de ict-provider Switch IT Solutions de gebruikersnamen en wachtwoorden niet wilde verstrekken. Inmiddels is ook forensisch bedrijf NFIR betrokken bij het onderzoek.

Lees meer

Reacties (191)

Tha Render_2
7 december 2020 08:39

Het is één van de eerste zaken die ik adviseer, maak je back-up server geen domain member, het is nergens voor nodig, deze moet gewoon toegang hebben tot de hypervisor laag en dat kan perfect met een lokaal account. Nadeel is dat je niet snel even kan inloggen op de back-up server met je domain credentials maar dat is dus ook meteen het gigantische voordeel, als je een breach hebt zoals hier, waar ze domain credentials hebben .. kunnen ze dus niet automatisch aan je back-up server! Weer een opgeblazen brug voor hackers waar ze omheen moeten en hopelijk gewoon zo laten.

En uiteraard RDP niet open zetten naar buiten toe, enkel voor je VPN die dan beschermd is met MFA. Allemaal kleine zaken maar door gebrek aan kennis & resources loopt het vaak mis bij gemeenten & steden, ik zie dat persoonlijk zelf, vorige maand nog bij 2 gemeenten een audit gaan doen, het is écht verschrikkelijk en ze geven dat ook gewoon toe, ze weten het maar weten niet hoe ze er op lange termijn moeten uitkomen, cybersecurity is een continue evoluerend verhaal, niet ff wat dicht timmeren en klaar voor de komende jaren.

Blokker_1999

Ransomware
Beveiliging en antivirus
Nederland

@Tha Render_2 • 7 december 2020 09:05

Er is niets mis met die in het domein te zetten, er is wel iets mis de dag van vandaag als jij met je gewone domain credentials zomaar overal aan kunt en alles kunt uitvoeren. Vandaag zou je moeten werken met credentials die je "just in time, just enough" toegang geven tot een dienst en waarbij het wachtwoord automatisch beheerd wordt en telkens veranderd. Met andere woorden: degelijk account beheer.

Want als jij je backup server niet in het domein hebt zitten, dan is er waarschijnlijk ook geen enkel wachtwoordbeleid op aanwezig (ITers zijn nu eenmaal liever lui dan moe). En als dat wel aanwezig is en de onderneming scherpt de regels aan dan vergeten ze dat soort non domain joined servers wel eens mee te nemen.

Tha Render_2
@Blokker_1999 • 7 december 2020 09:13

Allemaal correct, maar ik spreek hier uit ervaring, een back-up server uit het domein halen is een kleine effort met grote impact naar security toe, terwijl JIT of identity management in het algemeen een veel grotere impact heeft en die dan gewoon niet gedaan wordt wegens te weinig kennis/tijd/budget/etc ..

Ik heb geleerd om kleine stapjes in security te nemen, zeker bij gemeenten & steden, dit heeft mij (en hun) al véél meer opgeleverd dan meteen te praten over zware projecten & transities die dan toch niet gedaan worden. Het heeft ook meteen impact en visibiliteit, die kleine aanpassingen, waardoor je hun veel sneller on board hebt en geleidelijk aan kunt groeien naar de wat grotere aanpassingen. Begin je te groot, ben je ze meteen kwijt.

SanSnoopy
@Tha Render_2 • 7 december 2020 09:54

Ik kan jou alleen maar volgen.

Voor zover ik weet kan je group policies niet blokkeren. Als je er dan vanuit gaat dat AD gecompromitteerd is, dan mag je gerust blijven bij die 'nooit een back-upserver in AD zetten'. Dat en een firewall om SMB bijv. te blokkeren zijn al twee quick wins die een enorme impact hebben.

Back-ups altijd zo los mogelijk koppelen van al de rest, het risico om alles kwijt te spelen staat in de verse verte niet in verhouding met wat credential management zoals Blokker zegt.

Tha Render_2
@SanSnoopy • 7 december 2020 10:03

Oh boy, the good old SMBv1

Vorige maand nog 3 breaches behandeld, WannaMine infectie die zich o.a. verspreid doorheen het netwerk via het SMBv1 protocol dat al jaren niet meer zou mogen gebruikt worden. Stonden nog hopen Server 2008's te draaien en ook bij de 2012 servers stond SMBv1 protocol nog aan. Dusja, disable SMBv1 is een kleine impact (vaak zelfs géén impact buiten een reboot) en je zit weer een pak veiliger.

mjansen2016
@Tha Render_2 • 7 december 2020 12:44

Goed gesproken, maar ik heb het onlangs bij een klant zelfs weer aan moeten zetten omdat ze hun oude all-in-ones de scan-to-print functionaliteit wilden gebruiken. Ze zijn voor de veiligheid gewaarschuwd.

RobbieB
@Tha Render_2 • 7 december 2020 14:03

Niet alleen je backup servers maar ook je Tier-0 PAW’s uit je domein. Dat is zo’n klein aantal systemen dat het prima kan en het een hacker zoveel moeilijker maakt om domain admin access te krijgen.

ALittleTooLate
@Blokker_1999 • 7 december 2020 13:36

Als je het je ome niet kan uitleggen gaat het niet gebeuren.

IStealYourGun

@Tha Render_2 • 7 december 2020 10:28

Als je wil application aware backupen ga je die wel moeten toevoegen als domain (meestal met vrij veel permissies op je server). Je moet vooral zorgen dat je backup storage niet kan worden geëncrypteerd. De klassieke manier is offline storage (tape) maar tegenwoordig heb je ook al live storage die je goed kan afschermen.

[Reactie gewijzigd door IStealYourGun op 7 december 2020 10:56]

Tha Render_2
@IStealYourGun • 7 december 2020 12:07

Neen dat moet zeker niet, je moet dan het lokale account in gebruik door je back-up oplossing toevoegen aan de guest VM's of bijvoorbeeld rechtstreeks in de SQL user roles. Dit moet zeker geen domain account zijn.

En qua back-up, ik heb al incidenten behandeld waar de aanvallers al geruimte tijd stiekem binnen zaten en ook de back-ups al geïnjecteerd hadden met malware waardoor er op de offline tape back-ups ook al 'rommel' stond, maar het geeft natuurlijk wel de mogelijkheid om in geval van nood deze offline te mounten en data af te halen. Ik kan trouwens immutable storage aanraden, op AWS bijvoorbeeld, neem dat als back-up kopie target en je hebt WORM (Write Once Read Many) voor een bepaalde tijd die je zelf instelt. Valt niet te verwijderen of encrypteren maar je kan het wel altijd lezen, daarbij het feit dat cold storage bij public cloud providers geen grote kost is.

IStealYourGun

@Tha Render_2 • 7 december 2020 12:16

Lokale account op servers leveren natuurlijk nieuwe problemen op. Zeker in grote omgevingen.

n4m3l355

@Tha Render_2 • 7 december 2020 10:19

Ik ben geen IT'er, maar ik vind het toch apart dat dit kan gebeuren. Waarom wordt er niet top down vanuit de overheid hier tools/regels voor opgezet? Het lijkt erop dat iedere gemeente zelf maar weer ligt te hobbyen met alle gevolgen van dien. En als ze voor een gemeente met 600.000 mensen al niet kwalitatief goede mensen weten aan te trekken, mag je je afvragen hoe dit bij andere gemeentes gebeurd.

fastbikkel
@n4m3l355 • 7 december 2020 10:36

Kosten/baten voornamelijk, lijkt me.

Maar het kan technisch ook wel voor rompslomp geven hoor.

Ik geef als beheerder de voorkeur aan een wat lossere live beveiliging maar zet in op goede(snelle) backup/restore mogelijkheden.

De live beveiliging versterken helpt, maar werkt je vaak tegen waardoor je uren kwijt bent om simpele dingen te fixen.
Ik heb bij een grote bank gewerkt waar alles helemaal dichtgetimmerd zat.
Het kon me dan bijvoorbeeld ruim 2 uur kosten om een simpel certificaat te vervangen, een klus die normaal gesproken slechts luttele minuten duurt.
Daar konden we de live beveiliging niet lager zetten vanwege regelgeving, maar zeer eenvoudige dingen kosten zoveel tijd hierdoor.

In wat "eenvoudigere" bedrijven zou ik echt ervoor kiezen om een simpelere live beveiliging te hebben, maar dat je bij een calamiteit snel en adequaat terugkunt naar een oude werkende situatie middels backup restore.

digi-savvy
@fastbikkel • 7 december 2020 12:17

Dat dichttimmeren heeft extreem veel voordelen en ook een paar nadelen, maar certificaat beheer zou hier absoluut geen nadeel van moeten ondervinden. Ja, het zal meer doorlooptijd kosten, maar moet je echt binnen 2 minuten een certificaat kunnen vervangen. Je weet waarschijnlijk al minstens een jaar van tevoren dat het certificaat vervangen moet worden.

Ik heb ook in een bank gewerkt en moest op een gegeven moment snel iets fixen in productie, maar daarvoor moest ik tijdelijk toegang aanvragen voor mijn actie door een ticket in te dienen met beschrijving waar ik bij wilde en waarom. Kostte me een kwartier en omdat dit hoge prioriteit had, had ik de rechten binnen enkele minuten. En nog een paar minuten later was het probleem opgelost. Dit toont aan dat het werkt en goed is om het helemaal dicht te timmeren.
De extra tijd die het kost kan goed gebruikt worden om goed na te denken over wat je precies wil bereiken in productie, want productie hoor je helemaal niet aan te zitten. Productie moet je monitoren en bij problemen moet je gewoon de ontwikkelstraat door met een oplossing, tenzij er acute haast is en dat is niet vaak.

fastbikkel
@digi-savvy • 7 december 2020 13:09

Goed punt, maar je zit ook vaak met legacy.
En bij de bank die ik noemde hadden we 12000 + virtual servers draaien die niet allemaal met dezelfde standaard waren ingericht.
En dan zat je ook nog eens met t feit dat procedures veranderden, zucht, ik ben zo blij dat ik dat werk niet meer doe.

Je hebt helemaal gelijk dat het dichtgetimmerd moet zijn, maar je komt als beheerder vaak tegen situaties aan die net even anders gaan weer en succes dan maar ;-)

Ander voorbeeld was dat je bijvoorbeeld tegen keyboard settings aanliep (andere landen) en daar kom je niet altijd in 1x achter.
Heb al een paar keer met een hirens boot cd of zo'n microsoft oplossing een wachtwoord moeten wijzigen omdat het weer niet werkte.

Volgens mij ken jij ook wel de voorbeelden waar je tegenaan loopt, voorbeelden die je niet altijd kunt zien aankomen of voorkomen.

GekkePrutser

Nederland
Beveiliging en antivirus

@fastbikkel • 7 december 2020 13:09

Ik geef als beheerder de voorkeur aan een wat lossere live beveiliging maar zet in op goede(snelle) backup/restore mogelijkheden.

Als beheerder is het misschien wel een oplossing in geval van ransomware maar vergeet niet dat je ook een verantwoordelijkheid hebt voor je klanten. Hun data ligt potentieel op straat.

fastbikkel
@GekkePrutser • 7 december 2020 13:14

Zeker, maar ik probeer er altijd bij iedereen direct in te krijgen dat veiligheid niet absoluut is en dat het vaak gewoon een gevoel/emotie is.
De beste beveiliging is een schaar, waarmee je je netwerkkabel doorknipt.

Zolang je eerlijk bent dan kun je vast wel een degelijke overeenkomst vinden met de klant.
En als zij idd willen dat het allemaal dichtgetimmerd zit en mijn werk lastiger wordt dan heb ik daar vrede mee. Maar dan dienen ze wel te beseffen dat bepaalde dingen trager gaan, dit vinden ze ook niet leuk.

hussum
@fastbikkel • 10 december 2020 16:17

Helaas is een schaar niet altijd de beste oplossing als een machine via Wifi is verbonden

fastbikkel
@hussum • 14 december 2020 14:58

Scherp.
Ok, zet die schaar dan aub in de kabel van je router :-)

Tha Render_2
@n4m3l355 • 7 december 2020 10:30

Een goede vraag en hier in België zijn ze er wel mee bezig: https://www.vvsg.be/nieuw...ilige-steden-en-gemeenten

Lokale besturen krijgen in totaal ruim twee miljoen euro extra steun om de beveiliging van hun ICT-systemen te verhogen. Het bedrag van ruim twee miljoen euro is bedoeld voor de uitbouw van een toolkit cybersecurity, de inzet van ethisch hackers in de lokale besturen en een audit informatieveiligheid in alle Vlaamse steden en gemeenten.

Komt er op neer dat lokale overheden een (basis) IT security audit kunnen bestellen en ze moeten zelf maar 1/3 van het bedrag betalen. Ik ben benieuwd hoeveel dit gaan doen, wat het resultaat zal zijn en wat ze er mee gaan doen want ik zie bij deze 3 zaken telkens een risico. Velen gaan het niet doen wegens tijdsgebrek of het niet inzien van het nut, het resultaat heb ik mijn vragen bij gezien de zeer beperkte basis audit (eerste topic: https://www.auditvlaanderen.be/ict-veiligheidsaudits-details) en dan komen we terug bij, wat gaan ze er mee doen? Er is geen opvolging voorzien.

dycell

Beveiliging en antivirus

@n4m3l355 • 7 december 2020 13:25

Ik ben geen IT'er, maar ik vind het toch apart dat dit kan gebeuren.
Ik ben IT-er en heb in het verleden veel bij de overheid gezeten. Deze situatie is niet uniek maar iedere gemeente is een eilandje. Ze zijn zelf verantwoordelijk voor de IT. Gezien overheid en IT niet mixen besteden ze het liever geheel uit. Dat is bijna de regel in ministerie's en provincies, daar lopen meer 'externe' mensen dan in dienst van de gemeente.

Waarom wordt er niet top down vanuit de overheid hier tools/regels voor opgezet?
Die zijn er. In Nederland hebben we voor beveiliging bijvoorbeeld de Baseline Informatiebeveiliging Overheid (BIO):
https://www.informatiebev...atiebeveiliging-overheid/

Het punt met deze 'regels' is dat ze veelal papier zijn. Ik heb diverse projecten gedraaid en meestal wordt het niet eens vernoemd. Pas bij navraag zegt men: 'Uiteraard, jajaja daar moet het natuurlijk ook aan voldoen'.

IT interesseert niemand binnen een gemeentehuis. Behalve als de bali's niet draaien, dan breekt de hel los... Dat is ook hun voornaamste drijfveer: het moet draaien. Vooral niet teveel aan zitten want daar gaan alleen maar dingen door kapot. 1x in de 5 jaar een aanbesteding en die zet er wel weer een nieuwe omgeving neer. Niet ons probleem...

Daarom ben ik ook erg blij met de AVG/GDPR. Niet langer kunnen ambtenaren zich verschuilen achter een dienstverlener. De gemeente Hof van Twente is 100% eindverantwoordelijk voor alle data die gaat lekken. Hun enige redmiddel is dat de criminelen natte voeten krijgen en zich terugtrekken omdat er teveel aandacht voor deze zaak is.

Burns
@n4m3l355 • 7 december 2020 13:21

Één van de reden zal ook marktwerking zijn. Als er maar één partij is die voor alle gemeentes dezelfde software draait, zal er ook maar één softwareleverancier zijn. In de zin van één applicatie voor jeugdzorg en niet meerdere. Er is dan niets meer te kiezen en de vraag is of er nog prikkel is tot innovatie.
Ik ben geen specialist maar kan mij ook voorstellen dat het verboden is op grond van EU-regelgeving omdat opdrachten dan gebundeld worden en bepaalde leveranciers dan geen kans meer maken.

Er zijn al veel gemeentes die in Gemeenschappelijke Regelingen samenwerken op het gebied van IT. Dat helpt bij de schaalvergroting en op die manier is er meer onderscheid tussen opdrachtgever- en opdrachtnemer. Dat heeft wel tot gevolg dat je als individuele gemeente minder te zeggen hebt, en dan is wellicht maar goed ook. Ook deze samenwerking gaat lang niet altijd goed, maar het is denk ik wel beter dan ieder voor zich.

StCreed
@n4m3l355 • 7 december 2020 17:38

Dat komt doordat gemeenten volledig zelfstandig zijn. De overheid kan daar wel wetgeving voor maken, maar regelgeving is niet zo simpel. Het Rijk kan misschien wel iets doen aan financiering, maar ook dat gaat via wetgeving.

In principe is het aan de burgers om te stemmen voor mensen die hun gemeente goed besturen. Ook op dit gebied.

MeMoRy
@n4m3l355 • 8 december 2020 07:34

Vanuit de overheid is er de Baseline informatiebeveiliging overheid.
Maar volgens mij hebben instanties hierbinnen een bepaalde keuzevrijheid in welke "baseline" (veiligheidsniveau) ze gebruiken. Ik ken de details niet.

Volgens mij wil de overheid niet te strenge regels opleggen, want dan gaan gemeentes om geld vragen en dat is niet de bedoeling.

nervwrecker
@MeMoRy • 8 december 2020 10:25

Ja dat klopt (en dat geeft handvaten)maar je moet als gemeente wel de mensen hebben die het begrijpen en ten tweede ook goed weten te implementeren.

nervwrecker
@n4m3l355 • 8 december 2020 10:23

Elke gemeente heeft zijn eigen IT, er zijn wel gemeentes die samenwerken en een grote it afdeling samen delen ect.
Daardoor zie je inderdaad dit soort problemen niet dat de grote overheid het heel veel beter doet overigens...
Daarnaast zie je vaak dat het ict budget beperkt is en men security vooral vervelend vindt,gelukkig gaat men dit wel meer en meer inzien zo heeft de gemeente waar ik werk de laatste jaren volop in gezet op security en hebben ze nu een officiële SOC een Ciso en Diso's en wordt er dus wel serieus ingezet op security maar er is echt nog een wereld te winnen. Ik maak me wel zorgen voor de kleinere gemeenten die het zelf maar moeten doen...

Bitfreakie
@Tha Render_2 • 7 december 2020 09:54

Allemaal kleine zaken maar door gebrek aan kennis & resources loopt het vaak mis bij gemeenten & steden, ik zie dat persoonlijk zelf, vorige maand nog bij 2 gemeenten een audit gaan doen, het is écht verschrikkelijk en ze geven dat ook gewoon toe, ze weten het maar weten niet hoe ze er op lange termijn moeten uitkomen, cybersecurity is een continue evoluerend verhaal, niet ff wat dicht timmeren en klaar voor de komende jaren.

Het wrange is juist dat ze dit hebben onderkend en de boel hebben uitbesteed. Dit in de (terechte) aanname dat de contractspartij die dit als core business heeft wel over de benodigde kennis en resources beschikt.

RadioGnome1971
@Tha Render_2 • 7 december 2020 08:58

Ik zit niet direct in de 'security', maar in de 'data-infrastructuur', en kom daar vaak weerstand tegen, tegen 'de cloud'.

Mijn standaard antwoord is dan een politiek correctere versie van: 'Jullie mogen blij zijn als je de beste systeembeheerder uit het dorp hebt... Google, Microsoft en Amazon proberen de beste van de wereld te krijgen.. aangezien hun miljarden-business er van af hangt'.

Tha Render_2
@RadioGnome1971 • 7 december 2020 09:02

Ik begrijp je punt, maar het ligt iets moeilijker. Heb vorige maand nog met Microsoft gesprek gehad voor security in de cloud, en ook zij zeggen, dit is een gedeelde verantwoordelijkheid. Microsoft zal er alles aan doen om Azure zo secure mogelijk te hebben, maar het is wel aan jezelf om die security mogelijkheden die de cloud kan bieden te gebruiken en je eigen workloads zo secure mogelijk op te zetten. Cloud is niet automatisch gelijk aan volledig secure zijn.

RadioGnome1971
@Tha Render_2 • 7 december 2020 09:30

Je kunt een vreselijk onveilige infrastructuur op zetten 'in de cloud', en ik begrijp dat Microsoft niet de verantwoordelijkheid wil nemen voor 'gepruts'.

tweaknico
@RadioGnome1971 • 8 december 2020 00:26

Het blijft opvallend hoe vaak de cloud as haarlemmer olie verkocht wordt.
(snakeoil voor de engelstaligen).

3raser

@Tha Render_2 • 7 december 2020 10:44

Ik heb prive ook een RDP open staan voor de buitenwereld. Op een andere poort zodat poort scanners hem niet direct oppikken. Ik weet dat dat security through obscurity is maar het scheelt alvast de eerste script kiddies.
Wat ik me echter afvroeg is of je VPN verbinding niet ook aangevallen kan worden via brute force? Want je kunt er wel een VPN verbinding overheen leggen ter beveiliging maar als die net zo slecht beveiligd is als de RDP server dan maakt dat het probleem mogelijk alleen maar erger. Bijvoorbeeld dat je na het hacken van een VPN account toegang hebt tot het hele netwerk.

Nico Klus

@3raser • 7 december 2020 11:47

klopt, maar je kan dan wel eenvoudig een blacklist op IP adres maken. 2x foutief inloggen op de VPN -> permanente IP blockering. Dan wordt het brute forcen wel een stuk lastiger.

3raser

@Nico Klus • 7 december 2020 13:31

Dat kun je met een goed beveiligde RDP server ook. Maar zoals ik al zei moet je de beveiliging van de VPN dan vergelijken met die van een slecht beveiligde RDP server. Want van mensen die een RDP server niet kunnen beveiligen kun je ook niet verwachten dat ze een goed beveiligde VPN server op weten te zetten.

batjes

Nederland

@Nico Klus • 7 december 2020 18:20

Daar veroorzaak je behoorlijk wat support tickets mee. Gebruikers voeren zelf regelmatig meerdere malen foutieve wachtwoorden in. Het limieteren op 5-10 is doorgaans meer dan voldoende om brute forcen tegen te gaan en een doorsnee gebruiker loopt niet snel tegen dat limiet aan. Mijn vorige werkgever had een limiet van 5, ook daar liepen nog best regelmatig gebruikers tegenaan. De meeste mensen houden na een keer of 3 wel op (2x is dus te weinig), anderen blijven het proberen tot ze gelocked worden.

smiba

@3raser • 7 december 2020 13:12

Als je een VPN hebt gebaseerd op private keys (OpenVPN oa.), dan lijkt me dat zo goed als onmogelijk. Er zijn simpelweg gewoon te veel mogelijkheden om te "bruteforcen"

tweaknico
@smiba • 8 december 2020 00:29

Kijk dan ook eens naar wireguard.
Of je hebt de key en je communiceren of er blijkt uit niets dat er een WG service draait.
(Automatisch ingebouwde port knocking).

ItsNotRudy
@3raser • 7 december 2020 13:33

Een degelijke VPN server heeft 2FA, dus bruteforcen is haast onmogelijk (een correct wachtwoord en een time-based code tegelijk invoeren)

3raser

@ItsNotRudy • 7 december 2020 13:37

Een degelijke RDP server is ook niet zomaar te bruteforcen. Dat is nu juist het punt wat ik probeer te maken. VPN maakt het niet pertinent veiliger BEHALVE als je het goed doet. En als je het al niet goed doet met je RDP server, waarom zou je dan in eens wel een perfect beveiligde VPN server neer kunnen zetten?

ItsNotRudy
@3raser • 7 december 2020 13:49

Een losse server met RDP heeft volgens mij geen 2FA en is in het verleden al vaker middels veiligheidsproblemen gekraakt. In deze tijden je Windows Server met RDP direct aan het internet gooien is echt een bijzonder slechte praktijk. Ik zou je niet graag als collega willen als je op die manier servers inricht.

Robthebest
@3raser • 7 december 2020 22:33

Je kan dit eenvoudig beveiligen met duo.

https://duo.com/pricing/duo-free

GekkePrutser

Nederland
Beveiliging en antivirus

@Tha Render_2 • 7 december 2020 13:18

Allemaal kleine zaken maar door gebrek aan kennis & resources loopt het vaak mis bij gemeenten & steden, ik zie dat persoonlijk zelf, vorige maand nog bij 2 gemeenten een audit gaan doen, het is écht verschrikkelijk en ze geven dat ook gewoon toe, ze weten het maar weten niet hoe ze er op lange termijn moeten uitkomen, cybersecurity is een continue evoluerend verhaal, niet ff wat dicht timmeren en klaar voor de komende jaren.

Dit vind ik in Nederland ook altijd wel een beetje raar. Waarom moet elke gemeente alles zelf regelen. Het is niet alsof hun taken nou zo enorm verschillen van die andere 354 gemeenten. In plaats van dat elke gemeente zelf loopt te hannessen of uit moet besteden aan allerlei verschillende partijen, kan dat veel beter gewoon centraal goed geregeld worden.

rapanui
7 december 2020 08:35

Waarom zou je RDP toegang (zonder MFA) toestaan vanuit het publieke Internet ? Dat is vragen om security incidenten. Bij elke audit zal dit direct als een hoog risico worden geclassificeerd.

Er moet op zij minst een VPN server of Citrix achtige oplossing voor staan met MFA. Wat een prutsers bij Switch IT

[Reactie gewijzigd door rapanui op 7 december 2020 08:36]

Tha Render_2
@rapanui • 7 december 2020 08:53

Je kan dit niet toeschrijven aan de IT-leverancier, zij beslissen namelijk niet maar kunnen enkel adviseren. Je wilt niet weten hoevaak ik een 'neen want wij hebben daar nog nooit een probleem mee gehad' als antwoord krijg als ik over MFA begin en dit alleen maar ten stelligste kan aanraden. Dan stopt het natuurlijk als de beslissingsnemer het niet wilt.

Trouwens, zoek eens naar 'Shodan' en doe daar een scan naar poort 3389 en als land bijvoorbeeld NL of BE, be amazed.. Na 1 minuut zat ik binnen bij een gemeente (true story). Was een Windows 10 PC die RDP open had staan naar buiten toe, gezien het Windows 10 was kon je beginscherm zien met gebruikersnamen, guess what, één van de gebruikersnamen had als wachtwoord .. het gebruikersnaam. Ik zat dus via RDP ingelogd op die machine van een gemeente, na 1min zoekwerk op open RDP poorten. Ik heb die gemeente gecontacteerd en paar uur later was de poort afgesloten. Maar het komt dus nog héél veel voor.

[Reactie gewijzigd door Tha Render_2 op 7 december 2020 08:55]

SunnieNL

@Tha Render_2 • 7 december 2020 09:10

Dat ligt er maar geheel aan via welke servers ze zijn binnengekomen. Misschien waren het wel beheerservers.

En bij volledige uitbesteding van een gemeente aan een it-leverancier, kan die leverancier echt wel zeggen dat ze geen RDP servers via internet ontsluiten zonder MFA en dat ze anders niet verantwoordelijk gehouden kunnen worden voor eventuele gevolgen. De IT-leverancier heeft een taak, de IT wordt niet voor niets uitbesteedt.
Maar bruteforce houdt waarschijnlijk ook in dat wachtwoorden blijkbaar onbeperkt geprobeerd konden worden. Anders zou het account op slot gaan en als dat vaker gebeurd zou er een alarm af moeten gaan.

batjes

Nederland

@SunnieNL • 7 december 2020 18:25

Dan werk je niet met gemeenten. Die overtuigen van veiligheidsrisico's en de mogelijke bijkomende kosten overtuig je niet al te snel een doorsnee ambtenaar mee. Zie het als een verzekering, men ziet pas echt de waarde in van een verzekering als het goed mis gaat en dan kan het al veel te laat zijn.

Als ICT leverancier heb je in veel te veel gevallen gewoon te dansen naar de pijpen van je klant en heb je in principe weinig meer dan een adviserende rol en voer je de wensen uit van de klant. Als jij het niet doet of daar te veel budget voor nodig hebt, dan doet een andere leverancier dat wel.

Rataplan_
@rapanui • 7 december 2020 09:56

Een MS RDP omgeving, uitgaande van 2012+, mòet (van MS) ontsloten worden via een RD Gateway (of een farm daarvan). Die kan je zien als een reverse proxy waardoor al je RDP verkeer getunneld wordt in HTTPS. RDP verkeer gaat dus niet zomaar over internet. Uiteraard is het mogelijk om het nog steeds zo aan internet te knopen, al dan niet te NATten, maar dat is met Citrix ook het geval. Overigens, de Citrix oplossingen (netscalers) kennen ook zo hun problemen.
Een netscaler heeft ontzettend veel mogelijkheden, maar is ook een behoorlijk complex apparaat. Toen een paar jaar terug certificeringen voor de Netscalers heb gehaald, viel 80% van de groep af (ik niet overigens

). Ik heb een hoop Netscalers gezien waar je functioneel gezien niks anders had dan wat een Microsoft Remote Desktop Gateway doet, namelijk een HTTPS reverse proxy. Rest van de functionaliteit wordt op veel plekken helemaal niet gebruikt. Of zo'n appliance beter is dan een Microsoft oplossing... is 100% afhankelijk van de implementatie ervan, en ook het patchen ervan.

Ergens denk ik dat de MS oplossing ergens zelfs pro's heeft, aangezien ik zie dat de meeste enigszins serieuze clubs wel WSUS of SCCM (yuch...) gebruiken om de maandelijkse MS patches door te voeren. Maar een Netscaler updaten is of kan wat meer specialistisch werk zijn, en wordt dan vaak maar niet gedaan 'want het is een appliance en die zijn veilig'. Zie ook weer linkje hierboven en deze.

Echt helemaal tegengaan van ransomware is lastig, het is altijd een kat en muis spel van beveiling vs 0-day lekken vs de gehaaidheid van de hackers. Je kunt je wapenen wat je wil, maar als je VPN's, MFA, Applockers, Bitlockers, Mcafee's, Fortinets of noem maar op alsnog een lek bevatten, kan en zal dat misbruikt worden.

Discord
7 december 2020 08:00

Ik werk voor een IT bedrijf als adviseur en zie dot soort artikelen verschijnen.

In veel gevallen is dit toch echt iets dat veroorzaakt word door het beknibbelen op de IT expendature.
Ga je naar de klant om de projecten te bespreken en tot een oplossing te komen en vervolgens presenteer je die oplossing.

Je spreekt over de front en backens en daarbij ook over de backup omgeving.
Vervolgens spreek je over bescherming middels airgap en andere slimme oplossingen om dit soort ellende te voorkomen.

Maar wat gebeurt er dan?
De technisch verantwoordelijke vind het allemaal top, ziet er solide uit en wil heel graag het project starten.
Dan komen we bij de CFO uit, en de taak van die persoon is om alles zo goedkoop mogelijk te krijgen.
De CFO gaat lopen snijden in zaken die de persoon niet kent of onbelangrijk acht, vervolgens kom je tot een oplossing die dit soort zaken toelaat.

Ik heb inmiddels twee van die klanten mogen helpen bij een soortgelijke aanval, de kosten hiervan liggen vele malen hoger dan het bedrag dat bij de aanschaft "bespaard" is.

Ik hoop dat mensen dit soort artikelen nu eens te harte nemen en gaan nadenken.

Blokker_1999

Ransomware
Beveiliging en antivirus
Nederland

@Discord • 7 december 2020 08:25

Dan is de IT afdeling niet goed opgezet. De IT afdeling hoort zijn eigen budget te beheren. Elk jaar aan te vragen, te verdedigen en wanneer toegekend kunnen ze de projecten realiseren waarvoor ze geld hebben gekregen op de manier dat zij dat wensen. Wanneer een CFO zo een impact kan hebben dan gebeurd budgettoewijzing gewoon verkeerd.

Gamebuster
@Blokker_1999 • 7 december 2020 08:41

In welk bedrijf gebeurt dit nou?

PhWolf
@Gamebuster • 7 december 2020 09:05

In alle bedrijven waar ik tot nu toe heb gewerkt. Toegegeven, dat waren allemaal geen MKBers, maar het kan wel degelijk. Ik weet niet of het toeval is maar ik denk dat je wel kunt stellen dat hoe groter de organisatie, hoe beter er is nagedacht over dit soort zaken (want meer budget om advies/consult in te winnen en dit goed in te richten).
Van een gemeente hangt het denk ik ook af van de grootte of hier fatsoenlijk mee wordt omgegaan. Hof van Twente ontstijgt met 35000 inwoners denk ik nauwelijks het niveau 'MKB'.

dycell

Beveiliging en antivirus

@PhWolf • 7 december 2020 09:30

Inderdaad, het gaat hier om een kleine gemeente met 3 man op IT als ik het goed heb. Daarbij is echter wel gehele IT overgenomen door Switch maar Switch is ook een MKB IT bedrijf.

BigSmurf
@PhWolf • 7 december 2020 10:10

In het lagere MKB (zeg tot 100 werkplekken) is het nog steeds veel vaker regel dan uitzondering dat de (financieel) directeur of eigenaar de krabbel zet onder alle offertes. Het grappige is dat je vaak ziet dat de directeuren die wel wat affiniteit hebben met IT (al is het maar dat ze een Philips Hue hebben gekocht) veel sneller geneigd zijn te luisteren naar de IT-partij of zelfs een IT-manager/adviseur in dienst nemen. De directeuren die zelf niets met IT hebben en/of in een conservatieve branche werken zien het vaak als kostenpost: "dus we moeten meer betalen voor een onhandigere manier van inloggen? Maar jullie regelen onze security toch, dat zit toch in de beheerfee?". Geen land mee te bezeilen.

MichaelB74
@Gamebuster • 7 december 2020 08:54

Het bedrijf waar ik op dit moment ingehuurd ben.

Zo ook bij de vele voorgaande bedrijven. Zodra een bedrijf een flinke omvang begint te krijgen, dan werkt dit voor de meeste afdelingen zo.
Je krijgt een jaarlijks budget en ieder jaar opnieuw moet je dit verdedigen.

Dit is overigens geen enkele oplossing voor het probleem.
De meeste bedrijven blijven IT zien als kostenpost die niet behoort tot de kritische onderdelen, terwijl dit al jarenlang wel zo is. Zonder IT kan ieder bedrijf wel opdoeken.
Een kleine onderneming kan nog wel even doorgaan, maar een bedrijf met 100+ werknemers niet.

Als het IT-budget structureel te laag is, dan kan je verdedigen wat je wil...

[Reactie gewijzigd door MichaelB74 op 7 december 2020 08:55]

Blokker_1999

Ransomware
Beveiliging en antivirus
Nederland

@Gamebuster • 7 december 2020 08:59

Wij werken zo. IT vraagt zijn budget aan, gaat dat op het einde van het jaar verdedigen tegenover het algemeen management waarbij alle grote kosten worden meegedeeld en alle projecten worden getoond met hun geschatte kost. Het kan zijn dat er projecten sneuvelen in het goedkeuringsprocess omdat ze bijvoorbeeld als niet noodzakelijk aanzien worden al gaat het dan zowat altijd om projecten die een zichtbare impact hebben naar de eindgebruiker omdat ze daar wel iets zinnigs over kunnen zeggen, maar algemeen management heeft geen inspraak in hoe een project wordt uitgevoerd net omdat bij hen de kennis ontbreekt.

En als ik hieronder de comments lees dan zijn wij inderdaad een uitzondering, en daar ben ik heel blij om. Niet dat wij geen vragen krijgen om soms vreemde projecten te doen, maar wel omdat wij projecten kunnen uitvoeren zoals wij ze willen zien.

AceAceAce
@Gamebuster • 7 december 2020 08:57

In bedrijven waar de IT niet onder de CFO hangt maar direct onder de exco of ceo

Tux3.14
@Blokker_1999 • 7 december 2020 08:52

Dat klopt wat je zegt, IT afdelingen horen hun eigen budgetten te beheren. Maar mijn ervaring is wel dat de budgetten die je aanvraagt wel moet argumenteren. Een CFO vraagt zich dan echt af of het nodig is om je capex / opex te investeren in bijvoorbeeld een back-up oplossing. Als een CFO dat niet nodig acht dan kun je als IT afdeling het geld wel beheren, maar als je geen capex / opex hebt voor solide back-up oplossingen, dan kun je beheren wat je wil, maar er is simpelweg geen geld voor een solide back-up oplossing.

dezejongeman
@Blokker_1999 • 7 december 2020 08:58

Ze krijgen vaak een budget en beheren die ook. Echter is dat budget alleen toerijkend net genoeg voor productie. Er wordt dan vaak al bespaart op betere segmentatie. Systeem checks, het niet kunnen updaten ivm pakket x of y die een nieuwere versie os niet ondersteunt. En als klap op de vuurpijl wordt er door onvoldoende kennis geen cold backup gemaakt. Dan ben je vroeg of laat aan de beurt.

Als ik het artikel lees lijkt het er op dat rdp aan het internet heeft gehangen. Dan is wachten tot je de pineut bent.

asing
@Blokker_1999 • 7 december 2020 09:06

Ik geef je gelijk over het budget wat de ICT afdeling moet bedingen en beheren. Dat kan je uiteraard doen maar je loopt tegen 3 dingen aan. Het eerste is een organisatie die gedurende het jaar meer projecten naar binnen gooit, een budget wat vooraf al aan de lage kant was en het feit dat veel ingezette projecten aan het einde van de rit duurder bleken dan vooraf geraamd.

Daardoor moet de ICT afdeling alles met budget X doen, wat er weer voor zorgt dat bepaalde projecten niet, of niet zo groot worden gedaan. Dat er dan risico's worden genomen is min of meer de normaalste zaak van de wereld geworden.

Afijn, we zullen over een paar weken wel lezen dat Hof van Twente gelapt heeft en dat hun systemen weer (deels) operationeel zijn. Men dicht het lek waardoor de criminelen binnen kwamen en daarna is gewoon business as usual.

Blokker_1999

Ransomware
Beveiliging en antivirus
Nederland

@asing • 7 december 2020 09:32

Budget heb je nooit genoeg. Aan de andere kant zien wij ook elk jaar projecten wegvallen door capaciteitstekorten of gewoon omdat ze tijdens het jaar, wanneer ze zouden starten, als niet langer noodzakelijk worden aangemerkt. Aan de andere kant hebben we ook projecten die niet gebudgeteerd zijn geweest maar meestal op een lijst staan van dingen die wel goed zijn als ze zouden worden uitgevoerd. Hebben we daar tijdens het jaar budget en capaciteit voor over nemen we die alsnog mee.

De dure projecten zijn meestal ook dingen die je niet snel op enkele weken afwerkt. Dat zijn er dan ook die als ze opkomen meestal pas voor het volgende jaar worden ingepland net omdat ze niet in de budgetering passen. Al gebeurd het wel eens dat er ruimte voor gemaakt moet worden gewoon omdat een leverancier onverwacht de ondersteuning voor een product stop zet of omdat er een noodzaak ontstaat vanuit een grote klant.

GroeneThee
@Blokker_1999 • 7 december 2020 08:59

Absoluut eens maar helaas is bij veel bedrijven IT nog steeds in dit soortgevallen een sluitpost.

oef!

@Blokker_1999 • 7 december 2020 09:11

In dit geval gaat het om een gemeente, per gemeente zie je grote verschillen tussen het budget (grote of kleine gemeente), de aanwezige technische expertise en de infrastructuur. Dit terwijl elke gemeente grosso modo dezelfde werkzaamheden uitvoert.

Galosh_
@Discord • 7 december 2020 08:19

Heel bekent inderdaad!

En al de spreekwoordelijke poep dan de ventilator raakt, wie heeft het dan niet goed gedaan....

Laten we inderdaad hopen dat de goede mensen dit lezen en leren.

vanaalten
@Galosh_ • 7 december 2020 08:27

En al de spreekwoordelijke poep dan de ventilator raakt, wie heeft het dan niet goed gedaan....

Ik vind het een lastige spagaat, want aan de ene kant: ja, de CFO of welke verantwoordelijke dan ook heeft een verkeerde keuze gemaakt qua beveiliging. Aan de andere kant heeft het IT-bedrijf ook willens & wetens meegewerkt aan een systeem waarbij teveel beknibbeld is op de beveiliging.

Wellicht met het idee van "als wij het niet doen, dan doet een concurrent het wel" - maar dan moet je je afvragen of je liever goed werk doet, of dat je je naam zo laat verbinden aan een ransomware-slachtoffer.

Dus "Ik hoop dat mensen dit soort artikelen nu eens te harte nemen en gaan nadenken.": dat geldt niet alleen voor de CFO's, maar ook voor de IT-bedrijven die zich hiervoor laten inschakelen.

Dronium
@vanaalten • 7 december 2020 08:45

"als wij het niet doen, dan doet een concurrent het wel"

Dat is maar al te waar, en als directeur/manager van een IT-bedrijf heb je ook verantwoordelijkheid naar je eigen personeel. Er moet wel brood op de plank komen dus nee zeggen is heel vaak geen optie.

En dan, waar leg je de grens, wanneer is er "te veel" beknibbeld op beveiliging en wanneer kan het nog wel? De meeste klanten hebben geen onbeperkt budget om alles optimaal of maximaal te beveiligen.

afterburn
@Dronium • 7 december 2020 09:11

Goed gemotiveerd en onderbouwd nee verkopen versterkt vertrouwen en zorgt uiteindelijk voor meer business en dus meer inkomen.

Ja verkopen terwijl het nee zou moeten zijn, verzwakt het vertrouwen en is uiteindelijk alleen goed voor de korte termijn.

EDIT: jij (als leverancier) trekt geen grens, de klant doet dat. Als de klant zegt, ABC is te duur en past niet binnen het budget, dan zeg jij als je ABC weghaalt en er gebeurt DEF dan is GHI het resultaat. Wil je dat? Is dat een acceptabel risico? Is het antwoord daarop nee, dan zal het er dus in moeten. Als dat kwa budget niet past, zal jij eerlijk moeten zijn en dan moeten zeggen dat voor het budget dat zij hebben, jij niet kan leveren wat ze nodig hebben.

[Reactie gewijzigd door afterburn op 7 december 2020 09:18]

Dronium
@afterburn • 7 december 2020 09:23

Ik geef alleen aan dat nee zeggen niet altijd een optie is.
Hoe goed je het ook onderbouwd, uit ervaring heb ik geleerd dat een paar keer nee zeggen er vaak toe leid dat de klant op zoek gaat naar een andere partij die minder principieel is. Dan wordt het dus een ex-klant en dat levert geen business of inkomen meer.

@Blokker_1999
De meeste IT-dienst verleners zijn ook gewoon commerciële bedrijven, die doen echt niet alles voor geld, maar winst maken voor de eigenaar/aandeelhouders komt meestal wel voor de meeste principes.

Blokker_1999

Ransomware
Beveiliging en antivirus
Nederland

@Dronium • 7 december 2020 09:26

Nee zeggen is altijd een optie. Ja, dan loop je mogelijks de opdracht mis. Dat is spijtig. Maar je mist ook de risicos en je kan je reputatie hoog houden.

Als jij ja gaat zeggen puur omdat je anders de klant misloopt, omdat je de inkomsten misloopt, omdat men wel iemand vindt die ja zou zeggen, dan ben je toch gewoon iemand die ook gewoon ja zegt op zo een opdracht. Wat zou jouw firma dan ineens anders maken?

afterburn
@Dronium • 7 december 2020 11:00

Als jij nee zegt, en je kan goed uitleggen waarom je nee zegt, dan gaat de klant inderdaad naar een ander. En als het dan fout gaat om waarom jij nee hebt gezegd, is mijn ervaring dat ze terugkomen, je vertellen dat je gelijk had, ze nu een probleem hebben en of je alsjebieft wil helpen. Je verdient dan uiteindelijk meer als dat je had gedaan als je ja had gezegd en de reputatie die je ineens hebt opgebouwd is onbetaalbaar.

Blokker_1999

Ransomware
Beveiliging en antivirus
Nederland

@Dronium • 7 december 2020 09:00

Ik vind dat nee zeggen wel een optie is. Door ja te zeggen ben je net zo een firma die alles doet voor het geld. En wat als het dan uiteindelijk een keer misloopt? Mogelijks je reputatie om zeep en alsnog klanten die weglopen.

Wim-Bart
@vanaalten • 7 december 2020 16:23

Er moet gewoon een wet komen waarin bestuurders persoonlijk aansprakelijk gesteld kunnen worden bij datalekken en gdpr schendingen.

FreqAmsterdam
@Galosh_ • 7 december 2020 08:35

Als goede consultant heb je een projectplan waar deze risico's in beschreven staan. Als de klant die risico's accepteert, prima, maar jij hebt aan je zorgplicht voldaan. Meer kan je ook niet doen. Je kan het hoogstens een aantal keer benadrukken.

[Reactie gewijzigd door FreqAmsterdam op 7 december 2020 08:35]

NielsFL
@Discord • 7 december 2020 08:32

Die CFO doet waar hij/zij voor is aangenomen. Het is de CTO (of iemand in die rol) die dan op zijn/haar strepen moet staan en aangeven wat wel en niet essentieel is.

En jij kan de CTO daar hij helpen door zaken als backups niet als apart geprijsde opties aan te bieden maar deze op te nemen in het standaardtarief.

Andy Wachelder
@NielsFL • 7 december 2020 08:46

Een CFO heeft, als het goed is, verstand van financiën en van leiding geven en snapt dus dat ie ICT over moet laten aan mensen die dáár verstand van hebben...

bed76
@NielsFL • 7 december 2020 09:07

Nee volgens mij moet de CTO aangeven welk risico de organisatie loopt bij de CFO, maar uiteindelijk beslist de CEO. En moet de CTO per beveiligingsniveau de kosten inzichtelijk maken, daar een risico in kosten tegenover zetten.

Dus bijv.
Beveiligingsniveau 1 kost 200k + 100k per jaar en je loopt risico op 1 mln. schade.
Beveiligingsniveau 2 kost 300k + 150k per jaar en je loopt kans op 600k schade etc.

En ja je moet bijv. ook reputatie en imago schade meenemen. Je kunt ook de risico's kwantificeren en dan maak je er inderdaad een financiële keuze van. Een risico op een dergelijk incident is niets meer dan de kans dat iets gebeurd keer de impact.

Edit: typo's en leesbaarder gemaakt

[Reactie gewijzigd door bed76 op 7 december 2020 09:19]

HenkEisjedies
@NielsFL • 7 december 2020 09:08

Of, en dit is veel makkelijker gezegd dan gedaan, weglopen van de deal. Het is namelijk ook jouw goede naam die besmeurt raakt als het mis gaat.

Spykie
@Discord • 7 december 2020 08:26

Advocaat van de duivel:
Helaas is het risico op die kosten "achteraf" klein waardoor het loont om het risico te nemen.

Eonfge
@Spykie • 7 december 2020 08:47

Bonus duivelse advocaten rede:

Het is misschien niet eens meer jouw probleem als het fout gaat. Bij veel bedrijven (en overheden) worden economische beslissingen genomen die tien jaar lang impact hebben, terwijl de gemiddelde medewerker (of wethouder) na vier jaar weg is.

Ik kan nu super goedkoop alles regelen, mijn CEO/kiezers dragen mij vervolgens op handen weg, en dan ga ik bij een andere firma cashen.

redniels
@Eonfge • 7 december 2020 09:16

Dit is zo waar dat het zeer doet. 4 jaar max. Of we het nu over wethouders of upper/middle management hebben: dat is de max timescale waarin ze denken.

Skywalker27
@Spykie • 7 december 2020 09:05

Helaas dat is dus niet meer zo het is niet meer de vraag of maar wanneer. Daarnaast zijn er nog maar 2 typen bedrijven over, degene die gehacked zijn en degene die het nog niet weten.

sys64738
@Spykie • 7 december 2020 09:08

Maar de gevolgen zijn zo desastreus dat je deze overweging niet eens moet willen maken.

Je autogordel omdoen elke keer is ook zo'n gedoe. Toch zal elk weldenkend mens ook niet over deze keus twijfelen.

bed76
@Spykie • 7 december 2020 09:15

Je moet de kosten ook opwegen tegen de mogelijke kans dat iets gebeurd. Ja het gaat nu fout, maar we hebben ruim 300 gemeenten en duizenden organisaties in Nederland. En de kans dat het zo fout gaat is wel klein (wordt wel steeds groter trouwens). Hoeveel mag je daar aan kosten tegen beveiliging tegenover zetten? Uiteindelijk betalen wij als burgers dat, dus volgens mij moeten een organisatie een afweging maken in de kosten tegenover het risico dat ze lopen. En ja, dan heb je de kans dat het een keer fout gaat, maar je overal volledig tegen indekken is ook erg duur.

tweaknico
@bed76 • 8 december 2020 00:35

De data binnen een gemeente is best waardevol...
Uitkeringen, BSN nummers..., geboorte data, mogelijk byzondere statussen.
Kortom een rijke bron om misbruik van te maken, door bv. wat identiteits diefstal te doen etc.

En de data di geexfiltreerd is kan zo wie zo op straat komen al of niet met betaling te voorkoming hiervan.
(Of volgende maand nog eens een ronde innen, ter bescherming van de data)

afterburn
@Discord • 7 december 2020 08:34

En dat is voor een groot deel te wijten aan 'adviseurs' (ik zal geen bedrijven noemen) die droomkastelen verkopen voor nog dromerigere prijzen die het bedrijf eigenlijk niet echt nodig heeft en derhalve veel kosten en niks opleveren terwijl de 'adviseurs' lachend de volgende bonus tegemoet zien. En na zich een paar keer door zo'n 'adviseur' geld afhandig te zijn gemaakt, doet zo'n CFO dus gewoon standaard elk bedrag van een 'adviseur' door 2 omdat het toch te duur is en rommel levert die ze niet nodig hebben.

En zijn lokale techneut is ook perse niet te vertrouwen, want die heeft ook liever een BMW dan een Fiat Panda, ook als de Panda eigenlijk genoeg is voor wat ze nodig hebben, om maar weer eens een auto analoog erbij te halen.

Je kunt het een CFO niet kwalijk nemen dat hij niet altijd terzake kundig is. Je kunt het een 'adviseur' wel aanrekenen als hij zaken probeert te verkopen die de klant niet nodig heeft en de klant veel te veel geld kost.

(en ja, ik ben zelf ook een 'adviseur' en heb al heel wat tijd verpild om te proberen de rommel van andere 'adviseurs' op te ruimen)

[Reactie gewijzigd door afterburn op 7 december 2020 08:36]

ro8in
@afterburn • 7 december 2020 09:16

90% van de adviseurs zijn helaas verkopers in schaapskleren.

Anoniem: 14842
@afterburn • 7 december 2020 09:25

Helemaal mee eens. En als ik @Discord hierboven al dingen als deze quote zie roepen dan zie je meteen wat ik bedoel.

Vervolgens spreek je over bescherming middels airgap en andere slimme oplossingen om dit soort ellende te voorkomen.

Een airgap is een oplossing waarbij niet veel data uitgewisseld hoeft te worden tussen je primaire systeem en de buitenwereld én deze zo kritiek is dat je hele bedrijf failliet gaat bij een breach of, erger, er mensenlevens vanaf hangen. Voorbeelden: kerncentrales, nucleaire raketten, grote dammen, etc.. En zelfs dáár gebeurt het niet altijd: veel Nederlandse sluizen hangen indirect aan het internet of op zijn minst aan een intern netwerk. Om de doodsimpele reden dat anders het beheer ontbetaalbaar wordt of er niet snel genoeg gereageerd kan worden...

Maar hier wordt het voorgesteld als mogelijke oplossing voor een krant. Zou het primaire bedrijfsproces van een krant veel informatie van buitenaf moeten halen en dit misschien ook weer naar buiten moeten brengen?

Zie je het al voor je dat je, op advies van een adviseur, je artikeltje typt op een losstaande pc met een losstaande printer. Deze druk je vervolgens af om hem (hopelijk met ocr) in te scannen op een pc die verbonden is met de persen en op eentje die verbonden is het met internet voor de website... Als een nieuwe klant zicht aanmeld dan tik je de gegevens handmatig over in je losstaande systeem (want air-gapped). Ik moet nog even broeden hoe we de adreslijsten vervolgens elke dag bij de post krijgen, ik weet niet of ze wel zo snel kunnen typen

EDIT: ik had de koffie nog niet op, het gaat natuurlijk om een gemeente! Strekking blijft echter gelijk.

[Reactie gewijzigd door Anoniem: 14842 op 7 december 2020 09:34]

ro8in
@Anoniem: 14842 • 7 december 2020 09:29

Dit ging om de gemeente Twente, niet de krant. Persoonsgegevens van je burgers dienen wat mij betreft net zo goed beschermd te worden als een Reactor.

Anoniem: 14842
@ro8in • 7 december 2020 09:40

Dit ging om de gemeente Twente, niet de krant. Persoonsgegevens van je burgers dienen wat mij betreft net zo goed beschermd te worden als een Reactor.

Allereerst mijn excuses voor de faal hierboven, iets met gebrek aan koffie

Gezien de verwerking van persoonsgegevens en andere vertrouwelijke gegevens binnen het primaire proces van een gemeente vallen moet hier wel heel streng naar security worden gekeken.

Maar ook voor een gemeente is het niet mogelijk om bijvoorbeeld air gapped te werken. Tenzij de belasting van iedere Nederlander wordt vertienvoudigt...

Maar het feit dat ze afhankelijk zijn van een provider om hun de gebruikersnamen en wachtwoorden te verstrekken zodat ze bij hun servers kunnen laat bij mij wel alle alarmbellen afgaan. Daar moet gewoon iets niet kloppen: je mag als gemeente nooit afhankelijk zijn van inloggegevens van een 3e partij om bij je data te kunnen. Tenzij dat natuurlijk onderdeel is van de ransomware aanval, maar dan lijkt het me niet dat de provider die "niet wilde geven"

Ofwel: ik blijf bij mijn standpunt m.b.t. afwegingen, maar vermoed wel dat de gemeente hier een verkeerde afslag heeft genomen

Han_Solo
@afterburn • 7 december 2020 10:06

Die CFO is eindverantwoordelijk! De rest is een leuk wollig verhaal en doet niet ter zake.

nst6ldr

Ransomware

@Discord • 7 december 2020 09:05

Klopt helemaal, maar: wanneer er sprake is van een overheidsinstelling/instantie zoals in het artikel, is men als de dood dat geld niet 'integer' word besteed. Daar is het concept van aanbestedingen voor in het leven geroepen, een onafhankelijke afdeling is dan verantwoordelijk voor het uitzetten van de opdracht en soms vrij letterlijk blind de goedkoopste kiezen.

Gezien de zeer onprofessionele houding van Switch IT en het klaarblijkelijke gemak waarmee deze aanval werd opgezet, verbaast het me niks dat dit wederom een geval is geweest waar een bedrijf veel te laag inzet op een aanbesteding, de opdracht krijgt, en daarna ondermaats (lees: passend bij de prijs) werk levert.

Dit gevaar loop je als je aan outsourcing doet en niet de middelen hebt om het aangekochte werk te toetsen. In theorie zou marktwerking deze cowboys uit de running moeten nemen, maar door de opzet van aanbestedingen gaat dit nagenoeg altijd ten koste van een klant.

sOid
@nst6ldr • 7 december 2020 11:09

Daar is het concept van aanbestedingen voor in het leven geroepen, een onafhankelijke afdeling is dan verantwoordelijk voor het uitzetten van de opdracht en soms vrij letterlijk blind de goedkoopste kiezen.

Dat zal vast wel eens gebeuren maar daar is niet zoals het moet. En in mijn ervaring ook niet zoals het gaat. Ik ben bij mijn huidige werkgever bij een stuk of 8 aanbestedingen betrokken (geweest) en daar wordt vooraf heel goed nagedacht over eisen en wensen. Ook over de weging; bij ons weegt geld nooit het zwaarst, maar natuurlijk speelt het wel een rol. We hebben laatst ook een inschrijver uitgesloten omdat hun aanbod onrealistisch laag was.

De beoordeling gaat ook secuur; een vooraf bepaald team van beoordelaars (bestaande uit verschillende functies) beoordeeld eerst individueel zonder het met elkaar te bespreken. Vervolgens volgt er een consensusgesprek.

Daarnaast zijn er bij gemeenten behoorlijk veel verplichtingen. Zo moeten partijen voldoen aan
Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT) waarin een hoop basidingen al zijn afgedekt. Ik merk echter wél dat partijen zeggen dat ze aan GIBIT-voorwaarden kunnen voldoen maar niet precies weten wat ze inhouden. Daar loop je dan in de uitvoering tegenaan.

Dat gezegd hebbende zijn aanbestedingen soms erg vervelend. Een contract met een leverancier waar je tevreden over bent mag je niet zomaar verlengen. Dat moet dan weer aanbesteed worden.

[Reactie gewijzigd door sOid op 7 december 2020 11:11]

SunnieNL

@Discord • 7 december 2020 09:06

Het is ook altijd kijken wat er haalbaar is en wat er nog bijdraagt. 100% waterdicht kan wel, maar kost zo veel geld dat het het doel voorbij schiet. Airgap beveiliging is super veilig, maar is het handig? Want met airgap systemen kun je nooit van buitenaf op je werkplek komen (anders is het immers niet airgap, tenzij je een ander idee hebt van airgap dan mij). Het niet van buitenaf op je werkplek kunnen is nogal onhandig in deze tijd van remote workers.

Ik denk dat veel bedrijven al baat hebben bij de kleinere security maatregelen. Ik noem bijvoorbeeld patchen en een goede security policy. Hoe kun je bruteforcen op een RDP verbinding? Na 3x wachtwoord fout hoort het systeem op slot te springen. Gebeurd dat bij dezelfde gebruiker een aantal keer, dan moet er een alarm afgaan.
Als ik zie dat in het cybersecuritybeeld nederland 2020 al staat dat bedrijven in NL 90 dagen wachten tot een patch is geïnstalleerd, dan vraag ik me ook al af wat ze aan het doen zijn. Als ik zie hoeveel bedrijven hun Fortinet nog niet gepatched hebben met een patch die al 1,5 jaar uit is en als highly critical geboekt staat, dan is daar ook nog wel wat te winnen.

Laten we eerst maar eens beginnen met de basis bij veel bedrijven:
- patchen (ook de remote workers) binnen 30 dagen
- adminrechten afnemen en alleen gebruiken als nodig
- blokkeren van onbekende software
- goede security policy
Dan dichten we al een groot deel van alle problemen af.

En kwa budget. Dat is een kwestie van je IT afdeling onderdeel maken van alle andere afdelingen. Dat houdt in dat ze een eigen budget krijgen en daarnaast ook een deel van het budget krijgen van andere afdelingen op het moment dat die IT diensten afnemen.

!GN!T!ON
@Discord • 7 december 2020 08:10

Die gang van zaken komt mij helaas maar al te bekend voor

[Reactie gewijzigd door !GN!T!ON op 7 december 2020 08:10]

Anoniem: 474132
@Discord • 7 december 2020 08:27

Exact, heb dit al zo vaak gezien in mijn consultancytrajecten!

Croga

@Discord • 7 december 2020 08:50

Het probleem ligt hier voornamelijk in het feit dat veel IT bedrijven alleen kijken naar de bottom line.

Wanneer stoppen we nu met "Beveiliging" als aparte post op te nemen en simpelweg te accepteren als de klant zegt "Nou, dat hoeft niet hoor"?

Dit soort dingen hoort een integraal onderdeel van de oplossing te zijn. Daarom offreer ik alleen functionaliteit en kan men kiezen of men de functionaliteit, inclusief beveiliging, performance optimalisatie, en alles wat daar bij hoort, wil hebben of niet.

Zolang IT bedrijven "Beveiliging" (en alle andere non-functionals!) nog als sluitpost op de begroting zet kan de klant zeggen "Is dat echt nodig?". Zodra we alleen nog maar functionaliteit offreren is er geen discussie meer.

Maar ja, dan gaan we opdrachten verliezen aan IT bedrijven die het allemaal niet zo nauw nemen....... Stel je voor zeg.

Anoniem: 14842
@Croga • 7 december 2020 09:31

Heerlijk kort door de bocht altijd. Beveiliging is geen zwart-wit iets, maar altijd een afweging. En ja: dat zou wel een integraal onderdeel moeten zijn van de meeste bedrijven.

Maar dan nóg is het een volstrekte illusie om te denken dat je dan altijd goed gewapend bent tegen wat voor aanval ook.

Misschien moeten we als IT security sector ook eens wat statistiekjes laten zien over de hoeveelheid aanvallen die worden voorkomen/tegengehouden. Ik heb dit ook wel eens gedaan bij mensen die kwamen klagen over spam bij de helpdesk (ze hadden dan 1 spam mail gehad): even een uurtje het spam filter uitzetten, dan waren ze heel snel klaar.

Ik heb daarna netjes alle spams weer verwijderd op basis van de score hoor, maar de mensen snapten wel dat het niet gek is als er misschien een keer ééntje tussendoor komt. En zo is het ook bij security: ook al heb je alles goed op orde, dan nóg heb je gewoon kans op een breach. En natuurlijk zijn er bedrijven en instellingen die het gewoon slecht geregeld hebben, maar echt niet iedereen die ooit slachtoffer is geworden van malware/ransomware.

Pingewin
@Discord • 7 december 2020 09:01

En die CFO krijgt iedere week verzoeken voor allerlei nice to haves en als hij alles goedkeurt zit het bedrijf met een jaar of twee met een opgeblazen kosten structuur dat het omvalt. Niet alleen vanuit IT maar overal vandaan.

Het is gewoon lastig waar je de grens trekt, en de CTO kan denk ik het beste aangeven wat de risico's zijn.

Ford Prefect
@Discord • 7 december 2020 09:25

Ik vind je verhaal wel Eem beetje kort door de bocht, ja in sommige gevallen zal een CFO, CIO of wat een C dan ook security advies negeren en zo goedkoop mogelijk willen gaan.

Mijn team heeft basically als rol om technisch ontspoorde trajecten op het gebied van dataverwerkingen weer recht te trekken. Wij komen dus bijna dagelijks in aanraking met dit soort trajecten bij klanten over de hele wereld.

Even een korte greep van veel voorkomende redenen waarom het mis loopt:
- Inderdaad hogerop wil de klant zo goedkoop mogelijk en krijgt waarvoor hij betaald heeft
- Je eigen bedrijf gaat voor winst maximalisatie en zet zoveel mogelijk goedkope mensen met bijna altijd te weinig kennis om het project goed te kunnen uitvoeren
- Een onder leverancier levert niet de juiste kennis en kunde
- Design flaws in de architectuur
- Technische onkunde bij de klant
- Communicatie problemen tussen klant en projectteam
- Simpelweg bugs

Allemaal verschillende zaken waardoor die soort scenario's kunnen ontstaan. In mijn ervaring liggen de root causes van dit soort issues bij zowel klant en als je eigen omgeving. Het is natuurlijk vervelend dat een klant er bewust voor kiest om een goedkopere solution in te zetten maar dat is bij lange na alijtd het geval.

Wij als IT specialisten moeten ook kritisch naar ons zelf kijken willen we betere diensten kunnen verlenen.

K-aroq
@Discord • 7 december 2020 09:31

Het probleem wordt vooral veroorzaakt omdat de meeste IT-ers niet in staat zijn om op CFO niveau uit te leggen wat het belang is van bepaalde investeringen. Je ziet in heel veel organisaties dat de CMO wel in staat is het juiste budget te krijgen maar de CIO niet. Misschien moet de CIO eens op de stage bij de CMO.

Eerste tip: begin niet over front- en backends te praten met een CFO.

densoN
@Discord • 7 december 2020 09:40

De beste oplossing voor dit soort praktijken is een risk letter die de IT afdeling laat tekenen door de directie. Mijn ervaring is dat de directie er niet van houdt om een risico formeel te accepteren omdat zij daarmee direct(er) verantwoordelijk worden voor de gevolgen. Ook helpt het om jezelf als adviseur aan tafel te krijgen met de directie. De boodschap (urgentie) wil nog weleens vervagen als deze door wordt gegeven.

mr94
7 december 2020 08:01

Waarom zou Switch geen toegang willen geven tot de servers?

themadone
@mr94 • 7 december 2020 08:08

Misschien omdat ze bang zijn voor een aanklacht wegens grove nalatigheid, er zal een SLA zijn afgesproken waar bijvoorbeeld in kan staan dat alle updates netjes worden gedaan etc.

Maar gezien de hack zal dit niet het geval zijn geweest.

GoT
@themadone • 7 december 2020 08:23

Staat in het artikel:
De hack is niet gedaan door een exploit te gebruiken, maar door wachtwoorden te brute forcen.
Dus hoogstwaarschijnlijk een te korte wachtwoord gebruikt, heeft verder niks met updates te maken.

De provider had evt. wel een policy kunnen instellen minimaal x characters wachtwoord, maar dit is nu in hind sight.

ro8in
@GoT • 7 december 2020 13:29

Of misschien een timeout na 3x fout proberen? Dat een remote systeem zich laat brute forcen is wel heel erg 1998 hoor. Dat is geen hindsight, dat is gewoon nalatigheid.

[Reactie gewijzigd door ro8in op 7 december 2020 13:30]

Fenzo
@GoT • 7 december 2020 13:29

Op je server instellen dat na een beperkt aantal pogingen de verbinding automatisch wordt verbroken kan al veel narigheid voorkomen. Mijn ftp-server kickt iemand eruit na 10 failed attempts. En dat is wel nodig ook, want vanuit de hele wereld wordt om de haverklap geprobeerd in te loggen. Bij het Remote Desktop Protocol kan zoiets ongetwijfeld ook.

GB2
@themadone • 7 december 2020 08:16

Aannames...

themadone
@GB2 • 7 december 2020 08:19

Deels, helaas een aantal van dit soort hacks gezien en meestal volgen ze hetzelfde patroon.

RadioGnome1971
7 december 2020 08:07

Begrijp ik het verkeerd, of lees ik dat ‘ze’ RDP naar een belangrijke machine open hadden staan voor het hele internet?

Geen VPN tunnel of iets anders?
En hoe hebben ze dan zowel username als password kunnen brute-forten?

Admin-admin?

Dit lijkt me wel heel erg knullig.

themadone
@RadioGnome1971 • 7 december 2020 08:16

Met de juiste software kun je de laatst ingelogde username zo tevoorschijn halen, wat trucjes links en rechts en voor je het weet heb je een password hash.

Die ga je vervolgens offline lopen bruteforcen en klaar ben je. Zodra je met user rechten naar binnen kan is het meestal niet zo moeilijk(bij onvoldoende gepatchte omgevingen) om een domain admin te compromisen en daar gaat je netwerk.

pennenlikker
@themadone • 7 december 2020 08:49

Is dat mogelijk om die hash te downloaden via rdp? Wij houden altijd event id 4625 goed in de gaten maar dat is dus nutteloos?

wauwwie
@pennenlikker • 7 december 2020 09:25

En daarom eisen al heel veel bedrijven MFA, of/en gaan zelfs over op passwordless.

pennenlikker
@wauwwie • 7 december 2020 09:42

Twijfel er een beetje aan of het echt zo makkelijk is als hierboven gesteld wordt, kan iemand mij daar een voorbeeld van laten zien? En dan wel op een volledig up-to-date Windows server met NLA ingeschakeld, ristricted admin mode uitgeschakeld en een verbod op het lokaal opslaan van passwords.

Een beetje zoals veel systeembeheerder hem lokaal inrichten, want dat zou betekenen dat lokale gebruikers met een paar tooltjes zo het administrator wachtwoord kunnen achterhalen.

DemanNL
@pennenlikker • 7 december 2020 10:09

Het ligt aan een aantal dingen. Maar de methode die vrijwel alle ransomware gebruiken is door middel van Mimikatz.

Daarmee kan je cached credentials (mscache) dumpen, SAM, wdigest en een paar andere credential stores.

Om dit te doen moet je SYSTEM rechten hebben op het systeem. Deze zijn makkelijk te verkrijgen als je eenmaal local administrator bent.

Dergelijke aanvallen doe je dus door eerst initiële toegang te krijgen tot een systeem. Daar rechten te verhogen, door middel van credentials dumpen of met het domein account door te hoppen naar andere systemen waar je rechten kan verhogen. Eenmaal de juiste accounts, ga je door naar de domain controller en ben je klaar.

Via RDP doe je dus niet dergelijke aanvallen, tenzij dat je initiële toegang is, denk aan uitgelekte creds en RDP aan het internet.

Wat betreft wachtwoorden bruteforcen is dit meestal niet nodig. Middels pass-the-hash met NTLM hashes kom je overal. Ook kan je NTLM relaying doen om NetNTLM hashes door te geven naar systemen die geen SMB signing checks doen.

Moet je toch WW's bruteforcen, dan zijn NTLM hashes van alle hashes zowat het snelste om te kraken. Dit kan je op één laptop met goeie GPU doen, OneRuleToRuleThemAll + rockyou.txt is meestal voldoende. En anders zet je het in AWS met bijvoorbeeld NPK van Coalfire-Research. Dan ben je met 10 minuten en 1$ aan AWS kosten miljarden hashes verder.

[Reactie gewijzigd door DemanNL op 7 december 2020 10:12]

pennenlikker
@DemanNL • 7 december 2020 10:55

Dank u voor de heldere uitleg, dit klinkt een stuk logischer.

T0rch
@pennenlikker • 7 december 2020 09:59

Het komt vaak via mail binnen. Een gebruiker met net iets meer rechten dan gebruikelijk, en nodig is, klikt op de link. Zo verspreid de worm zich. Op elke Pc of server waar de worm zich naar verspreid verzameld hij credentials om zo vervolgens weer door te hoppen en ergens domain admin te verkrijgen.

En ik ben het je eens, op moment dat je je infra goed inricht met een antivirus, Applocker en geen local admin zullen velen wormen een snelle dood sterven op de eerste Pc. Helaas is dit in weinig infrastructuren het geval.

wauwwie
@pennenlikker • 7 december 2020 10:00

Je kan nog steeds ww bruteforcen, zoals in het artikel genoemd wordt. En als iemand binnen is kan deze ook verder komen.

Wat ik wel zie is dat bij de grote bedrijven alles achter VPN en MFA zit. Alle thuiswerkers gebruiken VPN met MFA, en als binnen zijn, zijn er genoeg applicaties welke ook nog passwordless vereisen voor toegang. En alle resources buiten/in de cloud zitten achter MFA en conditional access. En voor de admin taken is er vaak ook nog PIM.

Al deze bedrijven hebben het risico van ransomware en onbevoegd toegang tot data onderzocht en hebben ook actie op ondernomen. En daar zit denk ik ook het probleem, als de data van een bank op straat ligt, of geen restore mogelijk is na een ransomware aanval dan kan deze de deuren sluiten. Ik zie nog niet zo snel iemand verhuizen omdat zijn data van de gemeente op straat ligt of dat de gemeente ophoud te bestaan.

Skywalker27
@themadone • 7 december 2020 09:07

brute forcen nergens voor nodig coredump icm mimikatz kan je hem er zo uithalen.

michielonline
@RadioGnome1971 • 7 december 2020 08:17

En precies dat zal wel de reden zijn dat switch de usernames en wachtwoorden niet wil vrijgeven. Als blijkt dat dat het wachtwoord was, dan kan Switch die 800.000 EUR ophoesten ben ik bang.

Waar gehakt wordt vallen spaanders, en waar ICT is uitbesteed aan een externe club en intern te weinig kennis is om daar goede regie over uit te voeren vallen nog veel meer spaanders.

Arokh
@michielonline • 7 december 2020 09:58

Ik las eerst: 'waar gehackt wordt vallen spaanders.' wat overigens niet minder waar is :-)

Is Switch degene die dat wachtwoord beheert dan? Is dat niet een taak voor de gemeente zelf?

pepsiblik
7 december 2020 08:00

"De politie en gemeente zouden al lange tijd geen toegang kunnen krijgen tot de versleutelde servers, omdat de ict-provider Switch IT Solutions de gebruikersnamen en wachtwoorden niet wilde verstrekken."

Die opmerking kan ik even niet volgen.

dycell

Beveiliging en antivirus

@pepsiblik • 7 december 2020 08:22

De gehele IT is uitbesteed aan Switch IT. De gemeente zelf had waarschijnlijk geen (beheer) toegang tot de omgeving.

Huugje
@dycell • 7 december 2020 08:29

Dat lijkt mij voor iedereen wel duidelijk. De vraag is echter wat de reden zou zijn waarom Switch IT niet meewerkt aan het onderzoek, maar dat onderzoek juist stagneert door de politie en de gemeente geen toegang te geven tot de getroffen servers, Dan ben je in mijn optiek toch verkeerd bezig als IT provider.

segil
@Huugje • 7 december 2020 08:54

Als dat zou is, dan is de vraag waar de verantwoordelijkheid ligt dat deze systemen versleuteld zijn en de backups niet meer beschikbaar. Daar ben ik wel benieuwd naar. @Tijs Hofmans wellicht een onderzoek waard?

dycell

Beveiliging en antivirus

@segil • 7 december 2020 09:12

Daar hoeft hij geen onderzoek naar te doen, dat is advocaten werk. Misschien dat hij het beheer contract kan opduikelen via de wet openbaarheid maar ik hoorde dat de gemeente even geen data verzoeken aanneemt..

Qua techniek is het het vrij simpel, denk ik. De meeste van deze organisaties gebruiken Veeam voor de backup en die backup machines staan meestal gewoon in het domein. Zodra de criminelen domein beheerder zijn hebben ze volledig toegang tot alles dus inclusief de machines waar de backups op staan.

dycell

Beveiliging en antivirus

@Huugje • 7 december 2020 09:07

Dat ligt er aan wat er in het beheer contract is afgesproken. Let hierbij op dat dit een kleine gemeente en IT club is. Ik denk dat momenteel weinig afspraken zijn rond veiligheidsincidenten.

Als advocaat van de duivel: Ik zou als ik Switch was wel eerst goede afspraken maken voordat je toegang overhandigt. Voor hetzelfde geld gaat er nog iets stuk of wordt een backup echt onherstelbaar vernietigd.
Merk hierbij op dat als ze betalen ze waarschijnlijk de data gewoon terug krijgen inclusief de backups.

tweaknico
@dycell • 8 december 2020 13:08

Er geen garantie is dat de data later alsnog niet geopenbaard wordt.
Kan een leuke abonnements vorm worden, betaal 1 BTC/maand om de data geheim te houden..?

Bitfreakie
@dycell • 7 december 2020 08:40

Switch heeft haar website ook al wat opgeschoond. Geen reclame, de pagina over Hof van Twente van je website halen is misschien wel nóg knulliger dan hem laten staan.

segil
@Bitfreakie • 7 december 2020 09:06

Dat lijkt wel mee te vallen, want andere artikelen over deze aanbesteding staan nog wel op hun site.

https://www.switch.nl/nie...e-gemeente-edam-volendam/
https://www.switch.nl/lev...-veiligheidsregio-twente/

Bitfreakie
@segil • 7 december 2020 09:54

Klopt. Maar bij die klanten is het niet fout gegaan.

dycell

Beveiliging en antivirus

@Bitfreakie • 7 december 2020 09:14

Dat is standaardprocedure bij dit soort bedrijven. Scorched earth tactiek.
Ik heb bij een ISP gewerkt die daar ook goed in was. Storingen waren later helemaal niet meer terug te vinden. Alle nieuws, support en twitter berichten werden allemaal verwijderd. Zeker als de schuld bij hun lag.

Bitfreakie
@dycell • 7 december 2020 09:56

Bewijs vernietigen, duiken en wachten tot de storm is overgewaaid idd...

DJMaze
@pepsiblik • 7 december 2020 08:42

Bij de gemeente Lochem hadden ze geluk.
Daar merkte iemand het op tijd op.
Helaas heb ik toen ook geen antwoord van Switch IT kunnen vinden, en blijkbaar hebben ze er niet van geleerd.

Hoe zouden klanten reageren met oogkleppen?

dycell

Beveiliging en antivirus

@DJMaze • 7 december 2020 09:22

Niet, die maken ze gewoon wijs dat het niet te voorkomen is.
Zie ook de burgemeester: Systeem Hof van Twente platgelegd door onbekende derde

Het kan helaas iedereen overkomen
Wat u en ook ons uiteraard bezig houdt is de vraag hoe dit heeft kunnen gebeuren. Experts hebben ons laten weten dat een situatie als deze, helaas iedere organisatie kan overkomen. Dat is een zeer onbevredigend antwoord, maar wel de huidige werkelijkheid. Uiteraard is voor ons daarmee de kous niet af, er volgt nog een gedetailleerder onderzoek naar de precieze toedracht. Het gaat weken, zo niet maanden duren, voordat ik u de uitkomsten hiervan kan mededelen.

Volgens mij hebben ze daar eerst nieuwe experts nodig. Dit was natuurlijk prima te voorkomen maar de 'expert' heeft het denk ik mooi vaag gehouden en zal alleen maar zeggen dat het 'iedereen kan overkomen'. MFA op de RDP toegang was toch wel een minimale maatregel.

Ze gaan trouwens nog wel een enorm probleem krijgen bij switch want ik denk niet dat ze zonder MFA voldoen aan de BIG (Baseline Informatie beveiliging nederlandse Gemeenten).

Theo
@dycell • 7 december 2020 09:41

De expert in dat geval was een medewerker van het bedrijf aan wie zij hun IT hadden geoutsourced. (Switch IT) Deze zullen nooit zeggen "Sja, dit had je kunnen voorkomen als je niet zo zuinig was geweest en gewoon geïnvesteerd had in goede beveiliging" (of iig, niet openbaar)
Het IT bedrijf heeft een budget gekregen van de gemeente voor hun IT infrastructuur, en doet het maximale wat ze het dat budget kunnen doen. Dán is zo'n aanval inderdaad "onoverkomelijk" en "kan het ieder ander bedrijf ook gebeuren".
Als jij 50 euro krijgt om sloten voor je voor en achterdeur te kopen dan is een inbraak ook 'onoverkomelijk', ondanks dat je het maximale probeert te halen van dat budget. Krijg jij een goed budget voor beveiliging dan is het plots wel te voorkomen.. Maar wiens schuld is het dan bij een inbraak? Jouw schuld omdat je goedkope sloten hebt geplaatst, of die van de persoon die voor jou het budget heeft bepaald?

Switch IT doet het maximale wat ze kunnen met het opgelegde budget, De additionele beveiliging die nodig was om deze aanval te voorkomen daar was geen budget voor gegeven/goedgekeurd vanuit de gemeente.

Brinkiewestland
@Theo • 7 december 2020 10:37

We gaan er dan wel vanuit dat Switch IT het ook goed geregeld heeft obv het gestelde budget. Dat weten we ook nog niet. Daar kan het ook fout zijn gegaan

Het kan, in jouw voorbeeld, ook nog dat diegene die voor 50 euro sloten moeten halen er nog goedkopere gaat halen en zo meer marge probeert te krijgen.

pepsiblik
@Brinkiewestland • 7 december 2020 19:46

Het kan. Maar hoe vaak ik al heb gehoord van bedrijven "Hacken? Ons? Waarom? Wij zijn toch veel te klein. Nee joh, d'r gaat hier echt niks gebeuren hoor. Wat wij hier doen interesseert niemand."

Afijn...

dycell

Beveiliging en antivirus

@Theo • 7 december 2020 11:28

Een gemeente moet gewoon verplicht voldoen aan de BIG/BIO. Dat is al jaren zo en MFA hoort daar gewoon bij. Het is onmogelijk dat dit niet meegenomen is in de aanbesteding.

Switch heeft een groot probleem en ik denk dat ze momenteel vooral juridisch erg druk zijn.

arie.v
@pepsiblik • 7 december 2020 11:06

Je zou bijna gaan denken dat als ze die accounts doorgeven er meer zichtbaar zal worden dan alleen de omgeving van die gemeente. En dat Switch nu druk bezig is om het eigen straatje te boenen.

Of ben ik nu té cynisch?

Huugje
@pepsiblik • 7 december 2020 08:05

Ik verbaas mij daar ook over. Je zou toch verwachten dat een ICT provider juist zijn medewerking verleent bij dit soort aanvallen.

anandus
@dj.verhulst • 7 december 2020 08:27

Gelukkig wonen we niet in Wit-Rusland/Venezuela/Noord-Korea en hebben we hier gewoon een rechtsstaat.

Countess
@gepebril • 7 december 2020 10:23

QAnon op tweakers? De mensheid is echt gedoemd te mislukken...

jeroen_loeffen
@anandus • 7 december 2020 08:38

Je vergeet de VS in je rijtje

edit: ongewenst

[Reactie gewijzigd door jeroen_loeffen op 7 december 2020 08:56]

thunder7
7 december 2020 07:59

Je zou toch zeggen dat als je incrementele backups maakt, en je ziet de omvang van je backup plotseling exploderen omdat alle bestanden gewijzigd (want versleuteld) zijn, er een belletje moet gaan rinkelen?

themadone
@thunder7 • 7 december 2020 08:06

Dat werkt anders, waarschijnlijk staan de backups op disk, en de backup files zelf zijn nu dan versleuteld.

Als je bijvoorbeeld Veeam gebruikt kun je de wachtwoorden van de repositories zo uit de database halen. Dus zelfs een offsite offload kan je op die manier slopen.

In eerdere soortgelijke gevallen duurde de versleuteling van alle servers slechts een paar uur, dus de versleutelde bestanden bevinden zich waarschijnlijk niet eens in een backup.

Skywalker27
@themadone • 7 december 2020 09:52

Bij Egregor worden de backups verwijderd btw. O ja en als je niet betaald ze bedreigen je ook nog via print-outs, mails, bellen overal waar ze maar bij kunnen.

[Reactie gewijzigd door Skywalker27 op 7 december 2020 09:53]

devices
@thunder7 • 7 december 2020 08:10

Dan moet dat ten eerste uberhaupt gemonitoort worden en ten tweede moet iemand daar naar kijken. En ze kunnen het langzaam gedaan hebben of met toegang tot de backupserver ook die versleutelen.

r_bleumer
@devices • 7 december 2020 09:50

En wat leren we (telkens weer....) hiervan:

The death of tape has been highly exagerated.....

Bij ons gaat alles naar tape en blijft alles naar tape gaan. Er is gewoon geen goed alternatief voor offline-storage, anders dan je tapes daadwerkelijk in een tape-kluis leggen off-premises.

devices
@r_bleumer • 7 december 2020 09:52

Dat helpt als het op een korte tijd gebeurd, maar je kan ook langzaam het live systeem versleutelen dat dan steeds gebackupt wordt. Dan heb je wel tapes liggen met correcte data, maar die kunnen zo 6 maanden oud zijn. Als ik dit artikel lees, denk ik dat tapes inderdaad wel hadden geholpen.

r_bleumer
@devices • 7 december 2020 10:20

Klopt, maar ook al is het een half jaar, het helpt een organisatie wel als historische data er weer is, en systemen weer werken.

michielRB
@devices • 7 december 2020 12:06

Een beetje tapebackup strategie gaat jaren terug. 20-28 dagsets (bij 5-7 dagen 'werkweek'), 4 weeksets, 12 maandsets en verder jaarbackups tot misschien wel 10 jaar terug of nog langer.
Ik heb dagelijks mijn loopje gedaan om tapes off-site op te bergen in een externe kluis.

Wim-Bart
@devices • 7 december 2020 13:02

Dat helpt als het op een korte tijd gebeurd, maar je kan ook langzaam het live systeem versleutelen dat dan steeds gebackupt wordt. Dan heb je wel tapes liggen met correcte data, maar die kunnen zo 6 maanden oud zijn. Als ik dit artikel lees, denk ik dat tapes inderdaad wel hadden geholpen.

Kwestie van tape op read-only, mounten, data restoren op een server waarvan de tijd terug is gezet. Daarna data analyseren of deze inderdaad versleuteling software bevat. Maar heel veel data kan gewoon terug worden gezet, bijvoorbeeld een SQLServer .Bak file, indien niet versleuteld is de data zo terug.

Het enige waar je mee moet uitkijken is documenten waar macro's in kunnen zitten, onbekende executables en dat soort zaken.

Mensen maken het vaak complexer dan het is. Daarnaast zouden de procedures natuurlijk ook gewoon bekend moeten zijn, want je doet iedere week een restore test van een stuk data, iedere week een andere testset natuurlijk. (bij mijn klant zit dat bijvoorbeeld in de standaard wekelijkse procedures).

tweaknico
@thunder7 • 8 december 2020 12:52

Offline backup, waarbij de backup server de connectie maakt en aanlogt op je systemen om een backup te maken is iets beter. Naar een tape, en de tape na de backup uit de machine en in een kluis.

ro8in
7 december 2020 09:13

En de volgende keer dat mensen vragen waarom het een probleem is dat de overheid alles van je weet en opslaat. Hier je antwoord.

Countess
@ro8in • 7 december 2020 10:20

tja, Ik maak me nog steeds veel meer zorgen om wat met name facebook van iedereen weet, en dat die informatie gewoon openbaar verkocht word aan jan en alleman.

Polderviking

@Countess • 7 december 2020 14:41

Facebook heeft alleen maar oor naar de dingen van je die ze kunnen gebruiken om je meuk te verkopen. Dat is veel info. Zeker weten. Maar ze weten niet van je wat je tien jaar geleden eens een keer hebt gedaan waardoor je een jaar moest zitten. (hypothetisch voorbeeld natuurlijk)

Toch ander kaliber informatie waar je het over hebt als je kijkt naar wat je overheid van je heeft. En wat een facebook van je heeft.
Bovendien is de security bij zo'n facebook wel gewoon beter, omwille van commercieel belang, en facebook kan je in zijn geheel van wegblijven tevens.
Ik snap dus niet zo goed waarom je je daar meer zorgen over maakt.

[Reactie gewijzigd door Polderviking op 7 december 2020 14:42]

tweaknico
@Polderviking • 8 december 2020 12:48

FB heeft wel meer dan alleen de etalage pagina's van leveranciers aan FB.
Er zijn ruim 80 andere manieren waarop ze info verzamelen. (pixels, Like icons (al of niet geklikt), advertentie servers...).
Dus FB ontwijken is best een dingetje.

Countess
@Polderviking • 18 december 2020 10:52

Jij hebt op een van andere manier het hele Cambridge Analytica verhaal gemist?

https://en.wikipedia.org/...ge_Analytica_data_scandal

facebook data vrij toegankelijke voor 3de, gebruikt voor verkiezingsmanipulatie doormiddel van micro-targeting.

Daarbij verdient facebook aan het verkopen van data. niks betere security, gewoon doorverkocht aan de hoogste bieder.

[Reactie gewijzigd door Countess op 18 december 2020 10:55]

Olympus user
7 december 2020 11:14

Bij wet verbieden om losgeld te betalen dan is het verdienmodel weg.

3dmaster

7 december 2020 11:22

Wat ik mij nu af vraag. Wie is er nu echt verantwoordelijk. In elk geval is wel duidelijk dat de IT infra niet deugde. Backups die blijkbaar kunnen worden overschreven/geencrypt. Vanuit 1 plek in het netwerk toegang tot in feite alle systemen. Geen offside backups of iets vergelijkbaars.

Maar komt het dan nu door laksheid bij de it afdeling / switch IT. Of komt het meer door politieke keuzes, oa door te weinig geld beschikbaar stellen om het goed te doen.

1 2 Volgende

Op dit item kan niet meer gereageerd worden.

Volkskrant: ransomwarebende eist 800.000 euro losgeld van Hof van Twente

Lees meer

Reacties (191)

Sorteer op:

Weergave:

Tweakers maakt gebruik van cookies

Toestemming beheren

Functioneel en analytisch

Relevantere advertenties

Ingesloten content van derden