'China hackte salarissysteem van Brits ministerie van Defensie'

Chinese staatshackers hebben volgens Britse media het Britse ministerie van Defensie gehackt. Hierbij zouden de hackers toegang hebben gehad tot gegevens van soldaten. De Britse overheid bevestigt dat er een hack heeft plaatsgevonden, maar noemt China niet.

Een Britse minister bevestigt tegen Sky News dat het ministerie is gehackt en zegt dat het ministerie hier in de afgelopen dagen achter kwam. Anonieme bronnen zeggen tegen Sky dat hackers uit China meerdere pogingen deden om toegang te krijgen tot systemen van het ministerie. Het doelwit was het salarissysteem van zowel actief personeel als veteranen. Bij de aanval zijn mogelijk bankgegevens en namen van personeel buitgemaakt.

Een andere Britse minister zegt dat wellicht financieel kwetsbare personen het doelwit waren, met het idee dat ze onder druk gezet kunnen worden in ruil voor geld. China zelf ontkent dat het een aanval heeft uitgevoerd.

Het is niet de eerste keer dat China wordt beschuldigd van cyberaanvallen op Britse overheidsinstellingen. In maart zei de Britse overheid nog dat China in 2021 en 2022 aanvallen op democratische instellingen en parlementsleden van het VK heeft uitgevoerd. Bij die aanvallen zijn de namen en adresgegevens van zo’n 40 miljoen Britten buitgemaakt.

Door Andrei Stiru

Redacteur

07-05-2024 • 11:24

77

Submitter: stijnb1234

Reacties (77)

77
76
30
1
0
36
Wijzig sortering
Als zelfs het Britse leger de hackers niet tegen kan houden zullen de meeste 'gewone' organisaties helemaal kansloos zijn. De vraag is niet langer of je gegevens ooit gelekt zijn, maar hoe vaak.

Misschien leggen wel te veel nadruk op het voorkomen van hacks en moeten we meer aandacht geven aan schade voorkomen als het fout gaat. Vergelijk het maar met brand, daarbij denk je als eerste aan blussen en dan aan preventie want dat zijn vanoudes de taken van de brandweer. Maar de echte grote vooruitgang kwam pas toen we brandveiligheid breder trokken en we ontwerpen met brand in het achterhoofd. Zo moet een architect al denken over brandtrappen, nooduitgangen, vluchtroutes, luchtstromen en brandveilige materialen.

In de IT noemen we dat "secure by design" maar in praktijk is dat helaas vaak nog een beetje leeg kreet. We weten niet echt goed hoe het moet, veel van de informatie over het onderwerp valt in twee categorien:
Ten eerste vage principes ("eigenaarschap", "transparantie" & "leiderschap" noemt een bekend instituut als de 3 kernpunten van secure-by-design, nu weet je nog niks). Ten tweede lijstjes met specifieke programmeertips die zich vooral richten op het voorkomen van hacks ("gebruik paramaters in je sql queries om injecties te voorkomen").

Dat zijn allemaal prima dingen om te doen maar ik mis het nadenken over hoe je schade voorkomt als het toch mis gaat. Dataminimalisatie, compartimentalisatie, encryptie & permissies op (database)veldniveau, doelgebonden encryptie, vertragingstechnieken, procedures om snel wachtwoorden/encryptie te vervangen, data-invalidatie, watermerken.

Het allerbelangrijkste is misschien wel dataminimalisatie. Wat er niet is kan niet lekken. We hebben een natuurlijke neigig om zoveel mogelijk data te verzamelen en zo min mogelijk weg te gooien, want je weet maar nooit wat je er in de toekomst nog mee kan. Dat er ook kosten en risico's zitten weten we rationeel gezien wel maar voor ons gevoel is dat het wel waard. Dat gevoel moeten we beter leren onderdrukkken want typisch hebben de mensen om wiens data het gaat er niks over te zeggen. Risico's voor anderen voelen altijd minder groot dan risico's voor jezelf.
Vanuit informatiebeveiliging moet je eigenlijk een three lines of defense hanteren. Daarnaast vind ik het toch vrij frapant hoe er tot op de dag van vandaag bedrijven en overheden nog steeds veel gebruik maken van admin of privileged accounts om data in te zien en/of dagelijkse werkzaamheden uit te voeren.

Waar wij vooral op sturen bij klanten is het monitoren van privileged accounts, goedkeuring van rechten onder het vier ogen principe, geen gebruik maken van admin accounts voor dagelijkse werkzaamheden, etc..

Binnen security schreeuwen we allemaal al lang dat het voorkomen van een hack onmogelijk is, maar hoe je erop reageert. Business Continuity, Incident Response, Threat Intelligence, Vulnerability Management, Patching en andere domeinen binnen informatiebeveiliging krijgen veels te weinig aandacht en dan drukken ze waar het pijn doet.

Het positieve en negatieve is dat er genoeg werk blijft binnen de cyber security sector, maar je zou verwachten dat er ooit een kwartje gaat vallen dat men meer moet investeren.

[Reactie gewijzigd door Mingzi op 23 juli 2024 03:09]

Vanuit informatiebeveiliging moet je eigenlijk een three lines of defense hanteren.
Als iemand zegt gehacked te zijn door een gat in <X> vraag ik wel eens welke ándere twee gaten er nog meer gebruikt zijn, want één enkel gat zou niet genoeg moeten zijn om binnen te komen. Dat is natuurlijk makkelijker gezegd dan gedaan en misschien een beetje flauw van mij, maar het denken in lagen van bescherming bestaat al decennia (in de IT, en nog veel langer daar buiten), iedere professional zou dat in het bloed moeten hebben zitten. (pro-tip: Ontwerp alles alsof er géén firewall is en gebruik de firewall als extra laag, niet als belangrijkste of enige laag).
Daarnaast vind ik het toch vrij frapant hoe er tot op de dag van vandaag bedrijven en overheden nog steeds veel gebruik maken van admin of privileged accounts om data in te zien en/of dagelijkse werkzaamheden uit te voeren.
Ja, en het gaat nog jaren zo niet decennia duren om voordat alle systemen van nu weer zijn vervangen.
Binnen security schreeuwen we allemaal al lang dat het voorkomen van een hack onmogelijk is, maar hoe je erop reageert. Business Continuity, Incident Response, Threat Intelligence, Vulnerability Management, Patching en andere domeinen binnen informatiebeveiliging krijgen veels te weinig aandacht en dan drukken ze waar het pijn doet.
Wat dat betreft zie ik wel voordelen in het cloud/huur-model waarbij je per maand betaalt in plaats van eenmalig. Zo is er geld voor doorlopend onderhoud in plaats van de je alleen geld krijgt bij release van een nieuwe versie met nieuwe features.

Momenteel is de financiele druk om onderhoud en security te marginaliseren enorm. Zelfs als er veel geld wordt gestoken in het proces (certificaten, security tests, ci/cd) zitten er toch forse grenzen aan hoe ver men wil gaan om een product veilig te maken. Meestal komt het toch neer op een beetje bijschaven en gaten stoppen zolang niemand er maar iets van merkt. Zo heb ik heel wat gevechten gevoerd over antieke SSL-configuraties die niet veranderd mogen worden omdat een of andere klant nog een oude computer heeft en die niet wil upgraden. Dat alle andere klanten zo voor de bus worden gegooid maakt zelden indruk.
Er zijn helaas nog enorm veel complexe software direct van het Internet te benaderen. Veel bewegende delen, directe koppeling met Active Directory, kortom: klein gaatje betekent eindeloos plezier voor de boefjes. Denk aan bijvoorbeeld Confluence, Gitlab, Citrix, managed file transfer, etcetera.

Dit soort applicaties zit bijna altijd achter VPN, maar er zijn tal van redenen waardoor management besluit de VPN er voor weg te halen. Licentiekosten, of de kosten van het beheer van de VPN accounts zijn veel gehoord. Maar soms sneuvelt de VPN vanwege security bij de eindgebruiker! Ik hoorde pas het verhaal van ziekenhuizen die massaal weigerden om op de PC's van chirurgen een VPN client te installeren, Van ellende heeft toen de aanbieder de dienst achter KnocKnoc gezet, een systeem wat op basis van SSO gaten in de firewall kan schieten. Maar je wilt niet weten hoe vaak dit soort systemen achter een firewall belandt die op basis van GeoIP nog wat filtert, maar in de praktijk voor de boefjes van de hele wereld openstaat als die even in Azure een abonnementje nemen...

KnocKnoc.io is een beveiligingslaag die heel veel kan tegenhouden. Een ander ondergewaardeerde extra laag is oauth2-proxy; ideaal om voor legacy apps te zetten.

Als je applicatie zonder VPN bereikbaar is vanaf Ziggo, KPN Internet, DigitalOcean, AWS of Azure, dan kunnen staatshackers en ransomware gangs er dus zonder enige moeite bij.
Dit. Als ik naar mijn projecten kijk, alles ol Sharepoint en read+write. Waarom niet read only en periodiek write access via de authenticator (of een andere token)?
Als zelfs het Britse leger de hackers niet tegen kan houden zullen de meeste 'gewone' organisaties helemaal kansloos zijn. De vraag is niet langer of je gegevens ooit gelekt zijn, maar hoe vaak.
Je uitgangspunt lijkt dat de beveiliging van het systeem bijzonder zou zijn zodat je een bewering kan doen. Alleen gaat dat niet zomaar op. Kijk maar hoe makkelijk er fitnesstracker werden gebruikt en men pas na verloop van tijd beseft dat contracters het er niet zomaar veiliger op maken.

Het ging dus al niet zomaar op dat je vooral moet kijken of er gehacked is. En aangezien niet duidelijk is of dit systeem werkelijk geheel van defensie is of dat ze contracters hebben kunnen we eerder stellen dat als je als bedrijf voldoende moet aantonen dat belangrijke gegevens, zoals persoonlijke gegevens, werkelijk goed beschermd zijn. Wat ook niet zomaar al jaren een wettelijke plicht is. Ongeacht of het een (salaris)systeem van een klein bedrijfje is of een heel groot bedrijf of organisatie.
Je uitgangspunt lijkt dat de beveiliging van het systeem bijzonder zou zijn zodat je een bewering kan doen.
Alleen gaat dat niet zomaar op. Kijk maar hoe makkelijk er fitnesstracker werden gebruikt en men pas na verloop van tijd beseft dat contracters het er niet zomaar veiliger op maken.
Dat hoort er in mijn ogen bij. Als zelfs het leger dit probleem niet tijdig heeft voorzien dan zullen andere organisaties die minder met veiligheid bezig zijn het waarschijnlijk ook niet voorzien.
Het ging dus al niet zomaar op dat je vooral moet kijken of er gehacked is. En aangezien niet duidelijk is of dit systeem werkelijk geheel van defensie is of dat ze contracters hebben kunnen we eerder stellen dat als je als bedrijf voldoende moet aantonen dat belangrijke gegevens, zoals persoonlijke gegevens, werkelijk goed beschermd zijn.
Niet mee eens. Het leger is en blijft verantwoordelijk. Als ze een slechte leverancier hebben gekozen dan is dat een fout van het leger, blijbkaar hebben ze een leverancier gekozen die niet voldoende heeft aangetoond dat de gegevens veilig zijn.

In praktijk zie ik vrijwel nooit overtuigend bewijs dat gegevens goed zijn beveiligd. Meestal blijft het bij beloftes, procedures en voorschriften. Veiligheid aantonen is nog veel lastiger dan beveiligen zelf. Er is de laatste tijd veel aandacht voor veiligheidscontroles maar ik zie vooral veel aandacht voor wíe er verantwoordelijk is, niet voor hoe veilig/riskant het in praktijk nu echt is.
Wat ook niet zomaar al jaren een wettelijke plicht is. Ongeacht of het een (salaris)systeem van een klein bedrijfje is of een heel groot bedrijf of organisatie.
De plicht is er inderdaad, de uitvoering valt echter nogal tegen. De interpretatie van de wet laat heel veel ruimte omdat er in zeer algemen termen gesproken wordt (dat is normaal bij wetten).

Voorbeeld:
Aritkel 32 van de AVG:
Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:
Je kan eindeloos twisten over wat de "stand van de techniek" precies is, wat "passende maatregelen"
zijn, hoe waarschijlnlijk of ernstig risico's zijn of wat acceptabele uitvoeringskosten zijn, en dat doen we ook. Dat is geen klacht over de wet, zo werken wetten, maar het betekent wel dat we pas bij de rechter zullen ontdekken hoe de wet in praktijk moet worden toegepast. Dat is wel een heel traag en onzeker proces zonder vaststaande uitkomst en het zal nog heel wat jaren duren voor het beeld duidelijker wordt.
Niet mee eens. Het leger is en blijft verantwoordelijk.
ik stel op geen enkele manier dat het leger niet verantwoordelijk zou zijn. Het punt is dat er alleen niet zomaar in de praktijk valt te verwachten wat de wet stelt. Niet bij een bedrijf en helaas ook niet bij een leger. En dat is nooit zomaar anders geweest.
Openbare databases zullen er wel niet zijn. Meeste databases zijn alleen benaderbaar via vaste ip adressen. Ze zullen vast wel een zero Day kwetsbaarheid hebben gebruikt. Dit is dan specifiek. Ze wisten wat er op die server stond. Daar valt nog niet tegen te beveiligen. Zo minimalistisch mogelijk en hopelijk ben je geen doelwit.
Mwoah, van overheidsinstanties is helaas bekend dat ze qua it nog wel eens achter lopen. Kan ook zomaar een toeleverancier zijn geweest want salarisadministratie bevindt zich echt niet op dezelfde plek als van waar de bommen aangestuurd worden natuurlijk.

Dat je als mkb bedrijf kansloos bent tegen state actors is allang een feit. Enige wat je kunt hopen is dat je niet interessant genoeg bent.
Ook Microsoft is niet onkwetsbaar, als je de Duitse c't mag geloven.
En daarmee eigenlijk heel veel bedrijven die alles "veilig" in de clown cloud hebben gezet.
Heheh eindelijk iemand die het snapt!
Wat er niet is kan niet lekken
Of, wat je niet digitaal opslaat, kan ook niet gehacket worden. Bij superbelangrijke organisaties als defensie zouden ze eens moeten kijken of sommige gegevens niet gewoon in ouderwetse papieren vorm moeten blijven.
Dit heb ik niet zelf verzonnen, de KGB lijkt bv al een tijd geleden teruggegaan te zijn naar ouderwets papier + typemachines:
https://www.theguardian.c...a-reverts-paper-nsa-leaks
Dat heeft natuurlijk ook zn nadelen:
- langzamer. Doelwit A heeft zwak punt B. Tegen de tijd dat dit fysieke bericht ergens anders aangekomen is is zwak punt B misschien al weer weg.
- fysiek document gaat onder kopieerapparaat en opeens zijn er 2 of meer versies in omloop. Niet te volgen hoeveel er zijn buiten de versie van de Generaal om. Misschien is de secretaresse die 5 euro per uur krijgt wel vrij gevoelig voor een zak geld.

De digitale varianten lossen bovenstaande punten natuurlijk niet 100% op, maar bieden wel mogelijkheden om te mitigeren met de kosten van andere risico's. Vermoed dat KGB en anderen een redelijke afweging making en niet perse 1 methode voor alle items gebruiken ;)
Of neem een intern netwerk zonder contact met het internet...
Het is ook wel een kwestie van keuzes. Dat stip je in je laatste alinea al aan; welke informatie beslissen wij te verzamelen en bewaren? Maar daarbij ook de keuze welke systemen je bloot stelt aan internet. Moeten sommige zaken niet gewoon air gapped zijn? Soms denk ik wel eens "laten we gewoon Europa en z'n bondgenoten een eigen internet hebben" maar dat is wellicht niet meer helemaal realistisch. Je kunt je echter van diverse systemen afvragen of ze aan internet vast moeten zitten. Systemen met persoonsgegevens van mensen van veiligheidsdiensten, defensie en inlichtingendiensten zouden dat misschien wel niet moeten. Je levert echter comfort in en kennelijk is de pijn die we voelen van het missen van het comfort groter dan de pijn die we voelen van de hacks. Maar ik ben niet verbaasd als er een dag komt waarop we liever hadden gekozen voor de pijn van minder comfort dan de pijn die we die dag hebben van een gebeurtenis waarbij deze persoonsgegevens ernstig worden misbruikt. Zo gaat het helaas vaker; bijna overal verliest het voorzorgsprincipe het van comfort.

[Reactie gewijzigd door JT op 23 juli 2024 03:09]

Moeten sommige zaken niet gewoon air gapped zijn? Soms denk ik wel eens "laten we gewoon Europa en z'n bondgenoten een eigen internet hebben" maar dat is wellicht niet meer helemaal realistisch. Je kunt je echter van diverse systemen afvragen of ze aan internet vast moeten zitten. Systemen met persoonsgegevens van mensen van veiligheidsdiensten, defensie en inlichtingendiensten zouden dat misschien wel niet moeten.
In de meest extreme gevallen wel, maar over het algemeen kan ik het niet aanraden. Een air-gapped systeem opzetten is niet zo moeilijk, het air-gapped houden wel. Overal wordt alles aan elkaar geknoopt, en een eenvoudige mobiele telefoon kan al gebruikt worden om een geisoleerd netwerk toch met internet te verbinden. De kans dat het vroeg of laat gebeurt (per ongeluk of door een spion) is te groot om geen rekening mee te houden. Het gaat immers om belangrijke data, Je moet die systemen dus nog steeds beveiligen alsof ze wel op een openbaar netwerk zijn aangesloten.

Om zo'n systeem goed te beheren en beveiligen wil je gebruik maken van het beste gereedschap. Moderne tools zijn gericht op beheer via het netwerk met een open link naar internet. Je maakt het jezelf moeilijk als je daar geen gebruik van kan maken. Bij je meest belangrijke systemen wil je juist gebruik kunnen maken van het beste gereedschap, niet een beetje onhandig aanklooien.

Een enkel los systeem kun je nog een bunker zetten met een gewapende bewaker voor de deur, maar als je zo'n systeem hebt is de data op dat systeem waarschijnlijk heel waardevol. Daar wil je dus backups van maken en de eerste regel van backups is dat je die op een andere locatie moet bewaren. Dan heb je dus al twee air-gapped locaties nodig en een manier om te communiceren tussen die locaties. Zodra communicatie mogelijk is dan is het niet echt air-gapped meer.

Als er geen kabels gebruikt woren (want air-gapped) dan moet alle data via tapes of usb-sticks getransporteerd worden, net als alle softwareupgrades. Dan moet je weer gaan zorgen dat die niet gestolen worden tijdens het transport. (Uiteraard is alle data versleuteld, maar dat doe je met kabels ook). Daarnaast zul je die tapes/sticks moeten controleren op virussen en andere malware. Moderne viirusscanners hebben eigenlijk een permanente verbinding nodig om snel informatie over nieuwe bedreigingen te krijgen. Ook daar maak je het jezelf moeilijk om dat op een air-gapped systeem te willen doen.

Realistisch gezien zal een modern systeeem niet uit één computer bestaan maar uit verschillende. Primaire server, hot-standby, cold-standby, pc van de beheerder, pc van de assitentbeheerder, een netwerkdoos, een securitydoos. Al die systemen moet je airgapped houden en goed beheren. Het loopt snel uit de hand.

Ik heb niet heel veel ervaring met dit soort systemen maar ik heb het nog nooit echt goed gezien, er zaten altijd rafelrandjes aan en bekende problemen die nog opgelost moeten gaan worden, ooit.
Valide punten. Een apart netwerk voor 1 doel zou misschien een optie kunnen doen, dat netwerk dan air gapped tov internet zou kunnen. Ik lees ook je andere valide punten en dan komt bij mij op: is dan niet het probleem dat we nooit de juiste tools ontwikkeld hebben om het te kunnen realiseren? En zeker, fysieke penetratie blijft altijd een risico. Maar des te onaantrekkelijker je het maakt des te kleiner de kans. Nooit uitgesloten, maar dan wordt het beeld van kosten vs baten voor de vijand wel anders.

[Reactie gewijzigd door JT op 23 juli 2024 03:09]

Valide punten. Een apart netwerk voor 1 doel zou misschien een optie kunnen doen, dat netwerk dan air gapped tov internet zou kunnen. Ik lees ook je andere valide punten en dan komt bij mij op: is dan niet het probleem dat we nooit de juiste tools ontwikkeld hebben om het te kunnen realiseren?
Netwerken zijn een van de kernkrachten van computers. Een computer met een netwerkaansluiting zal (in het algemeen) veel waardevoller zijn dan eentje zonder. Hoe groter het netwerk, hoe meer een verbinding met dat netwerk waard is. Vandaar ook het gigantische succes van internet.

Een van de redenen is het beheer schaalbaar maakt. Via een netwerk kan één persoon 1000 computers tegelijk beheren. Zonder netwerk zal iemand naar al die 1000 computers toe moeten lopen voor ieder onderhoud. Of je eigen netwerk bouwen maar hoe groter dat netwerk is hoe groter de kans dat er toch ergens een verbinding met de buitenwereld wordt gelegd.Iedere oplossing waarbij je meerdere computers tegelijk kan bedienen conflicteert met het doel van een air-gapped systeem dus ik zie daar geen oplossing voor.

Er is ook nog zoiets als de onzekere toekomst. Een systeem dat nu air-gapped is wordt later misschien alsnog op een netwerk aangesloten. Per ongeluk of met opzet. Misschien zonder te beseffen dat het systeem daar niet voor gebouwd is. Bouw het dus maar alsof het in een onvertrouwd netwerk zit. Als je data belangrijk genoeg is dat je een air-gapped systeem nodig hebt dan kan dat er ook nog wel vanaf.
Eens maar niet nu niet meer van toepassing ivm de hybride oorlog met statelijke actoren waarin wij zijn betrokken. Ook de ICT beveiliging houdt een keer op .
Voor het digitale tijdperk werden deze ondermijnende acties door de "vijand" bestempeld als sabotage., waardoor er meestel een oorlog ontstond.
Wij zullen nu serieus een parabellum moeten overwegen.
Inderdaad, wij zijn één van de grootste klanten van China corporation. Ondertussen ondermijnen de Chinezen handelsrelaties met zijn afnemers door hack pogingen.
Never nooit zal ik een elektrische Chinese auto kopen. Sterker nog, ik ga made in China bewust mijden
Wat je zegt is 100% waar.
Ik wil alleen wel de nuance erbij maken dat de mensen die beslissingen nemen over data beveiliging van een gegeven systeem typisch niet zelf gevoelige gegevens in die database(s) van dat systeem hebben zitten.

Dat is een soort van moral hazard, omdat zoals je zelf al aangeeft die mensen toch deels op gevoel opereren. En dat gevoel leidt ze, zoals je ook correct aangeeft, vaak naar een verkeerde afweging, in elk geval vanaf het perspectief van iemand die daar gevoelige data heeft opgeslagen.
Wat je zegt is 100% waar.
Ik wil alleen wel de nuance erbij maken dat de mensen die beslissingen nemen over data beveiliging van een gegeven systeem typisch niet zelf gevoelige gegevens in die database(s) van dat systeem hebben zitten.

Dat is een soort van moral hazard, omdat zoals je zelf al aangeeft die mensen toch deels op gevoel opereren. En dat gevoel leidt ze, zoals je ook correct aangeeft, vaak naar een verkeerde afweging, in elk geval vanaf het perspectief van iemand die daar gevoelige data heeft opgeslagen.
Ja, helemaal mee eens. We gaan heel anders met risico's om als een ander de gevolgen moet dragen. Zelfs als het wél om ons zelf gaat zijn mensen slecht in risico's inschatten, zeker op lange termijn, zie roken en ander ongezond gedrag. Dat de meeste mensen sowieso al geen beeld kunnen vormen over hoe hun data gebruikt wordt maakt het helemaal lastig.
Een andere Britse minister zegt dat wellicht financieel kwetsbare personen het doelwit waren, met het idee dat ze onder druk gezet kunnen worden in ruil voor geld.

Als dit waar is dan vind ik dit wel ongelooflijk slim
Als jij je rekeningen niet meer kan betalen dan ben je sneller bereid om iets meer bij te verdienen en voor sommigen maakt het niet uit hoe.
In dit geval, krijg je waarschijnlijk maar 1x betaalt want daarna ben je chanteerbaar en doe je sneller dingen "gratis"..

Wat een wereld.
Er is een reden waarom de Chinezen Equifax (kredietbeoordeler) in de US gehackt hebben..

Deze data gecombineerd met alle persoonsdata die sowieso al verkrijgbaar is, is gigantisch waardevol om assets in andere landen te recruteren...

Ik hoop dat de BKR in NL zijn zaken ook goed op orde heeft.
BKR heeft maatregelen getroffen (ook mede door regels die opgelegd zijn door de overheid) zodat, wanneer de data uitlekt, mensen niet zo makkelijk te vinden/herleiden zijn. Ze mogen alzo niet op basis van bsn nummer registreren en die info is dus ook niet aanwezig op het systeem van BKR. Personen zijn ook niet direct gekoppeld dmv naw gegevens enzo.

Dus ook al breek je daar in, dan nog heb je niet voldoende info om mensen direct te kunnen benaderen op basis van die gegevens.
Ok, maar érgens moet die link wel te leggen zijn, immers iedere bank kan een BKR check uitvoeren op een identiteit. Dus ergens in die keten wordt de link gelegd tussen het BSN en de BKR data.
Klopt, maar die link legt de bank dan en niet op basis van de info die bij BKR staat (als het goed is, dat was iig zo toen ik er nog werkte, maar dat is al een hele tijd geleden)
naar mijn weten krijgt de bank een code terug van de BKR waaruit blijkt of iemand kredietwaardig is of niet, maar de BKR moet wel weten welke data ze toe moeten sturen, dus ergens moet de BKR die link tussen BSN en hun data kunnen maken.
Als de bank deze link legt, waarom kan ik dan bij BKR een overzicht opvragen?
Ik geloof best, dat ze hun best doen, maar ergens in hun systeem moet een link bestaan tussen persoongegevens en de data.
Hoe bedoel je ongelooflijk slim. Onderdeel van (onder andere) MIVD screenings is vaststellen of je schulden hebt, waar je die hebt etc. om in te schatten op chantabel je bent. Dit zal in de UK niet anders zijn dan hier. Bedrijven zelf hebben vaak ook programma's om hulp te bieden aan medewerkers die in de schulden zitten. Juist ook hierom (naast het feit dat het ook goed werkgeverschap is). Dit soort risico's zijn ruim onderkend.
Wie zegt dat het hier om schulden gaat?
Dat is het punt niet. Het punt is dat het risico van chantabel zijn door financiële redenen ruim bekend is.
Het is ook ruim bekend dat je bijlages bij vreemde mails niet moet openen binnen bedrijven. Echter op individueel niveau gaat het niet goed.
Punt is, dat je door financiële gegevens te stellen meer van een persoon te weten kan komen en dat opent eventuele deuren. Schulden kan je ook opbouwen tijdens een dienst periode, je kan ook aan iemands salaris zien of die persoon eventueel een "extraatje" kan gebruiken.
En dat is dan ook niet ongelooflijk slim als je dat misbruikt. Het is common knowledge en niet vindingrijk. Het misbruiken van dit soort gegevens of eigenschappen is in de wereld van de Cyber Security gemeengoed.
Die je eenmalig doet (nou ja, als ze de mankracht hebben willen ze het ieder 5 jaar herhalen), er kan een hoop veranderen in je leven in 5 jaar tijd.
Tuurlijk. Dat is een risicoafweging. Daar draait het allemaal om. Hoeveel risico ben je bereid te accepteren als organisatie of overheid. Helaas gaat dat vaak op de manier "als het kalf verdronken is dempt men de put". Reken maar dat de (in mijn voorbeeld aangehaalde) MIVD meer budget en personeel krijgt als blijkt dat er informatie lekt door het niet herhalen van screenings :)
Als dit waar is dan vind ik dit wel ongelooflijk slim
Da's niet echt iets nieuws en iets waarmee elk veiligheidsonderzoek voor bijzondere functionarissen in vrijwel elk land ter wereld rekening mee zal houden bij de selectieprocedure.
Als dit waar is dan vind ik dit wel ongelooflijk slim
Dit werkt al een paar duizend jaar, dus hoezo zou het nu dan ineens slim zijn? Gewoon herhalen wat al heel lang werkt.
Dat wil niet zeggen dat het nieuwsartikel niet klopt. Journalisten hebben vaak goede bronnen. Bovendien geeft geen enkel land graag toe dat ze zijn gehackt (tenzij het politiek goed uitkomt)
Maar de media meldt nooit dat we anderen hacken, er wordt alleen gemeld wanneer zogenaamd de bad actors ons hacken. Vind het meestal eenzijdige berichtgeving wat altijd 1 kant van het verhaal belicht.
Wat is er zogenaamd aan de bad actor?
Vind het meestal eenzijdige berichtgeving wat altijd 1 kant van het verhaal belicht.
Lijkt me logisch, de media heeft die kennis niet want geheim, maar andersom is het geen geheim natuurlijk. Immers zijn onze veiligheidsdiensten in bepaalde mate beschermd in NL maar die chineze diensten niet (duh)....
Bij ons moet het via Snowden en consorten naar boven komen dat we naast onze vijanden ook onze eigen bondgenoten hacken. Maar verder is er niks aan de hand hoor, men probeert ook totaal niet de algemene opinie te beïnvloeden. Loop maar verder.
Onderling spionage tussen landen is van alle tijden. Dit gebeurd ook tussen bondgenoten en vaak gaat het dan om economische redenen zoals lucratieve contracten e.d.

https://www.npr.org/secti...ow-about-spying-on-allies
As Charles Kupchan, a professor of International Affairs at Georgetown University and a senior fellow on the Council on Foreign Relations, told NPR's Audie Cornish last week: "Everybody spies on everybody, including friends on friends."
Naast dat onze overheden het geheim houden is het ook zo dat China niet snel op het internationale toneel zal gaan roepen dat een belangrijk systeem van hun gehackt is door een Westerse overheid.

Dat soort gezichtsverlies kan natuurlijk niet :)
Nee, dat lijkt me logisch om verschillende redenen. Het is niet erg slim om je tegenstander te vertellen dat je hem gehackt hebt (tenzij dit om bepaalde redenen goed uitkomt) Dus dit gebeurd in het geheim. Aan de ontvangende kant in bijvoorbeeld Rusland, China, Iran, Noord Korea e.d. hebben journalisten simpelweg niet de vrijheid om dit te melden. Want het zijn dictaturen.

Lang verhaal kort, er woedt al jaren een oorlog op het internet tussen allerlei landen. Ze hacken elkaar voortdurend.
Ja, eenzijdige berichtgeving. Maar je verwacht hoop ik niet dat de MIVD de Telegraaf opbelt met de mededeling dat de de Chinese MvD hebben gehackt? En aangezien wij een democratisch land zijn met een open samenleving, worden de acties van buitenlandse mogendheden breed in de media uitgemeten.
Denk maar niet dat in de Pravda komt te staan dat de CIA of GCHQ de beveiliging van het Kremlin heeft gehackt. Want dan zouden ze toegeven dat die Westerlingen slimmer zijn dan hun beveiligingsmensen. Dat soort dingen ga je dus ook niet van hun media vernemen. Hooguit hoor je dat er een spion is opgepakt, maar ze (zowel Rusland als China) zullen nooit publiekelijk toegeven hoe ver ie is gekomen met info verzamelen.

Dus ja...eenzijdig omdat we de andere kant nooit te horen krijgen. Heel soms bij toeval als de hele wereld besmet wordt met een trojan en de anti-virusmakers er achter komen dat het een sabotageactie was.
Dat is zeker zo. Reken maar dat China en Noord Korea zelf ook talloze malen gehacked worden door o.a. westerse diensten, dat is wat anders dan het naar buiten (mogen) brengen en er openheid over geven.

Landen in Azie (ook Zuid Korea en Japan) laten zelden tot nooit officieel via overheidswege weten of ze wel/niet gehacked zijn, met uitzondering als het al algemeen duidelijk is.
Waar is het principe 'innocent untill proven guilty'? Ja, Amerika werkt misschien niet zo, maar hier werkt zoiets nog steeds volgens dat principe. 'We hebben genoeg aanwijzingen' (geen bewijs) lijkt me nog steeds geen solide basis om glashard te zeggen 'CHINA!!!!!!!' (of de russen, die zijn ook populair).
Stellen dat er gewoonlijk goede bronnen zijn, of een bewering doen, is niet op te vatten als hard bewijs of wettelijke veroordeling.

Daarbij is het beschuldigen in een rechtsstaat juist een belangrijk uitgangspunt om tot een wettelijk oordeel te komen. Dat het bewijs (of gebrek er aan) niet bevalt maakt de beschuldiging niet zomaar op te vatten als een geldige veroordeling.
”De bakker om de hoek heeft afgelopen weekend bij mij ingebroken, betrapt met een koevoet tussen mijn voordeur en het kozijn”.

“Oh, en nu?”

“Ben onderweg naar de bakker om de hoek, brood halen. Lekker en goedkoop! Zelf bakken kost me teveel tijd”
Je doet net of we nog gewoon op de oude voet verder gaan maar dat is helemaal niet zo.

Het gaat weliswaar langzaam maar er is wel degelijk een verschuiving gaande om productie naar andere/eigen landen te krijgen. Er zijn ook veel afspraken over en weer die je nou eenmaal niet zomaar op kan zeggen (want dan is nieuwe afspraken met andere maken weer moeilijker want we zijn minder betrouwbaar).

En er zullen altijd partijen zijn die hier de ernst niet van in zien en lekker door blijven gaan. Ik kijk gewoon op de verpakking of zaken niet uit China komen, je kan hier zelf namelijk ook gewoon iets mee, het hoeft niet allemaal bij de overheden te liggen. Al zullen die wel de grootste slagen moeten maken.

[Reactie gewijzigd door watercoolertje op 23 juli 2024 03:09]

Het is niet de eerste keer dat China wordt beschuldigd van cyberaanvallen op Britse overheidsinstellingen.
The government will not name the country involved, but Sky News understands this to be China.
Dat is (zoals het artikel op T.net ook noemt) een beschuldiging door de media, niet door de overheid. Dat maakt de vergelijking door T.net ietwat scheef.

Verder:
Defence Secretary Grant Shapps will make a statement to the Commons today, with the BBC reporting he will set out a "multi-point plan" which will include action to protect affected service men and women.

The MoD hopes serving personnel will not be concerned about their safety. They will be provided with advice and support.
"Wij hopen dat jullie je niet zorgen maken, maar zeggen niet of jullie je zorgen moeten maken."

Dat is geen gezonde houding. Verder lees ik niets over hoe het ministerie in de toekomst dergelijke hacks gaat voorkomen.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 03:09]

Vermoedelijk praten ze niet over hoe ze het willen voorkomen, omdat daarvoor eerst de maatregelen genomen moeten zijn (of ze willen sowieso niet aangeven hoe ze zijn binnengekomen, wat je min of meer wel doet als je aangeeft hoe je het gaat voorkomen).
Jou eerste uitspraak kan ik onderschrijven. Maar:
"Wij hopen dat jullie je niet zorgen maken, maar zeggen niet of jullie je zorgen moeten maken.
Dat is geen gezonde houding. Verder lees ik niets over hoe het ministerie in de toekomst dergelijke hacks gaat voorkomen."
De quote: "...a multi-point plan" which will include action to protect affected service men and women..." stelt, dat de overheid de mensen gaat beschermen, zodat "Wij hopen dat jullie je niet zorgen maken" een normale uitspraak is, een gezonde houding dus. De overheid kan en zal in deze niet alles openbaar maken, want dan hoeft niemand te hacken.
Wanneer gaan we dit soort praktijken als een soort "oorlogs aanval" zien op een land door een ander land?

Als een land willens en wetens door hacks onze burgers in gevaar brenkt dan kan dat niet ongestraft blijven.
  • Denk aan ontregelen stroom netwerk
  • Denk aan ontregelen zorg instellingen (ziekenhuizen)
  • Denk aan ontregelen water zuivering installaties.
Het hacken van personeels gegevens militairen brengt niet alleen hen, maar ook hun gezins/familie leden in gevaar.

het effect van zo'n hack is feitelijk hetzelfde als bombarderen van je waterzuiverings installatie, maar dan digitaal plat walsen.

[Reactie gewijzigd door phoenix2149 op 23 juli 2024 03:09]

Waar, maar waar het bij fysieke aanvallen al lastig is (b.v. MH17), is het bij digitale aanvallen vaak niet mogelijk om te zeggen wie erachter zit. B.v. de aanval kwam uit China... nou ja net of daar ook niet een paar Russen zitten. En als het Chinezen waren weet je nog niet of dat in opdracht van de regering was of een hack om geld te verdienen.
Het wordt vice versa gedaan, alleen hoor je het zelden tot nooit als grote hacks in China of Noord Korea plaatsvinden- vanuit overheidswege wordt dit zelden of nooit (in China) bekend gemaakt.
Omdat je hacks van "bondgenoten" zoals de VS of GB op EU landen dan ook als oorlogsdaden moet zien. Neem bijvoorbeeld de hack van gchq op belgacom in 2013. Het zou mij zelfs niet verbazen dat EU landen elkaar hacken.
Tja gebeurt dagelijks, soms lekt het uit(bewust) en soms niet en elk land doet er aan mee.
Raar artikel dit, gebaseerd op niets.
The government will not name the country involved, but Sky News understands this to be China.
Sky News zegt dat het China is, zonder enige onderbouwing, zonder enige richting aan te geven zodat het aannemelijk wordt?!

Waarom wordt Rusland niet verdacht? Putin haat ons (VS, EU) en ziet't vrije wasten als hun aartsvijand. Hij is onlangs "herverkozen" en wil'n veel strengere grip op haar inwoners.

Ze dachten dat de inval in Oekraine heel snel zou verlopen en hadden niet verwacht dat de NATO, Oekraine zou blijven ondersteunen met wapens, munitie en morele hulp.

Er zijn uiteraard nog veel meer argumenten aan te voeren waarom Putin, nu we gezworen hebben om Oekraine tot het einde te helpen, het aanvalsfront verbreedt naar digitale aanvallen.
Dat hebben bronnen gemeld.
Je moet nieuwsartikelen altijd met een flinke korrel zout nemen. Er staan erg vaak feitelijke onjuistheden in.
*yawn*
Propaganda in het westen OF in het oosten blijft propaganda.

Een interessant artikel van vorig jaar door de BBC waarom we altijd horen over Russische en Chinese cyberattacks en bijna nooit over cyberattacks van westerse landen:
https://www.bbc.com/news/technology-65977742

Juist... Onze westerse propaganda/media machine en onze vooroordelen.

Iedereen voert cyberattacks uit, alle overheden, criminelen, politiediensten en zelfs bedrijven. Soms zelfs op diens eigen systemen om uit te vissen of het allemaal wel zo beveiligd is als gedacht. Het maakt voor de aangevallen partij niet uit wie de aanval uitvoert, alleen dat deze aanval er is en of deze succesvol is of niet. Met een vingertje wijzen is puur een politieke aangelegenheid en media (mis)bruiken dat om zoveel mogelijk te verkopen (views, advertenties, abos, etc.).

En de enige reden waarom techbedrijven dergelijke aanvallen publiceren is om zichzelf belangrijker te maken dan dat ze zijn (om zo meer te kunnen verkopen), want iedereen begint rond te rennen als een kip zonder kop. Directeuren en managers beginnen opeens van alles en nog wat te eisen, etc. Tot op zekere hoogte werken we daar ook aan mee binnen de IT omdat het voor ons weer budgetten vrij maakt om de dingen te doen die we moeten doen (en redelijk zijn).

Don't get me wrong, cyberdefense/beveiliging is belangrijk om je business/organisatie veilig te stellen! Maar wie de boosdoener is, is een heel stuk minder belangrijk dan men denkt en men maakt daar een veel te groot drama van. Er hoeft echt niet elke week een nieuwsbericht in de krant te staan dat er een cyberattack uit China is geweest op instelling xyz. Als je personeel alleen in Nederland zit, dan worden alle inlogpogingen buiten Nederland geblokkeerd. Als er eens iemand vanuit buiten Nederland moet aanmelden wordt daar een tijdelijke uitzondering voor gemaakt, al dan wel of niet met minder rechten.

Disclaimer: Ik zit in de IT en doe tegenwoordig veel met beveiliging van IT systemen.
De waarde van dit soort nieuwsberichten is juist om te bekrachtingen dat er actieve dreiging is. Normaal suffen we bij grote bedrijven in slaap als het om beveiliging gaat. Zodra je je ISO certificering binnen hebt hoef je er niet meer naar om te kijken, bij wijze van. Dit maakt de dreiging concreet, waar heeft onze defensie de salaris en pensioen administratie staan? Hoe is het daar beveiligd?

Als je personeel alleen in Nederland zit, dan worden alle inlogpogingen buiten Nederland geblokkeerd
Denk je dat hackers via een chinees IP inloggen? Dat zou je als IT'er in de beveiliging toch moeten snappen. Mijn schoonmoeder kan al een VPN gebruiken voor netflix. Staatshackers gaan een heel stuk verder...

[Reactie gewijzigd door PerAspera op 23 juli 2024 03:09]

Als je personeel alleen in Nederland zit, dan worden alle inlogpogingen buiten Nederland geblokkeerd
Denk je dat hackers via een chinees IP inloggen? Dat zou je als IT'er in de beveiliging toch moeten snappen. Mijn schoonmoeder kan al een VPN gebruiken voor netflix. Staatshackers gaan een heel stuk verder...
Ik denk wel dat ze proberen in te loggen via een buitenlands IP. Als ik alleen al naar mijn activiteiten pagina van Microsoft ga, dan zie ik honderd (mislukte) pogingen per dag om in te loggen van over de hele wereld, alleen mijn eigen succesvolle pogingen komen uit NL.
N=1 natuurlijk.
Off topic voor een stukje piece of mind. Gewoon even een nieuwe alias aanmaken en deze als enige rechten geven tot inloggen door inloggen met je oude alias uit te schakelen. Mijn Hotmail adres die ik al een jaar of 20 heb, had ook honderden van dat soort pogingen per dag. Nu met mijn geheime alias zijn ze exact 0.
Heb je hier meer info over? Een linkje wat het is en hoe het moet? Ik heb namelijk al 2FA ingeschakeld, maar krijg heel vaak meldingen bij inloggen dat mijn wachtwoord te vaak is gebruikt en te veel codes heb opgevraagd. Ben nogal huiverig nu om op een ander apparaat dan mijn huidige in te loggen (ook een reset van telefoon of tablet..)
Sorry beetje laat maar beter dan nooit.
Een van de comments van reddit:

If I remember right, these are the steps:

1. Sign into your email.
2. Head to My Microsoft Account.
3. Under Account Info, click Edit Account Info.
4. Click add email, and type in the new alias address you want to use, then Add Alias.
5. Click Make Primary beside that new alias.

Click Change Sign-in Preferences, and make sure that the new alias is the only address checked off. This means that you can ONLY sign in to your email account using the new alias address (which you will ideally keep completely to yourself).
Wat jij ziet zijn honderden individuele hackers/script-kiddies die jouw email bij een dataset hebben gekocht van de hackers die een data breach hebben uitgevoerd.
Dit is niet te vergelijken met gecoördineerde aanvallen van grotere organisaties die ergens willen binnenkomen. Die hebben meestal wel de financiering en middelen om geoblocking te omzeilen.

[Reactie gewijzigd door vSchooten op 23 juli 2024 03:09]

Bij zo'n aanval huren ze een vps in het land waar de server staat en je kunt inloggen met een valide ip..

Ze hebben de zaken gewoon niet op orde, als 1 gebruiker zoveel verschillende mensen mag opvragen. Met iso dan heb je bijvoorbeeld de regel ingesteld staan op 150 salarissen per dag opvragen. Dan kom je naar 5 dagen erachter dat 1 gebruiker die normaliter 70 opvragen doet, er in 1x 150 per dag doet, of limiet fouten krijgt zodat je kan onderzoeken.
Ja, die dreiging is er vanuit elk land, ook vanuit onze bondgenoten, dus waarom moet dit weer specifiek benoemd worden? Beetje een koude oorlog-sfeertje opbouwen zou ik zeggen.
Dus we zouden ons alleen maar met verkeersveiligheid moeten bezighouden als er constant in het nieuws wordt gerapporteerd over verkeersongelukken?

Natuurlijk kan iedereen in het buitenland om IP blokkades heen werken en daar maak je dan ook direct mijn punt, weten waar het vandaan komt is BS! Want je kan je alleen maar heel basic beveiligen tegen waar het vandaan komt. Je zorgt er hoogstens voor dat er minder potentiële locaties zijn om vanaf aan te vallen.

Is er voor een bedrijf/organisatie een verschil in nieuwsbericht tussen "Bedrijf X gehackt!" en "Bedrijf X gehackt door <insert current lightningrod>!"? Nee, helemaal niets. Beveilig je je organisatie anders tegen een criminele organisatie dan tegen een Russische/Chinese/Amerikaanse aanvaller? Nee. Met het vingertje wijzen is politiek/media geneuzel.
Het is geen geneuzel, het is benoemen van feiten. En het is nu eenmaal eenvoudiger als je bronnen hebt die feitelijk controleerbare informatie benoemen. Dat gaat eenvoudiger bij een gemeenschappelijke 'vijand' dan wanneer je het 'zelf' doet. Want dan heeft geen bron er belang bij de agressor te benoemen. Dat heet medialogica.
En dit is precies weer geneuzel van de andere kant, overheden zijn overheden. Be it China, Rusland, Frankrijk, het Verenigd Koninkrijk of Nederland. Elk land heeft specifieke onderdelen die bezig zijn met dat soort ongein. Het ene land beter beoordelen of slechter beoordelen puur op die zaken is imho complete onzin. Dat we het niet eens zijn met de regels/ideologie in land xyz is een heel ander verhaal.
Ik heb liever niet dat u de overheid in China vergelijkt met de overheid in NLD. Dan mist u toch een hoop!
Juist, een Mark Rutte zou zich in China nooit voorbij een provinciale vice-bestuurder hebben gewerkt. Daarvoor mist hij naar Chinese maatstaven te veel competentie en ervaring. Hier is hij gewoon premier.

Op dit item kan niet meer gereageerd worden.