Minister: aanpak Dorifel-uitbraak richtte zich op 60 domeinnamen

Het Nationaal Cyber Security Centrum heeft bij de bestrijding van de Dorifel-virusuitbraak circa zestig domeinnamen aangepakt. Ook zijn tien notice and takedown-verzoeken verstuurd naar servers in Oostenrijk, VS, Vietnam en Rusland.

Dat meldt minister van Veiligheid en Justitie Ivo Opstelten in antwoord op Kamervragen. Volgens Opstelten heeft het Nationaal Cyber Security Centrum de Dorifel-uitbraak onder controle weten te krijgen door actief domeinnamen te blokkeren of om te leiden. Daarvoor zijn circa zestig domeinnamen aangepakt. Naar serverbeheerders in Oostenrijk, VS, Vietnam en Rusland zijn notice and takedown-verzoeken verstuurd om command & control-servers van het achterliggende Citadel-botnet uit de lucht te halen. Verder hebben Nederlandse isp's diverse ip-adressen geblokkeerd die gebruikt werden om de malware te verspreiden.

Het ministerie meldt dat er van dertig organisaties bekend is dat zij zijn getroffen door Dorifel, maar dat het vermoedelijke aantal fors hoger ligt omdat veel instellingen en bedrijven hier geen ruchtbaarheid aan willen geven. De minister schrijft verder dat uit de blootgelegde logdata van de malware blijkt dat er circa 3500 systemen besmet zijn geraakt met Dorifel, waarvan 90 procent in Nederland. Volgens Opstelten zijn Windows-computers van zowel het bedrijfsleven als de overheid getroffen, vermoedelijk in een evenredige verhouding.

Dorifel zal naar verwachting de komende weken nog hier en daar worden aangetroffen omdat de beheerders van het Citadel-botnet zouden pogen de infrastructuur te herstellen. Verder wil de minister niet zeggen of de personen achter het Citadel-botnet gepakt kunnen worden omdat het opsporingsonderzoek nog loopt.

De vragen werden door diverse Kamerfracties gesteld naar aanleiding van de Dorifel-virusuitbraak. De malware wist in augustus de netwerken van diverse overheidsorganisaties en publieke instellingen te verstoren. Het virus versleutelde Word- en Excel-documenten op netwerkshares en veranderde de extensie van de documenten naar '.scr', de Windows-extensie voor screensavers. De malware werd aanvankelijk niet door virusscanners herkend.

IT-banen

Reacties (27)

Soldaatje 23 september 2012 14:42

Zucht.
Zijn er eigenlijk bedrijven in Nederland die is een keer iets anders gebruiken dan Windows bijvoorbeeld Linux, en dan niet voor servers maar voor desktops?
Wat is de reden hierachter toch? Is het zo moeilijk om voor kantoortoepassingen te migreren?
Verder wel goed dat er zo opgetreden wordt maar het zou allemaal wat minder kunnen als de systemen überhaupt niet kwetsbaar zouden zijn.

Wulfklaue @Soldaatje • 23 september 2012 15:02

Zelf Linux is kwetsbaar hoor. Het probleem is gewoon omdat Linux vooral op Server ingezet word, dat je minder open configuraties hebt omdat server over het algemeen beheerd worden door mensen met enige kennis. Waarbij op Desktop gebied heb je veel meer last van dat ding dat tussen het keyboard zit & de stoel, en dat "ja" klikt op alles.

Linux heeft constant ook een ganse resume bugs ( er zijn dedicated websites waar je kan zien hoe je moet inbreken op x versie van linux, tot zelf root mogelijkheden ). Maar over het algemeen is het makkelijker als je iemand gewoon toestemming laat geven, voor je virus / trojan te laten installeren, dan via een buffer overflow, of andere toestanden binnen probeert te geraken.

Vervang iedere PC door Linux, en je zal hetzelfde probleem hebben zoals met Linux. Ja, de schade onder Linux is meer beperkt, omdat men vaak een beter onderscheid maakt tussen root & user niveau. Maar zelf dat is niet zo heilig beestje zoals je denkt.

Ik beheer verschillende servers, en op een dag, merk ik op dat op één van de VM's van de server, iets niet correct is. Yep ... zat een beestje op. Wat bleek, de gebruiker van de VM had root op deze VM ( wat logisch is ), zijn password was zodanig zwak, ... Je kan niet alle mensen hun handjes gaan vasthouden.

M.a.w, of men nu Linux of Windows draait, en ze gaan naar een website waar een popup verschijnt: Wilt u een gratis test versie van Office 2020 uitproberen? Ja/Nee ... Stap 2: Om deze software te installeren, dienen we root toegang. Ja/Nee. Zullen veel mensen voor vallen.

Is Linux meer veilig. Ja. Is het eindgebruiker veilig: Nee. Persoonlijk ben ik zelf blij dat de virus schrijvers hun focussen op Windows. Want dat betekend dat de Servers waar de meeste op Linux draaien, minder onderhevig zijn aan mogelijk aanvallen zoals 0-day exploits.

En laten we eerlijk zijn. Windows is ook redelijk veilig. Ik draait al zoveel jaren Windows op men Desktop, en virussen = 0. Gewoon omdat je effen je kop gebruikt, bepaalde software zoals IE niet gebruikt ( op het testen van je eigen websites na ), en niet klikt op iedere link/email/whatever.

blorf @Wulfklaue • 23 september 2012 15:25

Vervang iedere PC door Linux, en je zal hetzelfde probleem hebben zoals met Linux. Ja, de schade onder Linux is meer beperkt, omdat men vaak een beter onderscheid maakt tussen root & user niveau. Maar zelf dat is niet zo heilig beestje zoals je denkt.

Dat onderscheid maakt een enorm verschil. Het gaat niet alleen over bestanden maar ook processen, devices en dus verbindingen vallen onder dit strenge permissiesysteem.
Knappe jongen die een botnet maakt bestaande uit Linux nodes. Het "probleem" bij open source is dat je alle activiteiten tot de laatste bit kan uitpluizen.
De meeste verdachte gebeurtenissen vallen bij het routinematig monitoren van je processen, geheugen of netwerk al door de mand, en dan hebben we het nog niet eens over een firewall gehad die binnen Linux redelijk standaard is en het hele verhaal per direct kansloos maakt. Wat natuurlijk wel mogelijk is is een aantal lekke Linux-machines handmatig binnendringen en er cluster van maken die malware verspreid naar Windows computers om een botnet op te bouwen. Dat zal vast hier en daar wel eens als anti-Linux FUD gebruikt worden. Maar remote een serie Linux computers ombouwen tot bruikbare botnet-nodes is voor zover ik weet nog nooit gedaan.

[Reactie gewijzigd door blorf op 26 juli 2024 19:20]

Verwijderd @blorf • 23 september 2012 16:54

De meeste verdachte gebeurtenissen vallen bij het routinematig monitoren van je processen, geheugen of netwerk al door de mand...

Dan zijn we het met elkaar eens dat het maar goed is dat LINUX niet veel gebruikt word door eindgebruikers. Er gaan dagen voorbij dat ik routinematig het geheugen monitor op de machines hier in huis. Dit was tenslotte niet een virus op servers maar op machines van eindgebruikers.

Dit virus was trouwens behendig in het omzeilen van firewalls, die zitten tenslotte ook op alle modernere Windows versies. De firewall die ik op mijn LINUX desktop machine heb is niet veel slimmer dan die in Windows 8.

batjes @blorf • 24 september 2012 10:09

Sinds UAC loopt windows toch beter met een aparte user/kernelspace dan Linux.
Linux kan nog steeds gebufferoverflowd worden, dit is applicatie specifiek. En er draait meer dan genoeg meuk (vooral op desktops, maar ook bij users) als root of met rootgelijke rechten.

Bij je linux, draait er altijd wel een ingelogde root (of soortgelijk) mee op een applicatie of service of iets dergelijks. In Windows is dit dus compleet anders.

maar goed heren, mischien moeten we eens kijken hoe de NT kernel is opgebouwd sinds de complete herschrijving in 2005. En zien waarom zelfs Vista veiliger is dan de meest recente linux distro.

Blokker_1999

Politiek en recht
Overheid
Malware
Netwerk en systeembeheer
Privacy

@Wulfklaue • 23 september 2012 15:37

Alleen zit je in bedrijven normaalgezien met een ICT dienst die alles centraal beheerd inclusief updates, anti virus en instellingen. en zeker bij grotere ICT installaties hebben de gebruikers meestal zelfs geen admin rechten net om een hoop problemen te vermijden.

Een goed virus maakt dan ook gebruik van bugs in de software die het mogelijk maken om een systeem te misbruiken onafhankelijk van de rechten die een gebruiker heeft.

En vergis je niet, ook voor Linux word vandaag al hard gezocht naar exploits en regelmatig duiken die ook op. Ik vind het spijtig dat er vaak zo weinig aandacht voor is. Ik hoor zelfs regelmatig linux gebruikers zeggen dat ze op hun systemen zelfs geen AV hebben draaien en er soms nog trots op zijn ook.

mhkool @Wulfklaue • 23 september 2012 15:49

Mijn dochter speelt graag spelletjes en installeert alles wat er voorbij komt. Mijn moeder snapt gewoon te weinig van computers. Mijn broer is afgestuurde econoom en snapt best wel de basics van een computer maar laat zich ook wel eens verleiden door malware. Kortom, de eindgebruiker is inderdaad een zwakke schakel en er zijn er teveel die niets zoals jij denken om o.a. MSIE niet te gebruiken.

Dus moet je het toch op systeemnivo het probleem aanpakken: op Linux kun je forceren om verilige passwords te gebruiken. Zet die optie dan standaard aan en je gebruiker met zwak root wachtwoord komt niet meer voor.

MsG @mhkool • 25 september 2012 12:15

Maar de gebruiker vult dat niet-zwakke wachtwoord net zo makkelijk in, als een of ander ding daarom vraagt. Dan is het systeem net zo kwetsbaar.

Blokker_1999

Politiek en recht
Overheid
Malware
Netwerk en systeembeheer
Privacy

@Soldaatje • 23 september 2012 14:46

Je hangt vaak van zoveel andere softwareproducten af die enkel beschikbaar zijn onder Windows dat je geen mogelijkheid hebt om voor iets anders te kiezen. Zelfs op gebied van office bied MS Office imens veel meer mogelijkheden dan de alternatieven.

Bijkomend zit je ook nog met ondersteuning. Bedrijven en overheden gaan vaak op zoek naar ondersteuning bij externe bedrijven en die gaan meestal ook enkel op het Windows platform.

En andere OSen zijn ook niet perfect. Als iedereen naar Linux zou omschakelen dan gaan we daar ook veel meer virussen en exploits voor zien.

mhkool @Blokker_1999 • 23 september 2012 15:37

Je hoort vaker dat er dan 'meer virussen voor Linux' gaan komen en dat is maar voor een klein gedeelte waar. Het zit zo: als er meer installaties van Linux komen, zullen criminelen meer investeren om virussen voor Linux te maken. Omdat Linux een volstrekt andere architectuur dan Windows heeft waarbij er een echte scheiding tussen kernel en userspace is, zijn er veel minder zwakke punten waar een virusontwikkelaar zit op kan werpen.

Ander sterk punt van Linux is zijn openheid. Juist omdat de code van bijna alles wat op Linux draait vrij beschikbaar is, worden veiligheidproblemen dmv code reviews door de community gefixt.

Blokker_1999

Politiek en recht
Overheid
Malware
Netwerk en systeembeheer
Privacy

@mhkool • 23 september 2012 16:19

Een stelling zoals deze is boolean in vorm. Waar of niet waar. Het kan nooit een gedeelte waar zijn. Wanneer Linux op de desktop populair word dan zullen er meer virussen komen. Zo eenvoudig is dat. We zien vandaag al in Linux dat er regelmatig patches komen die belangrijke veiligheidslekken dichten. We weten dat er lekken bestaan (hebben) die vanuit beperkte rechten code kunnen uitvoeren met super user rechten en zo schade aanrichten. Dit heeft in het verleden bestaan en zal in de toekomst ook bestaan.

Ja, linux is veiliger van opzet en gevonden fouten worden sneller gedicht, maar er zitten nu eenmaal fouten in die een gevaar vormen voor de veiligheid. Dat zal je met elk stukje software hebben ongeacht het platform of de manier van ontwikkeling. En als er fouten inzitten is het een kwestie van tijd voor ze misbruikt worden.

svenvv2 @Blokker_1999 • 23 september 2012 23:09

Deze lekken bestaan zeker nog. Het rooten van een Android telefoon is niets anders dan doormiddel van een exploit jezelf su-rechten toe te eigenen. Er is al genoeg malware voor Android die dit zelfstandig kan en op die manier serieuze schade kan toebrengen aan een smartphone. Als linux als OS populair wordt dan zullen de huidige Android malware ontwikkelaars zich zonder veel moeite kunnen richten op Linux. Ze hebben namelijk al ervaring.

batjes @mhkool • 24 september 2012 10:05

scheiding tussen kernel en userspace, echt waar? Jij hebt echt geen idee waar je over lult kerel.
in linux kun je als root je kernel om zeep helpen, kost je 3seconden werk. doe dit eens op Windows.(met UAC ingeschakeld) en ik wens je success.

In linux ben je daadwerkelijk een GOD als je root bent. Je kunt de complete kernel spoofen zonder dat je distro dit doorheeft! Zondat dat jij dit doorhebt!

Nogmaals, probeer dat soort ongein eens op Windows, waar je als root/admin wel een god bent, maar erg gelimiteerd in je toedoen dankzij UAC.

MadEgg @batjes • 24 september 2012 11:12

Dit gaat nergens over natuurlijk.

Natuurlijk kun je als root je kernel om zeep helpen. Op Windows kun je als administrator je kernel ook om zeep helpen. Als je een gewone gebruiker bent die het recht heeft om zijn rechten te escaleren tot admin-niveau kun je dat inderdaad niet zonder UAC uit te schakelen of toestemming te geven. Echter als Administrator op WIndows wel.

Je moet ook niet als root werken. Simpel en duidelijk. Een soortgelijk mechanisme als UAC, echter vele malen ouder en beter werkend is het sudo mechanisme waarmee je dat soort praktijken voorkomt.

MsG @MadEgg • 25 september 2012 12:12

En wat als onschuldigprogramma.sh om het wachtwoord vraagt bij Linux? Je kan gebruikers de sudo mogelijkheden vaak niet helemaal afnemen, dan kunnen ze vaak niet eens programma's installeren. Het probleem is helemaal niet het systeem. Het is de gebruiker die we eigenlijk laten werken met dingen en mogelijkheden waar ze compleet geen enkel benul van hebben.

sfranken @Soldaatje • 23 september 2012 14:56

Wij gebruiken en promoten het gebruik van Open Source actief, maar als ik soms de 'headaches' eens zie is het soms maar goed dat de (semi-)overheid gewoon nog op Windows draait.

Je stop mensen in een redelijk vreemd ecosysteem en de kans dat het fout gaat is dan erg groot. Dat moet je bij de overheid niet willen.

Keypunchie

Malware
Beveiliging

@Soldaatje • 23 september 2012 15:11

Zijn er eigenlijk bedrijven in Nederland die is een keer iets anders gebruiken dan Windows bijvoorbeeld Linux, en dan niet voor servers maar voor desktops?

Volgens mij is de desktop(OS)-markt op kantoren, net zoals bij de consument iets van 90% Windows, 9% OS X, 1% Linux.

Wat je wel ziet is dat veel kantoorwerk verschuift van desktops/laptops naar tablets en smartphones. Op zich zit daar zowel voor als nadelen aan om te beheren, maar ik durf te stellen dat de architectuur van mobiele OSsen inherent veiliger is.

[Reactie gewijzigd door Keypunchie op 26 juli 2024 19:20]

batjes @Keypunchie • 24 september 2012 10:16

Dat is het voordeel van Win8 tablets kwa beheer

die kun je gewoon in een AD domein hangen en beheren via AD/GP e.d.

Architectuur van mobiele OSen veiliger? wat dacht je van die jailbreaks en dat rooten?
Iphone 5 is nu al gejailbreaked.

MsG @batjes • 25 september 2012 12:17

Dat zijn exploits die elke keer gedicht worden, dat zal altijd een kat-en-muisspel blijven, code is niet foutloos. Maar het ecosysteem van mobiele telefoons als Windows Phone en iOS lijken mij ook veiliger. Alles wordt getest en gecheckt en daarbuiten kan je niks downloaden. Voor de een een doemscenario voor de ander een walhalla.

Megamind @Soldaatje • 23 september 2012 15:00

Wie gaat de support leveren als 90% van de gebruikers het niet meer snapt? Linux in het normale kantoorsbedrijfsleven is gewoon niet te doen meer.

Blokker_1999

Politiek en recht
Overheid
Malware
Netwerk en systeembeheer
Privacy

@Megamind • 23 september 2012 15:03

Het kan perfect, maar alle software die je nodig hebt moet werken of er moeten evenwaardige alternatieven zijn.

Nieuwe user interface mag niet de beperking zijn. Die heb je bij Microsoft ook. Denken we maar aan de ribbon interface of de Metro Launcher in Win 8

wootah

23 september 2012 14:42

Mooi dat het Nationaal Cyber Security Centrum dit goed heeft aangepakt. Zo'n team is tegenwoordig wel nodig met al die aanvallen.

Maar laten we eerlijk zijn, de impact was toch nog best redelijk groot.

Eypo 23 september 2012 15:06

Wat ik me vooral afvraag: 90% infectie in Nederland...?! Van wie komt dit af? Een overheid of een hacker, maar waarom is gekozen om enkel Nederland aan te vallen.
Wel goed om te zien dat het NCSC money well spend is

Verwijderd 23 september 2012 14:57

Domeinnamen 'aanpakken' is water naar de zee dragen.

ThomasG @Verwijderd • 23 september 2012 15:03

Nee hoor. Zo'n botnet maakt verbinding met een centrale server, welke de commando's geeft. Als botnet maker kun je hardcoded een ip opgeven, maar dan heb je een probleem als je server offline gaat/in beslag wordt genomen, omdat de 'bots' verbinding zoeken met een ip dat niet meer beschikbaar is. Gebruik je een domeinnaam, hoef je slechts het dns entry te wijzigen, en je botnet is weer online. Haal je dus de domeinnaam offline (en de alternative domeinnamen), heb je meteen het botnet deels onschadelijk gemaakt.

pjottrr 24 september 2012 07:57

@ soldaatje;

de reden dat veel overheidsinstellingen niet migreren heeft voor een groot gedeelte met de prijs van een windows desktop te maken. ( surfdiensten )
die is zodanig goedkoop dat een migratie naar linux platform onrealistisch is. Ik geloof dat het om rond de € 5 gaat voor een volledig werkende windows desktop.

Wel heb ik hoop voor de toekomst, als je kijkt dat een groot gedeelte van de applicaties tegenwoordig web-based is. wat in dit geval een migratie makkelijker maakt.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (27)

Sorteer op:

Weergave: