Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Belangrijke Amerikaanse oliepijpleiding werkt niet meer door ransomware

Een belangrijke Amerikaanse oliepijpleiding is stilgelegd omdat het bedrijf erachter getroffen is door ransomware. Er gingen al geruchten dat de Colonial Pipeline door een cyberaanval was getroffen, maar het bedrijf bevestigt nu dat het om gijzelsoftware gaat.

De Colonial Pipeline Company, dat de gelijknamige oliepijplijn beheert, bevestigt zelf dat het vrijdag getroffen is door ransomware nadat daar eerder dit weekend al geruchten over rond gingen. Het is niet bekend om welke ransomware het gaat. Bronnen van NBC News zeggen dat eerste signalen erop duiden dat het om 'gewone' criminelen gaat en niet om een aanval van een ander land zoals Rusland of Iran. Meerdere bronnen zeggen tegen de BBC dat het gaat om een Russische criminele organisatie genaamd DarkSide. Die zouden 100GB aan data hebben gestolen van het bedrijf en dreigen die op internet te laten uitlekken. DarkSide is niet gelieerd aan het Kremlin, maar is een relatief nieuwe criminele organisatie.

De omvang van de aanval is ook nog niet helemaal duidelijk. De Colonial Pipeline Company heeft uit voorzorg delen van het ict-netwerk offline gehaald. "Deze actie zorgde ervoor dat de hele werking van de pijpleiding werd stopgezet en heeft sommige ict-systemen geraakt. We zijn bezig die te herstellen", schrijft het bedrijf. Er is inmiddels een plan opgesteld om de systemen en de pijplijn zelf weer op te starten. Dat begint met kleine lokale systemen om vervolgens de grotere systemen te starten.

Het beveiligingsbedrijf FireEye zou inmiddels zijn ingeschakeld om te helpen. Ook zouden Amerikaanse autoriteiten, waaronder het ministerie van Energie en de FBI, paraat staan om te helpen.

De Colonial-pijpleiding is een van de belangrijkste onderdelen van de Amerikaanse energie-infrastructuur. De pijplijn is 8850 kilometer lang en loopt van de Texaanse kust aan de Golf van Mexico tot aan de staat New Jersey. De pijplijn vervoert 2,5 miljoen vaten olie per dag en voorziet daarmee bijna de helft van de Amerikaanse oostkust van olie.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

10-05-2021 • 07:32

153 Linkedin

Submitter: wildhagen

Reacties (153)

Wijzig sortering
Het gaat hier dus om een pijpleiding die verantwoordelijk is voor 45% van de olietoevoer in de VS, Biden heeft inmiddels een decree getekent waarmee de olie nu ook via tankers aangeleverd mag worden aan oa New York. Het gaat hier dus om een HELE belangrijke pijpleiding.
Dat bleek al uit het artikel....

De pijplijn vervoert 2,5 miljoen vaten olie per dag en voorziet daarmee bijna de helft van de Amerikaanse oostkust van olie.
Bedenk je even dat artikelen bij tweakers vaker nog aangepast worden nadat ze gepubliceerd zijn, ik kan me namelijk wel de 2,5 miljoen vaten olie per dag herinneren, maar niet het deel daarna wat mij dus ook prompte om dit te melden.
Dan vragen ze zeker wel 1 hele Bitcoin. Alleen jammer dat die dingen vaak vast komen te zitten en nog beter te traceren vallen dan je telefoon. Ze zullen dus wel om Monero vragen.

[Reactie gewijzigd door ZeroPatient op 10 mei 2021 09:05]

Zie de screenshot in dit bericht: https://www.bbc.com/news/business-57050690

Inderdaad Monero, of Bitcoin met 10% extra penalty.
Dat is een voorbeeld:
An example of a DarkSide ransomware notice that appears on victims' computer screens
Als die leiding ongeveer 2500 BTC per uur aan olie levert zal het wel iets hoger zijn.

*Gaat nu monero kopen :+
Alsof de benzineprijs nog niet hoog genoeg was! :+

Laat weer mooi zien hoe kwetsbaar allerlei logistiek is geworden die op afstand gemonitord en bestuurd moet worden.
De prijs komt momenteel omgerekend op ongeveer 70 eurocent voor een liter benzine in de VS. Vergeleken met Europa (met Nederland uiteraard als koploper) is dat dus alsnog een schijntje ;)
Dat klopt, maar voor de VS is die herhoging enorm. Dan kun je zeggen dat ze niet zo moeten zeuren met hun prijzen, maar als de brandstof hier ineens 5 x duurder werd van een op andere dag, ligt hier ook de hele logistiek op z'n gat.
Zulke prijsverhogingen zijn niet toegestaan. Het effect op de belevering is niet instantaan. En in Texas enkele maanden terug hebben we gezien dat overheden het ook niet aanvaarden dat prijzen zomaar zo sterk stijgen.
Dat klopt dus niet. De Gouverneur bazelde wat voor politieke marketing, er werd wat show gemaakt in lagen van politiek bestuur, maar er werd niets gedaan aan de prijsstijgingen, absoluut niets aan de roofprijzen toen het mis ging, en al helemaal niets aan het debacle van surcharges. Integendeel, de hetze om Texas buiten het nationale net te houden is sterker dan ooit te voren. Nog erger, er volgde een theater van politiek positioneren, het ene ontslag nemen na het andere, om maar het narratief van illiberalisme en corporatisme in stand te houden. Neuh, ingrijpen is wat schade veroorzaakt. Uhuh.

https://www.texastribune....city-prices-winter-storm/

https://www.npr.org/secti...-face-huge-electric-bills

https://theintercept.com/...rm-gas-prices-executives/

https://www.npr.org/2021/...charges-from-winter-storm
Geworden of toegestaan dat het zo geworden is. Ik vindt het niet echt een natuurlijk verloop van zaken, als ik een punt van kritiek mag geven. Dit hele gebeuren zorgt hopelijk wel voor een scherpere overweging of je wel remote wil gaan bij bepaalde aspecten.
Ik snap ook niet dat dit soort cruciale systemen aan het internet gekoppeld moeten worden. Waarom geen gesloten netwerk?
Denk je echt dat dat veilig is? Veiliger wel maar niet veilig. Vraag maar aan Iran.
Njah, op het moment dat een persoon fysiek kan binnendringen kan die zelfde persoon natuurlijk ook gewoon een sticky bom op die pijplijn plaatsen.
Veilig van buiten af wel op digitaal vlak. Er kan altijd een mol binnen zijn die een kraan dichtdraait of ergens op een knop drukt. Maar via buitenaf gaat dat niet. Zie het als conventionele thermostaat als slimme thermostaat: de laatste kan door een hacker wel op 40 graden gezet worden, de eerste kan alleen door iemand fysiek aangepast worden, bijv. door een inbreker, een vervelende bezoeker of een dwarse tiener. Nooit 100% veilig, maar de drempel om fysiek ergens binnen te komen is aanzienlijk hoger dan de slecht beveiligde netwerkverbindingen die overal te pas en te onpas open staan.
De centrifuges in Iran die heel wat jaren terug beschadigd zijn geraakt zijn niet aangeraakt geweest door een vreemde mogendheid. Toch waren deze systemen volledig airgapped.

Stuxnet heeft enorm veel computers over heel de wereld geïnfecteerd maar heeft nooit enige schade aangericht op de meeste computers. Enkel toen het eindelijk in aanraking kwam met SCADA systemen die aan de juiste parameters voldeden ging het aan het werk om deze systemen te ontregelen.

Ligt de drempel hoger? Absoluut. Maar als je tijd hebt, is een goed virus alles wat je nodig hebt.
Wie zegt dat het proces hierdoor geraakt is? Als dit gewoon allemaal functioneert, maar het inkoop en verkoop systeem (wat wel logischerwijs aan het internet hangt) van deze pijpleidingmaatschappij niet beschikbaar is, dan moeten ze ook de ‘fabriek’ plat leggen.
Wie zegt dat het aan het internet is gekoppeld. Meest waarschijnlijk geval is dat de OT omgeving niet verbonden is het met internet en dat die gewoon kan werken. Het probleem zit hem waarschijnlijk in het feit dat de olie niet gefactureerd kan worden als de IT omgeving plat ligt.
Technisch werkt de leiding dus wel, maar als ze daar zoveel olie doorheen blijven pompen zonder te kunnen factureren zijn ze waarschijnlijk snel failliet.
Wie zegt dat de prijs niet duurder was door alles local te beheren :)
Zeker weten dat de prijs niet duurder was, mogelijk wel hoger.
Dat is een van de redenen dat de Russische geheime dienst in 2016 is overgestapt op de typemachine.

https://www.ad.nl/buitenl...%3A%2F%2Fwww.google.nl%2F

Dit geldt ook voor kwetsbare infra, daar zijn zij ook bewust minder digitaal in.
Dat is voor een totaal andere reden.

Als bedrijf kan je beter investeren in een business continuity plan en een DR-plan. Helaas gebeurt dat nog te weinig.
In dat artikel staat letterlijk dat dit de reden is. Wat is hij dan volgens jou, en heb je daar een bron voor?
Beetje dom. Met een paar seismograven kan je zo berekenen wat ze aan het typen zijn. :9
tenzij er een vrachtwagen langs rijdt ... ;)
Niet "de" russische geheime dienst. Dit onzin artikel haalt een ander artikel uit de krant Izvestija dat de FSO (een van de diensten) onlangs 20 (!) Duitse typemachines heeft aangeschaft. En om deze hoop genakken lucht nog enig gewicht te geven wordt een voormalig hoofd aangehaald die een opmerking maakt over handgeschreven materiaal, dat dat ook nog wel voorkomt (maar die verder geen uitspraak doet over die typemachines). En dan wordt er nog wat bijgevoegd over ouderdom van telefoonlijnen want die zijn veiliger(wat?). Hoe vul ik een pagina van een krant.
Nee, het is kwetsbaar geworden omdat Jan en alleman allerhande kwetsbare IT aan het Internet knoopt en daardoor een gote barrière heeft weggehaald. IP netwerken volledig los van het Internet bestaat al net zolang als IP bestaat: VPN. Daarmee werp je een enorme drempel op doordat de buitenwereld er niet meer bij kan. Maar ja, een VPN aansluiting is net iets duurder dan een internet aansluiting en dat lijkt tegenwoordig de enige maatstaf geworden. Maar dat heeft dus een prijs. En die heet ransomware.
Alleen een VPNetje gaat niet heel erg veel aan de beveiliging toevoegen. Dat zijn voor zo’n bedrijf de kosten ook niet, er gaat in deze sector genoeg geld rond dat ze daar niet op “hoeven” te besparrn (waarmee ik niet zeg dat ze dat niet gedaan hebben).

Het is mooi dat menig tweaker er “wat van vindt” of “beter weet hoe het moet”, maar de realiteit is dat we hier niet weten hoe hun inrichting eruit zag en welke keuzes daaraan ten grondslag lagen. Ook weten we (nog) niet hoe de ransomware op essentiële systemen is gekomen.
Er zijn, ook bij ransomware, zeer geavanceerde aanvallen geweest.
Dus neem het voorbeeld van VPN beveiliging, het stelen van de juiste credentials (user/pass, private key, etc) kan genoeg zijn om ook die barrière te slechten.

Ik ben zelf dan liever ook wat voorzichtiger met het vellen van een oordeel tot er daadwerkelijk informatie uit het onderzoek naar buiten komt.
Een besloten VPN kan je van buiten niet bij beste man. Daar kan je van buiten dan ook niet op inloggen, domweg omdat er geen link is tussen internet en dat VPN. Het is een losse wolk. Ik weet inderdaad niet hoe hun inrichting er uit ziet, maar mijn opmerking slaat op het feit dat ransomware op dit moment keurig over het internet wordt uitgevoerd waardoor er DUS een link is tussen een productiesysteem en dat internet. Denk maar even aan de leverancier van de AH kortgeleden. En DAT kan je dus wel degelijk heel veel moeilijker maken. Een VPN kan inderdaad ook een getunneld iets over het internet zijn, maar daar heb ik het expliciet NIET over.
Met alle respect @Houtenklaas, maar ik denk dat je kennis van netwerken toch echt veel te klein is voor jouw om zulke uitspraken te doen. Het is een gevalletje van klok/klepel als ik je posts lees. Je weet wel wat een VPN is, wat het in de basis doet, maar hoe alles net werkt, dat ken je nog niet.

Een VPN wordt opgezet door een toestel dat gewoon verbonden is met het publieke internet. Net zoals jouw modem thuis. Als jouw modem alle inkomende verkeer weet tegen te houden, dan zijn je systemen thuis veilig van externe toegang. Zet je een VPN op, dan heb je evenwel een toestel aan het internet hangen dat dus met dat internet moet kunnen communiceren. En net zoals bij je modem thuis, als er in de software van dat toestel fouten zitten, dan heb je een probleem en ben je kwetsbaar.

Wat je nodig hebt is een dedicated lijn, iets dat niet over het internet gaat, een dark fiber. Maar die kosten veel geld, afhankelijk van de af te leggen afstand spreek je dan al snel van honderden tot duizenden euro per maand, enkel en alleen om een verbinding tussen 2 locaties te hebben. Maar dat is dus expliciet geen VPN.

VPN is een virtueel netwerk, waarom virtueel? Omdat het over een ander, publiek netwerk gaat. Met een dark fiber heb je geen virtueel netwerk meer maar maakt de remote locatie gewoon onderdeel uit van je eigen netwerk. Zelfs MPLS routeert vandaag de dag voor een deel over het internet waardoor er ook daar geen sprake meer is van een afgescheiden netwerk.

En stel je even voor dat je je netwerk voor een groot deel met dark fiber hebt opgezet. Wat dan? Hoe ga je alles beheren? Management wil rapporten zien, ga jij duizenden getalletjes per dag laten overtypen omdat er een airgap tussen de apparatuur en het administratieve netwerk zit? Je hebt een storing in het midden van de nacht, de on-call zou het kunnen oplossen op 5 minuten als ie er vanop afstand aan zou kunnen maar moet nu ineens 2 uur met de wagen rijden. Ben je erop vooruit gegaan? Denk je echt dat airgapped vandaag de dag nog wenselijk is voor de meeste bedrijven? Zelfs dit incident zou ze waarschijnlijk nog minder geld kosten dan jarenlang een airgapped netwerk te onderhouden.
Eigenlijk wil je een lange pijpleiding hebben waar je je eigen kabeltje onder kan leggen.
Met alle respect. Dit is slechts een deel van het verhaal. Je mist volledig het bestaan van IP-VPN's. Lees hier even wat een IP-VPN precies is. Het is mijn werkveld van de afgelopen 30(!) jaar. MPLS in een echt IP-VPN routeert zeer zeker niet over het internet, dat is echt onzin. De petrochemische industrie kent dit principe als geen ander omdat daar een zeer stringente risico beheersing geldt en daar wordt met regelmaat de provider geaudit op allerhande zaken. En denk je dat daar duizenden getallen worden overgetikt? Nee he!

En over die storing oplossen vanaf thuis ... Op een IP-VPN kan je netjes met een private APN inbellen, waar je 06 nummer EN credentials nodig zijn om in te kunnen loggen. En ja, dat is een risicofactor. Daarom kan je ook thuis een VDSL aansluiting hebben die op dat IP-VPN (los van internet inderdaad) aangesloten is. Dat is echt geen issue vandaag de dag. En nog steeds 100% los van het internet.

O ja, kleine toevoeging over dat "airgapped" ... Ik heb het liever over een gelaagd netwerk waar je precies genoeg mag om het werkproces aan de gang te houden. In je productieplant is internet ongewenst. Productiedata kunnen prima "one-way" worden overgedragen naar een kantooromgeving die losstaat van de productie. Kortgeleden in het geval van AH is een supply chain die blijkbaar gekoppeld is over het internet. Als je een proces inricht en je risicomanagment zegt dat de kans op schade gering, geen imageschade er uit voortkomt en het simpel oplosbaar is, dan is dat een prima besluit om dat zo te doen. Als er echter uit komt dat het risico ongewenst is, dan kies je voor een veiliger transportmiddel. En dat kan ook een internet-VPN zijn overigens. Als je er maar over nadenkt.

[Reactie gewijzigd door Houtenklaas op 11 mei 2021 10:43]

Precies, meeste reacties lijken er van uit te gaan dat de software die de pijpleiding bestuurt, rechtstreeks aan het internet hangt. Dat hoeft helemaal niet het geval te zijn. Als de spreadsheet waarin staat wie wanneer de pomp aan moet zetten geëncrypt is, stroomt er ook geen olie
Ik moet dan aan Diginotar denken waar het netwerk voor de gewone kantoorbezigheden fysiek gescheiden was van de systemen die de certificaten uitgaven. Maar dat help je niet als een paar medewerkers dan zelf even een UTP-kabeltje tussen die netwerken leggen zodra de auditors het pand weer uitlopen. Ik geloof dat bij Diginotar iedereen ervan wist, ook het management, maar zoiets kan natuurlijk ook prima het werk zijn van een enkele luie medewerker.
Ik kan mij nog een onderzoek herrineren van een amerikaanse universiteit een aantal jaar terug die hadden de netwerken van nuts bedrijven in Amerika onderzocht op beveiliging.
Wat bleek, sommige routers van die nuts bedrijven onder andere ook bij cruciale punten hadden een cisco router open aan het internet met het standaard user en ww nog op cisco cisco in de router staan.

Ja ik weet dat nuts is geen olie company, maar beveiliging van je netwerk begint wel bij het opstellen van een goed plan en de executie van dat goede plan. Plus het is mensen werk om het op te stellen en in te stellen, een foutje is ook zo gemaakt.
Nog steeds een gevalletje van slechte IT praktijk dan. Waarom kan via een snapshot de spreadhsheet niet hersteld worden naar een pre-encrypted staat? Indien de spreadsheet zo business critical is, waar is dan de backup copy van de spreadsheet + de offsite backup copy?
Denk je nu echt dat het zo makkelijk is? Dit zijn geen scripkiddies de even een fileserver infecteren en daarna bitcoins gaan vragen.
Deze groep hackers is al maanden bezig, uiteraard is een gedacht aan de backups, die worden onklaar gemaakt, ook de offsite backups óf men zorgt ervoor dat de backups zelf al maanden/jaren besmet zijn zonder dat dat opgemerkt wordt.
De keuze als je eenmaal de de sjaak bent van de soort groeperingen is: betalen en je bent over een uur weer aan de gang óf accepteren dat je lange periode data kwijt bent en lange tijd bezit bent om alles weer up and running te krijgen.
Nou geloof het maar gewoon wel. Die zitten al maanden op de infra, en hebben van alle systemen kennis en inloggegevens verzameld tot een niveautje dat ze het beter weten dan de ICT-ers daar zelf. Backup san's worden gewoon geformatteerd, en snapshots op productie idem.
Het enige wat helpt is immutable storage of tapes in een kluis.
Het gaat hier om enorme bedragen losgeld. Denk je nu echt dat dit kans van slagen heeft ala ze gewoon de snapshot van gisteren terug kunnen zetten?
Die zitten al maanden op de infra, en hebben van alle systemen kennis en inloggegevens verzameld tot een niveautje dat ze het beter weten dan de ICT-ers daar zelf.
Bron?

Ik lees alleen maar cafe praat in je antwoord en geen technische details. Leg me even uit hoe ze op 3 verschillende plekken admin rechten hebben en full control op de network shares? Je begrijpt toch dat je met een normale gebruikeraccount of domain admin geen snapshots op een NAS kan verwijderen? Dat die snapshots gerepliceerd worden naar een andere NAS? En dat de account die je admin rechten op de NAS heeft, 0 permissies toegekend zou moeten hebben in de backup oplossing en de backup target? En hoe backup images verwijdert kunnen worden indien er enkel toegang is tot de images via de backup oplossing?

[Reactie gewijzigd door elaurensh op 11 mei 2021 21:41]

Er is hier(dit geval) weinig informatie over bekend, maar dit is hoe dit soort groeperingen doorgaans te werk gaan(b.v. Acer onlangs, en Universiteit Maastricht ) is dat ze netwerk infiltreren op een standaard manier (phishing o.a.) en vervolgens onopgemerkt gasn monitoren. Vervolgens is er altijd wel ergens een security issue op een server/pc, dus via die server(local admin) wachten tot ieman daar met een account aanlogt met meer rechten (er zijn nog bedrijven zat die met domain admin accounts op servers aanmelden ), hash/password sniffen, vervolgens is het einde zoek, want via een.pc van een systeembeheer en hetzelfde truukje worden wachtwoorden ingetypt van de backup oplossingen of zijn ze vanuit password managers uit het systeemgeheugen te vissen.
Voor de duidelijkheid. ..geen idee wat er bij dit bedrijf aan de hand is, maar zoals gezegd...het is een miljarden business (hackers) en die gaan hier waarschijnlijk vele miljoenen tot honderden miljoenen proberen binnen te harken.

En even over je opmerking over cafe praat...het klikt alsof je zelf nog weinig kennis hebt hoe het er tegenwoordig aan toe(kan) gaat(gaan).
Ik heb nergens gezegd dat ik insight info ofzo heb van dit specifieke geval, maar als je denkt dat een normale backup oplossing en wat SAN snapshots je gaan.beschermen tegen high-level hackers...think again.

[Reactie gewijzigd door YoMarK op 12 mei 2021 00:40]

Zoals je het beschrijft gaat het inderdaad. Maar de conclusie is dan ook dat het beheer versloft is. Dat budgetten onder druk staan en backups online gedaan worden in een "sunny day scenario". Dat die maanden keurig elke dag getest zijn, maar dat dat nu eigenlijk nooit meer gedaan wordt, het werkte immers altijd? Het zelfde met admin accounts, die overal al maanden hetzelfde password hebben.en ook overal hetzelfde zijn. Dat er geen enkele vorm van netwerkscheiding is. Enfin, dat de factor "gemak" in optima forma heeft toegeslagen. En dan is het niet zo lastig om als je met een zero day binnenkomt, je rustig de boel kunt monitoren en bepalen wat de strategie wordt t.a.v. je verdienmodel.

Je kan het de inbreker wel degelijk ERG lastig maken, maar behalve een zeer doordacht ontwerp van je infra is dat tegenwoordig ook een gevecht met het eigen management om budget, kennis en kunde. En dat is toch wel het zeer trieste voordeel van deze hacks, de "awareness" is ineens veel beter aanwezig dat dit een dagelijks risico is voor veel bedrijven. Waar bedrijfstakken keurig productie en kantoor echt kunnen scheiden lijkt me dat op bijvoorbeeld een universiteit al heel veel lastiger.
Amai, zo'n geavanceerde hackers :P

Eens zien hoever ze geraken in de omgeving die ik beheer..
  • Separation of duty: server admin vs storage admin vs backup admin. Iedere rol kan enkel de system beheren waarvoor ie verantwoordelijk is.
  • Privileged accounts: Non-admin account voor workstation, domain account met local admin rechten op servers, aparte domain admin account.
  • Geen enkele admin account van een individu krijgt de rechten toegekend die nodig zijn om luns, volumes, snapshots, e.d. te verwijden op storage systems. Idem ditto voor het verwijderen van backup images. Deze rechten zijn enkel toegekend aan de built-in admin account van deze systemen en de creds van die accounts worden enkel opgeslagen in een digitale kluis (wachtwoord voor backup oplossing zit ook in een fysieke kluis moest het ooit nodig zijn de digitale kluis te recoveren). Het pullen van het wachtwoord van een van deze accounts vereist de goedkeuring van 3 personen en elke pull request is auditable.
  • Domain admin accounts hebben 0,0 rechten in de backup oplossing of op storage systems. De compute nodes van de backup oplossing zijn niet domain-joined. De backup oplossing zelf biedt LDAP integratie waarmee er in een least privileged model rechten toegekend worden aan de domain account van DBA, app dev, server admin, etc. (enkel vr hun data en allemaal te maken met self-service: on-demand backup, on-demand restore, etc.)
  • Geen enkele admin account kan direct aan de backup images om deze te encrypten/verwijderen.
  • Snapshots op de primaire storage systems worden gerepliceerd naar storage systems in de DR site. Backup images worden gecloned naar 1) disk-based backup target in DR site en 2) tapes die offline gaan.
En ik vergeet wss nog een waslijst aan zaken (network scans, vulnerability scans, app whitelisting, etc.).

Maak me maar wakker de dag dat er code gevonden wordt die specifiek storage systems en backup oplossingen target en aan privilege escalation doet.

[Reactie gewijzigd door elaurensh op 12 mei 2021 19:46]

Een belangrijk systeem als dit zal ongetwijfeld lokale bedieningen hebben.
Kwestie van pomp aanzetten. Kleppen open en gaaan.
Moet er wel een monteur bij blijven natuurlijk.
Beetje jaren 80 praktijken maar al die zooi in de US is toch al ouder dan m'n opa.
Een VPN is nodig wanneer je 2 netwerken gaat verbinden en heeft niks met een separaat netwerk te maken.
Een vpn is nog steeds een service die een publieke entry point heeft, namelijk de vpn service zelf.

Staat ook nergens dat dit publiekelijk toegankelijk was, vermoedelijk zijn deze diensten eerder verbonden met een mpls lijn.
En vergeet ook de "emmer USB sticks die rondom het kantoor leeggestrooid wordt zodat nieuwsgierigen eens op de bedrijfscomputer gaan kijken wat het is". Airgap is niet afdoende als je userbase zelf niet security minded is.
In de VS niet, prijzen zijn daar om te lachen!
Je betaald ongeveer evenveel in de US , alleen krijg je dan 1 gallon ipv een liter :*)
https://www.unitedconsume...bouw-brandstofprijzen.asp

Dat ligt niet aan de olieprijs ansich ;)

Maar de staat wil ook iets verdienen ;)
De bedrijven eerder, als er eerlijke prijzen waren was een liter 4 euro. :P
Kom je in ieder geval aan de wens "de gebruiker betaald"
Laat weer mooi zien hoe kwetsbaar allerlei logistiek is geworden die op afstand gemonitord en bestuurd moet worden.

Het is onbekend of het überhaupt hiermee te maken heeft. Zodra als je bijvoorbeeld 1 afnamepunt niet meer uitlezen is het al een kleine ramp. Of als je niet kunt factureren, sluit dan alles maar af...

Verder, als IT-ers zeggen we het al jaren: Alles draait op computers. Ook als je groenteboer bent of vuilnisman. De veiligheid van de omgeving wordt vooral bepaald door de gebruikers, wees daarom voorzichtig en:
  • Lees en denk voordat je klikt. Dat geldt zeker voor beheerders of medewerkers met extra rechten.
  • Zorg dat je software up2date is. Installeer geen software die je niet nodig hebt (zoals Adobe reader).
  • Gebruik Multi Factor Authenticatie overal waar dat kan.
  • Zorg dat je e-mail account extra beschermt is (zeker MFA). Door wachtwoorden te resetten komen inbrekers anders overal bij.
  • Meld een incident ook bij je werkgever als je vanuit die computer ook bedrijfsmiddelen benaderd. Een support medewerker kan je helpen om zeker te weten dat de computer veilig is.
  • Zorg ervoor dat je een backup hebt van je belangrijke data (zoals jeugd foto's en belangrijke documenten). Alleen al syncen naar OneDrive (gratis: 5GB) of Google drive (gratis 15GB) kan een redder in nood zijn,
Mmm, ik zie nu wel het voordeel van elektrisch rijden, prijs op elektriciteit is enorm stabiel.
Welke idioot hangt zijn pijplijn IT infrastructuur dan ook aan het internet? |:(
Een of andere fop-manager gaat dit jaar geen kerstbonus ontvangen.
Denk je dat een air gapped netwerk veiliger is?
Tja, je moet dit vergelijken met een condoom. Volledige zekerheid heb je niet, maar het is beter dan niets.
Welke idioot hangt zijn pijplijn IT infrastructuur dan ook aan het internet? |:(
Een of andere fop-manager gaat dit jaar geen kerstbonus ontvangen.
Ivm corona gaan allerlei bedrijven thuiswerken waar dat vroeger ondenkbaar was. Zou me niet verbazen als dat hier ook zo is.
Naar wat ik lees was het niet perse die pijplijn IT die aan het internet hangt, maar het betaal- en facturatiesysteem.

Als je je klanten niet kan laten betalen of uberhaubt weet hoeveel ze gebruiken, dan kun je de pijplijn beter stilzetten zodat ze iig geen gratis brandstof krijgen.
Wie zegt dat die op internet hangt?
Het kan net zo goed zijn dat de aka op internet zit, maar het productie netwerk niet goed is gescheiden van de KA omgeving en de boel zo overgesprongen is. Of dat bepaalde servers in de Ka ook gebruikt worden voor de productie, of de planning op de KA staat en zonder dat niet verder gegaan kan worden...
Ik mag hopen dat ze zich niet laten verleiden de criminelen te betalen, want dat is één van de redenen dat dit nooit stopt.
De praktijk is wel, in de ruime meerderheid wordt gewoon betaald. De criminelen zorgen ervoor dat dit meestal bijna een no-brainer is. Totdat het betalen van zoiets tegen de wet is zie ik dit niet snel afremmen.
Je doet allerlei aannames en beschuldigd daarvan het bedrijf van grote nalatigheid. Echt, bizar.

Het is alsof mijn dure Mercedes wordt gestolen. Ja, hij had vast geen alarm, stond niet in de garage, was niet in het bezit van een tracking systeem en stond ook nog eens in een buurt met bekende criminelen. Ik vind dat ze de eigenaar van die Mercedes moeten oppakken wegens uitlokking...

Grove nalatigheid is als er in de hele chain niets aan is gedaan om bepaalde zaken te voorkomen. Ofwel: geen opleiding, geen firewall met ids/ips, geen patching, geen audit trail, etc., etc.. Grove nalatigheid is niet als een mens een keer op een verkeerd linkje klikt (maandag ochtend?) en de IPS en AV het nog niet detecteerden.

De manier waarop jij het stelt is dat ieder bedrijf dat getroffen door malware een boete moet krijgen omdat ze hun zaakjes niet op orde hebben. Omgekeerde wereld. Als ik dat doortrek ga ik de cel in als er bij mij wordt ingebroken: had ik in plaats van glas maar polycarbonaat plaat moeten hebben en in plaats van een SKG3 slot gewoon helemaal geen deur.
Niet elk bedrijf heeft de vingers aan een olie pijpleiding die de halve wereld van olie voorziet. Je doet alsof je de lokale IT boer dezelfde beveiliging moet hebben als een kerncentrale. Wederom zoals je vorige opmerking: proportionaliteit.

Als je met een stuk malware namelijk een cryptolocker een heel land van olie kan ontzeggen, tja, dan weet ik niet waar jij denkt dat de maatregelen om dat te voorkomen moeten stoppen, maar dat ding begint ergens. Dan sluit je die pc uit van het netwerk zodra deze meer als 100 modify events per minuut verstuurt. Da's redelijk makkelijk en basic.

Wederom verwijs ik je naar proportionaliteit. En dat is in het geval van dit bedrijf ver te zoeken. Dat jij dat dan direct over de hele linie heen wil trekken moet je zelf weten.

Je vergelijking met je inbraak slaat de plant totaal mis, als jij achter je raam een knopje hebt waar als je erop drukt een nuclear melt-down veroorzaakt, dan trap ik je wel in de cel als je dat achter een simpel stukje glas zet. Ja inderdaad, wederom proportionaliteit.

Ezel, Steen iemand?

[Reactie gewijzigd door Em!L op 10 mei 2021 15:58]

Goed punt, toevallig zijn we (werkgever) direct betrokken bij het verhelpen en analyseren van de uitbraak en zonder in details te kunnen treden hebben ze er echt wel over nagedacht daar en zijn er diverse oplossingen van verschillende fabrikanten aanwezig om precies dit te voorkomen.

Helaas blijven mensen de zwakke schakel en zijn die bij 8/10 uitbraken ‘verantwoordelijk’ dat de aanval toch doorbreekt..

Nadere onderzoeken en tijd zal het leren.
Het verboden maken gaat niet helpen.

Dan komen er vanzelf louche bedrijven in eventueel alternatieve (ver weg) locaties die je, voor een fee, wel kunnen helpen met betalen.

Daarnaast betekent een verbod op betalen voor veel bedrijven (hoe slecht ook), dat de toko dicht kan.
Dat is ben ik bang wel een groeipijn waar we doorheen moeten denk ik voordat security (en in heel veel gevallen IT zelfs) word gezien als meer dan een lastenpost en noodzakelijk kwaad. Je zou verbaasd zijn bij hoeveel bedrijven die zelfs hun inkomen krijgen vanuit IT gerelateerde diensten zo word gekeken naar onderhoud/updates etc.

Als dan de toko dichtklapt is het altijd "hoe heeft dit kunnen gebeuren". Heb het zo vaak gezien dat ik een "hhdkg" folder heb in mijn mailbox, daarin staat alles wat ik aan management/security heb aangegeven om vervolgens genegeerd te worden. Scheelt zoeken als de vlam in de pan slaat.
Side remark: maar werk jij nog met folders in je mailbox?
Mis ik hier iets of wat zijn de voordelen?
Folders/Tags, noem het hoe je het wilt noemen. Maar daar werk ik inderdaad mee. Als je verschillende projecten doet voor verschillende werkgevers (met vaak verschillende petten op) is het een mooie manier om het gescheiden te houden om enigszins niet je verstand te verliezen.
Wat denk je wat het kost als die pijplijn stil staat?

Het lijkt me verstandiger (en aannemelijker) dat ze een kosten baten afweging maken en op basis daarvan besluiten wel of niet te betalen…

Al snap ik je opmerking natuurlijk wel.😉
Het lijkt me verstandiger (en aannemelijker) dat ze een kosten baten afweging maken en op basis daarvan besluiten wel of niet te betalen…
Die boeven willen gewoon een keer goed geld verdienen en dan met pensioen gaan. Ik zeg: altijd meteen betalen dan sterft de markt voor ransomware het snelst uit en verdwijnt de kennis.
edit:
Natuurlijk ben ik cynisch hier. Betalen aan criminelen maakt het probleem natuurlijk alleen maar groter voor de hele maatschappij. In dat opzicht is dit hetzelfde als het kopen van een fiets van een junk of het weigeren te dragen van een mondkapje: er is een reden dat deze dingen bij wet geregeld zijn, anders gaat ieder individu uiteindelijk voor zijn eigen belang en in dit geval is dat vaak betalen. Daarom is de enige logische mogelijkheid dat dit als heling beschouwd wordt: je betaald geld voor het kopen van gestolen data; al is het je eigen data, het zou strafbaar moeten zijn.

[Reactie gewijzigd door 84hannes op 10 mei 2021 19:01]

altijd meteen betalen dan sterft de markt voor ransomware het snelst uit
Is dit nou een grapje? :P

Zo nee, dan de compleet voor de hand liggende ontkrachting: er bestaat ook nog een niet geheel te verwaarlozen mogelijkheid, dat als degenen die nu ransomware gebruiken er rijk mee worden, er nieuwe mensen door aangetrokken worden. Als je drugs in de Rotterdamse haven gewoon weer inpakt en doorstuurt naar de geadresseerde zal de ook niet de meest effectieve aanpak van drugscriminaliteit zijn.
Is dit nou een grapje? :P
Uiteraard, al is het feit dat mijn opmerking serieus wordt genomen eigenlijk bedroevend.
Met bijna 8 miljards potentiële boefjes die op de aarde rondlopen acht ik die kans niet zo groot
Als vijf hackers een miljoen moeten verdelen kunnen ze nog niet met pensioen. Daarnaast komen er gewoon weer nieuwe hackers met ransomware. Het is niet dat anderen te dom zijn om dit zelf te bedenken.
Of een goed herstel proces klaar hebben staan. Dat is denk ik de beste aanpak voor de toekomst, los van de preventie.
Ik mag hopen dat ze zich niet laten verleiden de criminelen te betalen, want dat is één van de redenen dat dit nooit stopt.
Een DDOS levert ook zelden iets op, toch zijn die er gewoon.

Bedrijven maken de afweging: Hoe lang duurt het zelf oplossen en wat kost dat?
Als dat meer kost dan de ransom zelf, betalen ze gewoon.
Er zit natuurlijk nog wel meer in zo'n overweging, dus wat @Kastermaster al aangeeft: als je ingaat op dit soort chantage, bekostig je de volgende ransomware. Een DDOS kost vrijwel niks, maar voor ransomware moet je echt moeite doen, zeker zo'n specifieke variant als dit. Als daar geen geld mee verdiend wordt, houdt dat vanzelf op (op wat ideologische gevallen na).
Ransomware heeft een achterlijk lage succesrate, vergelijk het met spam emails die je rommel proberen te verkopen.

En ik wil niet vervelend doen over de moeite die je moet doen voor ransomware, maar dat is peanuts. ZeuS en SpyEye waren een point en click malware tools die slecht te detecteren waren omdat ze allemaal een unieke sig hadden zodra je ze ging 'compilen'. Dit was dus kinderlijk eenvoudig.

Ik ben het ook niet eens met de verwoording van de media dat dit een Cyberaanval is. Dat klinkt namelijk alsof je aangevallen bent. Dat zijn ze niet, ze hebben bijvoorbeeld 1 van 100.000den tegelijk verstuurde emails met malware geopend. Dat is gewoon nalatigheid. Want je kan het makkelijk voorkomen.

Jezelf hier tegen beschermen is een beetje als de deur s’nachts op slot doen: het is vanzelfsprekend. En toch gaat een bedrijf met een grote rol in infrastructuur plat ten gevolge van ransomware.

Er heeft dus een werknemer van dit bedrijf op een kritisch systeem bedenkelijke acties uitgehaald, of op een systeem wat een kritisch systeem kan beïnvloeden. Wat vervolgens een enorme impact heeft gehad op de bedrijfsvoering en nu op de hele wereld. Eén persoon heeft dus door één muis-klikje het grootste pijpleidingbedrijf platgelegd , en vervolgens mag de hele wereld meer betalen voor benzine.

Hoeveel afslagen heeft dit bedrijf gemist? In ieder geval de volgende:
  • Opleiden van personeel
  • Kritische systemen identificeren en adequate maatregelen treffen
  • Continue verbeteren en in ieder geval meegaan met de huidige stand van de techniek
  • Paar poortjes dichtzetten
  • Intrusion detection
  • Up to date virus-scanner
  • Scan op de mailserver / webbrowser
  • Nadenken over toegangsrechten
  • Back-up
De bovenstaande maatregelen zijn te nemen voor een fractie van de kosten die een dergelijke ransomware aanval met zich meebrengt. Al met al gaan wij dus nu een paar cent meer voor benzine betalen omdat er één onbewust onbekwaam is binnen een bedrijf dat zijn zaakjes niet op orde heeft en zijn personeel niet opgeleid heeft.

Een aanval? Nee.... niet echt.....Pijnlijk kenbaar gemaakt amateurisme is het.

[Reactie gewijzigd door Em!L op 10 mei 2021 09:47]

Er is een groot verschil met de ransomware waar jij vermoedelijk aan denkt en deze cyber aanvallen. Jij vergelijkt het met een virus dat met spam binnenkomt en vandaar geheel automatisch te werk gaat. Lees de case van Universiteit Maastricht maar en je zult zien dat het criminele hackers zijn die aan de slag gaan en handmatig hacken. Daar zit geen automatisering bij. Ik ken weinig IT-ers die goed weten hoe ze orgnisaties daar tegen moeten beschermen.
En toch komen ze binnen via remote exploitabel accounts en systemen. Lees niet ge-update of meegenomen in security maatregelen. Quote van:

While neither of these vectors is novel, they should serve as a warning that sophisticated threat actors are easily bypassing perimeter defenses. They illustrate the need for multi-factor authentication on all internet-facing accounts and rapid patching of internet-facing systems.

Dus terwijl het ge-target is, betreft het nog steeds known exploits, niet ge-patchte systemen, vergeten RDP accountjes, getarte emailtje etc. Dus makkelijk onder controle te krijgen.

Ik doe regelmatig IT audits en kijk bij organisaties in de keuken, en zie vaak dat het redelijk zwart wit is, of het is goed of het is totaal ruk. En ik moet hierbij zeggen dat degenen die met malware en met name cryptolockers in aanraking komen de lui zijn, 'die het zelf' allemaal wel kunnen, backups te duur zijn en de aanwezigheid en bezigheid van security net zoveel goeds brengt als iemand die direct je geld afpakt. (tot de crypto lock dan;-))

Dus getarget of niet, kans x impact is een redelijke indicatie hoever je mag gaan om je tent te beveiligen. Ik denk dat we het antwoord wel weten hoe het bij die heren oliepijp geregeld is. zal je verklappen dat het ruk is.
Sorry hoor, maar wat een onzin verhaal. En natuurlijk krijg je weer de nodige plusjes op T.net omdat iedereen hier vind dat als je ergens een steek hebt laten vallen het volledig je eigen schuld is.

Ten eerste: ook al heb je alle stappen die jij noemt doorlopen, dan kun je nog prima ten prooi vallen aan malware. Personeel opleiden is bijvoorbeeld niet altijd te doen: mensen met kennis van industriële systemen of zeer specifieke techniek kun je niet altijd opleiden tot security specialist.

Je vergelijking met spam vind ik eigenlijk wel een goeie. Bij het vorige bedrijf waar ik werkte hielden de spamfilter en het antivirus bijna alle spam (en malware) mails tegen. Gemiddeld zo'n 50.000 (!) per dag. Dat is ongeveer 1,5 miljoen mailtjes per maand. Maar zo heel af en toe kwam er toch wat spam door: en meteen een gebruiker over die ene mail vallen. Als je ze dan liet zien wat het percentage was die ze niet kregen was het al snel beter. Gemiddeld waren er van die spam mails die er door kwamen ongeveer 5 per jaar mailtjes met malware. Daarvan werden 4 van de 5 direct gedetecteerd door AV en IDS systemen. Maar eentje dus niet. We hebben het altijd gered doordat we niet de juiste combinatie van vectoren hadden voor de malware om zich direct te verspreiden.

Maar trek dit even door naar alle bedrijven wereldwijd: de kans dat er op een gegeven moment iets tussendoor glipt is gewoon aanwezig. Je kunt die kans verkleinen door all door jou genoemde maatregelen, maar niet uitsluiten. En dan kom je dus uit op wat het kost als het wel mis gaat: je kunt je helaas niet tegen elk risico verzekeren.

Ook kun je op de door jou voorgestelde items niet altijd een 100% score halen. Voornamelijk bij industriële systemen is het lastig om snel te patchen tegen kwetsbaarheden. Elke update brengt namelijk ook risico met zich mee, moet worden getest, uitgerold, etc. Ook zijn ze simpelweg niet altijd beschikbaar omdat de leverancier het niet levert, failliet is, etc. En je kunt niet "even" een andere leverancier zoeken voor je PipeLineOS....

Vergelijk het met je huis:
  • Je traint je gezin om niet open te doen voor vreemden.
  • Je kijkt wat je absoluut nodig hebt om te kunnen overleven (water, lucht, voedsel).
  • Je zorgt dat al je beveiligingsmaatregelen steeds up to date zijn (firmware, software).
  • Je hebt een slotgracht met ophaalbrug.
  • Je hebt camera's met gezichtsherkenning.
  • Je hebt een systeem in place die de ophaalbrug alleen neerlaat voor de postbode.
  • Je laat alleen leden van je gezin toe tot de inner circle achter je voordeur.
  • Je hebt een extra huis waarop je terug kunt vallen als er een ramp gebeurd.
Je zou denken dat je redelijk veilig woont toch?

Maar nu brengt de pakketbezorger in de doos van Coolblue geen nieuwe koffiezetter, maar een mini trojan die je beveiliging uitzet? (Inzetten van een supply chain attack.) Alle beveiliging, behalve die van het extra huis plots bar weinig waard. Dat extra huis is er nog, maar daar staan niet al je laatst gebrachte pakketjes en andere items: het was te duur om elk uur alles over te laten vliegen... Zeg jij dan maar tegen je vrouw dat ze ze pakketbezorger een mep had moeten verkopen, succes ;)

Er zijn bedrijven die gaan veel te laks met beveiliging om. Hetzij door onwetendheid, hetzij door een verkeerde focus (kost geld). Maar zelfs al heb je alles goed voor elkaar: een 100% score ga je niet halen. Zelfs de best opgeleide security specialist kan wel eens op een verkeerd linkje klikken. IDS/IPS zal niet altijd op tijd zijn. Etc.

En om dan te zeggen dat als het mis gaat het per definitie pijnlijk amateurisme is. Je zou er bij mij niet inkomen om een audit te doen. Duidelijk geen gevoel met de realiteit. Het is achteraf vaak simpel om de uiteindelijke oorzaak aan te wijzen. Maar het volledige systeem 100% waterdicht krijgen kan gewoon niet.
Leuk verhaal, maar je vergeet dat mijn gezichtsherkenning enkel pakketen aanneemt van bezorger Henk en Kees, en andere bezorgers die zich niet proper kunnen identificeren en Henk of Kees zijn de pakketjes de kliko ingaan.

Kortom een slecht toegepaste maatregel. Die door slechte configuratie je bedrijfsvoering onnodig in gevaar brengt.

En een 100% score hoef je niet halen. Maar binnen je eigen bedrijfsvoering mission critical systems uitsluiten van email / internet / open connecties lijkt mij niet een heel moeilijk concept. Noch is no access als default setting. En een goede verdediger heeft nog een verdediger achter zich staan, zo pak je de beste aanval er vaak wel uit, of minimaliseer je de schade. Beide zijn in dit geval niet gebeurd of in jou verhaal slecht toegepast.

Maar je zal bij een audit wel de proportionaliteit moeten beoordelen, en daar gaat het mis bij jou, en probeer je de wiseass bij mij uit te hangen. Slechte poging en een critical voor je uitvoering.

Foutje mag, maar om Chernobyl een foutje te noemen..... nha.... da's nalatigheid. Dit ook.

ps. was het je bekend dat dit bedrijf in 2016 $3.000.000 heeft betaald aan boetes ivm een explosie en de daarop volgende downtime die olie en gas tekorten vooroorzaak heeft. Nee? dacht ik al....

Ezel steen? Iemand?

[Reactie gewijzigd door Em!L op 10 mei 2021 15:58]

Van die gezichtsherkenning klopt natuurlijk niet: bij een supply chain attack is het je vaste bezorger die een malafide pakketje bezorgd. Is lastig tegen te gaan.

Voor de rest doe je allemaal aannames zonder onderbouwing.

Dat dit bedrijf geen opleidingen doet, poorten onnodig open heeft staan en geen ips heeft lijkt mij bijvoorbeeld heel erg stug. Niet goed geconfigureerd of ingezet zou kunnen. Niet aanwezig lijkt me erg onwaarschijnlijk gezien de standaarden van bijvoorbeeld NIST waar ze aan moeten voldoen...
Leuk verhaal met je supply chain attack, maar die is in jou voorbeeld moeilijker te realiseren dan de hack zelf. Want, toegepaste beveiligingen, vaste bezorgers, identificatie, matching bestelling en ontvangst. Daarmee insinueer je dus dat ze de gehele leverancier onder controle moeten hebben, ik een pakje moet bestellen en dit moet plaatsvinden in een timeframe zonder ontdekt te worden, zeer onwaarschijnlijk toepasbaar in jou voorbeeld.

Wel degelijk aannames die ergens op gebaseerd zijn, deze toko heeft in het verleden al een tik op de vingers gehad voor nalatigheid en hiervoor een 3miljoen $ boete gehad. Lijkt mij redelijke red flag.

Ten tweede zijn de maatregelen die ik noem zaken die crypolockers weldegelijk uitschakelen en vertragen. Alles duid erop dat er compleet vrij spel is geweest.

En feit blijft dat ze een infectie hebben gehad door het gehele netwerk. Daarmee sluit je bepaalde manier van toegangsrechten inrichten direct uit, anders was het namelijk nooit zover gekomen.

Laat staan dat kritische systemen goed bekeken zijn en afhankelijk van risico beveiligd zijn.

De groep die erachter zit exploit zwakke vdi’s, lees niet gepatched en exploit accounts ingericht voor externen. Dit duidt op slecht patchwerk en inadequaat verlenen en intrekken van toegangsrechten .

Ik weet niet hoelang jij nog bananen recht wil gaan lullen maar ik ben er nu wel klaar mee.

Nog een opmerking over certificering en standaarden, ik heb ze toegepast en toegepast zien worden met een verschil waar een olietanker (die heeft Biden inmiddels toestemming gegeven om in te zetten) tussenpast. Dus een NIST/ISO/ISAE/SOC/NEN zegt niets.

En wat jij aannames noemt zou wellicht wel ervaring van mijn kant kunnen zijn.

In inderdaad in jou woorden BIZAR.
Wat jij zeer onwaarschijnlijk noemt is precies wat er gebeurd is met de aanvallen op het elektriciteitsnetwerk in Oekraïne.

Oliepijplijn zit bij mij in de zelfde categorie.

Voor de rest zegt ervaring niets over aannames. Sterker nog: meestal zorgt ervaring voor meer aannames. En vaak kloppen die, maar niet altijd. Ik zeg niet dat je ongelijk hebt in deze, wel dat je het niet weet.
En omdat je het niet weet mag je er niets van vinden of denken. Binair denken is per definitie niet my strong suit.

En wat jij noemt uit de Oekraïne is gewoon een excel aan een email. Wel met corporate logo eraan. maar een EXCEL aan een EMAIL. En het verre van een sophisticated aanval waarbij een toeleverancier onder total control was met als doel om een pakket af te leveren. Dus nee, je vergelijking is iets met tang & varken.

Daar komt bij dat deze centrales ook al langer onder vuur lagen. Met andere woorden, ze wisten al dat ze een bullseye op hun kop hadden. Volgens CyberArk Labs over dit specifiek incident:

'De best practices bestaan, maar ze moeten ook worden toegepast. Pas dan ben je in staat een weerwoord te bieden tegen aanvallen op ICS-omgevingen en infrastructuur.'

Nog een quote over die specifieke infectie:

het van belang om technologie in te zetten die de systemen toch weer tot bepaalde niveaus isoleert, zodat aanvallers niet zomaar van systeem naar systeem kunnen gaan en op afstand operationele functies over kunnen nemen.

Kom je toch weer bij bij mijn lijstje uit zoals eerder genoemd, en nee, hebben ze niet gedaan ondanks eerdere aanvallen. Stoicijns doorgaan en dan plat op je bek. Kan ik met dit soort infra verantwoordelijkheid geen respect voor opbrengen. Datzelfde geldt voor mensen die met oliepijpleidingen aan het klooien zijn.

Maar goed, die uitspraak van CyberLabs vat het allemaal mooi samen. Dit was direct mijn laatste bericht in deze uitwisseling. En vergeet niet, grijs is ook een kleur en niet alles is binair.

[Reactie gewijzigd door Em!L op 11 mei 2021 09:34]

Ook mijn laatste bericht, om het even goed te doen.

Supply Chain Attack bedoelde ik inderdaad niet Oekraine maar Maersk in 2017.
Enkele voorbeelden over supply chain attacks:
https://www.csoonline.com...hird-party-providers.html
https://www.fireeye.com/b...th-sunburst-backdoor.html

Voor de rest met binair denken: gezien jij degene bent die aangeeft dat als je wordt geïnfecteerd je altijd je zaakjes niet op orde hebt denk ik hier aan een pot en een ketel. Ik geef aan dat er variabelen zijn die, in elk geval bij mij, niet bekend zijn. Dat is niet binair.
Een DDOS levert ook zelden iets op, toch zijn die er gewoon
DDOS aanvallen zijn heel simpel en goedkoop. De meeste ransomware zit goed in elkaar en heeft veel tijd en moeite gekost om geïnstalleerd te krijgen: die investering moet zich wel terugbetalen.
Het is natuurlijk niet alleen het niet beschikbaar hebben van de belangrijke systemen. Maar als ze echt 100GB aan gevoelige/geheime data hebben en je kunt daarmee voorkomen dat ze dit vrijgeven. Natuurlijk heb je met criminelen te maken dus je weet nooit 100% zeker of ze je data echt vernietigen en niet alsnog doorverkopen aan een andere partij.
Het feit dat ze de boel stil gelegd hebben en alle systemen los gaan opstarten doet mij vermoeden dat ze niets betalen, anders hoefden ze alleen de key van de criminelen te installeren en konden ze verder. Je wilt dan natuurlijk nog steeds alle systemen een clean install geven, maar dat kan dan redundant. IMHO.
Geen idee of dit een op waarheid berust verhaal is maar een ingang blokkeren is geen "zakelijk conflict" meer, eerder chantage en daar kan men wel degelijk wat mee.
Gebeurd wel vaker:
https://www.ad.nl/binnenl...ijk-de-dupe-van~a8a00391/
of:
https://www.parool.nl/ned...-jumbo-in-breda~b40e6917/

Het is echt niet zo dat de politie 5 minuten later met een sleepauto je weghaalt. Al helemaal niet als je op privé terrein staat en niet op de openbare weg.
In de artikelen die je linkt staan verschillende dingen, het klopt dat ze niet meteen na 5 minuten met een sleepwagen aankomen.

Vooralsnog ben je heer en meester op je eigen terrein ( Zie artikel 138 van het Nederlandse Wetboek van Strafrecht). Als iemand daar staat die je weg wilt hebben verzoek je die te vertrekken, bij geen gehoor herhaal je de boodschap, doe dat 3 keer en er is sprake van huisvredebreuk, daar komen ze mogelijk niet met prio op af maar geeft wel degelijk handvatten om iets mee te doen.
Staat er alleen een wagen/voertuig dan wordt het iets lastiger maar helemaal hulpeloos ben je nooit.

Mochten ze op de openbare weg staan dan is het een iets ander verhaal maar ook dan kan er worden in gegrepen.

Dat sommige bedrijven dat niet (willen) doen heeft mogelijk met imago te maken.
Dat is chantage en vrijheidsberoving, Daar kan de politie zeker wel wat aan doen.
Vrijheidsberoving is het sowieso al niet, want als je mensen naar buiten laat zonder voertuig is er niks aan de hand. Chantage (afdreiging) is het ook niet, want er wordt niet gedreigd met iets bekend te maken.

En 'druk zetten' is niet meteen chantage:
https://nos.nl/artikel/21...-heijn-en-kaasleverancier
https://www.supplychainma...ge-schappen-albert-heijn/

En dan kom je precies bij het punt. Mogelijk kun je via de rechter/politie best iets voor elkaar krijgen, net zo goed als dit bedrijf het kan oplossen zonder te betalen. Maar betalen is veruit de goedkoopste oplossing.
De messenslijpers blokkeerde de ingang totdat ze zouden worden betaald
Dit is zeker wel vrijheidsberoving. En je zei niks over dat mensen zonder voertuig naar buiten mochten...
Windows?

Ik kan het fout hebben, maar ransomware op PLC's of Linux komt niet zo veel voor, of dan zou het een gerichte aanval zijn.
Het zijn gerichte aanvallen, en als je dacht dat Linux veiliger is, think again.
Helemaal veilig, nee, maar als je weigert te erkennen dat de concurrentie van Windows veiliger is ben je gewoon aan het trollen. Waarom is Microsoft met de vernieuwde beveiliging in Windows 10X bezig als er niets mis is met Windows 10?

[Reactie gewijzigd door novasurp op 10 mei 2021 09:42]

Waarom is Linux bezig met verbeterde/vernieuwde beveiliging als er niets mis is met Linux?
Alle genoemde schadegevallen door ransomware uit de geschiedenis zijn 100% windows georiënteerd.
Daarnaast worden er elke maand voor win10 kritieke problemen gemeld en dat is nog maar het topje (want closed source) Steek je kop maar in het zand voor deze feiten. Wij lachen nog wel een tijdje door
Ik weet niet waar de agressie vandaan komt maar dat jij Linus gebruikt maakt mij niet uit. Sterker nog ik gebruik het zelf ook.

Echter slaat zijn statement gewoon nergens op. En Linux is vooral veiliger omdat het een niche is.
Wanneer de buit of het doel groot genoeg is dan wordt daar (door statelijke actoren) speciale aanvallen voor ontwikkeld zie. Zie stuxnet.
Linux een niche? Dan ben je een tijdje niet buiten geweest. Het is de meest gebruikte kernel ter wereld. Zelfs op Azure zelf zijn de meeste VM's al een Linux distro. Microsoft heeft alleen nog een flink aandeel in de kantoorautomatisering maar de kroonjuwelen draaien tegenwoordig onder Linux. Zelfs DNS en website's van Microsoft zelf draaien onder Linux https://sitereport.netcra...3A%2F%2Fwww.microsoft.com
Ook Windows 10 is niet veiliger, maar logisch toch dat ze bezig blijven met te proberen om de veiligheid omhoog te krijgen bij elke nieuwe incarnatie van windows (waarbij Windows 10X voorlopig weer in de ijskast blijft). Ook Linux blijft bezig met verbeteren van hun veiligheid. Maar hier is vooral de consensus dat Linux het meest veilige OS is dat er zowat bestaat, wat dus zeker niet waar is.
Gerichte aanvallen? Gericht op computers met Windows, dat is ongeveer hoe gericht het is. En als het al gericht is, dan is het niet meer als een variant van het onderstaande met een logo van het bedrijf in de email bijvoorbeeld, wat je met dataverrijking ook weer kan automatiseren. Dus hoe gericht is gericht?

Ik denk dus dat je je geen illusie moet maken, dit is gewoon point en click malware wat per via botnetwerkjes met miljoenen emails tegelijk de wereld ingeknald wordt.

De paar gerichte malware incidenten hebben hele andere doelen dan het encrypten voor een paar bitcoin centjes. Plus de prijs voor decreten is ook niet heel hoog, denk aan paar honderd tot paar duizend euro.

Wat betreft pro-malware, denk hierbij aan stuxnet bijvoorbeeld. Dan ga je naar staatsactoren. Da's weer een andere spelletje die net zover van malware als cryptolockers afstaat als jou pacman highscore op je nintendo.

Dit bedrijf wil gewoon niet keihard voor lul staan en zal de variant waardoor ze getroffen zijn ook niet publiceren, want dan krijg je tranen in je ogen. Dit had je waarschijnlijk met een exchange filtertje gepakt. Maar kan een mafklapper met een usb drive zijn geweest, een privé email account, een downloadje onder werktijd. Zeg het maar.

Maar gericht, nee, de gerichtheid hiervan is te vergelijken met tegen de wind in plassen.
Ik kan niet spreken van deze ransomware aanval, maar beweren dat ransomware generieke malwarebesmettingen zijn klopt maar ten dele. Er gaat zeker en vast een en ander rond (dat bijv ook pariculieren treft), maar je moet ervan uitgaan dat het encrypten van een heel netwerk en het verifiëren dat het ook niet (makkelijk) terug te halen is wel wat specifieke stappen vereist. De pc van die mafklapper kan niet zomaar alles wat je als aanvaller wil: je hebt dus op zijn minst wat laterale beweging nodig.

De spamoplossing van m'n klant heeft _heel zeker_ al meer dan één gerichte poging onderuit gehaald door 'belangrijke' emailadressen extra in de gaten te houden. Dan merk je slim gemaakte mails met een body in het Nederlands die blijk geeft van op zijn minst onderzoek gedaan te hebben naar wie is wie in de organisatie. Dat is toch echt spearphishing om mensen te overtuigen malware te openen.
Dat is een globaal industriebedrijf, geen bank of fortune-500...
Ze zeggen dat het van DarkSide Inc. komt. Een groepje die graag met malware knoeit. En zeker zijn er uitzonderingen maar het uitvoeren van een excel met macro, of openen van dubieuze bijlages.

Of dit nu in een achterlijke email komt of in een met een company logo, de regels van het spel zijn aanwezig of niet, en nu waren ze dat niet, dan verlies je het spel.

Verder is een cryptolocker op z'n best met veel netwerk toegang, hij encrypt namelijk gewoon waar hij bij kan. net view, net use en dir in een scriptje en je bent al een heel eind, laat maar rammelen dat ding.

Dan heb je nog wel wat simpele middelen om malware vast te zetten zodra het losgaat. Een simpele notificatie aan de admin kan verspreiding stoppen.

Je kan wel zeggen dat een bank of fortune 500 bedrijf zijn beveiliging wel op orde moet hebben omdat het daar vanzelfsprekend is? En niet bij een bedrijf welke het hele land van olie voorziet?

Wat een rare gedachten gang. Het werkt toch heel simpel, wat heb je in je bedrijf staan, en wat gebeurt er als je de stekker eruit trekt? Gaan er dan rare dingen gebeuren? En wat moeten we eraan doen om die stekker erin te houden? En als de stekker eruit gaat hoe krijgen we deze er weer in.

Als je daar over moet gaan nadenken als de stekker eruit ligt ben je wel redelijk laat.....
Uiteraard moet je altijd het nodige doen ivm veiligheid, ook op Linux.
Maar dat betekent niet dat er geen verschil is tussen Windows en Linux qua security.
Bv ransomware lijkt me minder voor te komen op Linux.
En over welke Linux distributie spreken we?

[Reactie gewijzigd door bdraw op 10 mei 2021 11:39]

https://transparencyreport.google.com/https/overview
Met hoe vastgeroest de linux community is, worden ze op alle vlakken zelfs ingehaald.
Aantal verbindingen via http (zonder s), ChromeOS, Windows, iOS, MacOS Android allemaal onder de 10%. Linux 21% :Y)
Met alle respect, maar dat is behoorlijk verouderde info - de grote ransomware families "ondersteunen" steeds vaker ook Linux. Zie https://hacked.com/linux-...ases-and-ways-to-protect/ voor slechts enkele voorbeelden
Ik zie het argument van 'het kan op alle platformen' vaker voorbij komen, maar dat is een kwalitatieve benadering en een drogreden.

Kwantitatief blijft MS Windows het meest getroffen omdat dit het meest gevoelig (lek) van alle bekende besturingssystemen is.

[Reactie gewijzigd door Glup op 10 mei 2021 08:39]

Kwantitatief blijft MS Windows het meest getroffen omdat dit het meest gevoelig (lek) van alle bekende besturingssystemen is.
MS Windows blijft het meest getroffen omdat dit veruit de grootste userbase heeft, en het dus interessanter is hiervoor malware te ontwikkelen*.
MS Windows blijft het meest getroffen omdat dit veruit de grootste userbase heeft, en het dus interessanter is hiervoor malware te ontwikkelen*.
De grootste userbase is natuurlijk Linux met oa desktops, servers, Android en ChromeOS.
Het lijkt mij ook dat de meest waardevolle informatie op servers te vinden is en niet bij individuen. Wel zijn die individuen vaak de zwakste schakel net als MS Windows van de grond af inherent minder veilig is opgebouwd en daarnaast (zeer) kwetsbare legacy met zich meedraagt. Ook het feit dat de software niet openbaar is dus minder gecontroleerd wordt draagt bij aan de onveiligheid, net als de (soms zeer) trage wijze van lekken dichten.

Feit is dat MS Windows fors onveiliger is en het feit dat bv Linux ook veiligheidsproblemen heeft dit laatste feit vaak wordt misbruikt om het eerste feit te verdoezelen.
Het zou dus enkel om administratieve redenen zijn dat alles plat ligt. Een PLC aanvallen met Ransomware lijkt me redelijk moeilijk. Tenzij je in staat bent om de PLC software te wissen op afstand...
Ook dat is niet onmogelijk.
Maar die heb je altijd op een laptop als backup omdat je deze nodig hebt om de plc uit te kunnen lezen.
En in het ergste geval nieuwe CPU er in en programma opnieuw laden.

De HMI (human machine interface) die de als laag er boven zit is vaak nog windows95 of windows xp in de praktijk. deze zijn makkelijk te pakken.

Het verschil in de IT en OT omgeving is dat een IT omgeving informatie beschermt en de OT omgeving de machines.
En de machines in een OT omgeving heb je 24-7 nodig dus kan je niet zomaar updaten want dan ligt je hele omgeving plat.
Toch schrijnend dat een beveiligingslek wel nieuws is op NBC maar het wanbeleid verantwoordelijk voor alle lekken waaruit miljoenen liters olie de natuur in gaan dan weer niet.

Denk niet dat de Russen hierachter zitten deze pijpleiding heeft genoeg geschoffeerden in eigen land.

[Reactie gewijzigd door Mijiru op 10 mei 2021 08:01]

Denk niet dat de Russen hierachter zitten deze pijpleiding heeft genoeg geschoffeerden in eigen land.
Je verward deze olie pijplijn met de Dakota Pipeline. De Dakota Pipeline gaat door een gebied wat ooit is toegezegd aan de indianen, maar dat geldt niet voor deze pijplijn. Nu zijn olie pijplijnen nooit populair, maar de Dakota Pipeline is wel echt anders.
Uit deze pijpleiding lekte in sinds 2020 in de meest recente schatting meer dan 4,5 miljoen liter nabij een stadje in een beschermt natuurgebied in Alabama Noord Carolina.

Niet opgemerkt door de firma, wel twee tieners op hun quads die er toevallig reden.

Ik neem aan dat dit soort toestanden (zijn er tientallen 32 in NC alleen) de rede is dat de data van bedrijf door criminele geviseerd wordt. Er is namelijk wel vraag naar wat zich er daar allemaal intern afspeelt, voor chantage of algemeen nut.

edit(correcties)

[Reactie gewijzigd door Mijiru op 10 mei 2021 20:46]

Sinds wanneer is natuur belangrijker dan geld?
Dat is het altijd al geweest, alleen wordt dat gewoon genegeerd vanwege eigen belang (zoals met zoveel dingen).
Het lijkt er dus wel op dat het russische criminelen zijn, niet de overheid.
En omhoog gaat de benzine prijs in Nederland.....
Hmm, nooit geweten dat onze benzine / olie uit Amerika kwam. Weer iets geleerd.
Dat maakt niet veel uit. Alles is met elkaar verbonden. Als Amerikaanse olie duurder wordt, dan ontstaat er meer vraag naar olie uit andere delen van de wereld, en wordt dat ook duurder.
Deze ransomware loopt wel lekker gesmeerd :+

I'll show myself out now
Deze pijplijn vervoer geen olie maar brandstoffen zoals benzine, diesel en vliegtuig brandstof. Staat op de website van Colonial zelf. Een oliepijplijn is veel moeilijker op te starten dan deze pijplijn voor raffinage producten omdat olie stropiger is

https://www.colpipe.com/about-us
Colonial Pipeline is the largest refined products pipeline in the United States, transporting more than 100 million gallons of fuel daily to meet the energy needs of consumers from Houston, Texas to the New York Harbor.

Het probleem is trouwens niet de pijpleiding maar dat er geen administratie mogelijk is van de hoeveelheid geleverde brandstof en er dus bij klanten niets in rekening kan worden gebracht daarom heeft Colonial zelf de pijplijn stopgezet.

[Reactie gewijzigd door (id)init op 10 mei 2021 09:53]

Een pijpleidng van de Golf van Mexico naar New Jersey…. Moet dat dan geen oostkust zijn in plaats van westkust? :?
Spel- en tikfoutjes - en dus *geen* andere foutjes - deel 45

[Reactie gewijzigd door Cheetah_777 op 10 mei 2021 08:02]

Op dit item kan niet meer gereageerd worden.


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True