image

Weert geeft virusscanner schuld van Dorifel-uitbraak

woensdag 17 juli 2013, 13:42 door Redactie, 7 reacties

De uitbraak van het Dorifel-virus die vorig jaar bij de gemeente Weert plaatsvond was de schuld van een falende virusscanner, zo beweert de gemeente. In iBestuur, een magazine voor bestuurders, beslissers en beleidsmakers binnen de publieke sector, wordt een reconstructie van de infectie gegeven en hoe er binnen de gemeente Weert met het besmette netwerk werd omgesprongen.

Dorifel wist zo'n 3.000 systemen bij Nederlandse gemeenten en andere instellingen te infecteren. De malware verminkte en versleutelde Word- en Excelbestanden en werd geïnstalleerd door de Citadel Trojan die al zeker een maand op deze systemen actief was.

Updates
Citadel verspreidt zich voornamelijk via drive-by downloads. Het gaat dan om aanvallen (exploits) die misbruik van bekende beveiligingslekken maken. Dat betekent dat gebruikers of systeembeheerders de beveiligingsupdates om deze lekken te verhelpen niet hebben geïnstalleerd. In de reconstructie van Weert komt het woord beveiligingsupdate of patch geen enkele keer voor.

De gemeente wordt tijdens een vergadering door een ICT-adviseur gewaarschuwd dat er een virus op het netwerk zit. De adviseur wil weten of de gemeente het netwerk actief plat legt en of Weert het nieuws naar buiten brengt.

Virusscanner
"We hebben de ICT’er direct bestookt met vragen. Wist hij meer over het virus? Hadden we dan geen actuele virusscanners? Zag hij een andere oplossing dan het netwerk uitschakelen? Al snel wisten we dat er maar één besluit mogelijk was. Het virus was nog onbekend, kon om die reden door de scan komen en verspreidde zich verder als het netwerk aanstond. We hebben daarom direct gehandeld", zegt Myriam Meertens, locogemeentesecretaris en leidster van het crisisteam.

Een half uur na het besluit gaat er een mail uit naar alle medewerkers van de gemeente. Iedereen moet uitloggen en mag de pc niet meer gebruiken. Daarna moet besloten worden welke back-up veilig is om terug te zetten "We wisten dat de back-up van de vorige dag zeker geïnfecteerd was. We kozen het zekere voor het onzekere. We gingen voor de back-up van vrijdag", aldus Meertens

Restore
Met ingehuurde experts werd gewerkt om besmette bestanden in quarantaine te plaatsen, nieuwe besmettingen te voorkomen en het terugzetten van de back-up (restore) van vrijdag voor de virusinfectie om de systemen voor te bereiden op een nieuwe opstart. Uiteindelijk blijkt deze restore te mislukken.

Een dag later wordt een nieuwe restore gedaan. Die mislukt, doordat één van de schoon geachte computers toch geïnfecteerd blijkt te zijn. Uiteindelijk worden alle systemen hersteld en kan Weert beginnen met de dienstverlening aan burgers, die wegens de malware grotendeels onmogelijk was. "Ga er maar van uit dat een virus ook een keer in uw organisatie gaat binnendringen", waarschuwt Meertens.

Update: typo verholpen

Reacties (7)
17-07-2013, 14:21 door Preddie
De uitbraak van het Dorifel-virus die vorig jaar bij de gemeente Weert plaatsvond was de schuld van een falende virusscanner, zo beweert de gemeente

Dit bevestigd de nog steeds aanwezige incompetente mensen .....

Een dergelijke infectie op een dergelijk schaal getuigd van mismanagement op het gebied van IT. Een dergelijke besmetting had makkelijk voorkomen kunnen worden wanneer men degelijk IT-management en beheer zou uitvoeren, dit behoort namelijk tot de basis van de beheersactiviteiten. De gemeente kan daarom ook beter de schuld bij de systeembeheerders leggen en deze vervangen door professionals i.p.v. de virusscanner de schuld te geven.

Met ingehuurde experts werd gewerkt om besmette bestanden in quarantaine te plaatsen, nieuwe besmettingen te voorkomen en het terugzetten van de back-up (restore) van vrijdag voor de virusinfectie om de systemen voor te bereiden op een nieuwe opstart. Uiteindelijk blijkt deze restore te mislukken.

Zo expert waren deze experts dus niet ;)
17-07-2013, 15:24 door Anoniem
De Virus Scanner de schuld geven... is zooo politiek incorrect!
Scanners kunnen nu eenmaal niet alles tegenhouden en de Citadel trojan was nogal een vervelend beestje (weet ik uit eigen ervaring.

IT beheer is gedeeltelijk verantwoordelijk als indrdaad het netwerk niet up to date was.... maar ik lees niets over de gbruikers... want die hadden blijkbaar genoeg rechten om Citadel uit te voeren, zal wel een ambtenaar zijn geweest die op porno sites mag komen ivm zijn werk :)

En ach ja experts kunnen ook wel eens een steekje laten vallen.
17-07-2013, 15:31 door Anoniem
Door Predjuh:
De uitbraak van het Dorifel-virus die vorig jaar bij de gemeente Weert plaatsvond was de schuld van een falende virusscanner, zo beweert de gemeente

Dit bevestigd de nog steeds aanwezige incompetente mensen .....

Een dergelijke infectie op een dergelijk schaal getuigd van mismanagement op het gebied van IT. Een dergelijke besmetting had makkelijk voorkomen kunnen worden wanneer men degelijk IT-management en beheer zou uitvoeren, dit behoort namelijk tot de basis van de beheersactiviteiten. De gemeente kan daarom ook beter de schuld bij de systeembeheerders leggen en deze vervangen door professionals i.p.v. de virusscanner de schuld te geven.

Met ingehuurde experts werd gewerkt om besmette bestanden in quarantaine te plaatsen, nieuwe besmettingen te voorkomen en het terugzetten van de back-up (restore) van vrijdag voor de virusinfectie om de systemen voor te bereiden op een nieuwe opstart. Uiteindelijk blijkt deze restore te mislukken.

Zo expert waren deze experts dus niet ;)

Ik ben het met je eens dat de aanwezigheid van botnetactiviteit al veel eerder opgemerkt had kúnnen worden. Maar het is wel erg kort door de bocht om te roepen dat dergelijke systeembeheerders hun werk niet goed doen en maar vervangen moeten worden door professionals. Klopt, het hoort bij beheeractiviteiten. Maar bij hoeveel bedrijven zitten deze activiteiten ingebakken in het dagelijks werk? Ik durf te stellen dat het vies tegenvalt...
17-07-2013, 16:48 door SurfRight
Door Anoniem: IT beheer is gedeeltelijk verantwoordelijk als inderdaad het netwerk niet up to date was.... maar ik lees niets over de gebruikers... want die hadden blijkbaar genoeg rechten om Citadel uit te voeren, zal wel een ambtenaar zijn geweest die op porno sites mag komen ivm zijn werk :)
Het 'mooie' van Citadel (en eigenlijk alle hedendaagse malware) is dat het ook werkt als de gebruiker geen systeemrechten heeft. Dus deze rechten afnemen helpt eigenlijk weinig. De malware kan zijn werk doen uit naam van de gebruiker dus het beperken van de gebruikersrechten op de file shares had in het geval van Dorifel sowieso geholpen.
17-07-2013, 18:50 door Anoniem
Door SurfRight:
Het 'mooie' van Citadel (en eigenlijk alle hedendaagse malware) is dat het ook werkt als de gebruiker geen systeemrechten heeft. Dus deze rechten afnemen helpt eigenlijk weinig. De malware kan zijn werk doen uit naam van de gebruiker dus het beperken van de gebruikersrechten op de file shares had in het geval van Dorifel sowieso geholpen.
En hoe werkt dat dan?
Hoe voeren ze software meteen al met systeemrechten uit zonder als gebruiker te beginnen?
Het uitvoeren van software die op gebruiker-schrijfbare locaties staat is simpel te blokkeren.
Dus een exe downloaden met een exploit erin die de rechten verhoogt daar kom je er niet mee.

En wat dacht je dan te beperken aan gebruikersrechten? Ik neem toch aan dat de gemiddelde
netwerkbeheerder de rechten al zodanig ingesteld heeft dat gebruikers alleen bij de directories mogen
waar ze uit hoofde van hun functie moeten zijn. Wat is de mogelijkheid om dat verder te beperken?
18-07-2013, 11:44 door Anoniem
Een half uur?? Een security officer zou het mandaat moeten hebben in dit soort gevallen zonder overleg de stekker er uit te mogen trekken. Uitleg en vragen beantwoorden kan ook nadat het probleem opgelost is. Wat deze organisatie vooral genekt heeft is de "overleg cultuur" dat lijkt me duidelijk....
19-07-2013, 09:12 door Anoniem
Reactie namens de gemeente Weert: De vertaling op deze site van het artikel in iBestuur, en zeker de kop van dit artikel, is niet correct. Zonder dat we een technische discussie willen voeren op deze plek, willen we wel melden dat de gemeente absoluut NIET de virusscanner de schuld geeft. “Het virus was nog onbekend, kon om die reden door de scan komen en verspreidde zich verder als het netwerk aanstond.” Die zinsnede geeft een oorzaak aan, dat is iets anders dan schuld.
En natuurlijk is het zo dat het artikel in iBestuur een versimpelde versie van de werkelijkheid weergeeft. Daarmee doen we niets af van de kwaliteit van het interview, maar er zijn uiteraard meer afwegingen gemaakt, kritische vragen gesteld etc. die te ver voerden om het verhaal bondig en aantrekkelijk te houden. En hoewel er uiteraard leerpunten zijn, concludeert het instituut voor veiligheids- en crisismanagement (COT) die we Weerter aanpak evalueerde, dat de crisis goed is aangepakt. Er is lof voor de crisisorganisatiestructuur, de systematische aanpak en de actieve, transparante communicatie van de gemeente Weert.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.