Virus velt systemen Belgische overheidsdienst Financiën

Systemen van de Belgische federale overheidsdienst Financiën hebben sinds donderdag te kampen met een computervirus. Het zou om een oud maar zichzelf snel verspreidend virus gaan dat de systemen traag maakt en laat uitvallen.

De federale overheidsdienst Finaniciën zou moeite hebben de verspreiding van het Sality.gen-virus onder controle te krijgen. Naast de dienst zouden controle- en ontvangstkantoren en administratiediensten in het hele land ermee te kampen hebben. Computers zouden trager werken of uitvallen. Sality.gen stamt uit 2007 en doorzoekt lokale, externe en netwerkdrives op portable executable-bestanden om te besmetten. Mogelijk gaat het om nieuwe varianten van dit virus.

Gegevens van Belgische belastingbetalers zouden niet in het geding zijn. Het zou dan ook om een relatief onschuldig virus gaan, zegt Eddy Willens, beveiligingsexpert van G Data tegen Nieuwsblad. Wel gaat het volgens hem om een oud virus en geeft dat naar zijn mening te denken over de beveiliging bij Financiën. Het personeel van de overheidsdiensten is gevraagd om geen usb-sticks of externe harde schijven te gebruiken.

IT-banen

Reacties (60)

Judge Fredd 11 februari 2012 12:50

Aangezien ik zelf werkzaam ben op de ICT-dienst van financiën, even enkele zaken uitklaren.

Het virus is vermoedelijk op het netwerk geraakt door een laptop van een externe medewerker. Of die al dan niet een (up-to-date) virusscanner had op zijn laptop is mij niet bekend.

Het is geen oud virus, maar een vrij nieuwe variant van een oud virus, namelijk W32/Sality.gen.z. Deze nieuwe variant is pas sinds 5 december 2011 op het internet opgedoken.

Op alle 35.000 pc's en laptops van de FOD Financiën draait een up-to-date McAfee.

Banath

@Judge Fredd • 11 februari 2012 13:10

Ik vindt het erg gemakkelijk om een externe medewerker maar de schuld te geven.

Ook ik heb in het verleden bij de NL Belastingdienst als externe gewerkt en heb van dichtbij gezien hoe interne medewerkers alle regels met voeten treden.
USB sticks, USB hdd's en laptops van thuis werden rustig aan het netwerk gehangen.
Ontwikkelaars die met windows admin rechten op de werkplek zelf dll's gingen coden en de virusscanner uit zetten omdat ie 'de pc trager maakt' ...

Als externe kijk je wel uit de voorschriften van je opdracht gever te overtreden, daar staat in de clausules van de contractering directe beïndiging van de opdracht op. Terwijl internen beschermd worden tegen ontslag, zelfs in dit soort gevallen wordt dat met 'corrigerende' gesprekken vooraleerst opgelost (?).

En de keuze voor McAfee, zoek eens wat onafhankelijke rapporten op van AV comparatives en je wordt wel wijzer. http://www.av-comparatives.org/
Onafhankelijk onderzoek en juist op de enterprise antivirus pakketten.

[Reactie gewijzigd door Banath op 27 juli 2024 02:18]

Verwijderd @Judge Fredd • 11 februari 2012 13:30

W32/Sality.gen.z is een zeer gevaarlijke backdoor.

kimborntobewild @Verwijderd • 11 februari 2012 18:28

Dat is elke backdoor.

MrQuincle @Judge Fredd • 11 februari 2012 13:03

Vreemde term "op het netwerk geraakt" die ik al sinds dat ik leef hoor gebruiken. Ik neem aan dat er niks in de routers is aangepast, dus dat het gewoon van die laptop van die externe medewerker naar een machine is verkast.

Ik zal eens een leuke gadget laten rondslingeren daar. Eens kijken hoe lang het duurt voordat het is aangesloten op jullie netwerk... Dat dit al met een - dom - virus kan, voorspelt niet veel goeds. Dan zitten er waarschijnlijk al aardig wat niet goedbedoelende mensen mee te kijken.

Verwijderd @Judge Fredd • 11 februari 2012 15:13

Waarom laat met externe computers laptops dan op het Netwerk? Dit is toch echt het minste!!! en het uiterste!
zo een kritsch "bedrijf" "instantie" is spelen met vuur..

Dit had voorkomen kunnen worden, door autorun uit te schakelen.. externe media uit te schakelen, usb sticks, cdroms, bluetooth etc.. in het netwerk geen wifi toelaten.. Het is verdorie een overheids instantie van financien!!! Stelletje prutsers!

[Reactie gewijzigd door Verwijderd op 27 juli 2024 02:18]

DrPoncho @Verwijderd • 11 februari 2012 15:51

Captain Hindsight to the rescue!

segil @Judge Fredd • 11 februari 2012 16:32

Aaaii, succes! Dat ding heb ik vorige week ook op 1 computer gehad en gelukkig heel snel van het netwerk af weten te halen. Hij is wel makkelijk te detecteren, maar een ramp om op te schonen.

kimborntobewild @segil • 11 februari 2012 18:31

M.a.w: een ramp om op te schonen heb jij heel snel gedaan. Is dit een soort 'pet on the own back'?

Verwijderd @Judge Fredd • 11 februari 2012 18:17

nou dan wordt het heel simple denk ik...

worm maken op cd branden/usb deze voor de deur leggen van een kantoor met de tekst 20 000 acounts en vertrouwlijk er op zetten..

moet je eens kijken snel je toegang heb op dat systeem..

bedoel als dat al mogelijk is.. is dit helemaal mogelijk..

freggy 11 februari 2012 14:24

Wel geeft het feit dat het om een bejaard virus gaat volgens hem te denken over de beveiliging bij Financiën.

Deze uitspraak lijkt me erg voorbarig: er zijn weldegelijk recente varianten van dit virus, dus misschien ging het wel om een gloednieuwe variant die nog niet gedetecteerd werd.

rookie no. 1 11 februari 2012 13:23

Waarom alleen reacties over de virusscanner? Het gaat niet alleen om een virusscanner, dit soort dingen kun je tegenhouden door een pakket aan maatregelen zoals bv. policies (geen USB-sticks/disks, auto-run disabled, etc.), zoiets als NAP (Microsoft, maar er zijn meerdere gelijksoortige oplossingen), restricted user-permissions, vlans voor unmanaged clients, goed geconfigureerde INTERNE firewalls, etc. etc.

Het is heel makkelijk een virusscanner af te zeiken, maar kijk even wat verder voor de daadwerkelijke oplossing.

ebia @rookie no. 1 • 11 februari 2012 14:05

Je hebt absoluut een punt. Ook al die andere dingen zijn van belang om een netwerk verder secure te maken, ook van binnenuit zoals je aangeeft (wat nogal eens onderschat wordt).

Echter is een AV (end-point) product wel de belangrijkste en eerste schakel om dergelijke grootschalige virusinfecties te kunnen detecteren en te verwijderen, en daarmee dus te voorkomen.

Rinzwind @ebia • 11 februari 2012 15:02

Nope een AV scanner is niet de belangrijkste schakel, zelfs niet te vertrouwen. Elk product laat flinke steken vallen. En als je een variant schrijft heb je goede kans dat ie niet ontdekt wordt. Heuristics vallen niet mee om effectief en praktisch te implementeren.
Wat wel helpt is bijv software restriction policies. Dat en een up-to-date OS (direct updaten!) scheelt enorm en helpt meer dan welke virusscanner dan ook.

kimborntobewild @ebia • 11 februari 2012 18:50

Echter is een AV (end-point) product wel de belangrijkste en eerste schakel om dergelijke grootschalige virusinfecties te kunnen detecteren en te verwijderen

Absoluut niet! Een AV is juist de laatste schakel waar je op wilt vertrouwen! Eerst zet je alles zo goed mogelijk dicht, goede policies etc, en dan evt. een virusscanner erbij als je baas je gedwongen heeft een OS te nemen die daar gevoelig voor is.
Als iemand denkt dat je in de eerste plaats afhankelijk bent van een AV, dan ontbreekt er echt iets basaals in de ICT-opleiding van betreffende.

[Reactie gewijzigd door kimborntobewild op 27 juli 2024 02:18]

kimborntobewild @rookie no. 1 • 11 februari 2012 18:36

auto-run disabled

Als je een policy nodig hebt die dat uit moet zetten (m.a.w: als het standaard aan staat), kan je er donder op zeggen dat het een keer fout gaat.
Als jij het niet zelf vergeet, dan wel je buurman beheerder een bedrijf verderop.

Je basis moet hardstikke dicht zitten, en vervolgens moet je moeite doen om het open te zetten. Als het andersom is... Weet je zeker dat het een keer fout gaat.

[Reactie gewijzigd door kimborntobewild op 27 juli 2024 02:18]

kimborntobewild 11 februari 2012 16:14

Het is ook niet bepaald slim zulke belangrijke zaken op Windows-bakken te draaien.
Het is ook niet voor niks dat notabene Microsoft zelf zegt dat je geen Windows moet draaien voor medische of militaire systemen. Ik zou er zelf aan willen toevoegen: ook niet voor financiële- en nuts-bedrijven en andere systemen die nodig zijn voor grote groepen mensen.

Zer0 @kimborntobewild • 11 februari 2012 16:25

Ten eerste, heb je ook een link om die bewering over Microsoft te ondersteunen?
Ten tweede, wie zegt dat het daadwerkelijke financiële systeem op Windows draait? Afaik gaat het om de werkstations die besmet zijn, niet het financiële systeem.

Om nog even terug te komen op het feit dat Microsoft zou zeggen dat je geen Windows moet gebruiken voor medische systemen: http://www.microsoft.com/health/en-us/Pages/index.aspx
De Medische divisie van Microsoft zal daar anders over denken...

[Reactie gewijzigd door Zer0 op 27 juli 2024 02:18]

Verwijderd 11 februari 2012 12:02

Of er is een oud virus gebruikt voor de stub... en de nieuwe zit daar in..

Pruts0r 11 februari 2012 12:20

Dit is toch wel zwaar triest. Het gaat hier nog om een oud en onschuldig virus. Maar met de kennis dat virii zich als een lopend vuurtje verspreiden zullen malafide hackers natuurlijk de handen uit de mouwen steken om eens een 'nuttig' virus te schrijven. Zoeen die de belastinggegevens van iedereen in Belgie eens fijntjes uitpluist en wegschrijft naar een mooie torrent.
Je mag hopen dat hierop kamer vragen volgen, dat het IT management wordt vervangen en dat eens goed word geëvalueerd hoe zoiets zou kunnen gebeuren.

danielmi 11 februari 2012 13:19

Hoe kan het dat een virus uit 2007,
dan wel misschien in 2011 geüpdatet nog zoveel uit kan halen.
Je zou verwachten dat de viruscontrole van de Belgische overheid op deze computers goed zal zijn.
Ook al zijn het niet de belangrijkste computers.

Verder lees ik hierboven dat ze gebruik maken van MacAfee,
uit meerdere testen is bij mij gebleken dat ze echt de beste niet zijn.
http://www.security.nl/artikel/18258
Dit is al jaren zo en verandert naar mijn idee ook niet.

Eindconclusie:
Verkeerde anti-virus en personeel dat niet oplet wat ze op de computer zetten.

Verwijderd 11 februari 2012 13:26

Waarom moet er ook op ieder bureau een PC staan?

Wil je een betrouwbaar en veilig systeem dan kun je volgens mij beter gebruik maken van iets als openVMS met domme terminals.

bastian433 11 februari 2012 13:31

Ik verbaas me dat het heeft kunnen verspreiden als ik er over nadenk, dan is er ook iets anders mis. Ook geen vlans en dergelijke aanwezig, mogelijk adminrechten voor iedereen?
maar ook 35000 desktops, kan daar niet een groot deel van met thin clients werken zonder USB rechten? als ik aan 500 desktops denk met een virus wordt ik al gek.

danielmi @bastian433 • 11 februari 2012 13:42

Ik denk dat het virus zich via de server heeft verspreid.

Verder een reactie op rookie no. 1:

Het is heel makkelijk een virusscanner af te zeiken, maar kijk even wat verder voor de daadwerkelijke oplossing.

Je hebt niet naar m'n conclusie gekeken,
Het komt door onwetendheid van personeel die,
verkeerde bestanden hebben op hun usb.
De virusscanner had het bestand in quarantaine moeten zetten,
dan had het zich niet kunnen verspreiden over zoveel pc's.

Verder was de server die de pc's verbonden,
dan ook niet goed beveiligd.

Verwijderd @bastian433 • 12 februari 2012 10:16

Het lijkt me sterk dat er 35000 PC's in hetzelfde VLAN zitten...
De adminrechten voor iedereen is een aanname, die mij overigens belachelijk lijkt, maar goed...

Over die thin-clients heb je een goed punt, dat zou een hoop ellende kunnen schelen. Al is het omzetten van zo een grote omgeving natuurlijk geen makkelijke klusje voor een zaterdagochtend.

Verwijderd 11 februari 2012 12:00

Een oud virus.. Ik denk dat we met een gerust hard het woord prutsers mogen noemen..

Ben wel benieuwd hoe dat virus binnen is gekomen.

Blokker_1999

België
Netwerk en systeembeheer

@Verwijderd • 11 februari 2012 12:02

Ik gok via een externe data drager. Dit virus zet zich op alle externe dragers met een autorun.inf. En dan kan het snel gaan wanneer de virusscanner slecht staat ingesteld.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (60)

Sorteer op:

Weergave: