Virusdefinities databank telecomgegevens handmatig bijgewerkt

De virusscanner van het CIOT, een database met klantgegevens van telco's en isp's, wordt één keer per week handmatig bijgewerkt. Dat roept de vraag op of de veiligheid van privégegevens wel kan worden gegarandeerd.

De virusscanner van het CIOT wordt slechts één keer per week bijgewerkt, zo blijkt uit een intern auditrapport, waarop Bits of Freedom via de openbaar-bestuurswet de hand heeft weten te leggen. Bovendien gebeurt het bijwerken met de hand. Dat brengt volgens het auditrapport risico's met zich mee: afwezigheid van een systeembeheerder zou ervoor kunnen zorgen dat de virusdefinities niet worden bijgewerkt. Ook is achteraf niet te controleren of de virusscanner op het juiste moment werd bijgewerkt omdat de logging onvolledig was.

Het is onduidelijk om welke virusscanner het gaat: mogelijk gaat het om de virusscanner op de servers van het CIOT-systeem, maar het kan ook zijn dat de audit zich richt op clients in de organisatie. De audit geeft hier geen duidelijkheid over. De audit maakt echter duidelijk dat de beveiliging binnen het CIOT niet is zoals deze zou moeten zijn: volgens de norm moet de virusscanner op elk moment up-to-date zijn. De database van het CIOT bevat klantgegevens van alle internet- en telecomproviders en wordt door opsporingsdiensten gebruikt om de identiteit van internetters en bellers te kunnen achterhalen.

De opstellers van het rapport hebben niet alleen kritiek op de virusscanner: zo zijn de afspraken met gebruikers van het CIOT-systeem - de opsporingsdiensten - al sinds 2004 niet meer bijgewerkt, terwijl dat in twee eerdere auditrapporten al is aanbevolen. Wel is het CIOT begonnen met het opstellen van nieuwe afspraken. Daarnaast is onduidelijk of er wordt gecontroleerd of de software van de database up-to-date is en is het volgens het rapport onduidelijk of de statistieken die het CIOT vrijgeeft wel kloppen. Volgens die statistieken werd in 2010 2,6 miljoen keer privégegevens opgevraagd bij het CIOT.

IT-banen

Reacties (69)

Metalrick 22 augustus 2011 15:34

Waarschijnlijk hangt dat systeem niet rechtstreeks aan het internet en mag men elke week met een usb-stick de nieuwste definities erop gaan zetten. Ik denk dat het belangrijker is dat dat systeem niet via internet te benaderen is dan dat de virusscanner 100% up to date is.

Maar ze zouden natuurlijk ook elke dag met een usb-stick de nieuwste definities erop kunnen zetten, kost alleen wat meer tijd, dus geld, en ja, er moet bezuinigd worden dus dan wordt het maar eens per week

Mad_Cow @Metalrick • 22 augustus 2011 15:38

Mee eens.

Ik denk dat het belangrijker is dat het systeem niet met internet is verbonden. Ik denk dat dat meer aanvallen tegenhoudt dan iedere dag de virusscanner updaten

Fordox @Mad_Cow • 22 augustus 2011 15:46

maar als het systeem niet op het internet vast zit, hoe komt die virus er dan? ook handmatig?

compufreak88 @Fordox • 22 augustus 2011 21:47

Kijk maar eens naar het stuxnet virus. Die is dmv usb-sticks bepaalde kritische netwerken binnen gedrongen.

Cafe Del Mar

@Mad_Cow • 22 augustus 2011 15:45

Hoe werden vroeger de virussen verspreid? Met een diskette, CDR, ... oa dus ook met een USB-stick.
Ik denk dat het zinvol is om het systeem aan het net te laten hangen, maar te zorgen dat er met die pc niets anders gebeurd dat waar ie voor dient.

Dus niemand die ff snel een file afhaalt van het net, omdat het hier toch zo snel gaat. Niemand die zijn email leest, wat "rondsurft", pr0n bekijkt, ...

varkenspester @Cafe Del Mar • 22 augustus 2011 17:16

een virus is in dit geval niet zo erg als diefstal van gegevens.

Voor diefstal moet je al de usb-stick met je virus achteraf (wanneer je de gegevens 'gestolen' hebt) ook nog is de usb-stick terug in je bezit krijgen,
dat vereist al heel wat meer social engineering dan wanneer je systeem op het internet hangt.

MeNTaL_TO @Mad_Cow • 22 augustus 2011 15:47

Zolang klanten (=extern netwerk) er bij kunnen komen is er gewoon een risico, het valt niet uit te sluiten dat zij wel op internet komen en dus een 0day exploit op jouw netwerk deployen.

@Gert, 1day exploit dan, of 6day, maakt voor het voorbeeld niet uit, hier wordt iedere week geupdate.

[Reactie gewijzigd door MeNTaL_TO op 25 juli 2024 00:51]

Gert @MeNTaL_TO • 22 augustus 2011 15:55

De definitie van een 0day virus is dat er geen definities zijn dus al update je elk 2 ms, dan pis je nog naast de pot.

fdh @Metalrick • 22 augustus 2011 15:47

Indien de opmerking over de virusscanner inderdaad op de servers slaat, dan weten we nu ook dat ze windows gebruiken.

Maar dan nog kunnen ze toch op de firewalls rules gaan definiëren dat er wel toegang mogelijk is tot de site van de vendor of tot een interne server die als update server dienst doet (bv Symantec Endpoint Protection of Mcafee orchestrator)

daft_dutch @fdh • 22 augustus 2011 16:59

een Server MOET sowieso andere virus scan software hebben als je Desktop software.
En dat de server altijd 100% uptodate moet zijn voor virussen is ook complete onzin.
Dat moet elke keer voordat je een backup maakt. En als er een virus wordt gedetecteerd. De hele machine purgen en de backup terug zetten.

Daarbij mag een Server alleen zijn dedicate software draaien. De kans dat daar een virus in zit dat wordt mee genomen in je willekeurige virus definitie is minimaal. Zeker omdat een Server veel vatbaarder voor een Worm of handmatige hack attack is dan een virus. En daar helpt je virussoftware echt niet voor.

fdh @daft_dutch • 22 augustus 2011 17:44

waar haal je vandaan dat een server een ander anti-virus pakket moet draaien dan de clients?
Waarschijnlijk dat je wel een andere policy zult opzetten voor de servers, maar een ander pakket?

De meeste, zo niet alle, anti-virus pakketten kunnen ook wormen detecteren.

BoringDay @daft_dutch • 22 augustus 2011 18:44

Tot op het moment dat een nieuwe onbekende virus binnentreed en ingrijpen te laat is?
Op een systeem als Windows moet dat natuurlijk altijd up-to-date blijven!

Auteur

Joost @Metalrick • 22 augustus 2011 15:46

Waarschijnlijk hangt dat systeem niet rechtstreeks aan het internet

Hoe denk je dat opsporingsdiensten 2,6 miljoen gegevens per jaar opvragen? Er gaat echt niet voor elk verzoek iemand met een usb-stick naar de servers toe.

bzerk @Joost • 22 augustus 2011 15:56

Dat hoeft ook niet. Het "systeem" (de database) hangt niet rechtstreeks aan het internet. Opsporingsdiensten kunnen misschien verbinden via een API (webservice, XML-RPC, SOAP) die wel aan het internet hangt. Dat heet een 3-tier architectuur.

MeNTaL_TO @bzerk • 22 augustus 2011 16:08

Je kan er nog zeveel front- of backends tussenzetten, zolang er een verbinding tussen die servers zit, kan er een besmetting plaats vinden, zelfs op een 3-tier omgeving.

MSalters

Politiek en recht

@MeNTaL_TO • 22 augustus 2011 16:43

Met Hollywood ICT, misschien. Als er een fatsoenlijke HTTP firewall tussenzit, dan wordt elk niet-HTTP pakketje bij de firewall gedropt. En er zijn geen virussen die via HTTP server kunnen worden verspreid,

Dan houd je evengoed nog zaken als SQL injectie over, wat ook ongewenst is, maar daarvoor maakt het niet eens uit of je een virusscanner hebt.

MeNTaL_TO @MSalters • 22 augustus 2011 18:29

En een SQL injection kan natuurlijk niet via een trojan oftewel, precies mijn punt, zolang er een netwerk tussen zit kan je er mee verbinden.

CabezaDelZorro @MSalters • 22 augustus 2011 19:21

Dat soort systemen kunnen altijd nog aangevallen worden door malformed http pakketjes waar bijvoorbeeld achterliggende http server gevoelig voor is. Hiermee kan bijvoorbeeld een DOS attack worden vergemakkelijkt. Of misschien zelfs (god forbid) buffer overflow/underrun en remote execution.

De kans op het laatste is vrij gering in verhouding met de SQL Injection die er hoogstwaarschijnlijk in dat soort systemen zitten (als ik de laatste tijd het nieuws hier op tweakers zo volg dan is er elke week wel weer een overheidsinstelling of semi publieke instantie die dat niet voor mekaar blijkt te hebben).

BoringDay @Joost • 22 augustus 2011 18:43

Dat creëert wel weer werkgelegenheid ... dus waarom ook niet

dusti @Metalrick • 22 augustus 2011 15:44

En hoe worden de gegevens dan opgevraagd? iemand die dit manueel doet?
lijkt mij eerder dat er clients mee kunnen verbinden gezien ze daat in het artikel ook melding van maken:
<quote>Het is onduidelijk om welke virusscanner het gaat: mogelijk gaat het om de virusscanner op de servers van het CIOT-systeem, maar het kan ook zijn dat de audit zich richt op clients in de organisatie.</quote>
via die clients kunnen derden (bv opsporingsdiensten) informatie opvragen;

jDuke @Metalrick • 22 augustus 2011 15:53

Er is laatst nog een rapport geweest van een beveiligingsbedrijf dat de zogenoemde "Airgap" (fysieke scheiding van de netwerken) onrealistisch is terwijl mensen denken dat die er wel zijn. Zelfs in energiecentrales en andere zeer kritische systemen zijn (in)direct met het internet verbonden. Ze werken wel met een eigen netwerk, maar via een ander punt worden 2 netwerken weer aan elkaar geknoopt etc...

[Reactie gewijzigd door jDuke op 25 juli 2024 00:51]

Verwijderd 22 augustus 2011 15:49

dit rapport?

http://www.rijksoverheid....ot-en-omgevingen-2009.pdf

Of mischien een jaar nieuwer, hier staat het verhaal over de virusscanner ook al in.

Wim-Bart @Verwijderd • 22 augustus 2011 16:06

Er staat een verwijzing naar het rapport van 2008.

Wim-Bart 22 augustus 2011 15:44

Op zich is er niks mis met handmatig updaten, of handmatig een update goedkeuren binnen grote organisaties. Hoe vaak komt het niet voor dat je denkt bijgewerkt te zijn omdat alles automatisch gaat en je er dan achter komt dat het niet zo is. Hiervoor zijn er heel veel procedures te maken om er voor te zorgen dat alles wel bijgewerkt is, ook handmatig.

Tevens kan het van levensbelang zijn om handmatig up te daten. Zeker gezien het feit dat iedere mutatie, handmatig of automatisch in zekere zin een change is (ITIL) en een risico is. We hebben dat gezien door virus scanners die een systeem helemaal kapot maken door een verkeerde definitie van de fabrikant. Geen beheerder wil zo een drama hebben wanneer je smorgens op het werk komt en opeens met 20 servers het niet meer doen. Of een telefoontje/sms snachts krijgen dat al je servers onderuit zijn gegaan.

Daarnaast is het ook schrikken wanneer je opeens 4000 desktops/laptops hebt die het niet meer doen. Handmatig goedkeuren heeft zo zijn voordelen. Maar tja, in deze wereld moet alles automatisch en hebben de theoristen (samenvoeging van theoretici en terroristen) denk ik te weinig praktijk ervaring en moet alles volgens een boekje.

In mijn opinie is er binnen grotere bedrijven altijd een centraal punt wat updates binnen haalt, voor systemen maar ook virus scanners, en er altijd iemand die de update test voordat het "automatisch" wordt doorgevoerd binnen de organisatie. Beetje lullig als een sql server database bestand opeens als virus wordt aangemerkt (hoewel je je mag afvragen of de exclusions dan wel goed staan, maar dat is een ander verhaal).

Dabono 22 augustus 2011 16:16

Als er 2,6 miljoen keer in een jaar gegevens opgevraagd worden, vraag ik me ook af waarvoor. Er zullen toch niet 2,6 miljoen potentiële strafzaken zijn?

MSalters

Politiek en recht

@Dabono • 22 augustus 2011 16:46

Verdachte A heeft met X gebeld, heeft X vervolgens misschien met verdachte B gebeld? Want dat kan wijzen op een verband tussen verdachten A en B. Je moet daarvoor wel alle gegevens opvragen van iedereen met wie A gebeld heeft. Het wordt nog problematischer als je niet twee, maar drie nivo's of meer diep gaat zoeken: het aantal gegevens loopt dan (letterlijk) exponentieel op.

mashell @Dabono • 22 augustus 2011 17:09

2,6 miljoen klinkt als veel. Maar misschien moet het per gesprek worden opgevraagd. Ik denk dat een beetje criminele mastermind wel meer dan 10 gesprekken per dag voert. En als je dan zoals MSalters stelt naar kruisverbanden zoekt op meerdere niveau's gaat het heel hard. Misschien is 2,6 miljoen aanvragen wel volstrekt nomaal voor 10000 onderzoeken per jaar. Zonder gedetaileerde kennis is dat lastig te zeggen.

Sundog

@mashell • 22 augustus 2011 17:56

Als er 2,6 miljoen keer in een jaar gegevens opgevraagd worden, vraag ik me ook af waarvoor. Er zullen toch niet 2,6 miljoen potentiële strafzaken zijn?

Er zijn maar 2 soorten aanvragen mogelijk:
- Een gegeven met als antwoord de rest van de gegevens. (Bijvoorbeeld: een telefoon nummer als aanvraag, het antwoord is dan de naam, adres, telecom aanbieder etc die hierbij hoort, maar in dit voorbeeld dus geen IP adressen etc)
- Een postcode en huisnummer, met als antwoord alle gegevens die daar bij horen (telefoon nummers, IP adressen, welke aanbieders etc...)

Maar omdat deze gegevens dagelijks geupdate worden, zal er vaak meermaals een aanvraag gedaan worden gedurende een onderzoek. Zeker bij onderzoeken waar bijvoorbeeld een IP adres een rol speelt zal men dus dagelijks moeten opvragen welke IP adressen bij een verdachte horen.
Bovendien is deze database altijd een snapshot, er worden geen historische gegevens bewaart. Men kan dus niet zien welk IP adres een verdachte had op dag X.

2,6 miljoen klinkt als veel. Maar misschien moet het per gesprek worden opgevraagd..

Deze database bevat geen gesprekken of verkeers gegevens, "alleen" de administratieve gegevens zoals NAW, IP adressen, telefoon en internet aanbieders etc...

[Reactie gewijzigd door Sundog op 25 juli 2024 00:51]

MaZeS 22 augustus 2011 15:27

"volgens de norm moet de virusscanner op elk moment up-to-date zijn".
Mooie norm is dat..Je kunt nooit exacte gelijk lopen. Er wordt altijd met vaste intervallen gekeken of er updates zijn...
Wanneer is deze interval echter te lang? Moet er minimaal ieder uur gezocht worden naar updates? Iedere dag? Iedere week?

@Hieronder:
aardig "real-time"... Alweer zo'n vage term.
Als je eisen/normen stelt moeten deze gewoon meetbaar zijn. Een push-systeem is inderdaad een optie, maar dat is vast niet zoals ze het in gedachten hadden toen ze de norm bepaalden.
In de basis ben ik het dus met je eens; 1x per uur is in principe genoeg. Maar dan hadden ze dit ook gewoon zo in de norm moeten zetten.

[Reactie gewijzigd door MaZeS op 25 juli 2024 00:51]

Verwijderd @MaZeS • 22 augustus 2011 15:39

Deze "norm" is niet volledige onzin. Er zijn verschillende beheer software pakketten die dit voor je kunnen automatiseren. Mcafee EPO bijvoorbeeld kan met een push direct genotificeerd worden dat er een update beschikbaar is. Daarnaast kun je aangeven dat deze eerst naar een groep test gebruikers moet worden uitgerold waarna het geautomatiseerd (na een bepaalde tijd) wordt uitgerold naar de rest van de organisatie.

Overigens ben ik het wel met The Zep Man eens dat dit probleem kleiner is dan het negeren van de audit rapporten. Waarom hou je audits als je ze toch niet opvolgt.

Permutor @Verwijderd • 22 augustus 2011 17:40

McAfee ? Dat pakket dat met v8.8 een BSOD geeft in combinatie met DG.
Soms, dus vaak niet. En dat maakt testen erg lastig.

Dat was op de client weliswaar, dus (mogelijk) niet op een server, maar het zet grote vraagtekens bij het automatisch pushen van nieuwe software.
OK, we hebben het hier over virusdefinities en niet meteen de software zelf. Maar hadden we laatst niet een case waarbij een essentieel Windows onderdeel als virus herkend werd en automagisch verwijderd?

locke960 @Permutor • 22 augustus 2011 21:05

Je pushed het eerst uit naar een testgroep. Als er iets zwaar fout is dan merk je dat heel snel in de testgroep.

Een probleem zoals jij vermeld, "soms een BSOD" merk je misschien niet op in je testgroep maar dat betekent dan ook dat het geen showstopper zal zijn. Sommige clients crashen misschien maar de organisatie overleeft dat wel en kan er waarschijnlijk wel omheen werken..

Uiteindelijk komt het neer op het afwegen van het ene risico tegen het andere.

Ik vermoed dat dat ook de reden is om geen harde update frequentie in de eisen te zetten. De ene situatie is de andere niet en dit geeft de beheerders de mogelijkheid een eigen afweging te maken. Het is dan natuurlijk wel zo dat de gekozen update frequentie en methode goed gemotiveerd moeten kunnen worden.

Zelfs voor handmatig eens per week updaten zou een geldige reden kunnen zijn, maar zoals eerder al gezegd, niets doen met eerdere audit rapporten is een veel groter probleem en dat geeft voor mij aan dat die goede motivatie er ook wel niet zal zijn.

Raymond Deen @MaZeS • 22 augustus 2011 15:39

Er lijkt slechts een zin genomen te zijn uit de tekst en niet de context.

Op elk moment gelijk lopen is natuurlijk niet mogelijk, maar elk uur de definities updaten is ook aardig "real-time", dus een beetje flauw.

Soepstengel

@Raymond Deen • 22 augustus 2011 15:42

Gebruiken deze kritieke databases dezelfde soort virus scanners als wij thuisgebruikers? Dat mag ik toch hopen van niet! Kunnen virus definities niet gepushed worden voor dit soort systemen zodat ze echt real time geupdate worden?

Verwijderd @Soepstengel • 22 augustus 2011 16:23

NOD32 pushed real time updates naar zijn virusscanner. Dus het is zeer zeker wel mogelijk je virusscanner op elk moment up to date te hebben. In elk geval dezelfde versie als de leverancier. Dat wil natuurlijk nog niet zeggen dat elk virus 100% wordt gedetecteerd...

Wel erg laks in elk geval deze houding. Maar goed: ze vinden het verzamelen en gebruiken van onze gegevens ook veel belangrijker dan er zorgvuldig mee omgaan. Laten we eerlijk zijn: de politie treedt de wet regelmatig met voeten en het CBP kan dan alleen maar "foei, dat mag niet!" zeggen...

Verwijderd @Verwijderd • 22 augustus 2011 17:29

Je bent nooit 100% up to date, zelfs niet met push technologie. Er moet eerst een nieuw virus gevonden worden, wil er een definitie voor komen (tenzij deze op basis van gedrag geblokkeerd wordt). Dus je bent altijd vatbaar voor een aantal van de nieuwste virussen. Push technologie klinkt dus erg mooi, maar is niet HET antwoord. In zeer grote omgevingen gaat het je daarnaast weinig tijdswinst opleveren, mocht je bij nood alle systemen van de nieuwste updates willen voorzien. Zelfs als je zegt Update Now, praten we over marginale tijdswinst ten opzichte van scanners die gespreid elk uur checken.

melcon @Verwijderd • 23 augustus 2011 11:18

Daarnaast, moet je dat wel willen? Het komt ook wel voor dat de definities je windows installatie slopen (mcafee?).

TheGhost @Soepstengel • 22 augustus 2011 16:25

Uiteraard kun je virus definities pushen. Een beetje zichzelf respecterend bedrijf heeft een virusscanner die een beheerders console/server heeft. Daar worden de updates 1x in de zoveel tijd opgehaald (iets wat goed in te regelen is en dingen als 1x per uur zijn dus makkelijk mogelijk) en zo intern verspreid op elk zelf te bepalen moment van de dag.

blouweKip @Soepstengel • 23 augustus 2011 04:30

Laten we hopen dat dat niet het geval is (en ik neem aan dat het ook geen windows server betreft), verder lijkt me het handig als dit soort databases niet direct aan het internet hangen.

Wim-Bart @MaZeS • 22 augustus 2011 16:09

Elk moment up to date is een utopia. Neem als voorbeeld sophos, deze heeft twee soorten updates, een Definitie update en soms een engine update. De eerste maak ik me nooit zorgen over, maar de tweede wil je nooit zo veel keer per dag hebben. Die heb je liefst gecontroleerd gedistribueerd na handmatige controle.

BoringDay @MaZeS • 22 augustus 2011 18:40

Wat is er vaag aan 'Real-time' ?
1x per uur scannen betekend dat je c.a. 40 minuten kans hebt dat er een virus naar binnen glipt.

Real time monitored continue.

Betere oplossing is een systeem draaien die niet zo virus gevoelig is.

Verwijderd @BoringDay • 23 augustus 2011 18:47

Wat is er vaag aan 'Real-time' ?
1x per uur scannen betekend dat je c.a. 40 minuten kans hebt dat er een virus naar binnen glipt.

Real time monitored continue.

Betere oplossing is een systeem draaien die niet zo virus gevoelig is.

Maar het probleem is dat 99% van ons ramen gebruikt in plaats van een halve appel of een pinguin

Cafe Del Mar

@MaZeS • 22 augustus 2011 15:42

Technisch gezien heb je gelijk. Zelfs als je elke seconde checkt, ben je nog niet in regel. Tussen 2 seconden zitten 1000 milliseconden. 1000 kansen om niet gesyncht te zijn. Technisch gezien. In theorie.

In de praktijk is duidelijk dat virusdefinities 1 keer per week bijwerken nogal dwaas is. Dat is zeker al te lang. In de praktijk lijkt mij (...) 1 keer per uur ook een goeie, veilige marge.

The Zep Man

Internet
Privacy
Politiek en recht
Beveiliging

22 augustus 2011 15:26

De opstellers van het rapport hebben niet alleen kritiek op de virusscanner: zo zijn de afspraken met gebruikers van het CIOT-systeem - de opsporingsdiensten - al sinds 2004 niet meer bijgewerkt, terwijl dat in twee eerdere auditrapporten al is aanbevolen.

Het staat onderaan het artikel, maar dit is eigenlijk veel belangrijker. Het actueel houden en beheren van virusscanners is een technische aangelegenheid en de huidige problemen daarmee zijn relatief makkelijk op te lossen. Het negeren van auditrapporten en het niet bijhouden van afspraken is een menselijk probleem en daardoor vaak groter en moeilijker (terwijl dat, als het wordt opgelost, vaak veel meer vruchten afwerpt dan een enkele technische maatregel).

Daarnaast is onduidelijk of er wordt gecontroleerd of de software van de database up-to-date is en is het volgens het rapport onduidelijk of de statistieken die het CIOT vrijgeeft wel kloppen.

Dat zijn goede redenen voor nader onderzoek.

[Reactie gewijzigd door The Zep Man op 25 juli 2024 00:51]

Verwijderd @The Zep Man • 22 augustus 2011 16:28

Nader onderzoek is niet nodig het systeem moet gewoon verdwijnen.

Een systeem kun je niet voor 100% beveiligen en aangezien dit om erg gevoelige data gaat (ALLE telecomdata van ALLE nederlanders) is de beveiliging juist hier erg belangrijk. Daarnaast:

nieuws: 'Elke maand kwart miljoen verzoeken om gegevens telecom-gebruikers'
nieuws: 'Opsporingsdiensten negeren privacy bij gebruik telecomdatabank'

Het nut van de databank is ook twijfelachtig, er kan geen een case genoemd worden waar deze database de doorslag heeft gegeven bij een onderzoek.

Welkom in de politiestaat die Nederland heet...

Sundog

@Verwijderd • 22 augustus 2011 17:37

(ALLE telecomdata van ALLE nederlanders) .........

Nee, dat klopt niet het CIOT bevat "alleen" gegevens zoals naam, adres, toegewezen telefoon nummers, etc. (En op het gebied van internet, dingen zoals toegewezen IP adressen.)
Het bevat dus geen inhoudelijke data van gespreken of gegevens over wanneer iemand gebeld heeft/is.

Rejo Zenger heeft al meermaals onderzoek gedaan naar het CIOT en het gebruik ervan door opsporingsdiensten. Zijn website heeft meer informatie hierover...

Het nut van de databank is ook twijfelachtig, er kan geen een case genoemd worden waar deze database de doorslag heeft gegeven bij een onderzoek.

Van deze gegevens staat wel vast dat het opsporings diensten helpt bij onderzoek. Deze gegevens zijn bijvoorbeeld nodig om toestemming te vragen tot het afluisteren van telefoon nummers. Of denk aan "Internet" zaken waarbij IP adressen geverifieerd moeten worden...

Ik zeg niet dat dit de enigste of juiste manier is om dit te doen of dat er geen privacy concerns zijn, maar wil alleen maar aangeven dat veel mensen dit verwarren met de bewaarplicht van het feitelijke verkeer door ISP's en telecom bedrijven Daar gaat het hier dus NIET om...

BoringDay @Verwijderd • 22 augustus 2011 18:38

Slecht beheer betekent niet meteen dat je in een politie staat leeft.

Maar ik denk dat degenen die er gebruik van maken voor hun werk beter kunnen beoordelen of het wel of geen nut heeft.

Ik denk dat hun er wel wat genuanceerde over nadenken dat iemand die nog maar net in de maatschappij komt kijken.

Verwijderd 22 augustus 2011 16:27

Wat volkomen onbegrijpelijk is dat de overheid voor gevoelige databases geen gebruik maakt van een besturingssysteem dat niet gevoelig is voor virussen en op maat is gecompileerd en ingericht voor alleen die taken waar het om gaat. Kortom op iets-nix.

Dreamvoid @Verwijderd • 22 augustus 2011 17:05

Genoeg Linux backdoors en trojans de afgelopen jaren...en dan zit je met hetzelfde: worden alle kernelpatches/etc wel op tijd doorgevoerd?

blouweKip @Dreamvoid • 23 augustus 2011 04:36

Toch, uitgaande van competent beheer lijkt me risico minimalisatie dmv gerichte softwarekeuze hier zeker wel van toepassing (gezien de data).

gnu 22 augustus 2011 16:28

Op wat voor server staat het?

Als het een Linux server is heb ik er absoluut geen probleem mee dat het slechts 1 keer per week geupdate wordt.

MeNTaL_TO @gnu • 22 augustus 2011 18:31

Ignorance is a bliss, want Linux heeft absoluut geen exploits, de software erop natuurlijk al helemaal niet.

Skinkie @MeNTaL_TO • 22 augustus 2011 18:39

...en absoluut minder dan Windows. Dus waarom is er voor een bepaalde oplossing gekozen? Dat is een relevante vraag. Niet of er automatisch geupdate moet worden. Want als je de geschiedenis van bijvoorbeeld AVG kent weet je dat je dat nooit in een missiekritisch systeem wilt.

Falcon10 22 augustus 2011 15:46

Zoals Metalrick zegt : het systeem zal eerder niet rechtstreeks aan Internet gekoppeld zijn, waardoor het manueel updaten nodig is, hoewel er niet direct iets over te vinden is.

Ik heb eerder mijn bedenkingen over de audit : als men er al niet van weet of het de server of de clients zijn waarvan de AV niet upto date is.

Tevens, up to date ........ als je te snel meegaat met updates, durf je al wel eens problemen hebben omdat er nog een bug zat in de update. Hebben zelfs de grootste AV leveranciers al eens voorgehad. Om nog maar te zwijgen van specifieke problemen bij combinatie van bepaalde software : AV update werkt perfect op server A en op server B slaagt de server vast door de update. Zelf al meermaals voorgehad. Mag je hopen dat er asap een KB van MS uitkomt met de workaround ofzo, of dat de AV leverancier asap een update uitbrengt. Leuk is anders, dus ik vind 1x per week een update zeker niet erg.

Dysmael 22 augustus 2011 18:02

Belachelijk dat er uberhaupt een waardeoordeel wordt gehangen aan het wel of niet hebben van een anti-viruspakket. Anti-virus software is nergens voor nodig. Op je gateway dien je te zorgen voor een fatsoenlijke UTM oplossing. Blokkeer alles wat niet nodig is (zoals USB toegang etc) en werk desnoods met Filescreening en Applocker. Als je de medewerkers geen Administrator-rechten geeft (wat ook helemaal niet nodig is) en vervolgens ook m.b.v. Applocker vastlegt wat er wel en niet uitgevoerd mag worden dan komt er niets binnen en kunnen medewerkers ook niets starten wat niet op de whitelist staat. Er komt alleen wat automatisering bij kijken, iets wat veel 'automatiseerders' niet kunnen. Die installeren gewoon een Anti-virus pakket en geven vaak Administrator-rechten weg omdat ze niet weten hoe ze bv per registerkey rechten moeten uitdelen.
Een up-to-date systeem (incl. laatste versies van Adober Reader et cetera) in combinatie met beperkte rechten is vele malen effectiever dan een anti-virusprogramma.

Edit:
ofwel: Gesloten systeem m.u.v. de gateway naar Internet. Is er noodzaak om met USB sticks te werken dan deel je als bedrijf zijne zelfs sticks uit die alleen op zakelijke apparatuur gebruikt kan worden en niet op bv thuis-pc's waar je geen controle over hebt.

[Reactie gewijzigd door Dysmael op 25 juli 2024 00:51]

oetelaarNG @Dysmael • 23 augustus 2011 12:33

Ik sluit me grotendeels aan bij deze zienswijze. Verder wil ik opmerken dat automatische updates van 'virus-scanners' zeker een risico met zich meebrengen dat je niet wil in zo'n belangrijke omgeving. Is je vertrouwen de de leverancier van virusscanners, hun DNS en hun distributienetwerk zo veel groter dan in je eigen (controleerbare) systeem? Ik denk dat je de verantwoordelijkheid niet kan afschuiven op een leverancier, die moet je zelf nemen. Updaten doe je eerst in een 'staging' omgeving, na test op je 'productie' omgeving. Ik zou slecht slapen als je virusscanners automatisch update in een productieomgeving.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (69)

Sorteer op:

Weergave: