AD: Russische hackers zitten mogelijk achter hack in systemen van OM

Er zijn 'sterke aanwijzingen' dat Russische hackersgroepen de kwetsbaarheid in de Citrix NetScaler-software hebben misbruikt om in te breken in de systemen van het Nederlandse Openbaar Ministerie. Dat zeggen bronnen tegen het Algemeen Dagblad.

Ingewijden zeggen tegen het AD dat er 'sterke signalen' zijn dat hackersgroepen gelieerd aan Rusland en China hebben geprobeerd in te breken bij 'tientallen organisaties' die gebruikmaken van de NetScaler-software van Citrix, waaronder het Openbaar Ministerie. Volgens de krant is het Russische hackers gelukt om de systemen van het OM binnen te dringen.

Volgens de bronnen van het AD hadden de hackers mogelijk minimaal drie weken toegang tot het netwerk van het OM. Volgens beveiligingsonderzoeker Kevin Beaumont dichtte de overheidsinstantie het lek in de software op 24 juni, een week nadat het kritieke beveiligingsprobleem in de CVE-database werd geregistreerd. Op 18 juli ging het OM offline. Het is niet duidelijk of hackers een backdoor hebben gecreëerd om in de tussenliggende periode toegang te behouden tot het systeem.

Beveiligingsonderzoeker Pim Takkenberg van Northwave zegt tegen het AD dat Rusland mogelijk op zoek was naar informatie die verband houdt met MH17, of Nederland wilde destabiliseren omdat het land een bondgenoot is van Oekraïne. Het is overigens niet duidelijk of de hackers daadwerkelijk gevoelige gegevens konden inzien. Het Openbaar Ministerie bevestigde eerder deze week al te zijn gehackt, maar deelde daarbij niet meer informatie.

Reacties (127)

grizzlywilde 24 juli 2025 09:20

Tijdslijn op basis van dit bericht:

- 24 juni: lek gefixed door OM IT
- 18 juli: OM offline

Dus vóór 24 juni hadden hackers mogelijk drie weken toegang? En tussen 24 juni en 18 juli niet meer? Waarom dan offline gaan?

skoozie @grizzlywilde • 24 juli 2025 09:33

17 juni, kwetsbaarheid gepubliseerd
24 juni kwetsbaarheid gepatched
18 juli er achter gekomen dat ze gehacked waren en als maatregel offline gegaan.
Waarschijnlijk gehacked doordat ze tussen 17 en 24 juni kwetsbaar waren
24 juni -> 18 juli = +/- 3 weken

Je weet niet wat er allemaal geinstalleerd is toen ze toegang hadden, door eventuele backdoors hadden ze misschien tussen 24 juni en 18 juli nog steeds toegang.

Skywalker27 @skoozie • 24 juli 2025 09:56

Waarschijnlijk waren ze voor 17 juni al kwetsbaar want landen zoals Rusland, China en ook wij in NL hebben genoeg Zero Days beschikbaar die uitgebuit worden lang voor dat ze gepubliceerd/ontdekt worden. Maar hoelang terug kunnen ze de logs doorspitten?

AceAceAce @Skywalker27 • 24 juli 2025 10:02

Goede vraag.
De verplichtingen vanuit de BIO zijn:
12.4.2.2 1 Ten behoeve van de loganalyse is op basis van een expliciete risicoafweging de bewaarperiode van de logging bepaald. Binnen deze periode is de beschikbaarheid van de loginformatie gewaarborgd.

16.1.7 2 Verzamelen van bewijsmateriaal De organisatie behoort procedures te definiëren en toe te passen voor het identificeren, verzamelen, verkrijgen en bewaren van informatie die als bewijs kan dienen.

16.1.7.1 2 In geval van een (vermoed) informatiebeveiligingsincident is de bewaartermijn van de gelogde incidentinformatie minimaal drie jaar.

[Reactie gewijzigd door AceAceAce op 24 juli 2025 10:03]

Mellow Jack @AceAceAce • 24 juli 2025 14:42

Oftewel de bio zegt helemaal niks

tenminste zo voelt het voor mij. Het zegt niks over welke log info en dat is nu juist zo belangrijk. Zo vaak mee gemaakt van die dooddoeners zoals "alle logs gaan naar onze Siem en de Siem van onze SOC leverancier. Oke dus een grote check op BIO, NIS2, ISO2700* etc. Dan duik je iets dieper en stel je gerichte vragen over specifieke logs en kom je er achter dat lang niet alle belangrijke bronnen zijn aangesloten

closefuture @Mellow Jack • 24 juli 2025 15:33

NIS2, ISO27001, etc. zijn allemaal risico beheers frameworks. Dus het werkt bij allemaal min of meer hetzelfde; Je verteld wat je "assets" zijn (informatie, servers, software, mensen, etc.), je inventariseert mogelijke risico's (kwetsbaarheden, bedreigingen en de bijbehorende scenario's) en daar komt een risico profiel uit. Vervolgens maak je beheersmaatregelen / beleid om deze risico's te beheersen (i.e. het risico om laag te brengen). Echter als jij zegt: "Ik accepteer een hoog risico profiel" in jouw beleid, dan kan dat.

Dus simpelweg kijken naar "heeft iemand een ISO27001" certificaat gaat inderdaad vrij weinig zeggen. Maar wat jij zegt met "Dan duik je iets dieper en stel je gerichte vragen" had je dus ook kunnen zien met ISO27001 als je gevraagd had om de bijbehorende ISO27001 documentatie zoals risico inventarisatie, beheersmaatregelen, verklaring van toepasselijkheid, etc.

Mellow Jack @closefuture • 24 juli 2025 15:53

Het zijn vooral proces frameworks en geen inhoudelijke frameworks. Heb meerdere audits mee mogen maken en laatst de organisatie waarvoor ik nu werk laten certificeren.

Wil daarmee niet zeggen dat het nutteloos is maar het geeft je geen veilige omgeving. Het is een goed beginnetje maar ben zelf meer een voorstander van fatsoenlijke pen testen.

Edit: mijn grootste voorkeur gaat uit naar het selecteren van een aantal top medewerkers die zelfstandig een scenario mogen uitwerken om je organisatie te hacken. Die weten meestal wel de werkelijke situatie en vinden het vaak ook heel leuk om te doen

[Reactie gewijzigd door Mellow Jack op 24 juli 2025 15:56]

closefuture @Mellow Jack • 24 juli 2025 16:07

Wil daarmee niet zeggen dat het nutteloos is maar het geeft je geen veilige omgeving.

Dat is helemaal wat je er zelf van maakt. Als jij puur een certificaat aan de muur wilt hebben dan kun je dat gedaan krijgen. Als jij het framework serieus neemt is het een goede en complete tool.

Als je wilt kun je ook een onzin pentest laten doen (met bijvoorbeeld een berg restricties) en dan kun je in de security questionnaire van je klant invullen dat je een pentest gedaan hebt.

Met andere woorden; Als het eindresultaat het doel is (ik wil een pentest vinkje, ik wil een ISO certificaat) dan gaat het resultaat altijd mager zijn.

Mellow Jack @closefuture • 24 juli 2025 17:29

Daar moet ik je gelijk in geven. Mijn aanname was dat ze dan wel in het rapport zetten dat ze geen goede test hebben kunnen uitvoeren. Maar dat is meer gebaseerd op de partijen waarmee ik heb samengewerkt. Zullen vast een hoop partijen zijn die aangeven dat de pentest succesvol is geweest zelfs wanneer ze niet fatsoenlijk hebben getest (mede door de schuld vd beperkingen vanuit de opdrachtgever)

sOid @Mellow Jack • 24 juli 2025 17:24

Jawel. Bijvoorbeeld control 12.4.1.1.

Een logregel bevat minimaal:

(a) de gebeurtenis;
(b) de benodigde informatie die nodig is om het incident met hoge mate van zekerheid te herleiden tot een natuurlijk persoon;
(c) het gebruikte apparaat;
(d) het resultaat van de handeling;
(e) een datum en tijdstip van de gebeurtenis

[Reactie gewijzigd door sOid op 24 juli 2025 17:27]

Mellow Jack @sOid • 24 juli 2025 17:31

Nuh als je iets logt dan moet dat er in staan. Dr staat niet wat je moet loggen. Het komt vooral neer op wat @closefuture aangeeft. Het gaat vooral om je eigen verantwoordelijkheid

sOid @Mellow Jack • 24 juli 2025 17:36

Oh ik las je opmerking anders. Ik begrijp wat je zegt.

Impliciet staat dat er wel. Control 12.4.1.1 is bijvoorbeeld voor alle Basisbeveiligingsniveau (BBN) 1-systemen (en daardoor dus ook BBN 2 en 3). En BBN1 is praktisch alles in je ICT-landschap, dus het is overal op van toepassing.

Wel ben ik het met je eens dat de BIO (en ISO27001/27002) op veel vlakken op verschillende manieren ambigu zijn.

pietje63 @Skywalker27 • 24 juli 2025 12:33

en hoe betrouwbaar zijn de logs nog? een beetje hacker weet die ook wel aan te passen

demianmonteverd @pietje63 • 24 juli 2025 16:02

In dit geval heeft men volgens dat artikel losse eindjes gevonden. Die kunnen geplaatst zijn, maar is dat echt waarschijnlijk? Zijn er bijv. belangrijke hacks geweest met gefingeerde logs geweest?

bollos @demianmonteverd • 24 juli 2025 20:38

Redelijk wat jaren terug was dit al een mogelijkheid voor de Amerikaanse overheid op Windows machines.

https://blog.fox-it.com/2017/12/08/detection-and-recovery-of-nsas-covered-up-tracks/

dasiro @pietje63 • 24 juli 2025 13:21

hangt er maar van af hoe grondig ze te werk gaan, want het is niet omdat in netscaler een 0-day zit dat er ook eentje in alle andere apparatuur zit waar ze passeren, laat staan loggen en dat die dan ook nog eens bereikbaar zouden zijn. Simpel gezegd: de controleur van het poortje zit achter glas te kijken terwijl vandalen het poortje slopen en op de raam slaan, maar hem niet kunnen raken.

nonestpraens @skoozie • 24 juli 2025 10:51

Waarschijnlijk waren het de standaard groepen die in 2015 ook de Bundestag hebben gehackt, daar kwamen zij pas 6 weken later achter de lek. Wij hebben het binnen 3 weken gevonden, aangezien de meeste exfiltrations van data langzaam verloopt door 1/64e van de data in packets te verstoppen om monitoring the omzeilen verwacht ik niet dat de datalek groot is.

Aangezien de Bundestag na 6 weken in 2015 had gemeld dat er 16GB aan data is gestolen, ik verwacht binnenkort wel een rapport over Putin's Bears (APT28, APT29 en APT10).

BytePhantomX @grizzlywilde • 24 juli 2025 09:53

Het lek gaf de mogelijkheid om sessietokens te stelen. En als je daarna patched, maar die sessie niet killed, dan kun je ook na het patchen nog inloggen met een gestolen sessietoken. Zie mijn uitleg gisteren onder de andere post: BytePhantomX in 'Openbaar Ministerie bevestigt dat lek in Citrix NetScaler is misbruikt'

yevgeny @BytePhantomX • 24 juli 2025 12:35

Of je zet een lifetime limit voor je tokens ...

Additional security settings on a NetScaler appliance

Token validation includes token lifetime checks. Tokens outside of acceptable time are rejected. Following are the additional settings for extra security. Some of these are recommended to be configured always.

CivLord

@yevgeny • 24 juli 2025 13:31

Door het lek waren ook inloggegevens te achterhalen. De kan je blijen gebruiken totdat het wachtwoord vernieuwd wordt, of het account gebolkkeerd wordt.

copywizard @grizzlywilde • 24 juli 2025 09:45

Het lek is op 17 juni gemeld bij de CVE organisatie en door citrix.

Als het OM dus het lek heeft gepatched op de 24e van juni dan is dat nog niet zo super slecht als ik had verwacht kwa patch cyclus.

Maar dan wel vreemd dat er al drie weken toegang was? Dan wisten de hacker eerder van de kwetsbaarheid af dan citrix zelf.

dutchgio @copywizard • 24 juli 2025 09:51

Die drie weken tellen het moment dat ze offline zijn gegaan op 18 juli omdat ze er achter zijn gekomen dat er misbruik is gemaakt van het lek. Dat moet dus tussen 17 juni, het moment dat de kwetsbaarheid bekend werd, en het patchen op 24 juni gebeurt zijn.

watercoolertje @copywizard • 24 juli 2025 09:52

Maar dan wel vreemd dat er al drie weken toegang was? Dan wisten de hacker eerder van de kwetsbaarheid af dan citrix zelf.

Dat is toch niet vreemd? Als de softwareleverancier een lek als eerste vindt (en oplost) is er meestal helemaal geen probleem...

Uiteindelijk moet iemand de eerste zijn die een lek vindt!

[Reactie gewijzigd door watercoolertje op 24 juli 2025 09:53]

DdeM @copywizard • 24 juli 2025 09:53

Dan wisten de hacker eerder van de kwetsbaarheid af dan citrix zelf.

Dat is opzich niet vreemd toch? Hackers, white- en blackhat, zijn altijd opzoek naar kwetsbaarheden. Die eerste groep zal het melden als ze er één vinden, die tweede niet. En het zal niet de eerste keer zijn dat het juist hackers zijn die een kwetsbaarheid vinden ipv de producent.

Overigens staat er ook niet dat ze vóór 24 juni al drie weken toegang hadden, alleen dat ze mogelijk minimaal 3 weken toegang hadden, dat kan dus ook tussen 24 juni en 18 juli zijn via de bechreven mogelijke backdoor.

Isnowiz @copywizard • 24 juli 2025 10:47

Ik vind het wel super slecht eerlijk gezegd.. Ook voor het OM geldt dat een high/high vulnerability binnen 24 uur gepatcht moet zijn. Een week is in zulke gevallen echt te lang.

demianmonteverd @Isnowiz • 24 juli 2025 16:05

Ik zou graag willen weten hoe die citrix omgevingen bereikbaar zijn. Zit daar een speciaal VPN netwerk nog voor, hoeveel mensen kunnen op die VPN's? Etc..

BytePhantomX @demianmonteverd • 24 juli 2025 16:46

De essentie van een Netscaler is juist om aan de internet facing kan te zitten als Web Application Firewall en VPN. Het zou raar zijn om daar nog een VPN voor te zetten.

Houtenklaas @BytePhantomX • 24 juli 2025 22:53

En daarmee zet je al je kaarten op die Netscaler. Een VPN ervoor is niet persé gebruiksvriendelijk, maar wel een extra drempel om binnen te komen. En zo zou die Netscaler ook een onderdeel moeten zijn van meerdere barrières om binnen te komen. En wellicht zijn of waren die er ook, de beveiliging van het netwerk zal niet publiek gedeeld worden vermoed ik. En onderschat de kennis en kunde niet van die hackers, die zijn continu op zoek naar zero-days die ze eerder kunnen doorhebben dan de leverancier dat door heeft.

We zijn ook verwend dat we via het Internet overal maar bij kunnen, wellicht komt er weer eens een tijd dat er besloten netwerken komen, 100% los van het internet en daardoor veel lastiger te hacken.

Sefa @grizzlywilde • 24 juli 2025 09:24

Omdat ze drie weken de tijd hebben gehad om toegang te borgen via een andere manier dan het lek.

BartOtten @grizzlywilde • 24 juli 2025 09:24

Omdat dus niet bekend is of de hackers een backdoor achtergelaten hebben. Staat in het artikel.

pete4live @grizzlywilde • 24 juli 2025 09:24

Waarschijnlijk vanwege de angst dat er in die tijd een backdoor is gecreëerd.

kr4t0s @grizzlywilde • 24 juli 2025 09:30

Nee, hij bedoelt voor 24-06 heeft iemand de kwetsbaarheid misbruikt en toegang voor zichzelf weten te behouden ook nadat het gepatched was. En dat is blijkbaar opgemerkt 17/18 juli en toen boel offline gehaald.

Floris4970 24 juli 2025 09:14

Ik zie wel eens dat interne systemen die niet bereikbaar zijn vanaf het internet niet goed beveiligd worden (want is toch intern). Blijkt maar weer dat ook dat belangrijk is want het is altijd mogelijk dat ze binnen komen op je systeem. Dan moet je ze intern toch zoveel mogelijk tegen zien te houden. (Ook iets met NIS2)

HKLM_ @Floris4970 • 24 juli 2025 09:31

Dat is altijd een discussie inderdaad, helaas hoeveel partijen geen HTTPS intern gebruiken voor applicaties of management interfaces is echt bizar. (Er is natuurlijk meer security maar dit vind ik een leuk voorbeeld)

cricque @HKLM_ • 24 juli 2025 09:43

Dit ook omdat het voor veel mensen "klote" is om dit op te zetten intern ... Als ik aan mijn studentjes even uitleg hoe ze dat moeten doen (tijdens een programmeercursus) ben ik gewoon de volle 100% kwijt. Veel mensen hebben geen kaas gegeten van dit te doen. Maar er bestaans zelfs apps dat dit op Windows voor je kunnen doen in combinatie met letsencrypt, maar dan nog is dit te moeilijk want IIS , wtf is dat ... Nginx & docker is zeker een stap te ver

The Zep Man

Beveiliging en antivirus
Politiek en recht

@cricque • 24 juli 2025 09:51

Dit ook omdat het voor veel mensen "klote" is om dit op te zetten intern ...

Veel mensen hoeven dit niet te doen. Systeembeheer moet dit doen, gebaseerd op architectuurkeuzes.

Maar er bestaans zelfs apps dat dit op Windows voor je kunnen doen in combinatie met letsencrypt,

Bedrijven gaan niet aan de slag met Let's Encrypt. Die zetten voor intern gebruik een eigen PKI op met eigen CA's. Certificaatbeheer wordt gecombineerd met systeembeheer en kan volledig geautomatiseerd worden.

[Reactie gewijzigd door The Zep Man op 24 juli 2025 09:58]

demianmonteverd @The Zep Man • 24 juli 2025 16:06

Grote bedrijven, in het MKB zie je niet vaak eigen CA's.

BytePhantomX @The Zep Man • 24 juli 2025 16:42

Een eigen CA server opzetten is vaak ontzettend complex en soms juist een gigantische kwetsbaarheid in je netwerk. Diverse aanvallen zijn super goed gedocumenteerd: https://medium.com/@offsecdeer/adcs-exploitation-part-1-common-attacks-b7ae62519828

Geen goede configuratie betekent dat een aanvaller binnen enkele minuten Domain Admin is.

En ja, natuurlijk moet je een certificaat server goed configureren en heb je hier allemaal geen last van. Maar voor je beschikbaarheid moet je dan ook nog een high available setup maken en voor de veiligheid moet je eigenlijk aan de slag met een HSM. Alles bij elkaar moet je dus een expert zijn om het goed te doen. En dat zijn maar weinig mensen.

[Reactie gewijzigd door BytePhantomX op 24 juli 2025 16:44]

paulhekje @BytePhantomX • 24 juli 2025 22:20

HSM is onzin, een off-line Root CA volstaat en is in praktijk even veilig.

Floris4970 @cricque • 24 juli 2025 10:51

Dit achterwege laten omdat je er geen tijd voor hebt zou ik bijna crimineel noemen. Blijkbaar vind je wel dat het onderdeel van je cursus zou moeten zijn maar doe je het toch niet.

leren autorijden is ook niet alleen leren schakelen en sturen.

En dan zeg jij: Ja maar hij reed zelf die fietser aan. En dan zeg ik: Maar je hebt hem geen verkeersinzicht aangeleerd

R_Zwart @cricque • 24 juli 2025 13:20

Volgens mij is het heel simpel: als je ergens geen verstand van hebt of het is te moeilijk/complex, of niet de juiste of voldoende mensen, dan besteed je het uit.

Vrijwel iedereen vindt het heel normaal dat je onderhoud van bedrijfswagens door een garagebedrijf laat doen omdat je daar zelf niet de kennis en kunde voor hebt. Waarom laat je je ICT dan ook niet door een specialist doen die het wel kan?

Als je security niet serieus neemt kan je bijna zeggen dat je bedrijf een hobby is, en geen professionele business.

theduke1989 @Floris4970 • 24 juli 2025 10:01

Probleem is. Als ze al toegang hebben tot de interne systemen dat het al te laat is. En vooral als het pas later wordt opgemerkt.

Wij gaan nu iets proberen met Rapid7 (honeypots) kijken of dat iets goed is. Hebben alleen nog in group gepushed. Nu de rest van de branches.

Floris4970 @theduke1989 • 24 juli 2025 17:11

Waarom is het dan al te laat? Als je intern je systemen ook goed beveiligd dan kunnen ze echt nog niet zoveel als ze alleen in je netwerk zitten.

Ze lopen door je gangen en proberen elke deur. Als alles op slot zit hebben ze echt nog wel wat meer te doen willen ze ook echt iets te pakken krijgen voor je het door hebt.

Zeggen dat het toch niet uitmaakt als ze eenmaal binnen zijn is nalatigheid en kan je een celstraf opleveren.

FrostyPeet 24 juli 2025 09:44

Er lijkt wel een systeem fout te zijn.

Elke instantie maakt van zijn eigen instantie een soort Fort Knox. Terwijl de aanvallers, ik noem dit niet eens hacken meer, straffeloos hun gang kunnen gaan. Ze kunnen eindeloos "rammelen" aan IP poorten, eeuwig e-mailen, bellen, voelen waar de zwakke plek is. Schijnbaar hebben ze eindeloze budgetten en mankracht.

Het is werkelijk gruwelijk wat er nu allemaal plaatsvind in NL. Paar weken geleden zelf ook zoiets meegemaakt. 10 minuten een poort open gezet om een SIP VOIP telefoon te testen en meteen als sipvicious aanval. Er wordt dus continue gerammeld, het was gewoon een totaal niet interessant doelwit, maar toch.

Het is jammer voor het OM personeel maar bepaalde dingen kunnen vandaag niet meer aan internet gekoppeld worden. Het maakt niets uit wat al die consultants zeggen, vroeg of laat komen ze binnen.

Ik ben voor vrij internet, begin nu steeds meer af te vragen of The Great Firewall Of Europe wel eens hard nodig kan zijn. Dat maakt mij triest, omdat ik de begintijd van internet meemaakte, de belofte voor een mooiere toekomst waarin alles vrij stroomt op internet. Nu is het een wapen geworden en zitten wij in een glazen huis.

laptopleon @FrostyPeet • 24 juli 2025 11:52

In de jaren tachtig kon je als werknemer bij Philips inbellen vanuit huis en van daar uit bijvoorbeeld usenet gebruiken. Ja, toen al, thuiswerken terwijl internetabonnementen voor particulier gebruik nog niet eens bestonden.
Het inbellen was niet alleen beveiligd met een gebruikersnaam en wachtwoord, maar de computer aan de andere kant van de lijn hing op en belde terug naar het telefoonnummer wat bij hem bekend was, van die gebruiker.
Bij dit soort hacks denk ik daar nog wel eens aan terug. Het systeem zou niet zomaar iedereen overal vandaan maar moeten laten inloggen. Ik snap dat dat niet alle hacks voorkomt, maar het wordt toch lastiger als je werkt met een netwerk met alleen ‘vertrouwde’ ip-adressen.

ThinkPad @laptopleon • 25 juli 2025 11:56

Ik snap dat dat niet alle hacks voorkomt, maar het wordt toch lastiger als je werkt met een netwerk met alleen ‘vertrouwde’ ip-adressen.

Dat is niet te doen, het externe IP-adres bij internetabonnementen voor consumenten wisselt regelmatig na bijv. onderhoud.

Met verbindingen zoals forumtopic: [Odido Klik&Klaar - 5G vast internet] Ervaringen & Discussie krijg je zelfs elke 24u een nieuw IP-adres.

[Reactie gewijzigd door ThinkPad op 25 juli 2025 11:56]

laptopleon @ThinkPad • 25 juli 2025 20:32

Maar die IP-adressen zijn niet helemaal willekeurig. Bedrijven / instanties vragen / krijgen doorgaans opeenvolgende series, ‘blokken’ van bijvoorbeeld 16, 256 of 1024 ip-adressen tegelijk.

Daarnaast zijn ook binnen de organisatie van ip-adressen, hoewel er formeel geen harde afspraken over zijn, in de praktijk, die blokken toch bijna altijd per geografisch gebied toegekend.

Zelfs als het (toekennen) wel willekeurig zou zijn, zou je dat vanaf nu anders kunnen doen, of in ieder geval in blokken en alleen vertrouwde blokken gebruiken.

In de praktijk zal er meer bij komen kijken want je wil natuurlijk niet dat een server met een vertrouwd ip-adres een vpn naar buiten je vertrouwde netwerk gaat opzetten, maar ook daar zijn maatregelen voor te bedenken.

HollowGamer 24 juli 2025 11:11

Wat nu doen dan? Ik neem aan dat hier stukken tussenzitten die 'wij burgers' niet mogen zien?

Ik ga hier niet lopen doen dat hacken te voorkomen valt, dat is onmogelijk. Er zijn lekken waarvan andere niet op de hoogte zijn (al dan niet al bewust achtergehouden door regeringen), wat ik alleen niet zo begrijp zijn processen als monitoring en access control.

Als het gaat om het OM, zou je toch zeggen dat ondanks dat je 'super-admin' bent, nog altijd niet overal bij kan komen. Een medewerker wordt handmatig gekoppeld, en krijgt dus niet overal toegang toe.. lijkt me?

Ik vind het zo gek: documenten, berichten, etc. worden toch veilig opgeslagen? We hebben het toch echt over het OM? Maar nu is dus heel groot de kans (ondanks dat ze het niet benoemen), dat hier zaken tussen staan zoals over Peter R de Vries - wat volgens mij ook een zaak was van het OM.

Het enige voordeel zou zijn, is dat nu zichtbaar wordt als het een puinhoop daar is en verandering nodig is. Hopelijk opent het ook andere de ogen dat je niet zomaar alles aan de overheid moet geven, want veilig ermee omgaan kunnen ze niet (zoals verwacht) - laat staan dat ze zelf weten hoe ze dat moeten doen (wat dus weer blijkt).

Het maakt mij boos, omdat je het niet verwacht van dit orgaan. Hetzelfde orgaan dat loopt te zeuren over hoe wij encryptie moeten opgeven en onze privacy minder belangrijk is.

[Reactie gewijzigd door HollowGamer op 24 juli 2025 11:18]

OruBLMsFrl @HollowGamer • 24 juli 2025 16:13

Door die Citrix ogenschijnlijk aan publiek internet te koppelen, konden de aanvallers van alle users session tokens stelen en zo namens alle users in het systeem iets doen. Dan heb je overal een probleem tenzij je nog ergens op kantoor een beveiligd netwerk hebt los van die Citrix, maar dat doet heel wat met je arbeidsproductiviteit en medewerkerstevredenheid tegenwoordig.

Je denkt technologisch toch snel beter een 2 traps raket: eerst VPN maken, dan pas bij Citrix kunnen. Is Citrix lek, zit de VPN security inlog er nog voor. Is VPN oplossing lek, dan moet je vervolgens eerst nog binnen Citrix zien te raken. Elke technologie heeft wel eens een groot lek, maar door twee lagen te gebruiken wordt de kans dat die tegelijkertijd een kritiek lek hebben wel heel veel kleiner.

[Reactie gewijzigd door OruBLMsFrl op 24 juli 2025 16:14]

Haruhi 24 juli 2025 09:24

Das slecht nieuws als de beweringen waar zijn.
Er is dan een hoop werk voor de geheime diensten om dan vooral alles omtrent Justitie in de gaten te gaan houden.
Vraag me af wat ze allemaal hebben kunnen overhevelen.

[Reactie gewijzigd door Haruhi op 24 juli 2025 09:27]

n9iels

24 juli 2025 09:28

Uiteraard is er niet genoemd welke Russische hackers groep dit wellicht is geweest. Rusland kent echter meerdere groepen die bekende "beer" namen hebben, denk hierbij aan Fancy Bear en Cozy Bear. Het YouTube kanaal Fern heeft hier recent een zeer lange docu over gemaakt, zeker het kijken waard: YouTube: The Hunt for the World's Most Dangerous Hackers

dutchgio @n9iels • 24 juli 2025 09:57

Die namen verzinnen ze overigens niet zelf hoor, ligt er maar net aan welk bedrijf met het nieuws komt:

https://www.axios.com/2022/09/20/cyber-firms-hacker-group-name-game

Tri Force 24 juli 2025 09:48

Als landen zoals Rusland en China wel misbruik van de situatie hebben gemaakt dat zou mij niets verbazen.. het zou mij eerder verbazen als hun niet misbruik van de situatie hadden gemaakt maar of het waar is geen idee en ook geen idee wat voor zin het heeft om het te melden en wat NL of de EU er aan gaat doet en dan niet alleen Rusland en China.

Het is een Boy Cries Wolf verhaal en ja het zal wel nut hebben om het te melden en de beveiliging te verbeteren en er zijn wel sancties tegen dat soort landen maar dat zal weinig invloed hebben op dat hack gedrag en ik vraag mij af of NL of zelfs de EU zichzelf tegen landen zoals Rusland, China, America, Israël etc. kan beschermen.

Nederland zal zelf ook wel hacken alleen ons talent en ons budget is veel kleiner en ja dat extra budget voor de defensie van de EU daar ben ik er wel mee eens maar waar moet het geld wegkomen om ook onze cyber defensie te verbeteren om op het niveau van dat soort landen te komen ? hopelijk gaat de EU eens bezig om regels en wetten efficiënter te maken van consument tot defensie want dat zou miljarden besparen.

foppe-jan 24 juli 2025 09:15

Beveiligingsonderzoeker Pim Takkenberg van Northwave zegt tegen het AD dat Rusland mogelijk op zoek was naar informatie die verband houdt met MH17, of Nederland wilde destabiliseren omdat het land een bondgenoot is van Oekraïne

ik zie de toegevoegde waarde van "mogelijk had het geopolitieke redenen" niet echt, terwijl er 0 specifieke argumenten voor worden gegeven. Ik begrijp dat zo'n "expert" maar wat blij is om het nieuws te halen, maar dat wil niet zeggen dat je het hoeft over te nemen. Hoop dat jullie daar in de toekomst wat scherper op willen zijn.

InfiniteSpaze @foppe-jan • 24 juli 2025 09:24

Daarom het woord "mogelijk", dan is het nog geen feit, maar ze hebben aanleiding om het te vermoeden. Hoe het het ook wendt of keert ze deden dit niet voor de grap. Het is algemeen bekend dat de Russen enorm sterk hierin zijn. Ze hebben veel geïnvesteerd om hier zo goed in te zijn dus het komt niet uit de lucht vallen. Maar inderdaad, het kunnen ook andere dingen zijn. Vandaar "mogelijk".

foppe-jan @InfiniteSpaze • 24 juli 2025 13:30

aanleiding om het te vermoeden heeft elke nederlander met een IQ > 70. De lat ligt veel te laag.

Dat is nou juist het punt -- het heeft 0 nieuwswaarde tenzij het wordt vergezeld door een specifiekere claim zoals dat ze daar 40% van hun tijd in staken, of dat er veel specifieke zoekopdrachten zijn gedaan, of dat het ze om Baudet ging. Maar niets van dat alles -- ze weten zelfs nog niet eens of het wel daadwerkelijk Russen waren.

[Reactie gewijzigd door foppe-jan op 24 juli 2025 14:10]

InfiniteSpaze @foppe-jan • 24 juli 2025 16:36

Detecteer ik hier een rode kameraad die deflectie strategieën probeert uit te oefenen?

Grapje natuurlijk! Kon het niet laten. Maar als ze zoiets zeggen met signaalwoorden als "mogelijk" dan vind ik niet dat het aan de journalisten ligt, dat ligt aan het IQ van de mensen zelf. Mensen moeten ook weten hoe ze kritisch kunnen lezen anders kan je nergens meer een artikel over schrijven

Ik moet wel toegeven dat ik een beetje de advocaat van de duivel speel omdat ik het niveau van journalistiek al tijden ver ondermaats vind. Misschien heb ik slechtere artikelen gelezen waardoor mijn standaarden/verwachtingen lager zijn dan zou moeten.

foppe-jan @InfiniteSpaze • 24 juli 2025 18:02

(Los van dat links en poeten mijns inziens net zo weinig met elkaar te maken hebben als Rutte en competentie): ik heb altijd geleerd dat je je moet aanbemoeien tegen zaken waar je invloed op kan hebben, dus eigen politiek eerst fixen want dat is waar je de minst kleine kans van slagen hebt.

Mijns inziens, als het OM ziet dat ze gehackt zijn door Rusland, gaan ze daar echt wel zelf mee bezig. Mijn probleem als burger is dat ze of zelf incompetent zijn of incompetente graaiers in de arm hebben genomen. Dus ja, daar moet wmb dan de focus liggen.

foppe-jan @InfiniteSpaze • 24 juli 2025 18:05

maar goed, zoals je ziet worden redelijk wat van mijn reacties naar -1 gemodereerd, dus de ideologen (die boos worden als je vraagt om bewijs) zijn zeker van de partij. Alleen komen ze niet van links.

demianmonteverd @foppe-jan • 24 juli 2025 16:09

De onderzoeker staat met naam genoemd. Die gaat toch niet zijn naam in de prullenbak werpen om een artikel met ongefundeerde claims te vullen?

foppe-jan @demianmonteverd • 24 juli 2025 18:04

wel als hij zich wil inlikken bij mensen die heel blij worden als jij water voor ze draagt door te roepen "Rusland is waarschijnlijk de vijand en dit motiveerde ze". Dat heet 'jij krabt mijn rug ...'.

Sebritar @foppe-jan • 24 juli 2025 10:50

Zelf vind ik het een wat vreemde manier om te zeggen dat als je zelf het artikel geschreven had dat je het er niet in had gezet..

Zeker als je dit dan probeert te bekrachtigen door zinnen als:
"Hoop dat jullie daar in de toekomst wat scherper op willen zijn."

Mathijs Kok @foppe-jan • 24 juli 2025 14:14

nee, ik wil het artikel helemaal niet zelf schrijven, ik wil dat er geen niet-onderbouwde speculatie wordt overgenomen.

Nee wat jij wilt is dat de onderzoekers openbaarheid geven over wat ze weten. En dat gaat natuurlijk nooit gebeuren. Bezie het van de andere kant, wie heeft er baat bij de hack? Rusland komt dan al snel bovendrijven en als mensen die er mee betrokken zijn aanwijzingen hebben die naar een dader wijzen lijkt het me best nieuws voor Tweakers.

Blijf onthouden dan Putin er nooit een geheim van heeft gemaakt dat ze actief westerse overheden aanvallen. In zijn interviews met Stone was hij zeer open en trots.

SpeedersPeugeot 24 juli 2025 14:20

Citrix zelf en instanties zoals CISA (Cybersecurity and Infrastructure Security Agency in de VS) roepen organisaties op om kritieke patches onmiddellijk of binnen 24-48 uur toe te passen.

Dus dan moet je geen week wachten...

BytePhantomX @SpeedersPeugeot • 24 juli 2025 16:49

Dat advies hebben ze op 11 juli pas afgegeven. Ruim nadat het OM gepatched had.

https://www.bleepingcomputer.com/news/security/cisa-tags-citrix-bleed-2-as-exploited-gives-agencies-a-day-to-patch/

TheProst 24 juli 2025 09:51

Ik ben wel benieuwd welke data er precies is ingezien of mogelijk gestolen door dit lek. Het is zorgwekkend dat een overheidsorganisatie als OM blijkbaar niet volledig lijkt te doen aan de NIS2-richtlijnen. Je zou toch verwachten dat juist de overheid dit soort beveiliging op orde heeft. Ook vraag ik me af hoe zeker ze weten dat het om Russische hackers gaat. Zijn er Russische IP-adressen aangetroffen of andere concrete aanwijzingen?

[Reactie gewijzigd door TheProst op 24 juli 2025 12:33]

mjtdevries @TheProst • 24 juli 2025 11:05

Want de NIS2 richtlijn voorkomt dat je het slachtoffer kan worden van een zero day???

TheProst @mjtdevries • 24 juli 2025 11:12

Nee, tuurlijk niet. Maar het heeft voor wat wij nu weten. 3 weken geduurt voordat alles offline werdt gehaald en dat ze er achter zijn gekomen.

mjtdevries @TheProst • 24 juli 2025 11:14

En de NIS2 richtlijn zou daar op magische wijze verandering in hebben gebracht?

TheProst @mjtdevries • 24 juli 2025 11:21

Magische wijzen niet. Maar door deze richtlijnen te volgen en als de juiste monitoring en beheer er was. Hadden ze toch wel iets eerder wat moeten doen dan pas nadat ze er achter kwam dat ze gehacked waren en ervoor al wat moeten doen? of zie ik dit helemaal verkeerd?

[Reactie gewijzigd door TheProst op 24 juli 2025 12:50]

mjtdevries @TheProst • 24 juli 2025 15:49

Nee, die richtlijn zegt niet dat je een zero day binnen 24 uur moet fixen of zoiets. Net zoals een ISO 27001 of een SOC2 zoiets niet zegt.
En het kan prima zijn dat de hackers al binnen waren voordat er überhaupt een CVE gemaakt was.

Kijk, als je IT een puinhoop is dan krijg je geen ISO of SOC2 certificering en krijg je daardoor ook met NIS2 een probleem.
Maar ik zie helemaal geen aanwijzingen dat hun IT niet deugt. Tuurlijk is dat het eerste dat sommige mensen roepen als het over de overheid gaat, maar ze hebben vrij vlot nadat de CVE gepubliceerd was de fix uitgerold. (jje wil ook even testen dat de fix niet je omhoog down brengt) En de IOCs kwamen pas later beschikbaar.
Ik zie op dit moment geen verwijtbare zaken bij de kant van het OM.

TheProst @mjtdevries • 24 juli 2025 16:17

Kijk, als je IT een puinhoop is dan krijg je geen ISO of SOC2 certificering en krijg je daardoor ook met NIS2 een probleem.
Maar ik zie helemaal geen aanwijzingen dat hun IT niet deugt. Tuurlijk is dat het eerste dat sommige mensen roepen als het over de overheid gaat

Begrijp me niet verkeerd, ik zeg nergens dat hun IT niet op orde is. Dit lijkt me duidelijk het gevolg van een externe kwetsbaarheid, niet van intern wanbeheer. Maar bij een overheidsinstantie verwacht je wel een hogere standaard. Ze beheren gevoelige informatie en hebben ook soort een voorbeeldfunctie, dus de lat ligt terecht hoger dan bij een willekeurig bedrijf.

Ik snap dan niet hoe geen enkel systeem iets heeft kunnen waarnemen en dat het 3 weken heeft gekost voordat ze iets gevonden hadden. Dat is het stukje NIS2. Hoe kan dit 3 weken lang niet opgevallen zijn. Maar inderdaad, in geval van een zero day moet het volgens mij binnen 24 uur gehandeld worden. Door alles offline te brengen hebben ze super goed gehandeld

Dus ik zie dit niet als bewijs dat hun IT slecht is, maar ik vind wel dat je bij dit soort partijen extra kritisch mag zijn.

[Reactie gewijzigd door TheProst op 24 juli 2025 16:18]

IStealYourGun @TheProst • 24 juli 2025 11:12

Waarom zouden ze niet voldoen? Een van de requirements is dat je procedures op orde hebt in geval van mogelijke hacking en dat kan perfect zijn: systemen meteen offline.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (127)

Sorteer op:

Weergave: