Microsoft: WannaCry toont gevaren opsparen kwetsbaarheden door overheden

Microsoft levert kritiek op het opsparen van softwarekwetsbaarheden door overheden, na de omvangrijke WannaCry-aanval met ransomware van afgelopen weekend. De aanval zou een wake-up call moeten zijn voor overheden, meent de Windows-ontwikkelaar.

Microsoft roept op tot gezamenlijk actie door de tech-sector, klanten en overheden om bescherming te bieden tegen software- en internetaanvallen. Het bedrijf haalt tegelijk uit naar het verzamelen van kwetsbaarheden door inlichtingendiensten.

Microsoft spreekt van een terugkerend patroon van exploits in handen van overheden die uitlekken naar het publieke domein. "We hebben kwetsbaarheden opgeslagen bij de CIA gezien die verschenen bij WikiLeaks en nu treft deze kwetsbaarheid van de NSA klanten wereldwijd", schrijft Brad Smith, voorzitter van Microsoft.

Smith schrijft de publicatie naar aanleiding van de de WannaCry-ransomwarecampagne die vorige week minstens 200.000 computers in 150 landen trof. De ransomware maakt volgens beveiligingsbedrijven gebruik van de 'EternalBlue'-kwetsbaarheid voor Windows die blootgelegd is in de Shadowbrokers-datadump van vorige maand. Microsoft bevestigt dit nu indirect. Het bedrijf heeft de kwetsbaarheden al gerepareerd, maar veel gebruikers hebben hun systeem nog niet bijgewerkt. De aanval trof onder ander ziekenhuizen in Engeland, terwijl ook Q-Park ermee te maken kreeg, onder andere in Nederland.

Het feit dat zoveel computers nog kwetsbaar waren twee maanden na het verschijnen van een patch, toont volgens Microsoft de mate van gezamenlijke verantwoordelijkheid aan die de techsector en klanten hebben op gebied van beveiliging. Microsoft dichtte het via Shadowbrokers naar buiten gekomen beveiligingslek met update MS17-010, maar bracht afgelopen weekend patch KB4015298 uit voor Windows XP, Windows XP Embedded, Windows Server 2003 en Windows Server 2008. Windows 10 is niet kwetsbaar.

Beveiligingsonderzoekers vrezen dat maandag een nieuwe golf besmettingen volgt, als mensen wereldwijd weer aan het werk gaan. Daarnaast is er het risico op het verschijnen van een nieuwe variant van WannaCry, dat ook bekendstaat onder de naam WannCry, WanaCrypt0r 2.0 en Wanna Decryptor. De huidige versie blijkt een killswitch te bevatten, maar bij nieuwe versies hoeft dat niet het geval te zijn.

IT-banen

Reacties (207)

IJzerlijm
15 mei 2017 08:30

De Grote 3 Apple, Microsoft en Google hebben samen bijna 50 keer het budget van de NSA, je zou denken dat ze met al dat geld en de veel grondigere kennis van hun produkten zulke exploits eerder zouden kunnen vinden en patchen.

Faab de nde
@IJzerlijm • 15 mei 2017 09:13

Alleen met geld kom je er niet. Je moet ook een doel hebben die kwetsbaarheden te vinden. Dat vergt een midset die moedwillig iets uit elkaar wilt halen om in te zetten voor uitbuitbare doeleiden.
MS en derglijke kunnen ook zulke mensen aannemen, maar zonder een toepassingsgebied of ondersteuning vanuit een organisatie als NSA/CIA is het niet zeker dat die mensen ook die fouten zullen vinden.

De kritiek van MS op de NSA/CIA is terecht. Ze brengen (hun eigen) bevolking, medische en financiele systemen in gevaar door het niet te melden. Grove nalatigheid heet dat. Of misschien nog ergern, Bewuste nalatigheid.

[Reactie gewijzigd door Faab de nde op 15 mei 2017 09:14]

kimborntobewild
@Faab de nde • 18 mei 2017 11:28

Alleen met geld kom je er niet. Je moet ook een doel hebben die kwetsbaarheden te vinden. Dat vergt een midset die moedwillig iets uit elkaar wilt halen om in te zetten voor uitbuitbare doeleiden.
MS en derglijke kunnen ook zulke mensen aannemen, maar zonder een toepassingsgebied of ondersteuning vanuit een organisatie als NSA/CIA is het niet zeker dat die mensen ook die fouten zullen vinden.

Juist MS zou het doel moeten hebben de lekken te vinden die in hun eigen Windows zitten! Ze prutsen maar wat aan (bij het programmeren); het is al tientallen jaren 't zelfde liedje bij Microsoft: functionaliteit gaat boven veiligheid. Economisch gezien goed; moreel gezien niet.
Er zitten dermate vaak lekken in Windows, dat de overheid juist zou moeten optreden en véél hogere eisen stellen aan Microsoft. Maar dat doen ze dus met opzet niet, en dat zal meerdere redenen hebben:
1: De overheid wil juist dat er veel lekken in zitten, zodat ze vele zer days kunnen gebruiken.
2: Economisch motief: in de VS houdt men er niet van als de overheid je verteld hoe je zaken moet doen. 'Vrije' markwerking. Veiligheid voor consument en milieu zijn ondergeschikt, terwijl dat juist de basis zou moeten zijn.
(Maar als een bedrijf (zoals bank of autofabrikant) failliet dreigt te gaan, ja dan moeten opeens alle belastingbetalers bijspringen... Eigenlijk is dat ook al zo in het 'vrije markt'-denken: uiteindelijk worden daarbij de bedrijven indirect betaald door ook de belastingbetalers die niks met zo'n bedrijf te maken willen hebben: nl. de kosten om 't milieu later weer op te schonen (terwijl achteraf opschonen altijd veel duurder is dan vantevoren schoon werken, of beter nog: voorkomen dat je afval produceert) worden verdeeld over alle belastingbetalers. Behalve dan de fabrikanten/CEO's zelf die juist zelf heel weinig belasting betalen. Een ontzettende schijn-vrije-markt. Typisch republikeins (en in NL partijen zoals CDA en VVD): stelen van de armen en diegenen die 't goed voorhebben met de mensheid en 't milieu/privacy/veiligheid, en geven aan de elleboogwerkende rijken die niks om 't milieu/privacy/veiligheid geven.)

De kritiek van MS op de NSA/CIA is terecht. Ze brengen (hun eigen) bevolking, medische en financiele systemen in gevaar door het niet te melden. Grove nalatigheid heet dat. Of misschien nog ergern, Bewuste nalatigheid.

MS heeft zelf een balk in 't oog, niettemin vind ik dat je een ander op fouten mag wijzen ook als je 't zelf óók fout doet. (Als dat niet zou kunnen, dan kan niemand elkaar meer op fouten wijzen.)

Faab de nde
@kimborntobewild • 18 mei 2017 22:38

Eeehm, volgens mij ben je het eens?...

Wat MS zou moeten doen staat los van wat ze werkelijk doen. En zoals je zelf aangeeft is er bij MS blijkbaar niet de bedoeling om de software te fixen, maar te verkopen. (al geloof ik dat niet perse. Windows is gewoon een te groot en complex product om zo goed af te maken wat jij verwacht, en nog op tijd te kunnen leveren).

MS heeft dus niet de modus operandi om alle mogelijke fouten te vinden. Gewoon genoeg zodat het stabiel werkt.

Overigens las ik op ArsTechnica dat de NSA wel degelijk MS op de hoogte had gebracht van de diefstal van de software, en de gevolgen die het kon hebben. Dus de NSA lijkt ook wel eieren voor hun geld te kiezen en een groter kwaad bezweren (om maar zelf of een andere defensietak niet een slachtoffer te laten worden van de potentiele aanval).

kimborntobewild
@Faab de nde • 1 juni 2017 17:10

Windows is gewoon een te groot en complex product om zo goed af te maken wat jij verwacht, en nog op tijd te kunnen leveren)

Maar waarom is het zo groot en complex? Omdat er veel te slappe veiligheidseisen aan (nieuwe) softwareonderdelen worden gesteld.
Het is meer zo van: 'Werkt het? Ok. Zijn we zelf een gat tegen gekomen? Nee. Mooi, implementeren die hap!'. En weer 50 MB code erbij. Mooi, al die extra functionaliteit, dat wel... Maar een juistere methode zou zijn: leg de code eerst voor aan verschillende hackerscommunities zoals de CCC.

The Van
@Faab de nde • 15 mei 2017 10:08

Nee, de kritiek van MS is niet terecht.
Deze exploit was al bekend sinds oktober 2016, toen de NSA exploits openbaar zijn gemaakt door Shadow brokers. Toen had MS al moeten reageren; dat ze dat pas in maart hebben gedaan, vind ik pas nalatigheid, en misachting.
Dat in dit crybaby (pun intended!) verhaal ook nog prat wordt gegaan op 3500 security experts, geeft te denken. Zouden ze nou echt niet al eerder hebben geweten van dit SMB V1 lek?
Waarom is dit niet by default uitgeschakeld in 2012 server?

freaxje
@The Van • 15 mei 2017 11:28

Hun fout bekent niet dat NSA geen fout heeft gemaakt. Ze zijn beiden fout. Dat kan ook.

En het is terecht dat Microsoft de fout van de NSA opmerkt. Zoals het terecht is dat jij de fout van Microsoft opmerkt. Beiden moeten stoppen met zulke fouten te maken.

(Ik ben precies tegen een stel kleuters aan het praten. Dit is toch logisch, of niet soms?)

[Reactie gewijzigd door freaxje op 15 mei 2017 11:29]

Anoniem: 145867
@freaxje • 15 mei 2017 21:55

Beiden fout? ---> Ze werken onder 1 hoedje. Microsoft probeert gewoon zijn eigen hachje te redden. Altijd die PR... ook met hun cloud diensten dikke PR.

freaxje
@Anoniem: 145867 • 16 mei 2017 16:55

Welja. Als ze onder 1 hoedje werken dan zijn ze beiden fout he?

SiGNe
@The Van • 15 mei 2017 14:33

Dan nog is de kritiek wel terecht, de CIA had deze exploit al veel langer in handen en gebruikten die ook voor hun opsporing.
En zo zijn er nog meer exploits die ze expres niet aan Apple.Microsoft en Google doorgeven omdat ze er zelf gebruik van willen maken.
Willens en wetens verbergen ze die info.
Dat het door de Shadow Brokers is gevonden en is vrijgegeven is daar ook een gevolg van en dat hackers er daarna gebruik van zijn gaan maken ook.

Als deze exploit niet door de Shadow Brokers naar buiten was gebracht hadden hackers die exploit alsnog zelf ook kunnen vinden en dan waren de gevolgen nog veel groter geweest.
We kunnen er ook redelijkerwijs vanuit gaan dat de CIA op het moment ook nog wel een aantal actieve exploits misbruikt, dat maakt hun werk een stuk makkelijker.

TMDevil

@The Van • 15 mei 2017 19:46

Waarom is dit niet by default uitgeschakeld in 2012 server?

Simpel, SMB1 staat bij default uit in 2012, je kan het alleen vrij gemakkelijk weer aanzetten omdat in 2012 er nog veel systemen waren die alleen SMB1 ondersteunden;
http://woshub.com/smb-1-0-support-in-windows-server-2012-r2/

Honbrifcl
@Faab de nde • 15 mei 2017 09:31

Ze zijn op zoek naar de kwetsbaarheden omdat ze ze kunnen gebruiken voor hún doelen: infiltreren. Als ze ze in het vervolg moeten melden, zullen ze er ook niet meer naar zoeken, dus dan blijven de lekken bestaan. Dan is het ook enkel aan Microsoft en consorten om hun producten veilig te houden.

BRAINLESS01
@Honbrifcl • 15 mei 2017 10:00

Het probleem hier is dat de NSA de fouten gevonden heeft, en deze vervolgens niet beschermd heeft opgeslagen. Anderen hebben de NSA gehackt, en op die manier gratis exploits gevonden. Als de NSA niet meer naar exploits op zoek gaat, valt daar ook niets meer te halen. Dan is het doel ook bereikt, ondanks dat de fouten in Windows niet opgelost zijn.

CAPSLOCK2000

Netwerk en systeembeheer

@BRAINLESS01 • 15 mei 2017 10:41

Keer op keer blijkt dat zelfs de NSA, de CIA én de bedrijven die voor hun werken het niet lukt om dit soort informatie geheim te houden. Helaas is het bij dit soort kennis zo dat het gebruiken er van relatief eenvoudig is. Als een gat gevonden is en een exploit geschreven dan kan vrijwel iedereen daar gebruik van maken zonder expertkennis.

De enige juiste manier om met deze informatie om te gaan is om de gaten zo snel mogelijk te melden zodat ze gedicht kunnen worden. Als er een gat wordt gevonden is de kans groot dat anderen het ook kunnen vinden. Denk dus niet dat je en gat kan "bewaren" voor eigen gebruik, ga er maar van uit dat de vijand het gat ook kent.

[Reactie gewijzigd door CAPSLOCK2000 op 15 mei 2017 10:42]

HoppyF
@CAPSLOCK2000 • 15 mei 2017 11:43

Klopt.
Vandaar dat er ook een meldplicht moet komen als er een lek ontdekt is ongeacht wie het ontdekt heeft.
De leverancier moet de kans krijgen het lek te dichten. Je mag aannemen dat er niet opzettelijk een lek is aangebracht. Mocht dit achteraf wel blijken dat de leverancier bewust een lek heeft laten bestaan mag hem dit aangerekend worden.
Software vormt een te grote factor in het dagelijks leven en maakt veel bedrijven kwetsbaar.
Het moet wel zo zijn dat bedrijven en instellingen tijdig updates moeten verwerken anders zijn ze zelf nalatig.

Rob_03
@HoppyF • 15 mei 2017 12:42

Hoewel ik het ook wel met je eens ben. Het probleem is vooral dat verschillende diensten / landen verschillende belangen en opvattingen hebben.

Ik heb hier niemand er schande van horen spreken dat het gebied rond MH-17 massaal werd afgeluisterd. Sterker nog het "bewijs" mag en moet gebruikt worden. Onze militaire worden er zo beetje om geprezen dat men in gebieden zo goed in staat is inlichtingen te verschaffen.

Met andere woorden. De dienst wordt geacht inlichtingen te verzamelen en zodra men weet heeft van mogelijkheden om die inlichtingen te verzamelen moet men melden hoe je voorkomt dat deze inlichtingen verzameld kunnen worden.

Ik ben het wat dit betreft ook wel met @BRAINLESS01 eens. Waarom zou je nog zoeken als je het toch niet kan / mag gebruiken? En wie zegt dat als zij het niet gebruiken er anderen niet zijn die het wel gebruiken zonder te melden waarna dus blijkt dat de "binnenlandse veiligheid" in het geding is omdat men niet weet wat een ander wel weet.

Het blijft een duivels dilemma.

CAPSLOCK2000

Netwerk en systeembeheer

@Rob_03 • 15 mei 2017 12:48

Met andere woorden. De dienst wordt geacht inlichtingen te verzamelen en zodra men weet heeft van mogelijkheden om die inlichtingen te verzamelen moet men melden hoe je voorkomt dat deze inlichtingen verzameld kunnen worden.

Deel van het probleem is dat veel organisaties met twee petten werken. Ze moeten verdedigen en aanvallen. Het risico is dat verdedigers bewust gaten open laten omdat ze het werk van de aanvallers niet in de weg willen zitten.

Verdedigen is echter saai terwijl aanvallen "stoer" is. Als je wil opvallen deze sector kun je beter één goede aanval uitvoeren dan honderd keer goed verdedigen.

Financieel werkt het ook zo. Het is veel makkelijker om geld te krijgen voor een mooie kruisraket (of een digitale exploit) dan voor een anti-raket-schild (of een goede firewall).

Als er een afweging gemaakt moet worden tussen aanvallen en verdedigen dan zal de neiging bestaan om te kiezen voor de aanval ten koste van de verdediging.

Rob_03
@CAPSLOCK2000 • 15 mei 2017 14:48

Klopt het is een probleem. Overigens niet alleen diensten werken met 2 petten de hele samenleving werkt met 2 petten.

Als er flitspalen staan is het de staatskas spekken, als er niet geflits wordt dan moet er meer controle komen want kind x is onderuit gereden.

Als een agent een voetje door het openstaande raam naar binnen gooit dan is dat ongewenst, privacy etc etc. Als er wordt ingebroken had die agent bij wijze van spreken 1 minuut van te voren al aanwezig moeten zijn.

Het is net gezondheidszorg. Tig duizend goedbedoelde meningen
"Hoe om te gaan met" maar oplossen gaan we het nooit.

Ge Someone
@BRAINLESS01 • 15 mei 2017 11:33

deze kwetsbaarheid van de NSA

staat in de tekst, maar in feite is het een kwetsbaarheid van Windows.

disclaimer: het kan zijn dat het in het Nederlands anders over komt dan in het origineel.

IJzerlijm
@Faab de nde • 15 mei 2017 09:52

De NSA kan hier zeker wel verweten worden dat hun exploits hebben laten lekken. Maar ze zijn niet de enigen die exploits zoeken. Als de NSA ophoudt (wat ze nooit gaan doen) zijn er nog zat criminelen, andere inlichtingendiensten en scriptkiddies die exploits gaan zoeken en die zeker niet MS gaan benaderen.

En wat er er gebeurd met het 'overheid + ICT = fail' wat normaliter altijd langskomt. Is nu opeens een overheid juist het gevaarlijkst ?

Faab de nde
@IJzerlijm • 15 mei 2017 10:31

Zeker, de NSA moet dat wat ze hebben goed bewaken, al is het alleen maar om te voorkomen dat ze in de verkeerde handen vallen (zie elk ander wapen opslag plek).
Andere landen/organisaties zullen ook zoeken en opslaan, en als de NSA er mee stopt (wat ze inderdaad niet zullen doen) doen andere het wel. Daarintegen zou de NSA ook dergelijke zero-days als een beleid bijv 60 dagen kunnen gebruiken, en dan melden aan MS (of wie dan ook) om te laten dichten. Dan hebben ze zelf er gebruik van kunnen maken maar sluit het daarna voor andere uitbuiters. Maar ja, dat zal weer de modus operandi ondermijnen.

Daarin verschillen de 'digitale wapens' overigens wel van conventionele wapens. Veel potentie tot schade in korte tijd, maar tegelijkertijd met een patch onschadelijk te maken.

Wat ik verder ook lees is dat de verfijndheid van exploits soms ook wel 'state sponsored' worden genoemd, wat uiteraard zoveel betekend als "meerdere mensen met een groot budget hebben er aan gewerkt".
Criminele organisaties zullen zeker groepen black hats inhuren, maar dat zullen altijd wat meer gefragmenteerdere groepen blijven. Die zullen niet met 4 personen een brainstorm sessie houden om toepassingen of exploits uit te denken.

Sandwalker

@Faab de nde • 15 mei 2017 10:55

De NSA ziet die exploits als noodzakelijk gereedschap. Ze zullen echt niet vrijwillig wat opgeven omdat iemand anders het misschien ook heeft of gaat vinden. Zolang zij hun doelstellingen halen, zijn ze tevreden. De NSA, net als alle andere inlichtingendiensten, is net zo ethisch verantwoord bezig als een bedrijf wat mijnen produceert. Militair heeft het een nut en de meeste slachtoffers vallen aan de burgerzijde.
Met alle one liners e.d. is er politiek ook geen draagvlak voor het maken van sterk beveiligde digitale infrastructuur. Sterker nog politici zijn een enorme risico factor omdat ze vaak geïnformeerd moeten worden, maar alleen uit zijn op korte termijn electoraal gewin en dus bovengemiddeld vaak "lekken".
Het Motto: Zuid Limburg, je zal er maar wonen" klinkt nu nog als een dreigement, maar met een groot deel van onze economie onder zeeniveau en een behoorlijk lekke infrastructuur misschien toch niet zo'n gek idee.

goarilla
@Faab de nde • 15 mei 2017 13:56

Ik vind inderdaad ook dat de NSA wat meer mag doen om zijn burgers en eigen instellingen veilig te houden ('National' in hun acronym). Dit in tegenstelling tot nu
waar ze geheime cyberwapens bouwen om de wereld - en dus ook eigen volk - te bespioneren.

rboerdijk
@IJzerlijm • 15 mei 2017 10:04

De fail is deze keer zo groot dat ie gevaarlijk is

stresstak
@rboerdijk • 15 mei 2017 14:43

Een falende overheid is altijd gevaarlijk.

lappro
@kidde • 16 mei 2017 08:15

Waarom vergelijken we producten die een veelvoud tot simpelweg vele miljoenen kosten t.o.v. een product dat gratis tot 100 € kost en vervolgens hetzelfde verwachten?
Windows moet vervolgens ook op alle soorten hardware draaien met legacy ondersteuning voor mensen die hun oude printer niet willen weg doen. Hun pc moet ook natuurlijk altijd op internet kunnen net zoals alle programmas die de gebruiker wil kunnen installeren.
Die auto of vliegtuig software zit op een zeer beperkte set hardware, ondersteund niet of nauwelijks legacy spul, is beperkt of niet via internet toegankelijk. Bij vliegtuigen mag die zelfs alleen bestuurd worden door hoog opgeleid en volledig doorgelichte personen waarvan we vrij zeker zijn dat ze niet kwaadwillend zijn.

Toch verwachten we blijkbaar hetzelfde van Windows waar we eigenlijk niet echt geld voor over hebben, gebruikt moet kunnen worden door iedere debiel, meer verschillende dingen moet doen waarvan vooraf niet eens bekend is wat allemaal. Leg mij eens uit waarom dat redelijk is.

kidde

@lappro • 16 mei 2017 10:43

Omdat er doden kunnen vallen in ziekenhuizen of operatiekamers gesloten als Windows niet functioneert? Omdat de consument gewoon recht heeft op een deugdelijk product?

lappro
@kidde • 16 mei 2017 19:43

Als dat zo cruciaal is, waarom doen ze die windows updates dan niet?
Waarom gebruiken ze zelfs niet een systeem dat wel gemaakt is voor zulke cruciale systemen? Als die systemen zo belangrijk zijn, waarom zitten ze dan op internet aangesloten en zijn ze niet volledig air gapped?

Er wordt een probleem/risico afgeschoven op een partij waarvan je op basis van de prijs en op basis van de PR weet dat het niet aan die hoge eisen voldoet, waarom geef je ze dan nog steeds de schuld als blijkt dat ze gewoon de waarheid spraken?

dehardstyler
@kidde • 16 mei 2017 08:45

Het gebeuren in Engeland laat zien dat programmeer fouten in Windows ook levens kan kosten, maar MSFT aansprakelijk stellen ho maar. We laten ze weg komen met lulkoek, laten ze zelfs de NSA de schuld geven van hun fouten en wanbeleid. En als een chirurgische robot wegens programmeer fouten mensen om zeep helpt schreeuwen we moord en brand.

Hypocriet, dat is het. Stel Microsoft gewoon aansprakelijk voor de schade die hun productiefouten teweeg bracht! Zo niet, dan verandert dit nooit, maar dan moet je ook niet over deze dingen zeuren.

Jij bent gewoon echt helemaal achterlijk geworden volgens mij? Vergeet je niet te ademen? In een normale wereld, waar de NSA zegt de mensen te beschermen, zorg je dat die fouten gedicht worden!!! OM DE MENSEN TE BESCHERMEN!!!!!! Er is gewoon zoveel attack surface in Windows, dat er altijd wel een fout tussendoor sluipt. Verder moet je niet vergeten dat Microsoft dit allang opgelost heeft ( in maart al ), voor dat het uitbrak. Alleen mensen die achterlopen met updates hebben dit probleem gehad. Dus wie wil je aansprakelijk stellen?

kidde

@dehardstyler • 16 mei 2017 10:57

Bedankt voor uw compliment, ik waardeer het. Ook mensen met verstand van zaken denken er zo over:

https://techcrunch.com/20...le-for-security-breaches/

'Attack surface' te groot heet in andere vakgebieden 'over engineering', overbepaald en te complex. Dan moet je dat dus aanpakken. Als Microsoft een defect product heeft teruggeroepen (want dat is een patch) en gerepareerd is dat fijn, in andere industrieën ben je failliet als je een paar terugroep acties hebt. Daarom ligt bij die andere industrieën veel meer focus op defect vrije producten leveren, een focus die bij de makers van consumenten software duidelijk ontbreekt. Dat is de bron-oorzaak voor het probleem, een defect product, dat de NSA het defect misbruikt en uitlekt is slechts een aanleiding. Malware stopt pas als consumenten geen defecte producten meer accepteren die iedere maand op 'patch Tuesday' worden teruggeroepen om te repareren. Uw reactie maakt duidelijk dat de lobby van software bedrijven om niet aansprakelijk te hoeven zijn voor flutprodcten succes heeft. Welnu, die instelling moet veranderen om malware uit de wereld te helpen, of we accepteren dat we geen privacy hebben en om de haverklap gehackt worden, ook door de NSA. Kies maar...

dehardstyler
@kidde • 16 mei 2017 11:16

Leuk dat het in je linkje over auto software gaat. Dat is natuurlijk iets heel anders als een besturingssysteem van een huis tuin en keuken computer.
En verder nog even een deel uit de voorwaarden: "YOU ACKNOWLEDGE THAT COMPUTER AND TELECOMMUNICATIONS SYSTEMS ARE NOT FAULT-FREE AND OCCASIONAL PERIODS OF DOWNTIME OCCUR."

Dit is nu eenmaal zo, alleen lijkt dat erg lastig voor je. Zorg maar gewoon dat je up-to-date blijft, zijn de problemen verder minimaal. Ga ik weer lekker even verder achter mijn "defecte" Windows 10 bakkie!

kidde

@dehardstyler • 16 mei 2017 16:30

"Dat is nu eenmaal zo, accepteer het": Net zoals vrouwen die vroeger niet mochten stemmen, apartheid, slavernij, duizenden verkeersdoden per jaar, vliegtuigen zonder zwarte kisten, roken op longafdelingen in ziekenhuizen en andere dingen waarover de publieke perceptie is veranderd, die niet meer geaccepteerd worden en nu bij wet geregeld. Als u ooit een pacemaker nodig heeft, accepteert u 0,1% foutkans per regel code? Als u de operatiekamer in moet die van defecte Windows 10 bakkies afhankelijk is tijdens een ransomware aanval, gaat u met een gerust hart geopereerd worden? Accepteert u een EULA voor de operatiekamer waarin staat dat soms de systemen uitvallen en u soms letsel oploopt of doodgaat tijdens de operatie, maar dat het ziekenhuis daarvoor niet aansprakelijk is? Of een medicijn EULA waarin staat dat soms chemische fouten in uw pillen zitten waarvoor de leverancier niet aansprakelijk is, maar ja, medicijnen maken kan op zoveel manieren fout gaan en is zo complex dus take it or leave it?

Tekent u een EULA waarin staat dat smartphones soms in uw broekzak ontploffen door productie fouten en dat schade niet vergoed wordt? Ook hoogleraar van Eeteren zegt dat die aansprakelijkheid voor software er gaat komen, kennelijk lastig voor u...

Zie 8e paragraaf: nieuws: 'Problemen rond internetbeveiliging zijn op te lossen, we doen het alleen niet

[Reactie gewijzigd door kidde op 16 mei 2017 16:40]

dehardstyler
@kidde • 16 mei 2017 17:53

Als je niet wil tekenen, moet je een ander product kiezen! Een operatiekamer met Windows 10? Hou toch op man Hahahaha. Daar is alles Siemens / Philips met een contract waar je bang van wordt. En om precies die reden wordt daar dus geen Windows 10 gebruikt. Omdat er in Windows 10 WEL fouten kunnen zitten. Daarom kost een Windows licentie 100 euro en ga je het bedrag van de Siemens / Philips licentie in 15 jaar werken nog niet bij elkaar sprokkelen. Maar het is echt lastig merk ik. Succes met het overtuigen van de grote softwareontwikkelaars zal ik zeggen!

kidde

@dehardstyler • 16 mei 2017 19:38

Alleen politici hoeven overtuigd, die behartigen nu vooral de belangen van lobbyisten. Zie: https://ameliaandersdotte...-liability-european-union

davince72
@IJzerlijm • 15 mei 2017 09:05

Dus een NSA met een kleiner budget die specifiek op zoek is naar kwetsbaarheden en die ze vervolgens voor zichzelf houden gaat volgens jou vrij uit?

En diegene met grootste budgets(ongeacht hun veel bredere werkzaamheden) maak jij verantwoordelijk?
Dat is echt de omgekeerde wereld! Een veilige ICT wereld krijg je door kwetsbaarheden asap te melden bij de leveranciers zodat ze verholpen kunnen worden.

Anoniem: 145867
@davince72 • 15 mei 2017 21:57

Een exploit is eigenlijk niet goed voor de bevolking, toch is een exploit wel goed voor de overheid.. Een exploit is een wapen voor de NSA.
Waar liggen de belangen? Blijkbaar niet bij de veiligheid van het volk. Dat kan de overheid niks schelen. Fuck het volk zeg maar, lang leve de overheid.

kakanox
@IJzerlijm • 15 mei 2017 08:47

Je vergeet even dat je dat budget over de drie producten moet verdelen, en dat ze van dat geld heel veel meer dingen moeten doen dan bugs vinden. Voor de NSA zou het weleens bijna core business kunnen zijn, het is namelijk de allerbeste informatiebron.

keon891
@kakanox • 15 mei 2017 09:51

Is het voor een software bedrijf geen core businness / verantwoordelijkheid fouten uit hun software te halen? Als je kijkt hoeveel winsten deze drie maken, dan zou je idd denken dat ze meer middelen aan dat soort activiteiten moeten besteden.
De kritiek op de NSA is zeker terecht, maar moet geen afschuiven van verantwoordelijkheid zijn.

Arnoud Engelfriet
@keon891 • 15 mei 2017 10:18

Helaas zien klanten zelden toegevoegde waarde in het feit dat de software foutvrij is. Bij gewoon gebruik valt het immers wel mee wat er mis gaat, althans vanuit het gezichtspunt van Joe Average. Ook is er geen wetgeving oid die bedrijven verplicht software foutloos te maken of zelfs maar goed te beveiligen.

elmuerte
@Arnoud Engelfriet • 15 mei 2017 10:39

De software wordt ook onbetaalbaar als die eisen gesteld worden. Zelfs dan komen er nog fouten in de systemen. Software bugs komen ook voor bij NASA en soortgenoten. Dat terwijl ze hun systemen formeel testen.

i-chat
@keon891 • 15 mei 2017 10:29

Het is core business om software te maken met een bepaalde featureset, tegen een bepaalde prijs...

you want it ... cheap, fast, good; pick two! als je dat niet begrijpt kun je er vanuit gaan dat je niet in de productontwikkeling thuishoort.

De nsa hoeft geen winst te maken en daar gaat het dus al 'mis' die kunnen eindeloos bijven zoeken want jan met de pet betaald toch wel... en anders verhogen we gewoon de belastingen. dat die informatie vervolgens zo lang onder tafel wordt gehouden is ronduit een daad van denken boven alles en iedereen te staan (zelfs boven de wet). 'koningen die denken god te zijn, hebben vaker wel dan niet, een niet natuurlijke doodsoorzaak gekend, dit soort organisaties horen gewoon niet thuis in een rechtsstaat.

jacobdb
@IJzerlijm • 15 mei 2017 08:45

Het NSA heeft op papier een budget, maar volgens mij heeft het wettelijk ook de beschikking, net als de DoD, om projecten simpelweg niet in de budgettering op te nemen vanwege "staatsveiligheid".

Martinspire

Microsoft

@jacobdb • 15 mei 2017 11:45

Mja dat budget laat je niet in staat om de gehele wereld af te luisteren en data van op te slaan. Terwijl ze dat wel kunnen.

Anoniem: 145867
@Martinspire • 15 mei 2017 21:59

Maar hoe weten we zeker dat we software afnemen waarbij dat niet gebeurt? Hoe kunnen we 100% garanderen dat het bedrijf waar we software van afnemen niet stiekem wat erin stopt of lui is met exploits e.d. ? En liegt omwille van goede PR?

Martinspire

Microsoft

@Anoniem: 145867 • 15 mei 2017 23:31

Dat weet je niet, daarom moet je ook niet afhankelijk zijn van 1 fabrikant en 1 softwareoplossing. Overlappen met verschillende suites om gaten te dichten. Ik heb hier een firewall op de router, 1 op mn pc, 2 scanners en installeer de laatste updates. Ik zou het knap vinden als ze daar al snel doorheen prikken. Maar waar een wil is is een weg. Ik denk dat je er voor de meeste (zoniet alle) gevallen vanuit moet gaan dat ze zich richten op specifieke doelen. De tijd van vangnetten is nabij.

CivLord

@jacobdb • 15 mei 2017 11:46

Je haalt nu het hebben van een budget en het niet volledig benoemen van wat er met dat budget gedaan wordt, door elkaar.
Wanneer je geen budget hebt, dan heb je geen geld om uit te geven. Het 'zwarte budget', wat jij bedoelt, is een zak geld waarvan niet in de begroting is vastgelegd waar dat aan besteed wordt.

Tsurany
@IJzerlijm • 15 mei 2017 09:16

Dat is ook zeker het geval. Vrijwel alle mogelijke exploits en andere nare bugs worden al gedicht voordat het product door een klant in gebruik genomen kan worden. Die worden of door developers zelf opgepakt of tijdens diverse test methoden aan het licht gebracht en naar de developers terug gestuurd. Het is echter een illusie om te denken dat elk foutje in een software pakket opgepakt kan worden voor het product naar de klanten gestuurd wordt. Software is dermate complex dat een 100% dekkingsgraad gewoon niet realistisch is.

Daarnaast gaat natuurlijk het gros van dat budget op aan het ontwikkelen en beheren van de producten, dat budget kan niet volledig besteed worden aan testen en het opsporen van exploits.

En waar het in dit geval echt mis gaat is dat diverse organisaties de paar gaten die nog over blijven niet rapporteren. Met een beetje geluk komen de ontwikkelaars van Microsoft, Apple of Google er zelf achter maar de kans blijft gewoon aanwezig dat een bepaalde fout niet herkend wordt. Als de organisaties die deze bugs vinden ze dan uitgebreid gaan documenteren en niet publiceren krijg je een heel boek vol exploits die zeer eenvoudig gebruikt kunnen worden.

Anoniem: 636203
@IJzerlijm • 15 mei 2017 11:38

Het onderliggende probleem is het gebruik van de C computertaal. Door buffer overflows en use-after-free kunnen computers gehackt worden. Zolang de mensheid C blijft gebruiken (en niet C++ of gecompileerde Java of C#) blijven dit soort problemen zich voordoen.

Anoniem: 902873
@Anoniem: 636203 • 15 mei 2017 12:00

Mwa het is niet alleen de programmeertaal hoor. Als je ook developers hebt die een waardeloos staaltje programmatuur laten zien dan hoeft het niet direct aan C te liggen.

Anoniem: 636203
@Anoniem: 902873 • 15 mei 2017 13:19

En jij schetst een ander samenhangend probleem: namelijk het ego van mensen. Sommige ontwikkelaars denken dat zij het wel goed kunnen doen, terwijl al is gebleken dat dit niet het geval is.

De ontwikkelaars die alle software maken waar nu fouten in zitten zijn minimaal zo goed als jij.

Mijn visie is dat een computertaal het moeilijk moet maken voor ontwikkelaars om fouten te maken.

itlee
15 mei 2017 08:34

Sorry maar ik heb geen medelijden met bedrijven die hun spullen niet op orde hebben. Die hebben dit soort acties helaas nodig zodat een directie aan de ICT Manager (die vaak totaal geen ICT manager zijn en/of geen bal snappen van ICT) kan vragen en verantwoordelijk houden waarom de systemen niet uptodate zijn.

Een ransomvirus kan nog, 100% uptodate is een utopie, maar beetje adequaat handelen is voor een hoop bedrijven anno 2017 nog steeds een uitdaging.

Er is ook een andere kant, soms zijn Windows updates niet 100% ok, ze veroorzaken ook wel is dikke problemen met BSOD tot gevolg. dus om direct op de update knop te drukken na patch Tuesday is ook niet direct aan te raden. (ik zou zeggen wacht een dag of 3, als iets niet OK is, gaat dat snel rond).

/Die kerel die die URL heeft gevonden (en een domein naam registratie van een 10tje doet) in de broncode is wat mij betreft een held!

PetervdM
@itlee • 15 mei 2017 08:47

de patch voor deze bug kwam pas 14 maart beschikbaar. in een groot bedrijfsnetwerk ga je dat eerst op een aantal pc's ( en servers ) testen om te zien of na de patch alle bedrijfkritische softeware nog wel werkt zoals het moet. daar gaat al snel 2 weken over heen. daarna test je de uitrol bij een beperkt aantal systemen, pas daarna komt de bedrijfsbrede uitrol. 3 weken doorlooptijd is dan het absolute minimum, en dan moet het allemaal meezitten.
juist de ict manager die alle patches ongecontroleerd uitrolt snapt geen bal van ict en is een gevaar voor het bedrijf waar hij werkt.

Houtenklaas
@PetervdM • 15 mei 2017 09:17

Helemaal eens met je tijdpad. Maar dat zegt dan ook gelijk wat, drie weken als minimum zit je in de eerste week van april, nog steeds meer dan 4 weken voor deze uitbraak. Punt is gewoon dat veel bedrijven bezuinigd hebben op de ICT afdeling en dat dit tot nu weinig prioriteit krijgt.

Hoeveel bedrijven hebben een taakstelling neergelegd bij de ICT club die dit soort patches beoordeeld en op dagbasis een plan de campagne maakt? Weinig denk ik. Microsoft heeft deze patch als "critical" aangeduid, niet voor niets zo blijkt nu.

En dan in Engeland, als ik het zo lees draait het hele land daar op XP, las vanmorgen dat er in 2015 bijvoorbeeld in de gezondheidszorg daar geen cent is uitgegeven aan security. Tja, dat is dan wel grenzeloos je ogen sluiten ... Maar het blijft een lastig onderwerp voor mensen die weinig ICT kaas gegeten hebben.

[Reactie gewijzigd door Houtenklaas op 15 mei 2017 11:34]

The Van
@Houtenklaas • 15 mei 2017 10:15

Binnen de gezondsheidszorg (meer algemeen: laboratorium soft- en hardware) is het vaak zo, dat een geautomtiseerd systeem slechts werkt met een bepaalde versie OS. Je kunt dus domweg niet upgraden/updaten, want dan werkt je apparatuur niet meer.
Dat die apparatuur netwerk connected is, tja... Daar zijn protocols voor, en die worden niet altijd gevolgd, helaas.

Dus monitoring hardware, spectrum analysers, massaspectrografen, zelfs infuusapparatuur werkt dan mogelijk niet meer. Direct gevolg: doden.
Als IT verantwoordelijke zou ik het wel weten: we gaan dat risico niet lopen, dan meer geen update.

Houtenklaas
@The Van • 15 mei 2017 11:27

Tot je er achter komt dat de hartbewakingsapparatuur een ransom melding geven. Daar kom je met zekerheid mee in het nieuws, niet gaaf voor de slachtoffers en jouw ziekenhuis.

Dan ben ik meer voor een tweesporenbeleid.

Al die apparatuur isoleren van je productienetwerk en van elkaar om bij een mogelijke infectie de gevolgen zo klein mogelijk te houden.
NU met de fabrikanten om tafel om dit voor de toekomst op te lossen en ook in elke volgende RFP een knock-out criterium opnemen dat een fabrikant die vasthangt aan één specifieke versie van een OS die niet geüpdated kan worden niet meer meedoet. Daar 'motiveer' je fabrikanten wel mee om dit op te gaan lossen.

En dat is - besef ik heel goed - een kwestie die niet in een paar dagen opgelost zal zijn.

Zoals een collega ooit tegen me zei: "Zonder plan en planning heb je niks". En dat klopt, er moet een beleid zijn wat wordt uitgevoerd en gehandhaafd. Je moet er over hebben nagedacht welke stappen je moet nemen in welke situatie, het lijk er op nu meer op dat het ons overkomt ...

[Reactie gewijzigd door Houtenklaas op 15 mei 2017 11:34]

ijdod

@Houtenklaas • 15 mei 2017 11:59

Segmenteren is de belangrijkste. De realiteit leert dat de zorgapparatuur zelf vaak (qua ICT) bar slecht in elkaar steekt. Scanners van miljoenen waar de netwerk interface verdacht veel lijkt op een el-cheapo printje van aliexpress... dat niveau, helaas.

De betrokkenheid van de ICT afdeling zelf komt vaak op het niveau "Dit is aangeschaft, binnen, en MOET vandaag aangesloten worden". En een RVB die dat ook steunt.

resma
@Houtenklaas • 15 mei 2017 10:18

...las vanmorgen dat er in 2015 bijvoorbeeld in de gezondheidszorg daar geen cent is uitgegeven aan security....

Het is ook een duivels dilemma. Er is de afgelopen jaren continue middels bezuinigingen en herstructurering van verantwoordelijkheden, getracht de kosten in de gezondheidszorg te reduceren. Gezien de toegenomen dreigingen van cybercriminaliteit, hadden security budgetten juist uitgebreid moeten worden, maar...

De keuze is letterlijk: mensen dood laten gaan omdat er geen geld is voor medicatie of behandeling, of mensen dood laten gaan omdat systemen mogelijk worden gehackt...

Gelukkig hoef ik die keuze dus niet te maken...

Houtenklaas
@resma • 15 mei 2017 11:15

De andere keuze is meer geld naar de ziekenhuizen schuiven zodat beide kan. Mijn te vroeg geboren tweeling heeft het overleefd dankzij immense inzet van geweldig personeel, maar zeker ook door de beschikbare middelen. Schrijnend om te zien dat de keuze daar was dat 8 van de 24 aanwezige couveuses open waren vanwege datzelfde geldgebrek ... Zolang je maar in de grijze middelmoot valt, zie je daar niet al te veel van. Maar als je net het ongeluk hebt daarvan af te wijken.

Daar wil ik overigens graag meer belasting voor betalen. Ziekenzorg en onderwijs mag nooit te lijden hebben onder dit soort dingen. Besparen kan vast en zeker, maar niet op de zorg rondom het bed. Maar we dwalen af ...

Maar hoe dan ook, het is een uiterst lastig onderwerp, daar heb je 100% gelijk in.

[Reactie gewijzigd door Houtenklaas op 15 mei 2017 11:38]

resma
@Houtenklaas • 15 mei 2017 11:57

Op dezelfde manier dat het de maker van de ransomware totaal niet interesseert dat er doden kunnen vallen door zijn/haar toedoen (als er maar bitcoins binnen stromen), zijn ook voor diverse commerciele partijen in de zorg (woeker)winsten belangrijker dan welzijn. Dat klinkt misschien hard, maar er is prima een parallel te trekken.

Nu helemaal of-topic:

We hebben ook in Nederland al jaren gesleuteld aan de zorg om het beter en goedkoper te maken. Dat heeft er toe geleidt dat de druk op de medewerkers in de zorg over de gehele linie is gestegen, de premies een forse stijging hebben ondergaan, vrije keuze voor zorglocatie en medicatie als een luxe wordt gezien en her en der prachtige kantoren van zorgverzekeraars zijn verrezen, waar mooie en dure auto's op voor het bestuur gereserveerde parkeerplaatsen staan. Prachtig, die marktwerking in de zorg!

TheMak
@resma • 15 mei 2017 22:44

Vergeet de hygiëne niet. Ik denk dat er meer levens te redden zijn door geld te geven aan schoonmakers dan aan ICT'ers. Lees de berichten over ziekenhuisinfecties maar.

Dubbeldrank

@PetervdM • 15 mei 2017 08:55

Dat is maar net hoe je het bekijkt. Je hebt dus liever dat je bedrijf kwetsbaar is dan dat je achteraf je systemen en software moet aanpassen na een patch? Als je software niet meer werkt na een patch is dat natuurlijk heel vervelend, maar dan ga je met de developers van die software op zoek naar een oplossing. Je bedrijf kwetsbaar laten voor een complete encryptie van je systemen is natuurlijk helemaal niet wenselijk. Beheerders zitten nog steeds in een verouderde gedachtengang.

colinator
@Dubbeldrank • 15 mei 2017 09:15

Soms ben je afhankelijk van een externe partij en/of developer en heb je weinig andere keus dan de druk bij hun leggen om z.s.m. een oplossing voor hun software uit te brengen. Vaak willen ze daar nog de kosten voor door berekenen, zeker als je te maken hebt met een update van een oudere versie. Je wilt tenslotte ook niet dat je operatie stil valt binnen je bedrijf en dus wacht je met uitrol van de betreffende patch / update.

Vaak zit hier dus ook nog een kosten plaatje aan vast en komt "de business" erbij kijken, hoe sneller jij die update wil, hoe hoger de kosten vanuit de developers en dan is het vaak de business die deze kosten niet wil maken en daarmee het risico accepteerd.

Ik vind overigens wel dat het de taak van de beheerders en managers is om goede afspraken (e.g. Support Contract) te maken met externe partijen en developers zodat je dit soort dingen gecovered hebt en dus altijd in deze situaties snel kan schakelen en voor iedereen duidelijk is wat er verwacht word. Ook dienen zij "de business" te overtuigen van het risico en dat goed in kaart te brengen zodat er wel een goed overwogen besluit genomen kan worden.

Ik denk dat er gerust nog veel beheerders in de oude gedachtengang zitten maar om gelijk de vinger naar de beheerders te wijzen vind ik ook weer kort door de bocht.

Dubbeldrank

@colinator • 15 mei 2017 09:22

Je hebt absoluut een punt dat het een afweging is, maar ook van bovenaf moet er meer bewustwording komen dat je bepaalde risico's nu moet accepteren vanwege het kostenplaatje. Wil je dit risico niet dan zal je met externe partijen goede afspraken moeten maken over reactiesnelheid, wat uiteraard meer gaat kosten. Maar zeker met de huidige malware bereik je er ook niets mee als je systemen encrypted zijn, dan heb ik liever dat een intern systeem tijdelijk niet werkt dan dat er helemaal niets meer werkt.

RaZz85
@Dubbeldrank • 15 mei 2017 09:36

Jammer om het te moeten zeggen, maar vaak moet het eerst eens heel grondig fout gaan, voor de business hun ogen open gaat. Een globale uitbraak als deze doet (jammer genoeg) daarvoor wonderen.

lamme23
@Dubbeldrank • 15 mei 2017 13:17

Daarom moet een dergelijke beslissing niet genomen worden door system managers, maar door het management team. Zij moeten de keuze maken tussen twee kwaden. Het bedrijf platleggen kan een groter risico zijn dan een aantal systemen 'kwijt' raken, dan is dat hun keuze. (Zou ik mijn vingers niet aan willen branden).

GuruMeditation
@Dubbeldrank • 15 mei 2017 08:59

Wellicht komt daar het menselijke van IT nog kijken, om een afweging te maken in beide opties. Iets wat heel lastig te bepalen is, alleen aan de hand van een vooraf vastgesteld setje variabelen.

Voor beide valt iets te zeggen, maar denk niet dat beide opties in alle gevallen de beste is.

Tsurany
@Dubbeldrank • 15 mei 2017 09:22

Dat is zeker geen verouderde gedachtegang. Als je backup methode adequaat is ingericht kan het zeker een goede afweging zijn om liever twee weken kwetsbaar te zijn met de minieme kans dat het mis gaat ten opzichte van een week lang geen productie kunnen draaien omdat een kritisch systeem onderuit is gegaan tijdens het patchen. Dat laatste kan een stuk duurder zijn om op te lossen en veel meer tijd kosten.

Zeker als software niet inhouse is ontwikkeld kan het lastig zijn om op korte termijn (dezelfde dag nog) een patch te krijgen. En dat is wel wat nodig is als een paar honderd man niet meer kan werken.

Je kan simpelweg niet alle updates automatisch uitrollen, dat is een veel te groot risico. Je moet dus altijd een afweging maken tussen X dagen kwetsbaar zijn voor exploits en productie die stil ligt omdat updates niet goed genoeg getest zijn.

RaZz85
@Dubbeldrank • 15 mei 2017 09:25

Als je denkt dat het de beheerders zijn die het beslissen zit je er jammer genoeg naast, die beslissing wordt boven hun hoofd genomen. De policy voor updates is vooral (zoals met het meeste in IT) een beleid om zoveel mogelijk de business operationeel te houden. IT in functie van IT klinkt voor ons heel mooi, maar uiteindelijk zijn IT-beheerders meestal maar een ondersteunende dienst en de beslissingen worden vooral genomen waar de centen binnen komen, niet waar ze buiten gaan.

En als je dan weet dat de meeste bedrijven nog veel legacy software hebben die heel gevoelig is voor aanpassingen door updates, zodat de kans dat daar iets mis loopt hoger ligt dan dat je een company wide outbreak hebt door iets zoals wat dit weekend gebeurde, dan is die beslissing snel gemaakt. Dat het IT-technisch zowat het foutste is dat je kan kiezen, doet er voor de beslissingnemers jammer genoeg niet toe.

tweaker2010
@Dubbeldrank • 15 mei 2017 09:29

Dat is maar net hoe je het bekijkt. Je hebt dus liever dat je bedrijf kwetsbaar is dan dat je achteraf je systemen en software moet aanpassen na een patch?

De meeste bedrijven hebben een security manager die dit soort updates eerst moet goedkeuren, maar omdat hij het vaak ook niet kan overzien blijven veel updates vaak lang liggen omdat niemand vantevoren de exacte impact kan inschatten. Snel groen licht hebben voor een uitrol van een update klinkt leuk, maar als het misgaat qua imcompatibliteit krijg je ook gezeur. Kortom, je kunt het nooit goed doen.

WillySis

@PetervdM • 15 mei 2017 09:21

Het is maar net welke software je draait binnen je bedrijf. Als dat alleen gangbare applicaties zijn, of software van Microsoft zelf, zou ik het risico van een eventueel misbruik van een inmiddels bekend lek niet willen lopen. Zeker de beveiligingspatches zal ik snel uitrollen. Met de grote updates en machines die externe hardware aansturen zal ik ook voor een gecontroleerde uitrol met veel testen kiezen.
Nu de malware schrijvers de ransomware hebben ontdekt zijn de risico's groter geworden. Reken maar dat die jongens er steeds sneller bij zijn. Je kan er groot geld mee verdienen.

Backups worden nu ook weer belangrijk. Binnen een bedrijf ook altijd bijgewerkte systeem images bij de hand hebben.

Veel overheden hebben de ICT gewoon niet goed op orde. ICT is daar gewoon een kostenpost, die met zo min mogelijk geld en mankracht moet draaien.

TWyk
@PetervdM • 15 mei 2017 10:12

de patch voor deze bug kwam pas 14 maart beschikbaar. in een groot bedrijfsnetwerk ga je dat eerst op een aantal pc's ( en servers ) testen om te zien of na de patch alle bedrijfkritische softeware nog wel werkt zoals het moet. daar gaat al snel 2 weken over heen. daarna test je de uitrol bij een beperkt aantal systemen, pas daarna komt de bedrijfsbrede uitrol. 3 weken doorlooptijd is dan het absolute minimum, en dan moet het allemaal meezitten.

Microsoft bracht tegelijk ook een workaround uit namelijk om SMB v1 uit te schakelen op je netwerk. Als er geen XP machines meer in je netwerk zitten kan je ook zonder SMB v1.
En daar heb je geen 3 weken testen voor nodig.
Zeker als een organisatie SMB openstelt over het internet zoals veel van de getroffen organisatie deden was dat toch wel het minste.

Kees
@PetervdM • 15 mei 2017 09:04

Daar hoeft helemaal geen twee weken overheen te gaan. Gewoon van al je images 1 server/pc patchen, reboten, werkt windows nog? mooi, uitrollen. Dat kan in een korte tijd. Deze patch was bovendien zo minimalisitisch qua software impact dat je software er alleen last van heeft als die actief dit lek misbruikten (relevante xkcd: https://xkcd.com/1172/). Niet elke patch verdient dezelfde aandacht.

polthemol
@Kees • 15 mei 2017 09:31

maar dat weet je pas als je het getest hebt

het zou niet de eerste patch zijn die impact heeft op software terwijl het niet zou mogen kunnen

Kees
@polthemol • 15 mei 2017 09:41

Het zal in het algemeen niet al je software slopen en/of je systeem unbootable maken (en daarvoor doe je eerst voor al je images 1 test, dat hoeft niet heel erg veel meer te zijn dan een 'boot het en draait word nog?'). Het is geen NT4 meer waarbij je een servicepack installeert dat je systeem/software stuk kan maken.

Een update alla de creators update test je wel goed, de rest van de patches installeer je zo snel mogelijk.

polthemol
@Kees • 15 mei 2017 09:46

hangt er maar net van af in wat voor een omgeving je zit. Wat dacht je van een medische omgeving bv. waar de impact van een patch die iets vernaggelt aan software immens groot kan zijn.

bv. een patch die onbedoeld iets van een applicatie overhoop gooit waar verzorgend personeel de medicatielijsten uit halen voor patienten. Dat kan zelfs vrij levensbedreigende situaties opleveren.

Dus 'in het algemeen niet je software slopen' is dan al een gok die je aan het nemen bent. 'boot het nog en draait word' dekt de lading dan ook niet bepaald meer

(agree trouwens dat de huidige updatelijn wel echt een stuk beter is dan wat het ooit vroegah was).

Kees
@polthemol • 15 mei 2017 09:52

Het risico daarop is kleiner dan een malware infectie waardoor je hele ziekenhuis infra plat ligt en je mensen moet evacueren naar ziekenhuizen waar de IT wel op orde is.

Van een malware incident heb ik namelijk wel eens gehoord, van een OS patch die ziekenhuissoftware sloopt nog nooit.

RaZz85
@Kees • 15 mei 2017 10:22

Wel, dan kan ik het tegendeel beweren. Heb gewerkt bij een ziekenhuis waar het volledige inschrijvingssysteem na een security update van .NET niet meer opgestart kon worden en men dus iedereen men pen en papier kon gaan inschrijven. Ik kan je verzekeren dat je in de spoedgevallendienst de wachttijden enorm zag oplopen.

Edit: Nog een geluk trouwens dat het geen labosoftware was... Daarover hebben we ooit in de clinch gelegen met de leverancier. Ze beweerden geen garanties te kunnen geven op de juistheid van de analyses wanneer er andere software op het analysetoestel stond, inclusief antivirussoftware, en dit op een NT4 bak. We zaten toen met een uitbraak van een worm, en natuurlijk krijg je met zo'n situatie het ding gewoon nooit weg. Gelukkig had het hoofd van het labo wel wat inzicht en mochten we er toch eentje op installeren na drie weken te proberen de worm weg te krijgen op het netwerk. Ziekenhuizen hebben enorm veel rommelsoftware staan en de leveranciers eigenen zich heel veel rechten toe omdat het over levens kan gaan. Als IT-dienst moet je altijd een gevecht leveren om je job correct te mogen doen...

[Reactie gewijzigd door RaZz85 op 15 mei 2017 10:29]

freaxje
@RaZz85 • 15 mei 2017 12:02

Dan draai je die anti-virus er niet op maar dan kan dat systeem ook niet op het netwerk.

Het is volledig te begrijpen dat een leverancier van zo'n toestel niet wil dat jij uw IT-afdeling hun bugt software er op gaat liggen draaien.

Zij begrijpen normaal gesproken ook volledig dat dat betekent dat het toestel daarom niet in een netwerk kan.

Als je het wel in een volatile netwerk met wormen wil draaien, dan zal je die ondersteuning bij je leverancier moeten laten inbouwen. Dat kan willen betekenen dat je leverancier die Windows die er op draait helemaal moet afschermen tegen uw volatiel netwerk. Sterker zelfs. Dat zal dat betekenen.

RaZz85
@freaxje • 15 mei 2017 12:51

Daar volg ik je volledig in, en da's dan ook waar het fout liep hier (en vergelijkbaar in veel andere bedrijven). Toestel van het netwerk af betekende dat de gebruikers dan alle resultaten manueel moeten inputten in het pakket waarin de resultaten verwerkt werden. Dit zorgde voor veel extra werk. En dan gebeurt steevast hetzelfde:
Het labo brengt centen binnen, IT kost alleen maar geld. Er wordt een beslissing gemaakt door managers die helemaal geen kennis van zaken hebben, zonder dat er een correcte achtergrond gekend is.
Gelukkig, zoals vermeld, gingen ze na enkele weken wel in de redenering mee. De leverancier werd toen gecontacteerd met de melding dat "hij zich maar moest aanpassen, of het zou de laatste aankoop geweest zijn." Dan kan dat plots wel.

Wat ik vooral met het voorbeeld wou illustreren is dat het meestal niet de IT-Admins zijn die een te lakse instelling hebben, het is veel vaker het management die IT uiteindelijk als een noodzakelijk kwaad zien en besluiten zonder er verstand van te hebben.

Bij mijn huidig werk word ik door projectleiders ook soms gevraagd of die "backup op twee datacenters nu echt nodig is, want dat maakt het project wel heel wat duurder". Veiligheid kost nu eenmaal geld...

freaxje
@RaZz85 • 15 mei 2017 14:19

Jullie ziekenhuis heeft geen VLAN waar al die apparatuur op zit?

Tussen twee VLANs kan je een Linuxje zetten waar SAMBA op staat om een Windows share te maken.

Zorg er voor dat de gegevens van de apparatuur geen executables of office documenten zijn. Zodat er geen virussen op kunnen komen.

Bijvoorbeeld vraag de leveranciers om CSV in plaats van Excel bestanden te exporteren. En laat de machines die CSV in een shared folder zetten, dat gedeeld wordt met computers (van het ziekenhuis) in een andere VLAN.

Zulke apparatuur op het zelfde netwerk zetten zal gegarandeerd voor problemen gaan zorgen. Dat doe je dus inderdaad niet.

Ik zou zelfs ieder apparaat in een eigen VLAN zetten, en dit voor ieder apparaat individueel doen (je kan dat Linuxje met SAMBA dan een virtuele netwerkkaart geven - ifconfig eth0:1 10.x.y.z 255.255.255.0 en de VLAN switch instellen om het mac adres van dat Linuxje toe te laten tot de VLANs) zodat die shared-folder infrastructuur maar één keer moet opgezet en beheerd worden. Maar wel ieder toestel in haar eigen VLAN. Niets of niemand anders moet aan die toestellen kunnen. ZEKEERRRR niet de laptops van de dokters. ZEEEKKKEEERRR niet die laptops.

Oh, en maak die SAMBA share enkel writable voor de apparatuur. Niet voor de gebruikers. Als de dokter documenten naar de apparatuur moet kunnen sturen, kijk dan of je in het proces dat je hem of haar geeft dat document kan gescanned worden op virussen.

[Reactie gewijzigd door freaxje op 15 mei 2017 14:25]

RaZz85
@freaxje • 15 mei 2017 17:14

Ik werk ondertussen al 8 jaar niet meer, ben er ook niet al te lang blijven hangen, zul je wel begrijpen. ;-)

Deem
@Kees • 15 mei 2017 10:33

Heb meerdere malen meegemaakt dat problemen pas na dagen na uitrol te herleiden waren aan een update.

i-chat
@PetervdM • 15 mei 2017 10:41

2 Weken om een regressie test te doen op een zero day patch? Pfew dan neem je of je werk niet serieus, of je bent onkundig, of je hebt geen goede testprocedure. Hoe dan ook, meer dan een dag of 2 a 3 mogen zulke tests niet duren, dan een uitrol bij 2 of 3 live systemen. en dan in het weekend uitrollen vlak na de fullbackup die je hebt gemaakt.... in het aller aller ergste geval moet je maandag ochtend om 6uur beginnen met de rollback zodat om 9uur zo'n beetje alles weer draait... nadeel van zo'n pad is dat je A iters in het weekend moet laten werken, B je na de rollback dus eigenlijk een week moet wachten (maar als een eerste uitrol fout gaat heb je die week vaak ook wel nodig)...

kom op in zerro day worden geen api changes gedaan en als je bedrijfscrical software gebruik maakt van een ongedocumenteerde bug in windows om zijn werk uit te voeren tja.... dat zegt dan meer over dat product en over je kundigheid ten tijde van die aankoop / migratie.

Draconian Devil

@PetervdM • 15 mei 2017 14:28

Stop met het zoeken naar excuses. Als je een critical update niet in 2 maanden geinstalleerd kan krijgen dan wil je het gewoon niet.

Als je een serieus patchbeleid voert kan dit makkelijk binnen een maand. En voer je geen patchbeleid, zet dan de boel op automatisch updaten.

[Reactie gewijzigd door Draconian Devil op 15 mei 2017 21:47]

Yoshi
@itlee • 15 mei 2017 08:48

die manager gaat daar vaak beter op kunnen antwoorden dan je denk. Zo heb je in de medische sector voor bepaalde apparaten certificeren. Elke update van de fabrikant moet eerst getest worden (bv mri scanner, oorglaser, etc) of die niets doet dat niet goed is, services platgooit etc,, dan gaat dat nog langs een autoriteit, voor de certificering. en dan pas gaat de update naar de pc van de scanner. Vind je het gek dat een maand na de patch die machine het nog niet gehad heeft?

RoccoS
@Yoshi • 15 mei 2017 09:00

Dan is een situatie als dit dus een wake-up call om die hele procedure die je omschrijft op de schop te nemen, want hij voldoet dus niet meer aan de eisen die gesteld dienen te worden aan apparatuur die aan het netwerk hangt. Iemand zal een effort moeten doen om dit probleem het hoofd te bieden, gewoon achterover leunen en het niet gek vinden dat het mogelijk is is gewoon geen optie meer.

Tsurany
@RoccoS • 15 mei 2017 09:26

Is dat echt zo? Want wat is er nu concreet mis gegaan? De systemen zijn tijdelijk niet inzetbaar, dat zou ook het geval zijn als updates bepaalde functionaliteit gesloopt hadden. Dus dan is het de vraag wat vaker voor kan komen, downtime door te snelle updates of downtime door exploits op niet gepatchte systemen? Dat is echt een afweging die gemaakt moet worden en het resultaat daarvan kan best zijn dat een bepaald risico genomen wordt omdat het alternatief simpelweg te kostbaar of te ingrijpend is.

Dit wordt natuurlijk een ander verhaal als daardoor patient gegevens beschikbaar komen voor criminelen. De vraag is echter of dat ook gebeurt is en of die kans überhaupt aanwezig geweest is.

Yoshi
@RoccoS • 15 mei 2017 10:21

overheid ;-). hun regels die ons lam maken op dit moment, wat dat betreft toch.

[Reactie gewijzigd door Yoshi op 15 mei 2017 10:21]

Houtenklaas
@Yoshi • 15 mei 2017 09:08

Nee, dat vind ik niet gek. Wat ik dan WEL gek vind is dat er blijkbaar niemand is bij die ICT afdeling die nadenkt over de gevaren om een dergelijke PC in een bedrijfsnetwerk op te nemen. Ook het loskoppelen geeft geen 100% garantie uiteraard, maar maakt het wel weer veel moeilijker voor een virus om zich te verspreiden. Een fatsoenlijk - vooraf bepaald - beleid is één, de controle en handhaving is twee. En die maken je over het algemeen niet populair binnen een bedrijf, je hebt altijd van die fijne collega's die maar van alles in UTP poortjes prakken zonder daar één seconde over na te denken en vervolgens de ICT club gaan bellen dat er zaken niet meer werken. Maar goed, dit is wel weer goed voor de bewustwording.

Modulo1982
@itlee • 15 mei 2017 09:04

Het door de NSA melden van deze exploit aan Microsoft is in het kader van national security prima te verantwoorden. Microsoft had dan al in een veel eerder stadium een security patch uit kunnen brengen, lang voordat zo'n exploit ooit was uitgelekt.

Gaten zullen er altijd zijn, de vraag is of overheden zich moeten bezig houden met het uitbaten van die gaten of zorgen voor een goede verdediging. Aangezien het niet alleen overheden zijn die de gaten kunnen uitbuiten (wat nu keer op keer is aangetoond) lijkt er steeds meer voor te zeggen dat overheden zich actief moeten gaan bezig houden met het oprichten van een goede verdediging.

Probook8979
@itlee • 15 mei 2017 09:25

die vaak totaal geen ICT manager zijn en/of geen bal snappen van ICT

Dit^^, Hiermee ben ik volledig mee eens, zijn ze ICT manager maar die geen donder van snappen! Waarom ben je dan ICT manager?.. Hoe ben je manager geworden dan?!?

Helemaal mee eens.

stresstak
@Probook8979 • 15 mei 2017 15:17

Waarom ben je dan ICT manager?.. Hoe ben je manager geworden dan?!?

Je was de eenoog in het land der blinden op een architektenburo of in een metaalbedrijf.
Of een andere onderbemande instelling met andere prioriteiten dan computers en netwerken.

t-force

@Anoniem: 58485 • 15 mei 2017 08:52

Ik vermoed dat Q-park de systemen niet rechtstreeks aan internet had gehangen. Wel zijn de systemen waarschijnlijk op XP of zo gebasseerd en via een VPN gekoppeld aan het hoofdkantoor.

Dit virus zo gemaakt dat het zich snel via SMB prototcol kan versprijden. Maar de eerste verspreiding is via phising mails met bijlages of linkjes naar actieve .js/.exe bestanden.

Ik vermoed dat iemand op het hoofdkantoor zo stom was zo'n mail te openen. Daarna is dat virus zich via de VPN naar die XP computers gaan verspreiden.

Dennisdn
@t-force • 15 mei 2017 08:55

Voor zover ik begrepen heb is er nog steeds geen enkele mail gevonden die hiermee te maken heeft. De kans dag het zich per mail heeft verspreid is dus vrijwel 0.

Anoniem: 58485
@Dennisdn • 15 mei 2017 09:01

De kans is 95% dat die hele exploit te maken had met de Windows SMB kwestbaarheid. Dit verklaart ook waarom echt uiteenlopende bedrijven of particulieren zijn geraakt. En de windows SMB exploit was juist kwetsbaar voor PC's die rechtstreeks aan het internet hangen.

t-force

@Dennisdn • 15 mei 2017 09:52

Dank voor de extra info.

Dan weet ik in ieder geval dat ik safe zit

innerchild
@t-force • 15 mei 2017 09:03

Geen email maar een scan op een poort en dan infiltreren. Gewoon remote port hacking. Daarom was dit zo grootschalig.

The Van
@t-force • 15 mei 2017 10:23

[q] Wel zijn de systemen waarschijnlijk op XP of zo gebasseerd [q] Ja, want embedded. En aangezien je die niet in beheer hebt, zijn ze dus niet te updaten. Berlijn/Tegel airport had/heeft hetzelfde probleem.

RobNL
15 mei 2017 08:19

"De aanval trof onder ander ziekenhuizen in Engeland, terwijl ook Q-Park ermee te maken kreeg, onder andere in Nederland." De aanval treft alle apparaten die niet alle laatste updates hadden is een accuratere bewoording.

Blokker_1999

Netwerk en systeembeheer
Microsoft

@RobNL • 15 mei 2017 08:21

Dat is helemaal geen accuratere bewoording. Er zijn vermoedelijk tientallen miljoenen apparaten die de nodige updates niet hebben, toch zijn er "maar" 200 000 geïnfecteerde systemen bekend op dit moment.

Apparaten die niet up te date zijn, zijn kwetsbaar voor verspreiding van deze malware, maar daarvoor moet de malware meestal wel eerst in het netwerk geraken.

kakanox
@Blokker_1999 • 15 mei 2017 08:48

Op ArsTechnica las ik dat een scan uitwees dat er ongeveer 1,3 miljoen kwetsbare systemen zijn op het hele internet.

Martinspire

Microsoft

@Blokker_1999 • 15 mei 2017 09:39

Verspreiding kan dan wel worden getarget op specifieke locaties. Waarna het verder kan verspreiden. Het kan alsnog zijn dat de bedoeling was om de Engelse ziekenhuizen plat te leggen en/of het Duitse spoortnetwerk, maar de verdere verspreiding is dan niet in de hand te houden.

ACM
@RobNL • 15 mei 2017 08:24

Ze moeten uiteraard ook nog benaderd worden. Zolang dat niet gebeurt, worden ze niet getroffen.

Maar de zorg is natuurlijk wel dat er vandaag alsnog wereldwijd diverse ransomware-mails worden geopend en het probleem zich weer wat verder verspreid. De kans lijkt me vrij groot dat als 1 machine in een netwerk niet up-to-date is, er dan meerdere (allemaal?) zijn. En de kans is natuurlijk ook nog best groot dat, zeker bij grote organisaties, minimaal 1 persoon wel zo'n ransomware-mail opent.

The-Priest-NL
@ACM • 15 mei 2017 09:00

Alleen is de aanvals vector niet via e-mail bij WannaCry.

unreal0
@The-Priest-NL • 15 mei 2017 09:44

Echt niet? Ik dacht dat te lezen maar dat klopt dan niet. Weet je waar de vector wel zat?

The-Priest-NL
@unreal0 • 15 mei 2017 10:22

Middels SMBv1 die open staat naar het internet toe. Daarom zijn bedrijven ook merendeels de sjaak. Een hoop consumenten zitten veilig achter hun router tenzij ze zelf specifiek SMBv1 doorlaten middels port forwarding.

----------
Infection vector

One of the confirmed infection vectors is the usage of the ETERNALBLUE exploit directly on machines which have SMB directly exposed to the internet.

This chapter previously stated that we were in the process of verifying if phishing e-mails were also an infection vector for the WanaCry ransomware. Thus far Fox-IT has found no evidence that any phishing e-mails were related to this specific ransomware outbreak, and we have therefor removed the related indicators from this blog.
----------

aadje93
@RobNL • 16 mei 2017 02:33

stuxnet zat op een gegeven moment ook op bijna elke PC, slechts enkele specifieke PLC's in Iran werden er daadwerkelijk door getroffen

Chadi
15 mei 2017 08:21

Tel daarbij op dat heel veel organisaties de updates er niet zomaar op knallen omdat het risico aanwezig is dat andere software dan niet werkt. Dan loop je dus sowieso altijd achter de feiten aan.

flippy
@Chadi • 15 mei 2017 08:40

als je een systeem hebt die cruciaal is voor je bedrijfsvoering en op een 20 jaar oud OS draait en weigert patches uit te voeren of om deftige firewalls op te zetten heb je het volledig aan jezelf te danken.

theduke1989
@flippy • 15 mei 2017 09:37

Ik weet het niet maar dat is echt moeilijk voor complexe infrastructuren!

Bij ons op het labdiagnostiek hebben we te maken met leveranciers die nog op XP OS hun hardware (bloedmetingen etcetc) hebben draaien. Dit is via DMZ met ons netwerk (office) verbonden. En vervolgens via VPN naar een decentrale omgeving.

Wij willen de systemen voorzien van Windows 10 , maar de leveranciers weigeren dat omdat ze geen volledige werking op nieuwe OS hebben getest en het drastisch fout kan gaan en er "geen tijd" is om te testen en eventueel te bewerken. Wij hebben een complex infra met veel databases en klanten/medewerkers die weer met ziekenhuizen en dokters verbonden zijn via onze online Citrix for everybody (inclusief tokensupport) houden wij alleen de office infra de AD infra etcetc beveiligd. Maar het is dus voor ons onmogelijk om alles te beveiligen ongeacht we dat willen.

We zijn zelfs een project opgestart met KPN Email om onze klanten via een portaal te communiceren met onze helpdesk via TTL verbinding. Alle inkomende berichten (emails) die niet via TTL verzonden zijn van hun kant komen automatisch in een portaal en kunnen daar verder communiceren met onze klantenservice via TTL .

flippy
@theduke1989 • 15 mei 2017 09:46

het is niet moeilijk, het is geld. en dat merkt het bedrijfsleven nu ineens wel heel hard dat je dat flink in de problemen kan helpen. de NHS gaat dit geintje honderden miljoenen kosten en tientallen bedrijven zijn ook flink in de problemen door hun lakse houding.

1 voordeel heeft het wel: nu hebben de emails van de ICT toko ineens wel de aandacht...

CivLord

@flippy • 15 mei 2017 11:39

Het is geld en dat maakt het moeilijk. Dat vraagt om prioritering.
Geen enkele organisatie heeft genoeg geld om alles te doen wat ze willen. Een enkel bedrijf heeft genoeg geld om het een keuze te laten zijn tussen een extra bonus voor de directie en extra geld voor ICT. Bij veel bedrijven is het een pijnlijke keuze.
Het operationele budget van bv. ziekenhuizen is vaak al te klein om het nodige mee te doen. Daar is het een keuze tussen extra geld voor ICT of het vervangen van een haperende hartmonitor die een mensenleven kan kosten. Dan is snel de keuze gemaakt voor nú een nieuwe hartmonitor en een paar centen naar ICT en hopen dat er volgende maand iets meer beschikbaar is voor ICT.
Niemand accepteert het wanneer er gezegd wordt: "Sorry, uw moeder is overleden omdat de hartmonitor defect was. We hadden het apparaat eigenlijk veel eerder moeten vervangen, maar we hadden extra geld nodig om onze computers up te graden.

Chadi
@flippy • 15 mei 2017 09:21

Was het maar zo makkelijk. Elke nieuwe patch / update aan het OS moet eerst op OTA voordat het op productie komt. Daar gaat tijd overheen.
Nou zijn er gelukkig bedrijven die beginnen met andere oplossingen hiervoor zoals Docker . Dan kan je het redelijk onafhankelijk van OS draaien. Maar hoeveel procent is dat? En ook dat proces moet via de ontwikkelstraten lopen wil je garanderen dat het blijft werken.

Denk dat 20 jaar oude software juist minder interessant is voor dit soort aanvallen. Er valt weinig te verdienen en de machines die hierop draaien staan meestal niet aan het net gekoppeld en zijn lastiger te bereiken.

Room42
@flippy • 15 mei 2017 08:55

Je weet dat deze lek ook op Windows 10 7 (

), nog tot de updates van afgelopen maart aanwezig was? Dat is geen 20 jaar oud OS. En het is wel gebruikelijk dat updates op bedrijfskritische machines enkele weken achterlopen vanwege de route door de OTAP-straat.

[Reactie gewijzigd door Room42 op 15 mei 2017 09:02]

Eagle Creek

@Room42 • 15 mei 2017 08:59

Dat is onjuist.

The exploit code used by WannaCrypt was designed to work only against unpatched Windows 7 and Windows Server 2008 (or earlier OS) systems, so Windows 10 PCs are not affected by this attack.

https://blogs.technet.mic...gets-out-of-date-systems/

Room42
@Eagle Creek • 15 mei 2017 09:01

Aha, dat is nieuws voor me. Bedankt. Desalniettemin is Windows 7 ook nog ondersteund, dus actueel.

Nakebod

@Eagle Creek • 15 mei 2017 09:43

En ook dat is onjuist. Snap niet dat MS zegt dat Windows 10 niet vatbaar zou zijn, terwijl in MS17-010 staat dat dit wel het geval is. Win10, 1511 en 1607 zijn kwetsbaar. Alleen 1703 is er niet vatbaar voor.
https://technet.microsoft...ry/security/ms17-010.aspx

TWyk
@Nakebod • 15 mei 2017 10:22

Het lek zat wel in W10 maar de exploit in deze Wannacryptaanval is niet geschikt om Windows 10 PC's mee aan te vallen. Waarschijnlijk stond in de NSA lekken al exploitcode om W7 PC's aan te vallen en is die hergebruikt maar zelf een nieuwe exploit bedenken om ook W10 aan te vallen vereist dan net wat meer kennis.

Dus W10 is inderdaad niet vatbaar voor deze exploit
Wel bevatte W10 ook dit SMB v1 lek en is ook gepatched in maart.

Martinspire

Microsoft

@Nakebod • 15 mei 2017 11:39

Het kan zijn dat deze hack gebruikt maakt van 1 van de mogelijke manieren om de bug te misbruiken (als die er zijn). Stel er zijn 3 deuren die het virus kan gebruiken en toevallig is deur 1 standaard dicht in Windows 10 en 2 + 3 alleen bij 1703, dan kan het alsnog zijn dat deze malware standaard wordt gestopt. Als deur 1 de meeste (doelwit) pc's kan bereiken ondanks het gemis van win10, dan kan het alsnog veel bereiken.

Verder lijkt het me dat MS verwacht dat Win10 gebruikers hun pc bijwerken, anders is het sowieso nutteloos. Volgens mij werd overal in het nieuws ook gemeld dat je met de laatste updates veilig bent, dus dan klopt dat ook wel. Wat ik echter overal mis is welke virusscanners deze malware wel tegenhouden. Lijkt me juist handig om te weten of bepaalde machines alsnog veilig zijn door bepaalde scanners. En iets wat ook aan kan geven welke paketten dus hun werk goed doen.

flippy
@Room42 • 15 mei 2017 09:04

tot zover zijn alle systemen zoals de NHS en Qpark op XP gebaseerd... geen windows 7 en dat staat nog steeds los van het hebben van de basisprincipies rondom firewalls in een enterprise omgeving.

Disksoft
@flippy • 15 mei 2017 09:22

De getroffen Q-park betaalautomaten bevatten Windows 7. De servers op locatie draaien op Windows 2008 Server, een aantal locaties op Windows 2012 Server.

Anoniem: 58485
@Disksoft • 15 mei 2017 09:51

En waarschijnlijk zonder enige bescherming, firewall of wat dan ook gekoppeld op het internet. SMB exploit en klaar was kees.

TWyk
@Anoniem: 58485 • 15 mei 2017 10:24

Het kan ook zijn dat het netwerk van Q-park besmet is geraakt en via een VPN verbinding de parkeertautomaten besmet zijn geraakt. Die hoeven dus niet met SMB aan het internet gehangen te hebben.

Martinspire

Microsoft

@flippy • 15 mei 2017 11:40

Ze hadden het ook over energiecentrales en andere locaties. Waarvan ik me dan weer afvraag waarom die dingen op het normale netwerk hangen en waarom een mailtje dan de rest van het systeem kan infecteren. Dan doe je als systeembeheerder gewoon je werk niet goed.

flippy
@Martinspire • 15 mei 2017 12:25

een worm werkt niet met email maar door exploits te gebruiken waardoor ze via een open netwerkverbinding erin kunnen komen. een deftige firewall kan dit natuurlijk tegenhouden...

[Reactie gewijzigd door flippy op 15 mei 2017 12:25]

MrHankey
15 mei 2017 08:23

Als een overheid er niet op uit is om haar burgers te beschermen, maar juist om die aan te vallen, is dat misschien nog een veel zorgelijkere ontwikkeling! En dat is wel het cyberbeleid van de VS, zo blijkt uit al die Snowden leaks. Dat achterhouden van 0days valt in dat beleid. En helaas er zit een complete mafketel aan het roer daar, vergeet het dat dit any time soon zal veranderen.

jip_86
@MrHankey • 15 mei 2017 08:29

Ja want al die NSA leaks zijn in de afgelopen 100 dagen verzameld natuurlijk

Die "mafketel" heeft juist altijd gehamerd op de beveiliging tijdens zijn campagne bijvoorbeeld.

Croga
@jip_86 • 15 mei 2017 08:33

Ja want al die NSA leaks zijn in de afgelopen 100 dagen verzameld natuurlijk

Nee maar "Die mafketel" gaat het ook niet veranderen.

Die "mafketel" heeft juist altijd gehamerd op de beveiliging tijdens zijn campagne bijvoorbeeld.

Hij heeft heel erg veel gezegd tijdens zijn campagne. Hij heeft er nog niets van omgezet in waarheid. Ga er maar niet van uit dat dat hiermee wel gaat gebeuren.

jip_86
@Croga • 15 mei 2017 08:45

Nou dit lijkt me toch een redelijke start: nieuws: Overheidsinstanties VS moeten digitale risico's gaan inschatten na de...

litebyte
@MrHankey • 15 mei 2017 09:48

Idd, los daarvan het beleid kan mede na deze aanval wel eens grote financiële consequenties gaan hebben voor US tech en software bedrijven zoals Microsoft.

Hier in Azië, dan met name in China zijn vele duizenden vooral ook overheidscomputers besmet. Studenten kunnen hun examens niet maken, tot aan benzinepompen van het staatsoliebedrijf PetroChina waarvan het betalingssysteem niet meer werkt.

Overheden zoals in China kunnen dit gebruiken om bijv. het gebruik van hun eigen OS tecpushen, zoals het OS Neokylin.

[Reactie gewijzigd door litebyte op 15 mei 2017 09:52]

Martinspire

Microsoft

@MrHankey • 15 mei 2017 11:45

Volgens mij valt de VS niet echt haar eigen burgers aan, maar meer die uit andere landen (of van buitenlandse bedrijven). Dus in zekere zin hebben ze wel het beste voor met de eigen burgers, maar zit de rest van de wereld 2e rang. En wat mij betreft is ook dat moreel verwerpelijk. Toch conflicteert het niet met het eerste punt dus.

MrHankey
@Martinspire • 15 mei 2017 12:32

Ja ok, tis maar net wat je verstaat onder aanval. Persoonlijk zie ik integriteits schending ook als een aanval. Vergelijk het met pesten op school/werk, hoewel er geen fysiek letsel is, is er dan wel een 'aanval op de persoon'. Een sleepnet strategie om maar zoveel mogelijk metadata van iedereen bij elkaar te harken is ook een aanval op de integriteit. Het volk < de kudde < het (stem)vee, is een complete degradatie van het humanistische principe. Het wordt verkocht als terreurbestreiding, in de prakitjk is het economische spionage. Imho is er wel degelijk 'een cyberoorlog' gaande tussen overheid en burgers.

Dark
15 mei 2017 09:01

Je zou haast denken dat dit een opzettelijke demonstratie is van wat er kan gebeuren als overheden kwetsbaarheden langer dan noodzakelijk verborgen houden, vermomd als een ransomware aanval

[Reactie gewijzigd door Dark op 15 mei 2017 09:31]

litebyte
@Dark • 15 mei 2017 09:28

Klinkt eigenlijk helemaal niet zo gek. Ik dacht ook eventjes aan een vorm van 'ethical hacking' als een manier van protest tegen de NSA dictatuur om alles en iedereen te kunnen hacken.

Het bedrag wat wordt geëist is relatief gezien een peuleschil, maar dat kan ook de tactiek zijn om bedrijven snel het besluit te laten nemen om maar te betalen.

[Reactie gewijzigd door litebyte op 15 mei 2017 09:32]

Mormeldier
15 mei 2017 09:27

"We hebben kwetsbaarheden opgeslagen bij de CIA gezien die verschenen bij WikiLeaks en nu treft deze kwetsbaarheid van de NSA klanten wereldwijd"

Ik zie de reactie van NSA en CIA al: "Als jullie nou gewoon een backdoor hadden ingebouwd hadden wij die exploits niet achter hoeven houden..."

MadEgg
@Mormeldier • 15 mei 2017 10:20

Hoe weet je zo zeker dat het hier niet om een backdoor gaat die, na het uitlekken als "bug" gepatched is door Microsoft om de schijn op te houden?

Niet dat ik per sé verwacht dat het zo gegaan is, maar er is weinig verschil tussen een opzettelijk geplaatste backdoor en een onopzettelijk geplaatste backdoor, met het verschil dat in het eerste geval er waarschijnlijk één of meerdere partijen vanaf weten en er gebruik van maken.

stresstak
@MadEgg • 15 mei 2017 15:27

Hoe weet je zo zeker dat het hier niet om een backdoor gaat die, na het uitlekken als "bug" gepatched is door Microsoft om de schijn op te houden?

Niet alleen schijn ophouden. Over de schuurdeur is geklaagd, maar over de garagedeur en de keldertoegang is niks gezegd. Die doen we dus maar niet.

YopY
15 mei 2017 11:53

Ik zou het niet raar vinden als partijen als Google, Microsoft en Apple een rechtszaak aanspannen tegen de regering voor het moedwillig achterhouden van exploits, wat als gevolg zowel grote economische schade kan hebben, alsmede een risico voor de nationale veiligheid. Door het verborgen houden van exploits brengt de NSA de VS zelf in gevaar.

parryfiend
15 mei 2017 09:10

Deze malware golf is een gevolg van bedrijven die steeds maar bij oudere ongepatchte OS'en blijven omdat oude bedrijfssoftware er 'zo goed op draait'.

Waarom updaten naar win10? XP draait prima hier en net zo goed! Welke gaten in OS? Totdat er malware langs komt dat gebruik maakt van decennia oude 0-days en door de gatenkaas beveiliging heen glipt.

Nu is het het bedrijfsleven en overheden met xp en vista, morgen zijn het consumenten en alle abandonware versies van Android. Daarom zijn updates en een solide updatebeleid zo belangrijk.

Anoniem: 58485
@parryfiend • 15 mei 2017 10:06

Het ging ook om Windows 7, Windows 10 machines. Die zonder enige firewall blijkbaar kwetsbaar waren voor de SMB exploit en daarmee besmet raakte met malware. Dit had weinig met XP meer te maken maar met systemen aan het internet koppelen zonder enig fatsoenlijke firewall. Het is dan een kwestie van mass port scanning totdat je een lijstje met IP adressen hebt waar SMB open staat en knallen maar.

Het is niet een zooi targetted PC's, maar wereldwijd en met name systemen die open en bloot op het internet hingen waarvan primair Windows 7, waaronder die van Qpark.

Patches moeten getest worden. Niet ieder bedrijf of ICT bedrijf aan waaraan dit uitbesteed is kon dat voortijdig oplossen. Hoewel ik van mening ben dat een hoop thuis / office PC's deze ellende bespaard is gebleven omdat er een standaard router / firewall achter zat die inkomende verbinding gewoon blokkeert, en deze daarmee buiten schot vielen.

litebyte
@parryfiend • 15 mei 2017 10:09

Wat vooral interessanter hierin is, is de oorzaak, die ligt noch bij de eindgebruiker of bij techbedrijven - die ligt feitelijk bij een overheid. Een overheid die eist dat tech en software bedrijven op grote schaal backdoors/vulnerabilities in hun producten inbouwen.

PageFault
15 mei 2017 09:46

In maart was er blijkbaar al een patch voor, dan lopen sommige dus - al dan niet door policies - net teveel achter met updaten.

1 2 3 Volgende

Op dit item kan niet meer gereageerd worden.

Microsoft: WannaCry toont gevaren opsparen kwetsbaarheden door overheden

Lees meer

WannaCry-ransomware in 150 landen

IT-banen

Reacties (207)

Sorteer op:

Weergave:

Tweakers maakt gebruik van cookies

Toestemming beheren

Functioneel en analytisch

Relevantere advertenties

Ingesloten content van derden