Nova fopt Belastingdienst, ING en PvdA met USB-stick
Werknemers van de Belastingdienst, ING, het AMC, PvdA, SP en andere organisaties, hebben een "geïnfecteerde USB-stick" van televisieprogramma Nova in hun bedrijfscomputer gestoken. Het gevaar van rondslingerende USB-sticks is niet nieuw. Al in 2007 werd bekend dat aanvallers deze tactiek toepassen om bedrijfsnetwerken te infiltreren. Volgens hoogleraar computerbeveiliging Jacobs van de Radboud Universiteit Nijmegen is het zorgelijk dat een kwart van de werknemers dit doet. Ook personeel bij CNV, de SER, het KNMI en Vluchtelingenwerk stopte de stick in een Windows computer waar Autorun was ingeschakeld.
Nova had tachtig USB-sticks verspreid, waarvan er 20 gebruikt werden. Althans, die een signaal naar buiten wisten te sturen. "Ik ga ervan uit dat bij ING het beveiligingsbeleid expliciete aandacht krijgt en ik vind het kwalijk dat het gelukt is. Het is ook ernstig dat een medewerker van de Belastingdienst een USB-stick zomaar in zijn pc stopt", aldus Jacobs. Toch blijft het onduidelijk hoe erg de situatie daadwerkelijk is. De stick verstuurde namelijk alleen het IP-adres en het tijdstip door. Daardoor blijft het natte vingerwerk of er vertrouwelijke informatie gevaar liep.
Geen leuke televisie
Volgens internetjournalist Herbert Blankesteijn schoot de reportage vooral tekort omdat de indruk werd gewekt dat computers weerloos zijn tegen een slim geprepareerde usb-stick. "Dat is niet het geval. In de eerste plaats zijn Macs niet gevoelig voor de truc. In de tweede plaats kan ook een Windows-pc eenvoudig hiertegen worden beveiligd. Bewustwording is belangrijk, maar als je langs technische weg een genre problemen kunt uitsluiten, is dát de aangewezen manier. Dat had Nova veel beter kunnen uitleggen, maar ja, dat levert geen leuke televisie op."
Blankesteijn laat verder weten dat tegen het handmatig openen van een bestand de door hem voorgestelde oplossingen niet werken. "Alles heeft zijn grenzen. Maar paniek zaaien is nergens voor nodig."
Dat een computer kan worden beveiligd klopt; toch is een zeer groot deel van de desktops en laptops hiertegen niet beveiligd. Ik kom veel bij bedrijven voor security audits, en de autorun functie staat vaker aan dan uit. Daarnaast is het aantal Macs relatief gezien erg laag i.v.m. het aantal PC's dat in het bedrijfsleven wordt gebruikt (op de grafische sector na, veel designers geven nog altijd de voorkeur aan een Mac).
Indien niet vermeld werd in de uitzending dat niet iedere PC kwetsbaar is, en indien er niet uitgelegd werd hoe je kan voorkomen dat je PC besmet raakt door een USB stick dan is dat wel jammer inderdaad (ik heb de uitzending niet gezien).
Dus of het nu zoveel zin heeft om kritiek te uiten op Nova??
Mensen die zo'n stick en passant ff in de pc duwen gaan meestal toch even kijken wat d'r op staat.
Dus of d'r nu zoveel kritiek op de uitzending moet zijn.
Wel waar natuurlijk dat 'n helehoop politici/belzen mensen geen flauw idee hebben hoe 'n usb-stick wel of niet schade kan aanrichten.
Tijd voor 'n Obama op Hollandse bodem. ;'-D
kan je ook ene root account aanmaken.
Tevens was zoiets ook mogelijk op mac dacht ik alleen was het me nooit echt gelukt.
Maar wat twijfelachtiger is, Hoe weten ze zo zeker dat die USB ook daadwerkelijk bij dat bedrijf is getest en dan ook nog op hun normale werkplek ..... daar lees je niks over.
Echter is het gewoon sensatiezoekerij, en op vista is het veel makkelijker uit te zetten.
Tevens vinden 9/10 computer gebruikers het fijn om als ze een CD/usb hebben om er niet heen te hoeven navigeren.
In de tweede plaats kan ook een Windows-pc eenvoudig hiertegen worden beveiligd.
end qoute.
dus ze hebben een manier voor auto run uit te schakelen gevonden.
tja.
In de tweede plaats kan ook een Windows-pc eenvoudig hiertegen worden beveiligd.
end qoute.
dus ze hebben een manier voor auto run uit te schakelen gevonden.
tja.
Precies, duidelijk een geval van n00bs die het beheer/security uitvoeren, zoals bij veel bedrijven waarvan je verwacht dat ze proffessioneel handelen.
Pure media geilheid.
Alles hangt af van de functionele specificaties mbt security welke opdrachtgever geeft aan opdrachtnemer. En in hoeverre de opdrachtgever verantwoord te werk gaat en opdrachtnemer attendeert op missers.
Klaar.
If you want it you get it. Maar ja als je niet bereid bent de knip te trekken (wat ik vermoed) tja dan komen de kosten later wel. Met security kun je tegenwoordig niet meer spotten. Kwestie van schillen aanbrengen..maar dan komt weer security by obscurity....Als je het doel bent ..valt er haast niets tegen te beginnen..hoeveel schillen je ook aanbrengt.
En dan hebben we het nog niet over social engineering...En die usb stick...tja elke dinsdag vd maand geeft Microsoft dat ze bewuste of onbewuste lekken hebben in hun systemen.
Je komt overal binnen als je wilt.
Maar nu dit in het nieuws is ....zou ik maar heel gauw er wat aan gaan doen...
Lastig he...security naderhand en die kosten naderhand....tja...wel ff wakker blijven!
En wat doen we voortaan ....yep security een serieuze plaats geven bij projecten inclusief de kosten. Als je dit als opdrachtnemer niet lukt dan ben je niet professioneel bezig.
NOGMAALS JE KAN ER NIET MEER MEE SPOTTEN!
DIE TIJD IS OVER HELEMAAL OVER!
DIE TIJD IS OVER HELEMAAL OVER!
WAKKER WORDEN!
wordt je (bedrijf) meteen bestempeld als n00bs die gevaarlijke usb-sticks in hun pc stoppen.
In de tweede plaats kan ook een Windows-pc eenvoudig hiertegen worden beveiligd.
end qoute.
dus ze hebben een manier voor auto run uit te schakelen gevonden.
tja.
Die manier is er al heel lang, alleen moet je die handmatig inschakelen (of zo je wilt uitschakelen). En die kans is bij de gemiddelde gebruiker erg klein. En dat staat weer los van zo'n beetje elk OS.
De nieuwe generatie MAC gebruiker is niet veel slimmer dan die van Windows. Ze kopen de MAC omdat ze gehoord hebben dat daar geen virussen of andere veiligheidsproblemen voor zijn. Met andere woorden, ze kopen een MAC en doen niets meer voor hun veiligheid omdat ze van 'deskundigen' gehoord hebben dat ze daar niet bang voor hoeven te zijn.
Tijd voor 'n Obama op Hollandse bodem. ;'-D
Je bedoelt een nieuwe wolf in schaapskleren? Ik denk niet dat we gebaat zijn bij een andere marionet. Doe eerst eens wat onderzoek naar wie en wat Obama precies is voordat je blindelings een gehypt iemand de hemel inprijst.
Wat is nieuw? Wat gaat veranderen? Wie gelooft in een security bastion? Niets is nieuw, niets gaat veranderen en een security bastion bestaat niet. En nu? Waar redelijkerwijs preventieve maatregelen mogelijk zijn: doe het. Maar leg de nadruk op a) detectief binnen en buiten je netwerk b) timmer het juridisch helemaal dicht, laat iedereen NDA's, security agreements etc tekenen.
Wie lekt of onverantwoordelijk is, ligt eruit: volg het security beleid of vertrek. Laat dit merken in je organisatie.
Wie lekt of onverantwoordelijk is, ligt eruit: volg het security beleid of vertrek. Laat dit merken in je organisatie.
Ja, ja. Dreig met ontslag en je bent er zeker van dat er incidenten niet meer worden gerapporteerd. Probleem opgelost.
Je vergeet voor het gemak dat je te maken hebt met mensen.
Overigens is de oplossing hier vooral technisch en niet organisatorisch. Maar dat maakt niets uit voor mensen zoals jij die vooral op papier veiligheid willen en altijd kunnen wijzen naar een ander als het misgaat.
Wie lekt of onverantwoordelijk is, ligt eruit: volg het security beleid of vertrek. Laat dit merken in je organisatie.
Wat Nova denk ik probeert aan te tonen is dat zelfs (mensen van) 'informatie-bewuste' organisaties nog op een losse manier met met beveiliging omgaan. Wat Nova overigens vergeten is, is op hun eigen redactie zo'n stickje te laten slingeren... :-)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
