Maker it-managementsoftware Kaseya getroffen door 'supply chain attack'

Kaseya, een bedrijf dat it-managementsoftware levert, is getroffen door een supply chain attack. Securitybedrijf Huntress Labs, dat zich met de zaak bezigt, zegt dat 200 bedrijven getroffen zijn. Ransomwarebende REvil zit waarschijnlijk achter de aanval, aldus Huntress Labs.

Volgens een verklaring van het Amerikaanse Kaseya vond de aanval plaats op vrijdagmiddag, vlak voor het Amerikaanse 4th of July weekend. Daarin vieren Amerikanen hun onafhankelijkheid van de Britten en daarom zijn ze vaak vanaf vrijdagmiddag al vrij. Deze timing zou de impact van de aanval vergroten.

Bij een supply chain attack wordt een punt hogerop in de softwareproductieketen aangevallen, maar is het uiteindelijke doelwit een lager punt in die keten. Daarvoor kan gekozen worden omdat dat een grotere uitwerking kan hebben. In dit geval wordt bij één bedrijf ingebroken, maar is het resultaat ransomware op de pc's van talloze bedrijven.

Het precieze doelwit was de Kaseya VSA-managementsoftware. Deze biedt het bedrijf aan als 'software as a service', waarbij Kaseya het zelf host, en als 'gewone' software, waarbij de klanten hun eigen Kaseya VSA-servers hebben. De aanval lijkt beperkt tot die zelfgehoste variant van de software, maar Kaseya heeft zijn eigen 'SaaS-servers' uit voorzorg ook afgesloten.

Naar hun schatting zijn 40 klanten in de categorie 'zelfgehost' getroffen door de ransomware. De klanten van die veertig bedrijven zijn degene die risico lopen dat hun data gegijzeld wordt. Het bedrijf werkt aan een patch voor de kwetsbaarheid, die zo snel mogelijk uit moet komen. Tegenover klanten adviseert Kaseya om onmiddelijk hun VSA-servers uit te schakelen, omdat een aanvaller als een van de eerste actiepunten de administratieve toegang tot de servers uitschakelt.

De securitydeskundige van Huntress Labs zegt tegenover Bleeping Computer dat drie cliënten van het bedrijf getroffen zijn, waardoor ongeveer 200 ondernemingen met ransomware te maken hebben. Bij een van die bedrijven wordt vijf miljoen dollar aan losgeld geëist, is te zien bij Bleeping Computer. Huntress Labs houdt ook een blogpost bij met ontwikkelingen in de zaak, waarin ze stellen dat ze 'sterk geloven dat REvil of een geassocieerde partij achter de aanval zit'. De precieze omvang van de schade is nog niet bekend.

Sophos-securitydeskundige Mark Loman toont een screenshot van de ransomware waarin 49,999 dollar geëist wordt. Het lijkt erop dat het bedrag na verloop van tijd stijgt, want op andere screenshots die Bleeping Computer post, wordt vijf miljoen dollar geëist. Loman meldt via NOS-techexpert Joost Schellevis dat twee Nederlandse bedrijven ook een doelwit waren, maar dat versleuteling niet gelukt is. Sophos wijdt er ook een blogpost aan. De REvil-ransomwarebende is vaker in het nieuws geweest om soortgelijke aanvallen.

Update, zondag: artikel is aangepast ten behoeve van de duidelijkheid. Nieuwe informatie over dit onderwerp is te vinden in een follow-up.

Door Mark Hendrikman

Redacteur

Feedback • 03-07-2021 11:36160

03-07-2021 • 11:36

160 Linkedin

Lees meer

Ransomware in Kaseya-systemen
Beveiliging en antivirus

6 jul 2021

Ransomware in Kaseya-systemen

Wat weten we allemaal over de aanvallen?

79
'Verenigde Staten halen samen met andere landen REvil-groep offline' Nieuws van 22 oktober 2021
'FBI hield decryptor REvil-ransomware bijna drie weken lang voor zichzelf' Nieuws van 22 september 2021
Decryptor voor ransomware bij Kaseya-klanten verschijnt op internet Nieuws van 12 augustus 2021
Kaseya zegt niet te hebben betaald voor ransomwaredecryptor Nieuws van 26 juli 2021
Kaseya krijgt van onbekende partij decryptor voor REvil-ransomware Nieuws van 23 juli 2021
Bloomberg: ex-werknemers waarschuwden voor gebrekkige security bij Kaseya Nieuws van 11 juli 2021
Nederlandse beveiligingsonderzoekers meldden Kaseya-lekken begin april - update Nieuws van 8 juli 2021
Kaseya-servers blijven offline door fout in uitrol Nieuws van 7 juli 2021
REvil eist cyberaanval Kaseya op en zegt dat miljoen systemen geïnfecteerd zijn Nieuws van 5 juli 2021
Zweedse supermarktketen sluit 500 winkels na cyberaanval op Kaseya Nieuws van 4 juli 2021
Bedrijf dat actief is in nucleair-wapenprogramma is slachtoffer van ransomware Nieuws van 15 juni 2021
Hackergroep REvil eist aanval op energiegigant Invenergy op Nieuws van 13 juni 2021
Wereldwijde vleesverwerker betaalde 11 miljoen dollar losgeld voor ransomware Nieuws van 10 juni 2021
Fujifilm is mogelijk getroffen door ransomware-aanval - update Nieuws van 4 juni 2021
Datacenterbedrijf uit VS is getroffen door REvil-ransomware Nieuws van 6 december 2019
Meer producten en artikelen
Networking en security Ransomware

Reacties (160)

-Moderatie-faq
160
153
113
6
0
14
Wijzig sortering
hoek
4 juli 2021 19:29
Ethische hackers groep DIVD (Dutch Institute for Vulnerability Disclosure) van chairman Victor Gevers is samen met Kaseya bezig geweest de Ransomware attack te voorkomen, zo schrijft Vrij Nederland in het artikel "Nederlandse hackers probeerden aanval met gijzelsoftware te voorkomen" https://www.vn.nl/divd
Ze waren net te laat.....
janbaarda
3 juli 2021 12:09
bedrijf dat it-managementsoftware levert, is getroffen door een supply chain attack.
Wat voor supply chain heeft een dergelijk bedrijf? Importeren ze software uit Rusland van b.v. REvil?

Als IT-er begrijp ik hier niet veel van ... Misschien dat iemand mij kan uitleggen hoe een dergelijke supply chain is opgebouwd.
Drardollan
@janbaarda3 juli 2021 12:17
Een supply chain attack betekent dat er ergens bovenin de keten begonnen wordt, in dit geval de Kaseya server die bij een MSP (Managed Service Provider) staat. Deze server regelt onder andere de patches e.d. op de computers van hun klanten.

Door de server van de MSP te kraken en opdracht te geven een stukje kwaadwillende software te verspreiden naar de computers van hun klanten besmet je heel veel computers van deze klanten. Welke dan weer afgeperst worden om te betalen voor hun gegevens.

[Reactie gewijzigd door Drardollan op 3 juli 2021 12:20]

Cerberus_tm
@Drardollan3 juli 2021 18:39
Op dit moment zie je dat veel bedrijven en particulieren nog bereid zijn om alle software die ze gebruiken automatisch via het Internet te laten updaten. Maar ik denk dat we aan een langzame kentering zijn begonnen wat betreft deze acceptatie: het idee dat je elke dag weer automatisch software ophaalt en daardoor kwetsbaar bent voor het automatisch runnen van malware op je eigen systeem, met de enorme schade van dien, zal denk ik steeds meer mensen afschrikken. Automatische updates hebben voordelen, maar zijn ook een groot probleem, dat steeds groter wordt.
StackMySwitchUp
@Cerberus_tm3 juli 2021 22:58
Als ik de afweging moet maken tussen het risico van een supply-chain attack of een zero day die niet op tijd wordt gepatcht omdat ik nalaat de updates uit te voeren (let wel, het kost enorm veel extra werk = tijd om alles handmatig te screenen en daarna te updaten) dan kies ik toch echt voor automatisch updaten. Ik geloof niet dat er momenteel een beter alternatief is.
scsirob
@StackMySwitchUp4 juli 2021 09:02
Het is een valse keuze. "Wil je je linker of je rechterbeen er af".
Uiteindelijk gaat het er om dat je voorbereid bent op het moment dát je getroffen wordt. Proberen te voorkomen is prima. Maar je strategie moet er op gericht zijn dat je weet dát het je een keer overkomt, en dat je dan snel in staat bent dit te detecteren en te corrigeren. Zorg voor detectie van abnormaal gedrag (afwijkende data change rates, abnormaal CPU gebruik, kanariebestanden), en als dat gedetecteerd wordt, zorg dan dat je backups volgens de 3-2-1 regel bij de hand hebt. Waarbij die laatste 1 de off-line en/of immutable backup is.
fRiEtJeSaTe
@StackMySwitchUp4 juli 2021 22:52
Bij een zero-day moet iemand je al op de korrel hebben, en/of binnen zijn in je netwerk. Een supply-chain attack is de rode loper voor afpersers. Ze hacken 1 server en de getroffen klanten melden zich vanzelf.

Persoonlijk vind ik dit een veel groter risico, en is voor mij een reden om behalve bij Microsoft producten, automatische updates uit te schakelen.
Cerberus_tm
@fRiEtJeSaTe5 juli 2021 14:58
Zelfs Microsoft was getroffen door Solar Winds, dacht ik?
fRiEtJeSaTe
@Cerberus_tm5 juli 2021 23:40
Eens. Maar je moet ergens een grens trekken. Ik kan moeilijk de Windows Updates uitzetten dan ben ik verder van huis. Idem malware-scanner. Maar verder probeer ik zo min mogelijk automatisch te laten updaten.

[Reactie gewijzigd door fRiEtJeSaTe op 5 juli 2021 23:41]

Cerberus_tm
@fRiEtJeSaTe6 juli 2021 02:02
Je kunt ook Windows handmatig updaten. Maar het is inderdaad een afweging van risico's. Toch vind ik het zelf wel een heel prettig idee om de complete controle te houden over wat er op mijn systeem draait.
Cerberus_tm
@StackMySwitchUp4 juli 2021 02:10
Ik snap die keuze. Maar geldt dat voor alle software die je draait? Of alleen bepaalde? En wat als dit soort hacks in aantal explodeert?
casberrypi
@Cerberus_tm5 juli 2021 07:28
In de Linux wereld is dit al decennia lang gemeengoed.

Debian doet dit, en RedHat volgens mij ook. Daar wordt, voornamelijk door nieuwe gebruikers met enkele machines, altijd enorm op afgegeven.

Je hebt dan nooit de laatste versie maar altijd een oude 'stabiele' versie, waar de security issues gepatcht zijn.

Wat daar ook gebruikelijk is, is het centraliseren van updates. Er zijn daardoor veel minder supply chains die je zou kunnen aanvallen.

[Reactie gewijzigd door casberrypi op 5 juli 2021 07:37]

Cerberus_tm
@casberrypi5 juli 2021 14:58
Als je er zelf controle over hebt is dat al beter.
Skywalker27
@Drardollan3 juli 2021 12:30
Ik probeerde het simpel te houden. Maar het betreft alleen het binnen komen, de rest is gevolg en de supply chain attack kan op verschillende manieren uitgebuit worden. Het hoeft ook niet altijd via software e.d. te gaan. Er wordt ook bijvoorbeeld ingebroken en credentials geharvest om dan vervolgens bij de klanten binnen te dringen. Daarom zijn de 3rd party assessments altijd zo intensief zoals bijvoorbeeld de TISAX.

Het hoeft ook niet boven in de chain te beginnen ze zoeken gewoon de zwakste plek.
Skywalker27
@janbaarda3 juli 2021 12:16
supply chain attack heeft ziet zo zeer met fysieke logistiek te maken ;), Het wordt zo genoemd omdat men via leveranciers bij jou binnen proberen te komen.

[Reactie gewijzigd door Skywalker27 op 3 juli 2021 12:22]

janbaarda
@Skywalker273 juli 2021 13:47
We hebben nu al 3 verschilende definities van een "supply chain attack":
  • via een kwaadwillende update
  • door een corrupte server van een MSP
  • gestolen credentials die gebruikt worden om bij klanten binnen te dringen
  • niks fysieke logistiek, maar "inbraak" via leveranciers ..
Het wordt niet echt duidelijker. Elk van de genoemde gevallen heeft wel een beschermingsmethode en had dus voorkomen kunnen worden.

[Reactie gewijzigd door janbaarda op 3 juli 2021 13:49]

Triblade_8472
@janbaarda3 juli 2021 14:36
Supply chain is in zichzelf al een heel breed begrip.

Wiki:
"a supply chain is a system of organizations, people, activities, information, and resources involved in supplying a product or service to a consumer."

Ofwel ALLES tussen de software bouwer en de gebruiker.

Dus als een hacker (bij gebrek aan een beter woord) ergens voor het bij de gebruiker binnenkomt iets kwaardaardigs plaatst, is het per definitie een 'supply chain attack'.

En hoe meer klanten hoe beter. De Solarwinds aanval heeft, denk ik, heel veel kwaardaardige personen ertoe gezet dit veel vaker te gaan doen helaas. Verwacht nog maar veel meer van dit soort berichten de komende tijd. Codes zijn zo groot en ingewikkeld worden dat het mogelijk niet meer te controleren is of er iets slechts tussen zit...
rob12424
@Triblade_84723 juli 2021 18:24
Maar feitelijk gezien is een "men in the Middle attack" toch hetzelfde?
jpsch
@rob124243 juli 2021 18:47
Nee toch?
Man in the middle is toch geen onderdeel van de supply chain en kan ook gericht zijn op consumenten?
Triblade_8472
@rob124243 juli 2021 19:04
Men in the middle is een malafide doorgeef luik. Dus iets word live 'in transit' onderschept, (soms aangepast) en doorgestuurd.

Supply chain attack is het 'permanent' aanpassen van software zodat het meegeleverd word waarna de payload z'n ding kan doen.

Het belangrijkste verschil is denk ik dat MITM live is, in 'live traffic'.
De supply chain attack is een 'offline' aanpassing is die daarna officieel gedistribueerd word.
janbaarda
@Triblade_84723 juli 2021 16:05
Bedankt voor de duidelijke uitleg. Weer wst geleerd. Al dat Angelsaksische jargon maakt Nederlandse tekst niet altijd beter leesbaar ...
jpsch
@janbaarda3 juli 2021 18:43
Supply chain is gewoon de bedrijfskolom in het Nederlands.

Dus alles tussen grondstof delving en eindproduct, waarbij de consument geen onderdeel van de keten is.
mduijm
@janbaarda3 juli 2021 20:50
Als IT’er zou je daaraan wel moeten wennen. Alles is in het Engels :)
FreshMaker
@mduijm4 juli 2021 09:15
Als IT’er zou je daaraan wel moeten wennen. Alles is in het Engels :)
Niet iedereen op Tweakers is een IT'er
mduijm
@FreshMaker4 juli 2021 10:47
Degene waar ik op reageerde wel :)
WORPspeed
@janbaarda3 juli 2021 16:25
  • via een kwaadwillende update (afkomend van de leverancier)
  • door een corrupte server van een MSP (van je leverancier dus)
  • gestolen credentials die gebruikt worden om bij klanten binnen te dringen (gestolen bij de leverancier)
  • niks fysieke logistiek, maar "inbraak" via leveranciers ..(om 1 of meerdere van bovenstaande te doen)
Lijkt me dat supply-chain attacks dus gaan om een leverancier binnen te dringen en die vervolgens te gebruiken om bij de klanten van die leverancier nog meer kwaad te doen

[Reactie gewijzigd door WORPspeed op 3 juli 2021 16:25]

peli
@WORPspeed3 juli 2021 17:43
Niet fysieke logistiek?????
Waar vallen hardwarematige modificaties als (onderdeel van een op te zetten) aanval ergens in de logistieke keten dan onder?
WORPspeed
@peli3 juli 2021 21:23
Ik neem aan dat als het via de fysieke logistiek gaat dat dat vast ook onder supply-chain attacks valt. Zou niet weten waarom niet
FreshMaker
@peli4 juli 2021 09:18
Niet fysieke logistiek?????
Waar vallen hardwarematige modificaties als (onderdeel van een op te zetten) aanval ergens in de logistieke keten dan onder?
De verwarring is dat veel mensen bij de term supply chain of logistiek alleen maar die grote vrachtwagens zien rijden.
Er was tot een paar maanden geleden ( Solarwinds ) in de 'gewone mensen wereld' niets bekend over andere supplychains of logistics
Skywalker27
@janbaarda3 juli 2021 14:03
De definitie is dus dat het via een leverancier is. Dus ergens wordt ingebroken terwijl deze niet zelf de target is.
Scriptkid
@Skywalker273 juli 2021 17:40
Daarom is juist deze situati egeen supply chain attack,

het is gewoon een update server,

Als men nu de firmware van die server bij aankoop beste was dan was het een echte supply chain.

Supply chain -> Aanvoer van de de dienst,

Anders kun je alles wel onder supply chain gaan gooien, dan is als exchange geraakt wordt de mailbox ook een supply chain echter exchange supplyed de mailbox
FreshMaker
@Scriptkid4 juli 2021 09:20
Grappig dat jij nu even bepaald dat de rest van de wereld ongelijk heeft ;)
Je hebt meer kennis ?

Aanvallen worden nu eenmaal gecategoriseerd, deze valt onder de noemer supplychain attacks.

De ICT dienstverlener levert een beheerpakket 'aanvoer van product' -> deze is gecompromitteerd
Scriptkid
@FreshMaker5 juli 2021 09:25
Ehh nee,

ik volg gewoon de definitie zoals deze opgenomen zijn in bijvoorbeeld wikipedia:

https://en.wikipedia.org/wiki/Supply_chain_attack
https://en.wikipedia.org/wiki/Supply_chain
in reference to cyber-security, a supply chain attack involves physically tampering with electronics (computers, ATMs, power systems, factory data networks) in order to install undetectable malware for the purpose of bringing harm to a player further down the supply chain network.
Een supply chain attack gaat altijd terug naar het maken van een fysiek product.

Hier gaat het puur over software update programma dat valt niet onder de definitie van supply chain

[Reactie gewijzigd door Scriptkid op 5 juli 2021 09:27]

McBacon
@Scriptkid10 juli 2021 11:22
Wel al het relevante quoten hè, de SolarWinds Orion en algemene ransomware attacks op leveranciers worden ook als voorbeeld genoemd. Dus het hoeft niet per se iets fysieks te zijn zoals hardwaremodificaties. Daarnaast wordt MS Exchange wel degelijk als schakel in de supply chain aangemerkt. Update met malware wordt gepubliceerd, IT-beheerders installeren die voor hun klanten, dit is een (digitale) supply chain.
Scriptkid
@McBacon12 juli 2021 09:39
maar dan ben je dus een definitie aan het herschrijven,

Een auto met een verbrandings motor en een elektrische motor heft ook niet de definiteie verbrandings motor, maar een hybide,

Ze doen bijde zlefde hebben nijde zelfde maar is toch wat anders dus een ineuwe definitie. Hybride.

Wat zo speciaal is aan een supply chain attck is dat je JUIST bij het fysiekegedeelte sleuteld,dat is KEY aan de attack, als je juist DAT deel dan gaat weg moffelen is het hele word omzeep geholpen.

Beetje als een stuk hout rood met groen schilderen en dan zeggen het is een tomaat. hij is toch rood met groen,
McBacon
@Scriptkid12 juli 2021 10:28
Je bent nu wel heel ver aan het "reachen". Ik herschrijf niks, het is simpelweg al de definitie. Dat jij het daar niet mee eens bent is wat anders.

Je kunt prima een digitale supply chain hebben, het fysieke is helemaal niet "key".
Scriptkid
@McBacon12 juli 2021 14:53
Bron?
McBacon
@Scriptkid13 juli 2021 11:45
Je eigen Wikipedia links?
Scriptkid
@McBacon13 juli 2021 11:48
Die bevestigen wat ik zeg en ontkrachten jouw stelling:
Although supply chain attack is a broad term without a universally agreed upon definition,[6][7] in reference to cyber-security, a supply chain attack involves physically tampering with electronics (computers, ATMs, power systems, factory data networks) in order to install undetectable malware for the purpose of bringing harm to a player further down the supply chain network.[2][3][8]
Ik zou de aanval van hierboven eerder een WaterHole attack noemen

[Reactie gewijzigd door Scriptkid op 13 juli 2021 11:53]

McBacon
@Scriptkid13 juli 2021 12:18
En ik zei daarover:
Wel al het relevante quoten hè
In plaats van alleen de alinea's die toevallig overeen lijken te komen met jouw mening (cherrypicking noemen we dat). Verder, jij zegt:
Een supply chain attack gaat altijd terug naar het maken van een fysiek product.
Dat is een behoorlijk verschil met "physically tampering with electronics". Ik hoop dat je het verschil hier tussen toch wel begrijpt. Zoals ik al zei hebben ze het ook over o.a. SolarWinds Orion en MS Exchange, dat vind jij fysieke producten?

Een watering hole attack is weer wat anders. Dat gaat specifiek over een bepaalde website infecteren om zo weer een bepaalde persoon of groep te infecteren. Om even bij iets te blijven wat al genoemd is (SolarWinds): jij wil data van de executives van SolarWinds jatten, dan zou je kunnen proberen te raden welke sites ze mogelijk vaak gebruiken, die infecteer je dan en uiteindelijk kom je ook op de executive systemen. Er zijn alleen wel betere manieren om data van dergelijke personen te krijgen.
Scriptkid
@McBacon14 juli 2021 09:33
dat doet men toch ook, specifiek de update site (water hole) infecteren om zo iedereen (die daar komt) te infecteren

physiek toegang hebben tot != via een netwerk een worm injecten
McBacon
@Scriptkid14 juli 2021 14:56
Nee, ze hebben de software geïnfecteerd via het build system, de website zelf is door hen niet aangepast/"gehackt". Volgens mij wil je het gewoon niet begrijpen of je bent aan het trollen. Either way ga ik er geen energie meer aan besteden, doe ermee wat je wilt. ;]
TheekAzzaBreek
@janbaarda3 juli 2021 12:33
Voorbeeld: je gebruikt een browser, en accepteert daar regelmatig updates van.
Hacker kraakt je browser leverancier en verpakt malware als een update. Je accepteert de update omdat je de browsermaker vertrouwt. Voilà, je bent slachtoffer van een supply chain attack.
Wouterie
@TheekAzzaBreek5 juli 2021 10:34
Valt een wat minder officiële site als download.com daar dan ook onder wanneer je daar geregeld je software vandaan haalt? Het is een wat troebele definitie... maar het gaat volgens mij wel over een gedefinieerd process met in elk geval een leverancier en een klant waarbij dat proces is geïnfecteerd waardoor de klant automatisch de sigaar is. Zonder die acceptatie. Volledig procesmatig en het liefst geautomatiseerd.
McBacon
@Wouterie10 juli 2021 11:25
Download.com/Softonic etc zijn geen "minder officiële" sites, ze zijn zo onofficieel als wat. Leveranciers hebben er in principe geen controle over dus ik zou het niet onderdeel van de supply chain noemen. Er zijn altijd betere manieren om aan je software te komen dan dergelijke sites.

Net als driverupdate.com o.i.d., niemand weet wat er met die drivers gedaan is maar "het is lekker makkelijk". Elke hardwarebouwer publiceert op eigen sites de drivers.
Scriptkid
@TheekAzzaBreek12 juli 2021 09:40
mits de supplyer een hard disk gebriuik waar mee is gerommeld idd wel,

definieteie van supply chain is dat er met hardware is gerommeld,
freycinet
3 juli 2021 11:53
Zorgelijk. Als relatieve buitenstaander (slechts gebruiker van ICT infrastructuur) zie ik deze ellende in omvang en losgeldkosten + herstelkosten alsmaar toenemen. Waar gaat dit heen? Lopen dit soort 'grappen' binnenkort wereldwijd gigantisch uit de hand? Is het wellicht tijd voor een rigoreus andere set-up van ICT infrastructuur?

[aanvulling:]
Waar ik op doel is het volgende: Zijn de kernen van onze besturingsystemen wel goed ontworpen?? Ik begruik dat van MS nu zo'n 25 jaar op het werk en privé. Heb vermoedelijk >100.000 'patches' ontvangen. Wanneer is het af? Gisteren zijn bij veel bedrijven de PrintSpoolers uitgeschakeld... Zijn besturingssystemen en bijv. spooler drivers ooit wel vanuit de basis / kern ontwikkeld met het oog op indringers? Mijn twijfels daarover nemen steeds verder toe!

[Reactie gewijzigd door freycinet op 3 juli 2021 12:29]

CEx
@freycinet3 juli 2021 13:25
Op je vraag kan ik vrij simpel antwoord geven: ja OSen worden ontwikkeld met het oog op beveiliging. Windows NT had dat zelfs als hoofddoel toen het ontworpen werd. Tegelijkertijd moet het wel een bijzondere hoeveelheid functies bieden dat met geen enkel fysiek stuk gereedschap te vergelijken is omdat de eindgebruikers bijzonder veel en uitlopende wensen hebben.

Flauw voorbeeld, maar toen Vista uitkwam met de strakke UAC (om o.a. de toentertijd heersende toolbar malware tegen te kunnen gaan) was het land te klein en wist zelfs de kapper dat hij nog niet moest upgraden...
HoppyF
@freycinet3 juli 2021 12:07
Het is al uit de hand gelopen.
Wat kun je doen als bedrijf?
Best veel.
Ten eerste zorgen dat medewerkers niet op een vage link kunnen klikken als deze in een e-mail naar ze gestuurd wordt. Bijlagen dichttimmeren en in quarantaine zetten zodat de gebruiker bewust deze bijlage moet gaan opvragen. De bijlage is ondertussen gescand op virussen en malware en veilig bevonden zo niet gaat deze op slot en kan de gebruiker er niet bij.
Verder een verbod op USB sticks. Gebruikers mogen deze niet gebruiken en doen ze het toch dan werkt de USB poort van hun PC/laptop toch niet omdat deze geblokkeerd is.
Helpt dit 100%? Nee, vast niet maar er is wel een flinke drempel.
Deadslim77
@HoppyF3 juli 2021 12:47
Probleem is ook langzamerhand, dat als je opgroeit met digitale kennis (omdat je dat tegenwoordig al op de lagere school meekrijgt) zonder instructie van de lesgever over digitale beveiliging je al achterloopt voordat ze de basisschool verlaten. Mensen die een laptop krijgen/kopen (want iets waarmee je op het www kan is tegenwoordig vrij goedkoop) hebben geen weet van de beveiliging. Want je moet je erin verdiepen. Youtube en Instagram is leuker en minder saai. En van díe gebrek aan interesse over de hele linie wordt al jaren maar iig steeds meer misbruik gemaakt. En dan komt je dochter met een usb stickje bij jou, en als jij dan ook nog van de hoed en de rand weet; want op je werk heb je daarvoor een Systeembeheerder, dan gaat t thuis fout, besmette pc, zakelijke mail naar een collega etc etc etc.
Ik hou me hart vast, en ik denk dat het verstandiger is om niet meer digitale devices thuis te hebben die je kan managen. Mobiel, je Wifi, alles wat gekoppeld kan worden daaraan. Niet meer dan wellicht 2pc's. Je moet er allemaal verstand van hebben, en ik ben van mening dat het veel mensen gewoonweg boven de pet groeit....
jcbvm
@Deadslim773 juli 2021 18:57
De gewone gebruiker moet ook helemaal niet bezig zijn met beveiliging. Wel ben ik het er mee eens dat er iets meer bewustwording moet zijn, maar beveiliging moet niet belangrijker gaan worden dan de usability. Het grote probleem is juist dat veel systemen de beveiliging niet op orde hebben of teveel achterdeuren hebben. Binnen de IT moet de focus veel meer op veiligheid. Daar moet veel meer in geïnvesteerd worden, mja dat kost geld en tijd en schiet er dus vaak bij in of wordt maar half gedaan. Uiteindelijk blijft de eindgebruiker wel vaak de zwakste schakel, maar daar zou je ook op in kunnen spelen ipv deze eindgebruiker lastig te vallen met lastige veiligheidsaspecten.
Deadslim77
@jcbvm3 juli 2021 20:38
Daar ben ik in essentie met je mee eens, maar heel veel systemen waarvan de veiligheid van op dient te zijn is dat niet. Zoals Windows. We zeggen allemaal “ja maar als je niet te gekke dingen doet...”
Ik heb via een Steam game een mod een Randsomeware binnengekregen die uiteindelijk is getackeld door Hitman Pro. En niet door Eset en ook niet door Windows Defender. Windows Defender moet ipc genoeg zijn voor een casual gebruiker die een pc heeft omdat de bank eist dat ze een goede Pc hebben om digitaal hun bankzaken mee te doen. Die moet helemaal niet na hoeven denken, automatisch updates downloaden die geen BSOD’s geven. Die niet in veilige modus hoeven oo te starten om ... etc etc etc.
Maar het zou wel fijn zijn dat mensen iets meer bewust zijn van het gebruik van.
Als je een nieuwe auto koopt ga ik er ook vanuit dat je het instructie-boekje doorleest (meermaals) voordat je er continue mee op pad gaat, dat je ff kijkt en oefent hoe je een bandje wisselt of een lampje vervangt.
FreshMaker
@Deadslim774 juli 2021 09:11
Daar ben ik in essentie met je mee eens, maar heel veel systemen waarvan de veiligheid van op dient te zijn is dat niet. Zoals Windows. We zeggen allemaal “ja maar als je niet te gekke dingen doet...”
Ik heb via een Steam game een mod een Randsomeware binnengekregen die uiteindelijk is getackeld door Hitman Pro. En niet door Eset en ook niet door Windows Defender. Windows Defender moet ipc genoeg zijn voor een casual gebruiker die een pc heeft omdat de bank eist dat ze een goede Pc hebben om digitaal hun bankzaken mee te doen. Die moet helemaal niet na hoeven denken, automatisch updates downloaden die geen BSOD’s geven. Die niet in veilige modus hoeven oo te starten om ... etc etc etc.
Maar het zou wel fijn zijn dat mensen iets meer bewust zijn van het gebruik van.
Als je een nieuwe auto koopt ga ik er ook vanuit dat je het instructie-boekje doorleest (meermaals) voordat je er continue mee op pad gaat, dat je ff kijkt en oefent hoe je een bandje wisselt of een lampje vervangt.
haha grapjas ....

De reden dat een gebruiksaanwijzing bovenop ligt, is zodat je die direct opzij kan leggen.
In het boekje staat ook hoe je de auto moet bedienen, denk je dat dat ook afdoende kennis is om op stap te gaan ?
In veel landen heb je géén vergunning ( rijbewijs ) nodig.

De bank vereist niets, een net geinstalleerde pc, zonder antivirus kan net zo goed op de pagina's komen en betalingen doen.
Op mobiele apparaten is het 'simpeler' als je Android/ios versie niet hoog genoeg is, kan je niet installeren.
Wil je daar naartoe ?
Dat de OS-makers uiteindelijk bepalen wat je wel en niet kan gebruiken ... want droog bekeken, bepaalt Apple/telefoonfabrikant dan of je kan bankieren door geen updates meer te sturen
Triblade_8472
@HoppyF3 juli 2021 14:40
Ik zie meer problemen in reclames. Er komt meer ellende binnen via injecties dan USB sticks volgens mij... En e-mail blijft onverminderd ellendig.
Skywalker27
@HoppyF3 juli 2021 12:14
Als eerste moet je je assets in kaart brengen met de risico's en je kritische systemen. Dat is stap 1.
HoppyF
@Skywalker273 juli 2021 12:17
Ook dat.
Er zijn veel stappen die je kunt ondernemen.
DJMaze
@freycinet3 juli 2021 13:12
Een besturingsysteem kan in de basis heel veilig zijn.
Hoe meer je er mee kan doen, hoe onveiliger het wordt.

In de basis is Linux veel veiliger dan Windows, maar men gebruikt het niet omdat gebruikers te veel beperkt zijn.
Mogen gebruikers meer, dan is Linux ook niet veilig.
Triblade_8472
@DJMaze3 juli 2021 14:41
Ware het niet Microsoft standaard de Printer Spooler op Domain Controllers aan heeft staan 8)7

En Xbox firewall rules terwijl percentueel deze volledig ongebruikt zijn! (Ben dr nog boos over)
alt-92
@Triblade_84723 juli 2021 22:35
Daar heb je keurig netjes templates voor en hardening guidelines.
Geen onnodige services draaien is daar onderdeel van.
Dat slechts weinigen die moeite echt nemen is een tweede.
Triblade_8472
@alt-924 juli 2021 11:45
Ja maar het feit dat het nodig is ..
saren
@DJMaze4 juli 2021 22:57
In de basis is Linux veel veiliger dan Windows, maar men gebruikt het niet omdat gebruikers te veel beperkt zijn.
Linux beschikt niet eens over fatsoenlijke sandboxing. Executed software heeft standaard unrestricted access tot alle data in hetzelfde user account (relevante xkcd), veel distro's shippen met beveiligingsdrama's als xorg die niet eens over fatsoenlijke GUI-isolatie beschikt, . Deze bron (auteur: founder QubesOS) komt uit 2011 nota bene, en is vandaag nog even relevant, want de problemen zijn fundamenteel niet opgelost. Ook SELinux lost dit niet op. Zowat de hele kernel (98.4%) is in het memory-onveilige C geschreven, waar uit onderzoek blijkt dat memory-onveilige talen verantwoordelijk zijn voor 70%+ procent van de security vulnerabilities. Microsoft werkt hier nog actief aan, en herschrijven delen naar Rust. Linux.. tsja. Buiten wat nieuws af en toe zie ik bar weinig iniatief om er wat aan te doen, en dat is jammer

Ik wil nu niet zeggen dat Windows het walhalla van veiligheid is, daarvoor moet je naar iOS of Android (ha ha, is ook Linux :+ ) gaan. Ook op het gebied van sandboxing etc heeft Windows veel stappen te zetten vergeleken met de twee mobiele OS'en, en zelfs ChromeOS/MacOS. Maar je veilig voelen op Linux kan op een dag toch eens vies tegenvallen.

[Reactie gewijzigd door saren op 4 juli 2021 23:09]

Drardollan
@freycinet3 juli 2021 12:07
Veel bedrijven hebben jaren bespaard op IT budget. Veel is geoutsourced om kosten te besparen. Steeds meer bedrijven hebben geen of minder beheerders in dienst die feeling met het bedrijf en de IT infrastructuur hebben. Dat maakt kwetsbaar.

Maar dat er iets moet veranderen, zoveel is wel duidelijk.
CEx
@Drardollan3 juli 2021 13:20
Als tegenwicht op je reactie: veel bedrijven hebben ook beheerders in dienst die al moeite hebben om de diverse upgrade cycles van de leveranciers te volgen. En dan schermen met kreten als N-1 terwijl er een critical vulnerability patch is uitgekomen.
Er is zeker in Nederland een enorm tekort aan goede IT'ers.
Het is echt niet altijd een financiëel gedreven move.
Skywalker27
@freycinet3 juli 2021 12:02
Het is geen grap als Cybercrime een land was hadden ze de 5e grootste economie van de wereld. Dus dan weet je ong. de orde van grote 99% zie je niet en hoor je nooit wat over.
Jism
@freycinet3 juli 2021 19:06
Ik vindt dat windows teveel op windows zit te focussen en iedere 5 a 8 jaar maar weer een "nieuw" os uit de zak moet worden geklopt. MacOS, Linux, al dat alles is gebaseerd op hele andere principes, met name veiligheid en toestanden. Stop eens met het kijken naar de GUI de hele tijd en mooie settings ergens verbergen in een config panel enzo en geef de code gewoon eens een goede sweep. Leuk dat TPM 2.0 verplicht bij windows 11 maar een volledige up to date W11 + TPM is nog steeds onveilig _O-

Als men gewoon een basis ontwikkeld wat rigide is, stabiel, solide, veilig etc dan heb je dat gerush met patches de hele tijd ook niet meer. Dan maar ouderwets, maar het werkt teminste wel.
Scriptkid
@freycinet12 juli 2021 09:43
Veel bedrijven nemen enorm veel shortcuts in de security wat als resultaat opgeeft dat je gehacked wordt,

Ik heb de laatste 3 jaar nog een een security audit boven de 50% zien scoren op Office 365, Meestal is het antwoordt ja maar dat kost extra geld ik vind het wel goed zo ik neem het risico ipv dat ik het afdek tegen extra kosten.
Jeffrey87
3 juli 2021 11:44
Zo blijkt maar weer dat leveranciersmanagement en een goede risicoanalyse op je leveranciers steeds belangrijker is/wordt. Iets waar veel bedrijven geen rekening mee houden, al hun SaaS leveranciers blind vertrouwen en ondertussen wel full system privileges afgeven.

[Reactie gewijzigd door Jeffrey87 op 3 juli 2021 11:52]

ShellGhost
@Jeffrey873 juli 2021 11:52
Ook met een goede risico analyse blijft het lastig om dit soort attacks voor te zijn.
Een van de weinige dingen die helpen is om alles weer inhouse te doen ipv uitbesteden.
En dan kom je uit bij het financiële plaatje. Hoeveel kost het om alles inhouse te doen tegenover hoeveel het kost om er een x aantal uren/dagen uit te liggen.
Mellow Jack
@ShellGhost3 juli 2021 12:00
Alleen al door de analyse en bijv de keuze om meer aan centralisatie te doen of juist decentralisatie van software leverancier

Als je alles bij 1 partij stopt is de kans kleiner om hierdoor geraakt te worden. Als je meerdere partijen gebruikt is de kans dan weer groter dat zodra je geraakt wordt op product x je een ander product hebt die het detecteert of voorkomt.
Drardollan
@Mellow Jack3 juli 2021 12:12
1 leverancier of meerdere heeft voor en nadelen. Vergelijk het maar met je huissleutel, als je maar 1 sleutel hebt dan is de kans dat deze gestolen en misbruikt wordt vele malen kleiner dan als je 20 sleutels hebt. Maar als je die ene sleutel kwijtraakt….
Drardollan
@ShellGhost3 juli 2021 12:10
Ook inhouse loop je risico’s. In dit geval zijn MSP’s en bedrijven die Kaseya zelf (inhouse) draaien voor hun clients getroffen.

Grote kans dat een deel van de inhouse draaiende bedrijven geluk hebben gehad omdat de Kaseya console (website) niet publiekelijk toegankelijk is (slag om de arm, het lijkt erop of het via die weg is gegaan, maar dat is niet zeker).
dycell
@ShellGhost3 juli 2021 12:32
Het is een onzinnige uitspraak, daar moet je niet op reageren.
In Nederland is een zwaar tekort aan IT personeel dus ook al zou je het inhouse willen doen, dan kan het toch niet goed beheerd worden. Daarnaast is inhouse natuurlijk niet veiliger. De inhouse IT-er heeft al veel taken en bij een leverancier heeft men veel meer kennis van het product. Een leverancier kan het beter ondersteunen en bijwerken. Vooral dat bijwerken gebeurt inhouse/on-premise bijna niet.

Daarnaast lees ik het artikel juist als dat de SaaS klanten geen problemen hadden maar enkel de organisaties met een on-premise omgeving.
Kaseya heeft zijn SaaS-servers 'onmiddelijk' afgesloten. Dat was uit voorzorg, want de aanval lijkt beperkt tot de 'on-premises-klanten' van het bedrijf.
Cergorach
@ShellGhost3 juli 2021 18:02
Hoeveel kost het om alles inhouse te doen
Wat een hoop mensen ITers vergeten is dat als je alles inhouse doet dit niet direct betekend dat het dan opeens niet meer gebeurd.

#1 Al je hard/software wordt nog steeds geleverd door externe partijen, daar ga je niet omheen werken.
#2 Dergelijke RMM (Remote Monitoring and Management) software is er juist om zaken beter en makkelijker inzichtelijk te krijgen en beheerbaar te houden. Als je zonder doet betekend dat een hoop meer handwerk, maakt de boel een stuk minder inzichtelijk en dat maakt het juist weer onveiliger.
#3 Inhouse doen betekend niet per definitie 'goed', verre van is juist eerder de ervaring. Zeker als het een hoop meer handwerk gaat zijn, wordt het saaie/repetetive handwerk niet neergelegd bij de experts met een hoop inzicht... Ik ben nog steeds veel te veel ITers tegengekomen die wachtwoorden zoals "Welkom01" gebruikten en daar eigenlijk niets mis mee zagen...
#4 RMM software is slechts 1 van de vele bewegende onderdelen in een IT omgeving. Als het deze keer niet de RMM software is, dan is het de volgende keer de VPN software, de Remote Desktop software, het server/werkstation OS, browser, firewall, hardware component, etc. Of gewoon een gebruiker of zelfs beheerder die 'gehacked' is door social engineering of gewoon corrupt blijkt te zijn.
Kaseya heeft zijn SaaS-servers 'onmiddelijk' afgesloten. Dat was uit voorzorg, want de aanval lijkt beperkt tot de 'on-premises-klanten' van het bedrijf.
In dit geval is Kaseya gewoon de software leverancier van een stuk software dat binnen het bedrijf zelf 'inhouse' wordt gehost, niets SAAS/PAAS aan.
Fluttershy
@Cergorach4 juli 2021 00:51
Al je hard/software wordt nog steeds geleverd door externe partijen, daar ga je niet omheen werken.
Dat zeg je nu wel, maar ik ga volgende week bauxiet delven om eigen behuizingen te maken van een in-house SSD.
tc982
@ShellGhost3 juli 2021 19:40
Een van de weinige dingen die helpen is om alles weer inhouse te doen ipv uitbesteden
Dit waren juist de *inhouse* hosted solution die gehacked werden. Je leeft altijd bij de gratie van je leverancier vanaf je iets via het web doet. Hosted of niet-hosted.

Net zoals outsourcen niet altijd de beste oplossing is, is hosten vaak ook niet een goede oplossing. Patched blijven liggen, of te laat doorgeduwd. Of gewoon niet onderhouden.

[Reactie gewijzigd door tc982 op 3 juli 2021 19:41]

Triblade_8472
@Jeffrey873 juli 2021 14:30
Hmmm. Je hebt goede punten. Maar er is, denk ik, geen één waarheid.

Bijvoorbeeld, als alle apps ver-SaaSd zijn bij verschillende leveranciers, dan loop je juist minder risico omdat die elkaar niet raken. Al je data is dan gesegmenteerd.
kodak
@Triblade_84723 juli 2021 16:07
Data van jezelf of al je klanten loopt niet zomaar minder risico omdat je meerdere leveranciers gebruikt. Dan zal je toch ook nog zelf gepaste segmentering moeten doorvoeren. Anders kan je net zo goed de situatie hebben dat je de kans op risico aan het vergroten bent omdat een crimineel meer mogelijkheden heeft om dezelfde schade te veroorzaken. De analyse of een leverancier geen onnodige risico's oplevert moet daarbij ook meer en constant goed genoeg uitgevoerd worden terwijl niet eens duidelijk is of bedrijven dat wel doen.
Triblade_8472
@kodak3 juli 2021 17:22
Wel als het, zoals ik aangaf, SaaS gebruikt. Dat is namelijk inherent gesegmenteerd.

Je denk toch niet dat een financieel pakket via een web interface van leverancier A invloed heeft op, zeg, een HRM pakket via een web interface van leverancier B?
Cergorach
@Triblade_84723 juli 2021 18:12
Wat had je gedacht van API integraties tussen verschillende SaaS oplossingen. Zat zooi kan bij zooi van anderen als de klant dat maar zo instelt en daar toestemming voor geeft. Denk aan bv. iets simpels als SSO of provisioning van SaaS oplossingen via een centrale Identity Provider, welke vaak ook een SaaS oplossing is. Maar ook gewoon SaaS oplossingen die bij de data van de medewerker kunnen of van het hele bedrijf.
kodak
@Triblade_84723 juli 2021 17:46
SaaS is geen toveroplossing waarbij er opeens risico's verdeeld zijn omdat de services verschillen. Om het voorbeeld van je te nemen: zowel in de service voor hrm als het financieel pakket zit niet zomaar verschil in alle persoonsgegevens van een medewerker. Slechts gegevens die verschillen zijn dus gescheiden, voor zover ze verder ook nog uit elkaar gehouden worden. Want je services scheiden is ook niet zomaar de backups gescheiden hebben.
teacup
@Triblade_84723 juli 2021 18:07
Verschillende Saas leveranciers betrekken in het IT-systeem van je organisatie zorgt ervoor dat dit systeem complexer wordt. Misschien dat met die segmentering die kodak suggereert de impact van problemen kan worden verkleint, maar de kans op problemen zeer zeker niet. Ieder van die leveranciers kan een probleem veroorzaken en vergroot daarmee het risico erop.
Bezulba
@Jeffrey873 juli 2021 12:50
Ik denk dat de analyse meestal wel ok is, maar de uiteindelijke uitkomst voor 99% van de bedrijven gaat zijn "Acceptabel risico, het alternatief kost te veel geld"
kodak
@Bezulba3 juli 2021 15:50
Waaruit maak je op dat de analyse meestal wel ok zou zijn? Het blijkt namelijk regelmatig dat een gebrek aan basisbeveiliging een oorzaak van grotere problemen is, wat niet zomaar anders is bij leveranciers of gebruik van andermans diensten.
Bezulba
@kodak3 juli 2021 16:18
Nou ik geloof best dat er bij de meeste bedrijven met meer dan 2 koeien als werknemers er een risico analyse gedaan wordt. Echter is het altijd bij dat soort analyses dat elke maatregel te veel geld kost.
kodak
@Bezulba3 juli 2021 16:36
We hebben het over een goede risicoanalyse doen, niet dat een analyse met welke kwaliteit dan ook gedaan is. Je stelt dat het gedaan zou worden en wel ok zal zijn, dat is een wereld van verschil. Alles kan wel een analyse genoemd worden. En aangezien veel ondernemers daar niet zomaar verstand van hebben en ook niet zomaar weten wie ze anders het beste kunnen inhuren of geloven lijkt het me dus niet redelijk om alles maar een analyse te noemen als men iets gebruikt om te kiezen. Zeker niet terwijl het geen gewoonte is dat bedrijven echt in detail doorvragen en antwoord vereisen om een leverancier te selecteren.
zx9r_mario
@Jeffrey873 juli 2021 12:19
Eerst SolarWinds en nu Kaseya.
Cergorach
@zx9r_mario3 juli 2021 18:08
Dat is natuurlijk zo een beetje de top in de RMM oplossingen, de kans is groot dat ConnectWise (Automate) ook gewoon een doel is en het me niets zal verbazen dat die ook nog wel eens in het nieuws zal komen op een dergelijke manier.

Als aanvaller richt je je op de oplossingen die het populairst zijn en waarmee je de grootste hoeveelheid doelen kan raken. In dit geval RMM software.

Iets als Microsoft Intune zal imho ook iets zijn waar veel hackers naar aan het kijken zijn, dat is echter primair werkstations en (nog) geen servers, zal dus een stuk minder populair zijn.
Skywalker27
@Jeffrey873 juli 2021 12:00
En heel veel leveranciers hebben echt een hekel om er aan mee te werken. Maar vaak kunnen ze er heel veel van leren.
RobbieB
@Jeffrey873 juli 2021 14:53
De SAAS oplossing was in dit geval dus juist wel de goede keuze geweest. Alleen on-prem omgevingen zijn getroffen…
oef!
@Jeffrey873 juli 2021 15:08
Ik hoor graag van je hoe je dit in de praktijk voor je ziet. Als je in de markt ben voor een applicatie dan check je bij de leverancier op certificeringen en vraag je om inzage in pentests die in het uitgevoerd zijn op het systeem.

Als alles op groen staat dan kan ik me niet voorstellen wat je als klant nog meer kan doen. Misschien kun je zelf ook periodiek pentests doen maar ook dan moet je nog steeds iets vinden.
DoeEensGek
3 juli 2021 11:48
Misschien is iedereen met elkaar verbinden toch niet zo heel handig geweest.
pauldebra
@DoeEensGek3 juli 2021 12:30
Verbindingen met kern-infrastructuur moeten zo opgezet worden dat er alleen "statische data" overheen kan gaan. Alle problemen die we nu zien komen doordat mensen van buitenaf programma's kunnen uploaden en uitvoeren. Misschien denk je, dat kan toch niet? Maar het kan wel want bijvoorbeeld office documenten zijn ook programma's en de malware die er uitziet als een office document is dat ook.
Vroeger was het zo dat je op je eigen computer programma's draaide, en wat je up- of downloaden naar en van een server was voor die server alleen maar pure opslag-data. Er werd nooit iets op die server mee gedaan. Dan is de verbinding met een server veilig te maken. Als je iets doms doet dan is je eigen PC vernacheld maar jouw PC kan op geen enkele manier de server infrastructuur ertoe bewegen om iets dat je er naartoe stuurt als programma uit te voeren.
Het probleem is dus niet *dat* we allemaal verbonden zijn, maar "hoe" we verbonden zijn. Bij de meeste bedrijven kunnen thuiswerkers bijvoorbeeld iets doen op een computer die op het werk staat. Dat is al niet veilig. Als je alleen maar passieve data heen en weer kan sturen en alle bewerkingen alleen maar op je eigen PC kunnen gebeuren dan kan het veilig gemaakt worden. Maar ja, we willen tegenwoordig zoveel meer... en daardoor blijft het niet veilig. (Zelfs mijn eigen thuis-netwerk is niet veilig want ik kan bijvoorbeeld met ssh van mijn laptop naar mijn servertje... waardoor ik dus vanaf mijn laptop de server iets kan laten doen dat meer is dan alleen data opslaan...)
CEx
@pauldebra3 juli 2021 13:15
Wat een kolder 'statische data', hoe zie je upgrades dan voor ogen? Weer met fysieke floppy disks? Want die waren zo veilig, de eerste ransomware werd nota bene op een floppy verspreid.

Vroeger was het niets beter en van ieder moment in de tijd zijn er wel voorbeelden te geven van grote kwetsbaarheden die ook uitgebuit werden. Denk aan de RDP/VNC bugs, de windows server TFTP lek, etc.
Waarom noem ik deze voorbeelden? Omdat een server nooit puur fysieke opslag is geweest, die server heeft een OS dat beheerd wordt, een of meerdere services draaien om uberhaupt data te kunnen ontvangen en weer te presenteren. Zelfs als netwerkschijf inzetten is exploitable, google maar eens op de Samba exploits.

Er bestaat niet zoiets als passieve data zolang de ontvanger deze actief ontvangt. Daarnaast kan data door bijvoorbeeld slechte encryptie onderschept worden, bij gevoelige data uiteraard een probleem. Encryptie aanscherpen? Dat kan, dat is wel weer extra logica in je server (en client natuurlijk) wat weer kans op bugs oplevert.

Het enige wat echt veranderd is dat is de afhankelijkheid van de processen binnen bedrijven van IT en data. Jaren 90: alles werd versleuteld? Driemaal vloeken en volledig wissen, soms nog een tape backup maar vaak kon en werd er altijd nog een handmatige administratie gevoerd. Nu ligt een bedrijf simpelweg een aantal dagen plat (zie Mandemakers).

Ik zie in de reacties ook oproepen om dan IT maar weer in house en on prem te halen. De redenen om naar SaaS/PaaS te gaan is juist het gebrek aan goede IT-ers. En die heb je een stuk meer nodig als je decentraliseert.
teacup
@CEx3 juli 2021 14:08
Je opmerking over de toegenomen afhankelijkheid van organisaties en hun processen van de IT infrastructuur herken ik ook wel. In de jaren '90 waren zelfs alle bedrijfsprocessen nog niet geautomatiseerd. Naar mijn inzicht passeren nu veel organisaties de procesautomatisering en -integratie over afdelingen heen. Dit proces is al even bezig en nog niet afgerond. Tegelijkertijd zijn multinationals druk doende om bedrijfsunits op het vlak van software en informatie te harmoniseren. Ook dit is een proces van jaren en kan meer dan een decennium in beslag nemen.

Afgezet tegen de trend van die voortschrijdende procesintegratie kunnen we volgens mij niet anders dan ook het beheer van zo'n (inter) nationaal serverpark ook centraliseren. Dit maakt wel/niet on premises een bijna achterhaalde discussie. Heel veel bedrijven kennen geen eenduidige definitie van "on premises" meer.

Vanuit optiek van beheersbaarheid is het denk ik alleen maar logisch als ook het beheer van het serverpark zoveel als mogelijk gecentraliseerd plaatsvindt. Zeker bij een organisatie met vestigingen in verschillende landen. In dit geval is een remote beheer oplossing functioneel logisch. Misschien ligt dit bij alleen nationale organisaties wat genuanceerder maar dan komt het uit nood geboren argument van het tekort aan IT capaciteit weer om de hoek kijken. Vertrouw je de beheerstaak toe aan een service provider? Als die in professionaliteit deze taak al voor meerdere organisaties uitvoert en de service provider zich inspant om de stand van techniek op de voet te volgen, ook op het vlak van bescherming tegen aanvallen, dan kan dit de beste van de slechte oplossingen zijn.

Beheer op afstand introduceert natuurlijk zijn eigen risico's maar dat zie ik als een dooddoener. Iedere verandering betekend andere risico's. Vanuit systeemtechnologie pratend moet het totale systeem zo eenvoudig mogelijk gehouden worden. Ik kan het niet goed beoordelen, mogelijk voegt Saas/Paas een complexiteitslaag toe, maar daar staat dan de vereenvoudiging door de integratie tegenover. Dat verhaal lijkt mij daarom genuanceerd.

Hoe in een SLA de grote verantwoordelijkheid voor de service provider is af te dekken, daarover durf ik tenslotte geen uitspraak te doen. Wat ik zelf zie gebeuren zijn we nog midden in het proces om hiermee ervaring op te doen, zowel voor de klanten als voor de service verleners. Maar wat je al zei, uit nood geboren, moet deze manier van werken zijn weg verder vinden.

edit: zinsbouw aangepast

[Reactie gewijzigd door teacup op 3 juli 2021 16:08]

pauldebra
@CEx3 juli 2021 15:30
Kwetsbaarheden waren er inderdaad altijd al, maar die waren vroeger toch vaker beperkt tot lokaal ingelogde gebruikers. Ik herinner mij de sendmail worm nog goed en ook de Gould Unix computers waarbij elk proces het kernel memory memomy-mapped (read-only) toegankelijk kreeg en dus alles kon lezen, bijvoorbeeld de tty-buffers van alle terminals. (Duh!)
Maar je hebt gelijk dat er ook een probleem zit met system-updates die niet meer op "floppies" komen maar via Internet, wat altijd een gevaar inhoudt.
Toch zie ik dat misdadigers vaak misbruik maken van het feit dat wat eigenlijk onschuldig zou moeten zijn zoals een document eigenlijk gewoon een programma is (omdat je overal macros en scripting hebt tegenwoordig). Er kan nog wel wat meer gedaan worden om alle mogelijk code in een document dat je krijgt standaard te blokkeren en extra op gevaarlijke constructies te checken. Maar ja, je houdt ook nog valse websites over, en lekken in vpn verbindingen, etc... Het is een gevaarlijke wereld, en door de anonieme mogelijkheid om geld te versturen wordt het wel erg comfortable gemaakt om bij het krijgen van losgeld nooit gepakt te worden...
pe0mot
@DoeEensGek3 juli 2021 11:54
Verbinden is goed.
Maar je voordeursleutels aan een ander bedrijf geven en dan op de SLA vertrouwen is niet verstandig.
Bezulba
@DoeEensGek3 juli 2021 12:51
Heel handig voor de manager die de transitie heeft gedaan. Het bespaarde flink wat geld per jaar dus iedereen was heel erg blij.
Triblade_8472
@DoeEensGek3 juli 2021 14:38
Dus als de software via CD's geupdate word is het wel ok? 8)7
alt-92
@Triblade_84723 juli 2021 22:32
Gewoon weer iedereen aan het Offline Productivity Pack.
Pen en papier.
themadone
3 juli 2021 13:00
Bijzonder, ik ben kaseya een paar jaar terug tegengekomen bij een werkgever. Vond het altijd al bijzonder om al je klantomgevingen op 1 plek beschikbaar en benaderbaar te hebben.

En dan natuurlijk met veel rechten, want anders kunnen we geen software remote installeren. Ze leunden daar ook volledig op de interne virusscanner van kaseya. Erg slim kwam het niet over.

Ik snap de zoektocht naar efficiëntie, maar waarom niet gewoon read only voor je monitoring en als je wat wilt doen een gotoassist/Teamviewer achtige oplossing. Dan kom je zonder de juiste login met 2 factor tenminste niet moeiteloos in iedere omgeving zoals nu wel het geval geweest lijkt te zijn.

Het begint erop te lijken dat we als IT afdelingen geen software meer kunnen vertrouwen, zie ook de driver sign van Microsoft, dan raakt voor de gemiddelde beheerder het einde wel echt zoek.

Ben wel erg benieuwd of deze hack nu eindelijk eens gaat leiden tot globale actie tegen deze lui. Zal waarschijnlijk wel niet, zijn tenslotte maar weer een paar MKB's die omkieperen.

Al met al kom ik langzaam aan op het punt dat de negatieve kanten beginnen te overheersen in mijn baan, misschien toch maar een carrière switch. Je bent de hele dag aan het vechten tegen een onzichtbare vijand die zelfs als je hem zichtbaar weet te maken onschendbaar is.

Het wordt tijd voor actie, misschien de landen waar dit origineert maar eens van internet afsluiten ofzo.

Sterkte aan de honderden beheerders die een heftige paar weken tegemoet gaan.
zx9r_mario
@themadone3 juli 2021 14:12
Veel van die ICT bedrijfjes leveren dit soort oplossingen inclusief support voor een maandelijks vast bedrag per werkplek. Nu kunnen ze puin gaan ruimen en die gemaakte uren zijn dan waarschijnlijk niet facturabel.
Soeski
@zx9r_mario4 juli 2021 11:25
Los daarvan - ik denk wel dat er klanten wat schadeclaims gaan indienen bij hun IT leverancier. Downtime en je hebt een flink security event te pakken, dus de hele molen met melden bij AP begint ook. Klanten moeten dit zelf doen maar weten dit vaak niet of beperkt, dus moeten geholpen worden. Toon vervolgens maar aan dat je verder alles onder controle had volgens contract met je klant en (als je dit hebt) je eigen ISO27001. Nasty.
Triblade_8472
@themadone3 juli 2021 14:44
Ach, het houd je werk divers toch? Niks vervelenders/hersendodelijkers dan een saaie job!
themadone
@Triblade_84723 juli 2021 15:56
Eens, maar dan wil ik ook slagkracht om boris en zijn vrienden aan te pakken. Het jagen is leuk, maar je komt nooit tot de kill op deze manier.
alt-92
@themadone3 juli 2021 22:41
Boris?
Ik dacht eerder aan de familie Kim die toch op een of andere manier aan kapitaal moet komen.
themadone
@alt-924 juli 2021 12:17
Dat zou je denken, en was inderdaad bij wannacry volgens mij het geval, maar nogal amateuristisch.

Denk niet dat Kim de ballen en het gebrek aan verstand heeft om een Amerikaanse pijpleiding te hacken. Want voor je het weet komen de Amerikanen even democratie brengen.

De meeste van deze ellende komt toch echt uit Rusland, waar de hackers in dikke Lamborghini's door Moskou scheuren en code opnemen in de mallware die computers met Russische taal en toetsenbord met rust laat.
Meteen
@themadone5 juli 2021 14:20
Ik begrijp je frustraties. Het bedenken van een veilige ICT-infrastructuur is één ding, implementeren vrijwel onmogelijk, dan wel een zeer tijdrovende klus. Zeker in je eentje. Zeker binnen een bestaande situatie. Zou het niet eens tijd worden om in een werkgroep oid één of een paar standaard ICT-infrastructuren te ontwerpen, inclusief overwegingen en ontwerpbeslissingen? Dan hoeft niet iedereen het wiel opnieuw uit te vinden en wordt aanwezige kennis gedeeld. En kan er misschien zelfs richting gegeven worden aan leveranciers. En aan gebruikers.

Om van mijn vele ontwerpvraagstukken/frustraties maar eens een hele simpele te demonstreren: hoe maak je een kopie(backup) van een gemeenschappelijke schijf van 8 TB binnen 24 uur en hoe zet je deze weer terug binnen 24 uur. Ondanks beloften van leveranciers is het me niet gelukt een voldoende stabiele oplossing te vinden. Geen wonder, want met een 6 GB/s schijf is de theoretische duur alleen al 17 uur, zodat bij het minst geringste verstoring weer veel tijd en aandacht besteedt moet worden om de trein weer in de rails te krijgen. Weet je de technische mogelijkheden en beperkingen, kom je al gauw op andere oplossingen terecht, zoals het structuren en organiseren van de informatie. En krijg je te maken met weerstand van gebruikers en directie ;-)
sepulep
3 juli 2021 12:15
welkom in de afpers-economie..niet zo lang geleden waren dit soort praktijken alleen bekend van midden-amerikaanse bendes die een "ondernemers belasting" van de lokale middenstand afroomden..nu is dit de realiteit in zogenaamde 1ste wereld landen..
pauldebra
@sepulep3 juli 2021 12:46
Nog niet zo lang geleden hadden afpersers het moeilijk om niet (potentieel) gepakt te kunnen worden omdat ze niet op een 100% anonieme manier losgeld konden krijgen. Via de bank kan je moeilijk niet-traceerbare overboekingen doen, en cash geld moet je fysiek overdragen. Veel ontvoeringen, afpersingen en andere criminaliteit met winstbejag werden in het verleden opgelost omdat de betaling kon worden getraceerd. Cryptocurrency heeft 100% anonieme betaling van losgeld mogelijk gemaakt, en daardoor is deze "economie" enorm gegroeid. En helaas lijkt niemand (die het kan) bereid te zijn om er de stekker uit te trekken. Wanneer cryptocurrency niet meer "te koop" zou zijn en ook niet zou kunnen worden verkocht voor "echt" geld maar alleen maar een spelletje met waardeloze bits zou zijn dan zou je daar niets meer mee kunnen om losgeld te betalen. Wanneer betalingen weer allemaal via een bank moeten verlopen of via iets fysieks zoals cash of goud dan zakt de afpers-economie in elkaar, en zeker de internationale afpers-economie.
field33P
@pauldebra3 juli 2021 17:42
Inmiddels beginnen de regulatoren eens een keer wakker te worden. Eigenlijk veel te laat, want door cryptocurrency is in feite decennia aan werk aan anti-witwaswetgeving op de tocht gezet. Een verbod op cryptocurrency is wel de overduidelijke oplossing voor ransomware omdat het verdienmodel ermee instort.
FreshMaker
@field33P4 juli 2021 09:23
Inmiddels beginnen de regulatoren eens een keer wakker te worden. Eigenlijk veel te laat, want door cryptocurrency is in feite decennia aan werk aan anti-witwaswetgeving op de tocht gezet. Een verbod op cryptocurrency is wel de overduidelijke oplossing voor ransomware omdat het verdienmodel ermee instort.
Dat heeft geen nut.
In het ergste geval mag je dan 4 dozen met prepaid-creditcards opsturen, of 500 amazon-codes ..
Of als het een Nederlandse bende is, VVV-bonnen
field33P
@FreshMaker4 juli 2021 12:35
Al die dingen zijn aanzienlijk meer traceerbaar dan cryptocurrency
sepulep
@pauldebra3 juli 2021 13:32
mee eens. Voorstanders van crypto valuta beweren dat dit niet zo is, en dat dit allemaal traceerbaar is, vooralsnog kunnen afpersers makkelijk dit risico nemen want ze opereren toch buiten bereik van de politie, maar zelfs als dit niet zo was moet volgens mij nog bewezen worden dat dit inderdaad zo is (dat je de crypto transacties kan gebruiken in de opsporing).
dj_ryow
@pauldebra3 juli 2021 17:21
De uitvinding van cryptocurrency heeft inderdaad een nieuwe dynamiek toegevoegd aan dit soort afpersing maar zo zwart-wit als je het stelt is het niet.

Enerzijds omdat criminelen ook bij gebruik van cryptocurrency hun OPSEC uitstekend voormekaar moeten hebben om er mee weg te komen en we hebben al geregeld gezien dat dat vaak niet het geval is. Opsporingsdiensten weten toch regelmatig daders op te sporen en cryptocurrencies in beslag te nemen. Vaak is een bankrekening in Rusland of een andere land met niet-westerse jurisdictie gewoon nog altijd een betere optie.

Anderzijds omdat uit onderzoek blijkt dat gebruik van cryptocurrencies in de criminaliteit procentueel gezien nog steeds bar weinig voorstelt in vergelijk met overheidsvaluta. Minder dan 0,5% van het totaal. Je wordt online doodgegooid met crypto en kan de indruk krijgen dat het groter is dan dat het werkelijk is in verhouding.

Neemt niet weg dat cryptocurrencies een digitale en automatiseerbare dynamiek hebben toegevoegd aan online afpersing waar de opsporingsdiensten weer mee moeten dealen. Criminaliteit en opsporing blijft een kat en muis spel, is altijd al zo geweest. Cryptocurrencies simpelweg verbieden is makkelijker gezegd dan gedaan en je gooit daarmee ook de positieve en broodnodige aspecten weg. Het dilemma is erg vergelijkbaar met de roep om encryptie, TOR, VPN's of privacy te verbieden.

[Reactie gewijzigd door dj_ryow op 3 juli 2021 17:25]

themadone
@sepulep3 juli 2021 13:01
Maar dan kon je nog wat, dan stonden ze voor je neus en had je nog de mogelijkheid om letterlijk vechtend ten onder te gaan.
teacup
3 juli 2021 12:20
Gisteravond is iets voor middernacht hierover een topic op het forum gestart: Kaseya meld server hack. Credits voor de topicstarter zou ik zeggen.

De eerste meldingen op Reddit (Huntress labs) zijn van eerder op de avond, als ik het goed terugreken, 20:30 uur NL tijd. Maar toen waren ze al even bezig als dit al midden op de dag gisteren heeft plaatsgevonden.

Edit: link

[Reactie gewijzigd door teacup op 3 juli 2021 13:11]

FreshMaker
@teacup4 juli 2021 09:25
Zou je denken ?

https://www.bleepingcompu...-msp-supply-chain-attack/

het is al 2 dagen in het nieuws.
teacup
@FreshMaker4 juli 2021 09:59
Die bron is al van vrijdag inderdaad. Het tweakers artikel meldt het ook met koeienletters in de eerste zin. Heb ik op een indrukwekkende manier overheengelezen en een foute interpretatie gemaakt. Nou ben je mij op het verkeerde been aan het zetten. Mijn reactie was van gisterochtend, ik wees op een forum topic dat op vrijdagavond gepost was, en gaf aan dat, volgens kaseya, het al in de middag (vrijdagmiddag) ... was begonnen.

Voor mij als niet IT-er werd mij pas gistermorgen duidelijk dat er iets was gebeurd. Vrijdag maakt trouwens dit item wel heel traag. Door mijn week vrij realiseerde ik mij onvoldoende dat tweakers dit ook vrijdag al had kunnen oppakken.

@FreshMaker kijk nog even naar de wijziging O-)

[Reactie gewijzigd door teacup op 4 juli 2021 10:13]

FreshMaker
@teacup4 juli 2021 10:06
Tweakers is ook niet (meer) de waarschuwende factor, die opzet hebben ze niet.

Ik ben ook geen core-it'er maar heb wel enige verantwoordelijkheden bij onze zakelijke systemen, en kom er regelmatig achter dat zelfs ik sneller iets gevonden heb, dan degene die daarvoor ingehuurd zijn :+

En dat maakt het voor mij weer een sport, en tegelijkertijd leer ik elke keer weer bij.

Voor mij is het natuurlijk makkelijk, ik kan klakkeloos iets roepen "kijk, zijn wij hier vatbaar voor" zonder kennis van randzaken ( iets wat véél bezoekers hier op tweakers ook doen )
Maar de werkelijke oplossing en mitigaties zijn niet voor mijn rekening :+
teacup
@FreshMaker4 juli 2021 10:24
Tweakers is ook niet (meer) de waarschuwende factor, die opzet hebben ze niet.
Zou ik niet durven zeggen, maar het lijkt niet zo. Dat Doom item gisterochtend was voor mij wel een rode lap, terwijl IT land op zijn kop stond.

Met dit soort issues een tandje extra zou tweakers wel de kans geven om gezaghebbend te zijn. Maar zo'n snelle response moet je wel organiseren. Ik weet dat kranteredacties zo werken. Die schakelen echt op en af met de nieuwsintensiteit.

Heb trouwens dezelfde professionele invalshoek als jij :P
pdidi
3 juli 2021 11:45
Over SPOF gesproken:VSA kan gebruikt worden voor: Remote Admin, Patching, Network Management, Antivirus/Anti-Malware, Backup. Om kriebels van te krijgen
Rolfie
@pdidi3 juli 2021 12:01
Aan de andere kant, als je hiervoor 5 verschillende leveranciers voor hebt, kan je ook de nodige problemen krijgen, icm samen werken, integratie, licenties en beheer van de tools.
FreshMaker
@Rolfie4 juli 2021 09:01
Aan de andere kant, als je hiervoor 5 verschillende leveranciers voor hebt, kan je ook de nodige problemen krijgen, icm samen werken, integratie, licenties en beheer van de tools.
Inderdaad,

Ik werk met 3 ( en een handvol 3derde ) leveranciers, omdat elk van de onderdelen een eigen 'doel' heeft, maar wel met elkaar moet spelen.
Zo is de telefonie één partij, de verwerking is een partij, en de 'algemene IT' is een partij.
Daartussendoor zitten leveranciers die apparatuur leveren, waar de 3 eerste weer geen 'verstand' van hebben.
Het is een dagtaak om leverancier één met mummer drie te laten samenwerken, want allemaal zijn ze zo eigenwijs als een handvol grootmoeders met een wijntje teveel op.
En he wordt feest, als er een externe een update uitbrengt, die zowel telefonie als verwerking zou moeten aanspreken ...

Wij hebben in ieder geval als belangrijkste eis 'we werken allemaal in dezelfde tijzone! "
Want ook dat is al anders geweest - kan je om 3u in de nacht gaan babbelen met een Japanner of Amerikaan
computerjunky
3 juli 2021 16:33
Het grote probleem is natuurlijk dat er betaald wordt...

Als er niemand betaald is de motivatie om dit soort onzin te verspreiden weg.

Dus wat mij betreft komt er gewoon een boete van 100% van de bruto jaar winst als boete voor het betalen aan ransomware attackers.
Dan is de lol er zo af omdat niemand nog uitbetaald.
Betere veiligheid gaat nooit een oplossing worden omdat er teveel mensen zonder enige kennis van veilig computergebruik aangesloten zijn op die systemen.

Steek dat geld gewoon in een goede offline backup vooraf. Win win

[Reactie gewijzigd door computerjunky op 4 juli 2021 23:09]

HoppyF
@computerjunky3 juli 2021 16:58
Klopt.
Betalen betekent dat je criminaliteit steunt en het verdienmodel in stand houdt.
Steek dus geld in beveiliging van de ICT omgeving en laat regelmatig audits uitvoeren.
Verder moet ieder bedrijf verplicht worden bij dit soort ransomware acties dit te melden.
Daarmee wordt het probleem zichtbaar gemaakt.
Nu is het ook wel zichtbaar omdat je dit onmogelijk onder de pet kunt houden.
1 2 3

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee