Microsoft en veertig klanten zijn getroffen door SolarWinds-hack

Microsoft en zeker veertig klanten van het bedrijf zijn getroffen door de hack op SolarWinds-software Orion. Daar zouden ook Belgische bedrijven tussen zitten, al is niet bekend welke. Er zit geen relatie tussen de infectie van Microsoft en zijn klanten.

Microsoft schrijft in een blogpost dat het zeker veertig klanten heeft opgemerkt die zijn geïnfecteerd door de malware in de Orion-software van het bedrijf SolarWinds. Dat bleek eerder deze week gehackt te zijn door een geavanceerde groep van staatshackers. Die plaatsten een achterdeur in de software en infecteerden bedrijven via een update van die software. Er is nog veel onbekend over de aanval, maar Microsoft zegt dat het nu al verschillende slachtoffers heeft gevonden. Microsoft heeft die klanten op de hoogte gebracht.

Het bedrijf kwam die op het spoor doordat de malware-signatures zijn toegevoegd aan Defender. "De telemetrie wijst uit dat het gaat om klanten die Defender gebruiken en die versies van SolarWinds' Orion hebben geïnstalleerd waar de malware in zit", schrijft het bedrijf.

Tussen de veertig bedrijven zitten ook Belgische, blijkt uit een kaart die Microsoft heeft gemaakt. Welke bedrijven het zijn is niet bekend. Volgens Microsoft komt tachtig procent van de slachtoffers uit de VS, en de rest zeven andere landen waaronder België. De lijst is niet compleet; beveiligingsbedrijven zijn nog steeds de omvang van de hack aan het onderzoeken. De getroffen instellingen zijn voor een klein deel overheidsinstellingen. Bij de rest zou het gaan om it-bedrijven, denktanks, nonprofitorganisaties en overheidsaannemers.

SolarWinds heatmap

De meeste aanvallen vinden plaats in de VS. Uit de eerste indrukken lijkt het erop dat de aanval werd uitgevoerd door Russische staatshackers die vooral aan spionage op overheidsinstellingen willen doen. De lijst van slachtoffers groeit; maandag bleken de ministeries van Financiën en Handel te zijn getroffen, maar nu blijkt ook het departement van het ministerie van Energie te zijn getroffen dat toezicht houdt op het nucleaire arsenaal van de VS. De hackers zouden bij verschillende afdelingen zijn binnengedrongen, schrijft Politico.

Microsoft is zelf ook een van de slachtoffers. Het bedrijf bevestigt dat in een update aan de blogpost, nadat Reuters daar eerder over berichtte. "Ook wij hebben malafide SolarWinds-binaries in onze omgevingen gevonden. Die hebben we geïsoleerd en verwijderd. We zien geen bewijs dat er toegang is geweest tot productie-omgevingen of klantdata. Ook toont ons onderzoek aan dat er geen tekenen zijn dat onze systemen zijn gebruikt om anderen aan te vallen."

Reacties (82)

OddesE 18 december 2020 13:28

Uit de eerste indrukken lijkt het erop dat de aanval werd uitgevoerd door Russische staatshackers

Ik snap dit niet. Nog heel recent las ik hier op Tweakers een uitgebreid artikel over deze hack waarin jullie alles op een rij zetten. Ik vond daarin vooral goed dat jullie op een rij gezet hadden hoe betrouwbaar de informatie over de groep die achter de hack zit nou eigenlijk is. En daarin concluderen jullie zelf dat eigenlijk niet duidelijk is wie de bronnen zijn achter de geruchten dat het om 'russische staatshackers' zou gaan. En dat we het feitelijk dus gewoon niet weten:

Voorlopig lijkt de vinger dus alleen vanuit media naar Rusland te wijzen.

Heel goed, maar waarom dan in dit artikel toch weer slaafs datzelfde gerucht verspreiden? Jullie weten nu toch duidelijk beter dan dit???

[Reactie gewijzigd door OddesE op 23 juli 2024 00:37]

supersnathan94 @bussie66 • 18 december 2020 10:08

Wat is heel lang? Drie dagen? Een week?

Begrijp wel dat je in enterprise omgevingen zit met acceptatie van software. Je kan niet zomaar zeggen “hallo nieuwe versie”. Ook niet als het alleen een bugfix is.

jaenster

@supersnathan94 • 18 december 2020 10:24

Eigenlijk is het toch van de zotte dat dat niet gaat. Het is geen windows 7 -> windows 10 upgrade, of driver aanpassing.

Het is letterlijk een hotfix, een paar bytes aanpassing. Ik zie niet in waarom dit niet zomaar, in een paar dagen tijd, geupgrade kan worden. Zeker als dit de hoog(ste) prio heeft.

supersnathan94 @jaenster • 18 december 2020 10:44

Omdat er protocollen en planningen zijn die soms ook afhankelijk zijn van derde partijen. Je kunt niet altijd alles droppen waar je mee bezig bent omdat het nu moet. Soms zitten klanten nu eenmaal te wachten op iets en kunnen zij ook niet verder. Dat is een risico afweging en sommige bedrijven hebben verkeerd gegokt.

Ik was eerst ook van het stempel updaten zodra het kan, maar ben er heel snel achtergekomen dat updates bij sommige partijen echt kompleet ruk zijn en dat configuratie bijvoorbeeld niet meer werkt of APIs die ineens niet meer voldoen aan spec of juist wel, waardoor jarenoude workarounds ineens niet meer werken zonder notitie vooraf.
Dat wil je dus eerst getest hebben en dat kan soms ff een weekje of twee duren.

Verwijderd @supersnathan94 • 18 december 2020 13:55

Ter aanvulling, veel systemen zijn ook nog eens aan elkaar gekoppeld en je wilt geen storingen veroorzaken. Ik heb ooit met een Windows 10 upgrade project gezet waar ik eerst moest wachten tot de hypervisor geupdate was. Dat duurde 6 maanden.... Want de backup software moest daarvoor eerst en de monitoring software ook... en de procedures moesten ook worden bijgewerkt.. Medewerkers moesten nog op cursus. Oh, vakantietijd, ook mooi!

supersnathan94 @Verwijderd • 18 december 2020 15:40

Dit. Heb het zelf ook meegemaakt. En wat krijg je vervolgens? Een windows versie van een jaar tot anderhalf oud, want toen men begin was dat de nieuwste.

Soms zijn er zoveel afhankelijkheden om te managen dat je daar alleen al een FTE voor nodig hebt.

the_stickie @supersnathan94 • 18 december 2020 13:52

helemaal eens hoor.. Maar een security fix installeren is meestal geen 'upgrade' waar functionaliteit mee geraakt wordt. ook hier zijn er 'hotfixes' voor een hele resem versies.
Dit is iets dat bij veel grote bedrijven inderdaad hangt omwille van processen en procedures omdat niemand de moeite wil doen om zijn nek wil uitsteken door een emergency change door te duwen - zelfs bij deze risicoanalyse

In een hoop bedrijven (ook grote) is dit op dag 1, 2 of 3 geïnstalleerd: het kan dus wel!

rko4u @the_stickie • 18 december 2020 17:49

Juist een security fix kan andere dingen raken. Als ik de voordeur dicht gooi, dan kom jij niet makkelijk binnen, maar moet ik ook meer moeite doen om buiten te komen, Het feit dat iets kan, betekent vaak dat het ook gebruikt wordt. Het probleem is dat het ook misbruikt wordt.

brama @supersnathan94 • 18 december 2020 18:28

En zie hier waarom malware zo lucratief is. Partijen die hun processen niet op orde hebben, vragen erom om uitgebuit te worden. Dat is de consequentie in een tijd waar je echt niet meer weg hoort te kunnen komen met een 2-weekse doorlooptijd voor een security update.

oltk @supersnathan94 • 19 december 2020 15:35

Sorry, maar dit is onzin

Ook de Citrix bug van vorig jaar december werd door veel bedrijven en overheden in een dag opgelost. Niet in de laatste plaats omdat hotfixes voor elk bedrijf van levensbelang zijn.

Als een software pakket zo complex is dat het maanden voorbereiding kost om een bugfix uit te voeren zou ik negatief oordelen over de aanschaf van dit pakket (als CISO) danwel de uitfasering ernstig bespoedigen..

In deze tijd is het van levensbelang om snel te kunnen schakelen. En als je met legacy software blijft zitten omdat je anders vleugellam bent heb je jouw informatiebeveiliging als bedrijf niet op orde.

supersnathan94 @oltk • 19 december 2020 16:29

Die citrix bug heeft bij veel grote bedrijven een enorme impact gehad op de bedrijfsvoering. Veel bedrijven hebben per direct maatregelen getroffen waardoor sommige dingen gewoon niet meer konden. Direct patchen was dus noodzakelijk voor de bedrijfsvoering. In dit geval is het dat absoluut niet en zijn er bij sommige bedrijven was afwegingen gemaakt.

Zoals het artikel ook aanmerkt in de laatste alinea is er nog niks aan de hand en hebben ze niks gevonden wat wijst op misbruik. Ze zijn geïnfecteerd, maar er is nog geen misbruik gedetecteerd.

Als een software pakket zo complex is dat het maanden voorbereiding kost om een bugfix uit te voeren zou ik negatief oordelen over de aanschaf van dit pakket (als CISO) danwel de uitfasering ernstig bespoedigen..

Eens. Echter hebben we het hier niet over maanden, maar een week. Misschien een paar dagen. Er worden dagelijks nieuwe vulnerabilities vrijgegeven waar je wat aan moet doen. Het is niet zo dat men dan alles maar moet laten vallen voor iets als dit. Grote kans dat er belangrijkere dingen zijn of dingen die net zo belangrijk zijn.

beerse @jaenster • 18 december 2020 11:20

Besef dat de slechten hier binnen zijn gekomen omdat er updates zijn doorgevoerd. Was gewoon bij de versie van 2018 gebleven en er was niets aan de hand.

Daarmee: Ook deze patch/update moet tegen het licht gehouden worden: Om te beginnen moet de basis functionaliteit blijven werken. Daarom doe je het in stappen en niet alles tegelijk.
Daarna moet de nieuwe patch ook worden nagezien op dit soort nieuwe zaken. Wie verteld dat er in de huidige nieuwe patch niets vreemds/nieuws zit?

Daarnaast zijn er vaak versies en varianten die speciaal gemaakt zijn voor bepaalde klanten en/of bepaalde doelen. Die moeten net zo nauwkeurig maar wel apart worden getest.

THA_ErAsEr @jaenster • 18 december 2020 11:50

En als die hotfix een bug bevat, mag je het gaan uitleggen aan je klanten of higher-ups.

HerrPino @THA_ErAsEr • 18 december 2020 13:54

Je mag het ook uitleggen aan je klanten als je de hotfix niet uitvoert en daarmee hun gegevens letterlijk op straat liggen en in handen komen van staatshackers.

locke960 @HerrPino • 18 december 2020 18:00

Precies, je loopt dus aan beide kanten een risico. Dat is dus de reden dat het tijd kost om een update te installeren. Er moet geëvalueerd worden, getest en geplanned, En dat allemaal volgens vooraf afgesproken procedures en beslissingscriteria. Dat kost tijd.

Degene die beslist af te wijken van de procedure, en een update voortijdig installeert, of juist helemaal niet, krijgt de zwarte Piet toegespeeld als het mis gaat.
Vaak heeft dat als gevolg dat het nog langzamer gaat omdat niemand zomaar de verantwoordelijkheid wil nemen.

Cergorach

Beveiliging en antivirus

@jaenster • 18 december 2020 11:22

Zeker als dit de hoog(ste) prio heeft.

Dat is een aanname, beslisser binnen een bedrijf/organisatie geven aan wat de hoogste prio heeft. Hoe groter een organisatie, hoe langer het duurt voordat er een beslissing wordt genomen die buiten normale processen valt, hoe groter een organisatie, hoe langer een implementatie duurt voordat deze is uitgerold.

Vergeet ook niet dat security mensen binnen een organisatie dit eerst moeten analyseren, vaak de hulp nodig hebben van specialisten, dan een aanbeveling doen, deze door een change process heen gaat, en dan de technische afdeling het moet implementeren. Bij sommige organisaties heeft de technische afdeling de boel dan al klaar staan en hoeven ze alleen maar op het knopje te draaien, maar bij velen gaan ze pas aan het werk zodra er een goedkeuring is. Zeker bij grote organisaties beslist de ITer niet zelf of, hoe en wanneer hij zijn applicaties patched. Kleinere organisaties zijn over het algemeen weer veel wendbaarder, maar daar zal je minder snel deze oplossing zien...

the_stickie @Cergorach • 18 december 2020 14:02

De juiste prioriteit geven aan de juiste dingen is inderdaad een enorme uitdaging voor grote organisaties. Ik ken de stroom van tickets en changes en tegenspruttelende afdelingen maar al te goed.

De looptijd van een paar dagen is inderdaad minimaal om iemand de juiste dingen te laten doen (zeker als vaststelling, analyse en uitvoering telkens bij anderen zitten, met telkens eigen interne SLA en ene servicedesk die de tickets maar tot bij de juisten moet goochelen)

Maar me dunkt dat er zelfs binnen dergelijke organisaties manieren zijn om iets gedaan te krijgen. En als er wat meer mensen beroepseer hoger houden, kan dat zelfs mét die hele formele flow apart, achteraf of vlot afgehandeld worden. Maar dàt is het probleem: in ene lange keten zitten er altijd wel waarvoor het vandaag niet moet. Tijd heeft niemand.... tijd moet je maken.

the_stickie @supersnathan94 • 18 december 2020 13:44

Het grootste probleem ligt imho niet daar, maar bij de taken,doelstellingen en motivaties van individuele werknemers. Is er wel iemand die het als taak heeft (of zich tot taak neemt) zo'n dingen heel kort op te volgen en door te duwen tot implementatie?
Overal bestaat het concept 'emergency change' ook wel, en de risico analyse van deze lijkt me heel duidelijk.

supersnathan94 @the_stickie • 18 december 2020 15:37

Maar een emergency change doe je ook niet in een uur. Zeker niet als heel je infra ervan afhankelijk is. Even ter info. De patch hiervoor is net 3 dagen oud. Ik vind het dan ook best wel logisch dat er nog een aantal bedrijven zijn die dit nog niet hebben gedaan.

Cergorach

Beveiliging en antivirus

@bussie66 • 18 december 2020 11:09

En dat terwijl er al lang een update voor is.....

Die is er sinds dinsdag ochtend... Wat noem jij allang? Dat gehannes met Citrix ging over maanden. Maar dit 'fake news' dat er allang een update voor is werd ook al dinsdagochtend herhaald door verschillende tweakers, toen was er pas een paar uur een patch beschikbaar.

Het issue is een beetje dat iedereen maar wat roept zonder dat deze begrijpend kunnen lezen of zelfs de moeite nemen om te lezen. Als ze dat wel hadden gedaan hadden ze gezien dat Solarwinds zelf aangaf bij het uitgeven van de hotfix dat alle versies van het afgelopen jaar geupdate moesten worden naar de hotfix.

Blokker_1999

Microsoft
Beveiliging en antivirus

@Cergorach • 18 december 2020 11:55

Nee, die is er al sinds de zomer. De H1 update heeft het lek reeds gedicht. H2 van deze week doet nog wat hardening, maar de malafide DLL werd met de vorige update alweer verwijderd.

Cergorach

Beveiliging en antivirus

@Blokker_1999 • 18 december 2020 12:02

Dat is niet wat Solarwinds zelf zegt:

Known affected products: Orion Platform versions 2019.4 HF 5, 2020.2 with no hotfix installed, or with 2020.2 HF 1

Bron: https://www.solarwinds.com/securityadvisory

Edit:
Vor de duidelijkheid, er is:
2020.2
2020.2 HF1
2020.2.1
2020.2.1 HF1
2020.2.1 HF2

[Reactie gewijzigd door Cergorach op 23 juli 2024 00:37]

JorisFRST @Cergorach • 18 december 2020 16:33

Hangt er vanaf wat de build was,

2020.2.1 is signed in augustus en niet vulnerable
2020.2.1 HF1 veranderd niets aan de betroffen DLL als je 2020.2.1 upgrade naar HF1

Ik denk dat ze doelen op een versie 2020.2 HF1

2020.2
2002.2 HF1
2020.2.1
2020.2.1 HF1
2020.2.1 HF2

StefanJanssen @bussie66 • 18 december 2020 10:07

ik ken de malware niet goed genoeg, maar is het niet zo gemaakt dat de malware zelf op je PC nestelt en dat een update zelf niet veel zin heeft? De malware heeft je systeem al besmet namelijk.

beerse @StefanJanssen • 18 december 2020 11:22

Zie de update als het dicht draaien van de kraan. Daarna kan je de rest van de malware opruimen. Als je niet patcht en wel de malware en gevolgen opruimt, dan komt het net zo hard (of traag) weer binnen.

the_stickie @StefanJanssen • 18 december 2020 14:10

Dat klopt, maar uit de analyse blijkt dat de bewuste Orion dll 'enkel' een backdoor bevatte. Dus de uitdaging is a) deze sluiten b) nagaan of deze gebruikt is. Deel b) is het lastige deel...

Op zich is Solarwinds Orion al iets wat eerder enterprise software is, wat gelukkig ook de kan verhoogt dat er wat controls 'in place' zijn om een analyse te kúnnen doen.
Dat is waar intrusion prevention, log centralisation, auditing, data analyse,.. hun nut bewijzen.

NielsFL @bussie66 • 18 december 2020 10:56

Een update kan alleen nieuwe inbraken stoppen. Als er al bij je is ingebroken ben je te laat. De inbreker heeft dan al nieuwe achterdeurtjes geïnstalleerd en mogelijk ook zijn sporen alweer gewist. Vooral dat laatste is funest - het is niet altijd direct duidelijk dat er ook bij jou is ingebroken.

Het gaat in dit geval niet om een script-kiddie die wat 0days probeert en kijkt wat er te halen valt. Dit is een professionele infiltratie. Zie ook: https://us-cert.cisa.gov/ncas/alerts/aa20-352a

Mektheb @bussie66 • 18 december 2020 09:53

Dit inderdaad, er is allang een update voor >.<

3raser @bussie66 • 18 december 2020 10:06

Precies, dat was nu juist het probleem.

HollowGamer 18 december 2020 10:02

Ik vind het zo vreemd dat dit intern niet aan het licht is gekomen. Als je iets van versiebeheer gebruikt, dan zie je toch dat er iets is veranderd of is toegevoegd? Bins lijken me wel moeilijker, maar ik zou iets van checksums, etc. verwachten, gewoon dat je weet wat je pushed naar je klanten ook het juiste is?

Ben geen kenner, weet het ook niet beter, maar ik vind het zo vreemd dat niemand het heeft opgemerkt.

pagani @HollowGamer • 18 december 2020 10:08

Als de exploit zich in het origineel (wat gepushed wordt naar alle klanten) vestigt, dan kloppen daarna alle checksums e.d., immers is de exploit dan onderdeel van het origineel waarover je de checksum bepaalt.

Tomino @pagani • 18 december 2020 13:19

Iets vergelijkbaars gebeurde ook bij Linux Mint in 2016. Website door kwaadwillende aangepast een een versie ter download beschikbaar gesteld die dus malafide bleek te zijn. De Md5 klopte dus met hetgeen dat op de website stond.. zie: https://blog.linuxmint.com/?p=2994

supersnathan94 @HollowGamer • 18 december 2020 10:10

Het is vanuit de website aangepast. Checksum heeft dan ook geen zin en in versiebeheer zijn er geen wijzigingen.

Op het moment dat je de directe download op de website kunt aanpassen kun je de checksum ook veranderen. Een checksum is alleen bruikbaar als download verificatie middel (bestand niet corrupt) niet als security maatregel.

D_el_p @supersnathan94 • 18 december 2020 11:38

Kleine aanvulling. Het is dan wel weer mogelijk (wat eigenlijk ook deel is van de hele schakel) om een PGP-gesigneerde lijst met valide checksums van de software te plaatsen. Daarmee is het dus wel te controleren of de software niet alleen integer (checksum) is, maar ook daadwerkelijk software van SolarWinds bevat.

Nu kun je je natuurlijk afvragen hoe vaak die lijsten daadwerkelijk gecontroleerd worden en of het echt zin heeft. Maar in feite is de mogelijkheid er wel om dit soort malafide binaries te detecteren.

edit: Het lijkt erop dat de malafide code daadwerkelijk aan de originele code is toegevoegd en daarna is gesigned door SolarWinds zelf. i.p.v. dat er een binary op de website is geplaatst. Dan heeft de maatregel die ik beschreef inderdaad ook geen effect meer natuurlijk.

[Reactie gewijzigd door D_el_p op 23 juli 2024 00:37]

supersnathan94 @D_el_p • 18 december 2020 13:08

Mja het is dubbel. Het beheer account voor de website lijkt via Github gewoon in plain text aanwezig te zijn geweest en er is een DLL binary sign gedaan die niet klopte. Dus alle gegevens op de website zijn aanpasbaar geweest en Solarwinds heeft zelf niet in de gaten gehad dat ze zelf een verkeerde binary mee hebben geleverd. Het is dus een beetje dubbel waardoor heel wat simpele maatregelen ineens niet meer gaan werken doordat die net zo hard gecompromitteerd zijn.

Signature check zegt niks, want signed
AV zegt niets, want zero day
Applicatie heeft vergaande rechten, want management tool wat ook updates kan installeren en doen.
Website is compromised, dus informatie en checksums zeggen niks.

Het is best een complex geheel, waarbij nu 2 dingen een probleem zijn in de beveiliging waardoor de hele boel in elkaar stort als een kaartenhuis.

Sws is die website al niet heel relevant aangezien Solarwinds zelf de hele boel niet door heeft gehad en ze dus netjes zelf de boel verspreid hebben. checksums zouden dus sowieso al wel kloppen.

BramVroy 18 december 2020 09:51

Ik blijf het bijzonder vinden dat dit, en spionage in het algemeen, zomaar geaccepteerd worden. Grootmachten zitten wel gezellig samen in zaken als de UN, maar spioneren en hacken elkaar wel zonder eind zonder dat daar veel gevolg aan lijkt te worden gegeven. Doet denken aan een digitale wapenwedloop die impliciet geaccepteerd wordt: oh, zij hacken ons? Wacht maar, wij zullen hen nog harder terughacken!

bbob @BramVroy • 18 december 2020 10:08

Spionage door alle landen is helaas heel normaal. Tegenwoordig zitten er naar politieke motieven ook economische motieven achter.
Natuurlijk zullen ze samen moeten blijven zitten, nog een koude oorlog zit de wereld ook niet op te wachten. Het is en blijft natuurlijk altijd een dunne lijn waarop men zit.

Wij in het westen krijgen dan vooral te horen dat Rusland, China Noord Korea ons hacken. Omgekeerd gebeurt hetzelfde. Sterker nog bondgenoten hacken ook elkaar. Van dat laatste hoor je bijna niemand en dat is eigenlijk nog kwalijker.

telskamp @bbob • 18 december 2020 10:27

Ook voor de komst van het internet bestond er staatsgesponsorde spionage en bedrijfsspionage.
Nieuwschierigheid zit nou eenmaal in de aard van de mens.

DrPoncho @BramVroy • 18 december 2020 09:59

Zonder onomstotelijk bewijs is het lastig een land binnenvallen. En dat bewijs is lastig te vergaren. Daarbij, stel dat Rusland het gedaan heeft, ga je dan Rusland binnenvallen? Sancties zijn er al zat, en contraspionage gebeurt ook al aan de lopende band (ook door de AIVD).

Dus wat zouden ze volgens jou nog meer moeten doen?

rixster @DrPoncho • 18 december 2020 10:09

"Wij" hacken ook, dus het zal zo'n vaart niet lopen. Het is de nieuwe wapenwedloop.

Cergorach

Beveiliging en antivirus

@DrPoncho • 18 december 2020 11:04

Op internationaal niveau zou het ook niet acceptabel zijn dat land X, land Y binnen zou vallen omdat het gespioneerd had. Rusland binnenvallen is natuurlijk niet het goede voorbeeld. Stel Luxemburg spioneert in Duitsland en/of Frankrijk, ze worden gepakt, dan is het niet zo heel moeilijk om voor een veel groter land, het andere land binnen te vallen. Echter zou een groot deel van de wereld zich achter Luxemburg scharen omdat dit niet gewenst is. Spionage is al millennia deel van diplomatie, oorlog wordt pas gevoerd als de diplomatie faalt (of zou zelfs als een extensie van diplomatie kunnen worden gezien, maar nog steeds iets wat als laatste middel wordt ingezet).

Het enige wat het internet doet is decentrale communicatie faciliteren, 25 jaar geleden kwam je ook discussies tegen in hele specifiek boards over (digitale) spionage/hacks die door het gros van de nieuws organisaties/kranten niet werden opgepakt. Echter is 'nieuws' tegenwoordig big business, "The clicks must flow!", dus wordt elk strohalmpje vastgegrepen om maar nog meer populistisch nieuws te verspreiden.

Dat merk je ook hier bij Tweakers.net, het gros van de tweakers kent Solarwinds niet, weet niet wat het doet. Er ontstonden zelfs hele discussies over zonnepanelen...

Vervolgens is de impact van het betreffende product ook nog eens beperkt, want echt niet iedereen gebruikt Orion van Solarwinds. Ik denk dat als je slager om de hoek wordt gehackt, het voor de meeste onder ons meer impact heeft dan dit nieuws.

bbob @DrPoncho • 18 december 2020 10:09

Lees alternatief hieronder nog een koude oorlog, daar zit de wereld niet op te wachten.

vgroenewold @BramVroy • 18 december 2020 10:09

Zoals hierboven aangegeven wordt, wat is het alternatief? Je wilt koste wat kost voorkomen dat het ook maar enigzins uitloopt op een oorlog of iets dergelijks. Mensen schermen daar makkelijk mee, maar het is het meest vreselijke wat je maar kan meemaken. Dus tsja, dan worden het sancties en investeren in bescherming en contra spionage.

IStealYourGun @BramVroy • 18 december 2020 10:21

De VN is een gevalletje apart, beter iets dan niets en de kleine successen die daar worden geboekt kan een groot impact hebben op veel mensen.

Bovendien worden er wel sancties getroffen, maar dat gebeurt vaak op hoog (diplomatiek) niveau. Meestal worden er diplomaten teruggestuurd naar hun land of worden er contracten geannuleerd.

[Reactie gewijzigd door IStealYourGun op 23 juli 2024 00:37]

Bob de Slager @BramVroy • 18 december 2020 10:24

Spionage accepteren is iets heel anders dan niet reageren.

Spionage zoals afluisteren, agenten werven en informatieposities ontwikkelen door bevriende organisaties op NL grondgebied werkt men weg in onderlinge onderhandelingen en kan leiden tot de uitzetting van de bevriende spionnen en hun "handler", ook als dat Amerikanen betreft. Of daar ruchtbaarheid aan gegeven zal worden is weer een heel andere vraag en voornamelijk een politieke afweging.

Spionage door vijandelijke mogendheden kan altijd rekenen op een reactie (Trump daargelaten), deze acties zijn echter niet per definitie net zo publiek als de spionage actie waarop men reageert (als die al publiek bekend was).

Hoe groter de publieke impact van spionage acties, hoe aannemelijker het is dat de reactie ook publiek bekend zal worden. Maar het is geen garantie, soms kan je meer voor elkaar krijgen door dat achterwege te laten, zeker als je de aanvaller confronteert met mogelijke gevolgen en deze eieren voor z'n geld kiest.

3raser @BramVroy • 18 december 2020 10:06

Als je erg emotioneel reageert op een hack aanval dan is een nucleaire oorlog binnen handbereik.

US President: "They hacked us! Either they step out of the UN or we do!"
US President: "They hacked us again! Defcon 1!"
US President: "And again! -Presses the big red button...-"

Ik mag hopen dat onze wereldleiders een iets dikkere huid hebben. Dat wil niet zeggen dat je niets moet doen maar een beetje gepast reageren is wel op zijn plaats. Uit de VN stappen hoort daar niet bij lijkt me.

akooijman @3raser • 18 december 2020 14:35

En tussendoor nog wat tweets: "we hacked them, but don't tell anyone!"

Keypunchie @BramVroy • 18 december 2020 13:34

Grootmachten zitten wel gezellig samen in zaken als de UN, maar spioneren en hacken elkaar wel zonder eind zonder dat daar veel gevolg aan lijkt te worden gegeven.

Gek genoeg wil je in veel gevallen tot op zekere hoogte ook spionage.

De reden daarvoor is dat geo-politiek vaak nogal afwijkt van poker.

In de geo-politiek bluf je soms en soms ook niet. Maar in veel gevallen dat je bluft, wil je eigenlijk niet eens dat je tegenstander dat wel denkt.

En soms betekent dat dat je informatie die je niet publiek wil hebben, wel bij je tegenstander bekend wil hebben.

Een voorbeeldje: De Amerikanen hadden in de jaren '80 nucleaire wapens gestationeerd in Nederland.

Dit is informatie die ze niet publiek wilden hebben, want de Nederlandse bevolking was zeer anti-kernwapens en het zou de bevriende Nederlandse regering in de knel brengen als het publiek werd.

Aan de andere kant, wilden ze wel dat de Sovjet-Russen dit wisten, immers, die wetenschap zou een afschrikwekkende werking hebben op de Sovjet-Unie als onderdeel van de gehele nucleaire dreiging. Om het anders te zeggen: dat de Sovjet-Unie op geen enkele manier kon gaan denken dat nucleaire annihilatie als reactie op een oorlog een 'bluf' zou zijn.

Wat is de oplossing: Lekken? Maar dan wel op een manier dat je tegenstander de informatie geloofwaardig acht (en niet denken dat het een bluf si). En dat kan eigenlijk alleen als je niet al te hard probeert om elke spion constant te weren.

Dat betekent informatie op een zo laag acceptabel mogelijk niveau classificeren en op dat niveau niet te hard naar spionnen zoeken.

Rare business, politiek, diplomatie en spionage.

[Reactie gewijzigd door Keypunchie op 23 juli 2024 00:37]

Terrestrial 18 december 2020 11:01

Wat ik vooral bijzonder vind is dat bij elke hack gelijk gewezen wordt met het vingertje naar Rusland terwijl men eigenlijk maar zit te gokken. Er is helemaal niet bekend wie er achter zit en de vraag is maar of ze daar ooit gaan achter komen. Een naam die opduikt kan wel met opzet opduiken.

Tevens we weten allemaal van Snowden dat de NSA jarenlang overal malware heeft ingezet en backdoors had terwijl niemand dit door had. Die zullen vast niet gestopt met dit soort praktijken, wat ik daarmee wil zeggen is waarom zou grootmacht Mother Russia niet op hetzelfde technologische niveau zitten? Ik acht de kans heel klein dat Rusland hier achter zit want dan had niemand wat gemerkt.

OddesE @Terrestrial • 18 december 2020 13:33

Wat ik vooral bijzonder vind is dat bij elke hack gelijk gewezen wordt met het vingertje naar Rusland terwijl men eigenlijk maar zit te gokken.

Helemaal eens. Extra frappant is dat Tweakers zelf in een achtergrond artikel tot de conclusie komt dat er geen bewijzen zijn geleverd voor wie er achter zit en dat ook voor die bewering zelf geen primaire bronnen zijn te vinden. En dan toch hier weer opnieuw slaafs dat gerucht herhalen. Heel vreemd.

Letterlijke quote uit het achtergrond artikel:

Voorlopig lijkt de vinger dus alleen vanuit media naar Rusland te wijzen.

Zegt Tweakers zelf! Om het vervolgens opnieuw klakkeloos te doen??

NielsFL @Terrestrial • 18 december 2020 11:13

Het is nauwelijks te bewijzen wie de dader is. Tenminste, de dader kan proberen je op een dwaalspoor te brengen. Zie bijvoorbeeld Umbrage van de CIA: https://wikileaks.org/ciav7p1/

Tegelijkertijd heb je wel een aanwijsbare dader nodig om het publiek weer gerust te kunnen stellen. Dus als je er eentje aan moet wijzen dan kun je er net zo goed een kiezen die politiek goed uitkomt.

Mocht de dader achteraf toch een ander blijken, dan maakt dat eigenlijk niet zoveel uit. Het publiek is inmiddels tevreden en de politiek heeft er een slaatje uit weten te slaan. Zolang de betrokken experts weten wie het echt was is dat meestal voldoende.

Ben Adar @Terrestrial • 19 december 2020 13:02

***Tevens we weten allemaal van Snowden dat de NSA jarenlang overal malware heeft ingezet en backdoors had terwijl niemand dit door had. Die zullen vast niet gestopt met dit soort praktijken***

Helemaal met je eens! Maar het is nu eenmaal veel gemakkelijker om naar de Russen en Chinezen en andere niet "vrije wereld" landen te wijzen.
Naar onze Amerikaanse "vrienden" wijzen is natuurlijk niet politiek correct.

Usul_Atreides 18 december 2020 12:27

Microsoft is zelf ook een van de slachtoffers.

Het staat Microsoft vrij om te gebruiken wat ze willen, maar ik zou eigenlijk verwachten dat ze alles op System Center hebben zitten.
Dat is immers hun 'tegenhanger' voor Orion.

Ellej_Harmsen @Usul_Atreides • 18 december 2020 17:19

Ik kan me voorstellen dat ze bij bedrijven die ze hebben overgenomen nog met andere systemen werken. Het zou inderdaad heel gek zijn als ze bewust hun concurrent gaan financieren.

J_van_Ekris 18 december 2020 09:43

Dit is dus zo'n geval waarbij management/monitoringtooling een achterdeur openzet naar de hele organisatie. Er is zoiets als teveel centralisatie...

loewie1984 @J_van_Ekris • 18 december 2020 09:52

Ik begrijp de opmerking en deel hem gedeeltelijk. Maar acht je fragmentatie van je managementsoftware dan per definitie veiliger? Want zeg nou zelf: 10 management tools security technisch inrichten en afdichten kost veel meer effort dan 1 management tool waarmee je 10 oplossingen bedient.

Dat gevaar is gewoon alom aanwezig als je een dienst afneemt. De dienst kan altijd gecompromitteerd raken. Ondanks alle redundantie en veiligheidsmaatregelen ten spijt, als een dienst gehacked wordt kun je daar niets tegen in brengen. Wat je wel kunt doen is zorgen dat je een strategie hebt als de dienst gehacked wordt.

Denk aan: Welk risico lopen we als organisatie, welke systemen worden dan aangeraakt en moet je daar als organisatie geen 'brand deuren' voor inrichten die dicht vallen wanneer zo'n systeem wordt geraakt.

Dat is de vraag waar een dienstverlener of security specialist van een bedrijf zich mee moet bezig houden.

Eonfge @loewie1984 • 18 december 2020 10:17

Wat ik vooral schadelijk vindt, en dat is een nadeel van centralisatie, is dat 1 leverancier impact kan hebben op 40+ klanten. Solar Winds Orion is een closed-source Remote Control tool. Het hele ontwerp en business model leunt er dus op dat alleen Solar Winds updates kan maken en distribueren, waardoor het dus een heel gewild doelwit is.

loewie1984 @Eonfge • 18 december 2020 10:19

Ja dat ben ik ook wel met je eens, maar als het alleen remote control is (dus vergelijkbaar met Take Control, TeamViewer) dan heb je nog steeds authenticatie gegevens nodig om op een systeem binnen te komen. Dan is Solarwinds Passportal veel gevaarlijker. Die knopen alle credentials van alle systemen aan elkaar voor een MSP om een gevoel van passwordless en passwordmanagement aan te kunnen bieden.

Maar dan ben je echt zwaar de sjaak als men daar toegang toe weet te krijgen.

Gody @Eonfge • 18 december 2020 11:58

Het komt over alsof je zo’n single point of failure een slecht idee vindt. Begrijpelijk, maar hoe kijk je dan naar besturingssystemen en wat zie je dan als een alternatief voor single point development/distributie?

Waar ik naartoe wil met bovenstaande is dat veelgebruikte systemen vaak een ander doel dienen. Natuurlijk moet Orion veilig zijn, natuurlijk moet Windows veilig zijn, maar dat is niet het hoofddoel en blijft dus altijd mede-verantwoordelijkheid van de gebruikers.

Eonfge @Gody • 18 december 2020 12:29

Begrijpelijk, maar hoe kijk je dan naar besturingssystemen en wat zie je dan als een alternatief voor single point development/distributie?

Ik gebruik Fedora Linux, en decentraal werken zit in het bloed van Linux. Ik werk ook mee als vrijwilliger bij het onderhouden van zulke decentrale systemen. Geef je dus graag wat uitleg.

Om te beginnen zijn er veel verschillende leveranciers van Linux: Red Hat, Canonical, IBM, Intel, Amazon en Oracle. Die hebben allemaal hun eigen systemen en pipelines. Het hacken van Canonical zal geen impact hebben op Red Hat klanten.

Vervolgens heb je de componenten waar Linux uit bestaat. Je hebt een kernel, maar ook userspace applicaties, varierent van LAMP tot aan Dockers met Java. Voor al deze onderdelen zijn er alternatieve versies en concurrerende onderdelen te verkrijgen. Als er een fout zit in Oracle Java, of de pipeline wordt aangevallen, dan zal de Java in RHEL of Docker daar geen impact van ondervinden. Zelfs de kernels hebben dit. Als jij een Ubuntu bij Amazon draait, dan gebruik je standaard de AWS kernel, en niet die van Canonical.

Dit maakt het landschap van Linux heel erg decentraal en diffuus. Geen 1 partij heeft absolute macht, en geen 1 aanval kan leiden tot een volledige instorting van een markt-segment. Ik heb er zelfs een artikel over geschreven hoe dit deels werkt bij Fedora Linux: https://fedoramagazine.org/web-of-trust-part-1-concept/

Dat andere systemen deze risico's wel hebben omdat ze gecentraliseerd zijn... daar praat ik met enige regelmaat over... met hele wisselende reacties. Je zou eenvoudig een lijstje van tien systemen kunnen maken die allemaal single-points-of-failure zijn voor de Europese economie.

Decentraliteit heeft natuurlijk ook nadelen, en dat is waarom er in Linux erg wordt gehamerd op open standaarden. Gelukkig wegen de voordelen doorgaans op tegen de nadelen

[Reactie gewijzigd door Eonfge op 23 juli 2024 00:37]

Loft @Eonfge • 18 december 2020 14:23

Ik ben het eens de problematiek die je beschrijft, maar je vergelijking klopt niet. Solarwinds is nu klos, maar er zijn legio alternatieven voor Solarwinds. Solarwinds is geen monopolist, je kunt naar MS zelf, naar Dynatrace, Wireshark, LogicMonitor, VM, NetApp, Zabbix, Cisco, naar gelang je wensen en eisen.

Als MS een grootschalige hack te verwerken krijgt, of de grote hosting partijen (AWS, MS, Google en meer) of de grote netwerkproviders (mobile/vast) dan is de mogelijke impact vele malen groter.

Jouw mening over centraal / decentraal deel ik helemaal. Kijk alleen al in de social media met Facebook, Tiktok e.d. Dat soort partijen geven niet eens iets over privacy and security

J_van_Ekris @loewie1984 • 18 december 2020 10:22

Het punt dat uiteindelijk alles gehackt kan worden, zoals SolarWinds waardoor eke klant in praktijk een soort Trojan horse binnenhaalt, is de reden waarom we bepaalde maatregelen nemen met zijn allen. Het punt wat ik heb is dat we aan de ene kant heel veel energie stoppen in het segmenteren van netwerken, om te voorkomen dat een malware/hack gelijk de hele tent raakt, ongedaan wordt gemaakt als je aan de andere kant een IT organisatie hebt die vervolgens wel de management-oplossingen wil centraliseren. Ik snap dat het meer werk is, maar dat is het loslaten van de "one big happy network" altijd. Als je het van gebruikers verwacht, moet je dan niet meer verwachten van beheerders?

Sluuut @loewie1984 • 18 december 2020 12:03

als een dienst gehacked wordt kun je daar niets tegen in brengen

Daar ben ik het niet helemaal mee eens; Je kunt SIEM oplossingen wegzetten die je netwerkverkeer monitoren wat je dan zelf actief in de gaten houd, en je kunt je firewalls zo dicht mogelijk zetten, dus b.v. dat de serviceaccount waaronder de Orion services draaien enkel naar Orion FQDNs mogen praten, en niet naar onbekende command & control servers.

Want uiteindelijk moet die malware wel naar het internet connecteren om nuttig te worden voor de malware makers.

Of voedde de malware de informatie naar Orion zelf en haalde ze het daar weer vandaan? In dat geval kun je er weinig aan doen...

[Reactie gewijzigd door Sluuut op 23 juli 2024 00:37]

Kabouterplop01 @Sluuut • 18 december 2020 20:55

Daar hebben we het niet meer over segmentatie, maar over zonering.
je kunt segmenteren tot je een ons weegt, zodra je routeert tussen de segmenten wordt je netwerk weer lekker plat.
Een management netwerk mag nooit per direct aan het internet hangen. De firewalls idd dicht en loggende regels aanzetten. Dan heeft de backdoor veel minder tot geen kans.
Als er zoiets in de organisatie bestaat als regulier een portscan draaien dan zou je in dit geval ineens een open port moeten zien en in de loggende firewall regel een entry die laat zien dat er een outbound connectie getracht wordt op te zetten.

Overigens ben ik heel benieuwd naar het rapport; men is nu bezig om te zoeken naar de andere (ja, er zijn er meer, volgens de CISA) aanvalsvectoren.

[Reactie gewijzigd door Kabouterplop01 op 23 juli 2024 00:37]

ALittleTooLate 18 december 2020 09:56

Ben blij dat ik de SolarWinds CEO niet ben.

AndrewF @ALittleTooLate • 18 december 2020 10:02

De CEO, Kevin Thompson, is op 7-12-2020 vervangen door een nieuwe

https://www.cnbc.com/2020...cut-this-week-so-far.html

Eonfge @AndrewF • 18 december 2020 10:07

Hij heeft nog mogen cashen:

President & CEO of Solarwinds Corp (30-Year Financial, Insider Trades) Kevin B Thompson (insider trades) sold 166,129 shares of SWI on 11/19/2020 at an average price of $21.65 a share. The total sale was $3.6 million.

https://finance.yahoo.com...sident-ceo-181502379.html

Dit riekt erg veel naar handelen met voorkennis, maar wat is nieuw in deze saaie dystopie.

[Reactie gewijzigd door Eonfge op 23 juli 2024 00:37]

ALittleTooLate @Eonfge • 18 december 2020 12:58

Was het wachtwoord niet "SolarWinds123"? Hij gaat zn bonus nog nodig hebben voor zn advocaten

Cyn 18 december 2020 09:46

Zo zie je dat niemand veilig is. Er is altijd een manier om binnen te dringen.

FrostyPeet 18 december 2020 10:45

met al dat gehack zou ik toch verwachten dat kostbare en gevoelige bedrijfsgegevens (R&D) van internet afgehaald is? Hoogstens een losstaand lokaal netwerkje voor bestanden delen en wat essentiële randapparatuur.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (82)

Sorteer op:

Weergave: