image

Patchbeleid overheid niet aangepast wegens EternalBlue-exploit

maandag 15 juli 2019, 13:24 door Redactie, 14 reacties

Het patchbeleid van de overheid zal vanwege de EternalBlue-exploit niet worden aangepast, zo heeft staatssecretaris Knops van Binnenlandse Zaken op vragen van D66 laten weten. De EternalBlue-exploit werd bij de Amerikaanse geheime dienst NSA gestolen en verscheen in april 2017 op internet.

De exploit maakt misbruik van een beveiligingslek dat in maart 2017 door Microsoft werd gepatcht. Onder andere de WannaCry-ransomware wist zich via EternalBlue te verspreiden. Onlangs meldde de New York Times dat de exploit gebruikt zou zijn om systemen van de Amerikaanse stad Baltimore met ransomware te infecteren, hoewel een Amerikaanse senator stelt dat dit niet het geval is geweest. Dat neemt niet weg dat twee jaar na het uitkomen van de beveiligingsupdate er nog altijd ongepatchte systemen zijn.

D66-Kamerlid Kees Verhoeven wilde dan ook weten of Knops vanwege de dreiging van de EternalBlue-exploit aanvullende maatregelen gaat nemen. "Ik zie vanwege deze ene specifieke kwetsbaarheid geen reden het overheidsbrede patchbeleid aan te passen, zoals dat is opgesteld in de Baseline Informatiebeveiliging Overheid (BIO)", laat de staatssecretaris weten. Daarin staat dat patches voor kwetsbaarheden waarvan de kans op misbruik en verwachte schade hoog is, binnen een week geïnstalleerd moeten zijn.

Knops merkt op dat in het geval van de kwetsbaarheid waar de EternalBlue-exploit gebruik van maakt het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid actief contact heeft opgenomen met organisaties in haar doelgroep. Het gaat dan om de rijksoverheid en de vitale sector die advies kregen om direct actie te nemen. "Het beveiligingsadvies van het NCSC omtrent deze kwetsbaarheid en de daarmee samengaande maatregelen zijn nog steeds van kracht", aldus Knops.

Verhoeven wilde ook opheldering van de staatssecretaris over het feit dat Nederland op de achtste plaats staat als het gaat om machines die nog steeds gebruik maken van het SMBv1-protocol, waar de EternalBlue-exploit gebruik van kan maken. Volgens de staatssecretaris is het zorgelijk dat machines in Nederland mogelijk nog steeds kwetsbaar zijn voor misbruik doordat updates niet zijn geïnstalleerd. "Echter de hoge score in de lijst hangt samen met de hoge mate van digitale connectiviteit van Nederland. Nederland is immers één van de meest gedigitaliseerde landen ter wereld", merkt Knops op.

Reacties (14)
15-07-2019, 13:48 door Anoniem
Dus hoe meer gedigitaliseerd de natie, hoe brakker de overall veiligheid op de infrastructuur.
Een "lame excuse" om geen extra inspanningen te hoeven doen. Lekker makkelijk weer, toch?

Dan mag je wel eerst eens een veiligheidsslag gaan maken, je developers gaan opleiden
zonder "security as a last resort issue" in het vizier. Zet het op het curriculum.

Willen we weer voor een duppie op de eerste rang zitten?

De overheid hoort het goede voorbeeld te geven, maar dat lukt zelfs niet altijd bij henzelf,
als klikken al een risico inhoudt:
zie: https://www.security.nl/posting/617011/Eerst+checken%2C+dan+klikken

Neen ze besteden het liever uit aan de (groot)commercie en
doen ook weinig aan de onveiligheidsbehoefte van de grote jongens,
vanwege hun hoofdverdienmodel (=data-(surveillance)-handel).

#sockpuppet
15-07-2019, 14:21 door Anoniem
Door Anoniem: Dus hoe meer gedigitaliseerd de natie, hoe brakker de overall veiligheid op de infrastructuur.
Een "lame excuse" om geen extra inspanningen te hoeven doen. Lekker makkelijk weer, toch?
Of het advies was al goed genoeg om deze exploit tegen te gaan?
Als men legacy niet wil of kan patchen, zal een ander advies niet veel veranderen.

Dan mag je wel eerst eens een veiligheidsslag gaan maken, je developers gaan opleiden
zonder "security as a last resort issue" in het vizier. Zet het op het curriculum.
Dat heeft ook niet met een nieuw advies te maken. Dit is standaard al aanwezig in de eisen. Als men zich niet houd aan deze eisen is weer iets anders.
En een ander patch beleid heeft ook niets te maken met developers.

Willen we weer voor een duppie op de eerste rang zitten?

De overheid hoort het goede voorbeeld te geven, maar dat lukt zelfs niet altijd bij henzelf,
als klikken al een risico inhoudt:
zie: https://www.security.nl/posting/617011/Eerst+checken%2C+dan+klikken

Neen ze besteden het liever uit aan de (groot)commercie en
doen ook weinig aan de onveiligheidsbehoefte van de grote jongens,
vanwege hun hoofdverdienmodel (=data-(surveillance)-handel).

#sockpuppet
Je hebt het nu over een site nu.nl die een link heeft heeft aangepast. Komt dat door de overheid of nu.nl?
15-07-2019, 14:35 door Anoniem
Overheid en IT gingen al niet samen laatstaan met security.
maar wel willen innoveren met een digitaal paspoort op je telefoon.
He haagse makkers. Kunnen jullie rekenen.
Reken maar van Hell-No
15-07-2019, 15:03 door Bitwiper
Oeps... staatssecretaris Knops heeft zich duidelijk niet door ter zake deskundigen laten adviseren. Je kunt je daarom afvragen wat zo'n antwoord überhaupt waard is.

Dat Nederland op plaats 8 staat van landen die SMBv1 niet hebben uitgefaseerd, omdat dit zou samenhangen "met de hoge mate van digitale connectiviteit van Nederland", is natuurlijk larie (alhoewel ik geen idee heb hoe groot het percentage van SMBv1 van het totale verkeer door AMS-IX is ;-).

Daarnaast ademt het document van de staatssecretaris dat patchen en updaten volstaat. Door haar leeftijd barst Windows echter van de legacy protocollen en algoritmes die ronduit onveilig zijn (waar malware en interactieve aanvallers dankbaar gebruik van maken) maar niet gerepareerd zullen of zelfs kunnen worden.

Aangezien het de filosofie van Microsoft is om "out of the box" zo min mogelijk foutmeldingen te genereren, zul je zelf moeten uitzoeken welke protocollen en algoritmes je sowieso uit kunt zetten omdat ze, binnen de organisatie, überhaupt niet meer worden gebruikt. En welke risicovolle algoritmes en protocollen je zo snel mogelijk uit wilt zetten, en vaart zetten achter het opheffen van de afhankelijkheden waardoor dat nu nog niet kan.
15-07-2019, 15:19 door DLans
Door Bitwiper:
Daarnaast ademt het document van de staatssecretaris dat patchen en updaten volstaat. Door haar leeftijd barst Windows echter van de legacy protocollen en algoritmes die ronduit onveilig zijn (waar malware en interactieve aanvallers dankbaar gebruik van maken) maar niet gerepareerd zullen of zelfs kunnen worden.

Aangezien het de filosofie van Microsoft is om "out of the box" zo min mogelijk foutmeldingen te genereren, zul je zelf moeten uitzoeken welke protocollen en algoritmes je sowieso uit kunt zetten omdat ze, binnen de organisatie, überhaupt niet meer worden gebruikt. En welke risicovolle algoritmes en protocollen je zo snel mogelijk uit wilt zetten, en vaart zetten achter het opheffen van de afhankelijkheden waardoor dat nu nog niet kan.

Het lijkt met dat een organisatie die het beveiligingsbeleid serieus neemt altijd na gaat denken over de protocollen er gebruikt dienen te worden, en voornamelijk welke ook niet. Los van welk OS dan ook. Het monitort sowieso wat makkelijker als je zelf op de hoogte bent van het gebruikelijke en verwachte verkeer, los van wat tooling eventueel automatisch aanmerkt als "verdacht".
15-07-2019, 15:33 door Anoniem
@DLans,

Dan moet je toch in gemoede afvragen, zeer gewaardeerde poster, of ze dat wel doen, nadenken over de gebruikte protocollen en het zo veel mogelijk als de configuratie het toestaat gebruik maken van zogeheten "best polcies"?

En niet blijven steken in het maar blijven tolereren van a priori onveilig gebruikte op php gebaseerde CMS-sen bijvoorbeeld met allerlei verkeerde settings en niet-gepatchte of zelfs verlaten code en de daarbij behorende gigantische hacks en data breaches.

Zoals een niet aan de veiligheidseisen voldoende auto niet getolereerd wordt binnen het openbaar verkeer, want een gevaar voor andere weggebruikers, zou op de Internet infrastructuur - misschien wel binnen de gehele EU - een ondeugdelijke, niet aan de minimale eisen voldoende, website moeten worden verwijderd. Niet alleen kwaadaardige sites neerhalen, ook ondeugdelijke en a priori onveilige websites weren.

Dan zullen er ook wat minder gelikte en wat veiliger gecodeerde websites kunnen ontstaan, want er is een prikkel ontstaan om dat te doen. Nu rommelt ieder maar wat aan naar gelang van de ruimte, die hen geboden wordt. Geld vergoedt veel.

luntrus
15-07-2019, 16:14 door User2048 - Bijgewerkt: 15-07-2019, 16:14
Door Bitwiper:

Dat Nederland op plaats 8 staat van landen die SMBv1 niet hebben uitgefaseerd, omdat dit zou samenhangen "met de hoge mate van digitale connectiviteit van Nederland", is natuurlijk larie (alhoewel ik geen idee heb hoe groot het percentage van SMBv1 van het totale verkeer door AMS-IX is ;-).


De top 8-notering is gebaseerd op absolute aantallen, zie https://www.welivesecurity.com/2019/05/17/eternalblue-new-heights-wannacryptor/#single-post-fancybox-1. Ik ben benieuwd waar Nederland zou uitkomen als je het in percentages zou meten. Gezien "de hoge mate van digitale connectiviteit van Nederland" waarschijnlijk veel lager. Dit is statistiek, geen larie.
15-07-2019, 19:50 door Anoniem
beleid != uitvoering
15-07-2019, 20:21 door Bitwiper
Door User2048:
Door Bitwiper: Dat Nederland op plaats 8 staat van landen die SMBv1 niet hebben uitgefaseerd, omdat dit zou samenhangen "met de hoge mate van digitale connectiviteit van Nederland", is natuurlijk larie (alhoewel ik geen idee heb hoe groot het percentage van SMBv1 van het totale verkeer door AMS-IX is ;-).

De top 8-notering is gebaseerd op absolute aantallen, zie https://www.welivesecurity.com/2019/05/17/eternalblue-new-heights-wannacryptor/#single-post-fancybox-1. Ik ben benieuwd waar Nederland zou uitkomen als je het in percentages zou meten. Gezien "de hoge mate van digitale connectiviteit van Nederland" waarschijnlijk veel lager. Dit is statistiek, geen larie.
Dank voor de link, in die pagina zie ik dat die lijst (met NL op plaats 8) niet gaat over het aantal organisaties dat SMBv1 heeft uitgefaseerd (hetgeen ik opmaakte uit het stuk van de redactie), maar het aantal IP-adressen dat SMBv1 aan het publieke Internet zou blootstellen (volgens de Shodan zoekmachine).

Dat verandert echter niets aan het feit dat het SMB protocol (en zeker v1 daarvan) niet bestemd is voor gebruik over het publieke Internet [*], en dat het daarom geen moer te maken heeft met "de hoge mate van digitale connectiviteit van Nederland". Larie dus.

[*] Zie bijv. https://support.microsoft.com/en-ca/help/3185535/guidelines-for-blocking-specific-firewall-ports-to-prevent-smb-traffic.
15-07-2019, 20:51 door karma4 - Bijgewerkt: 15-07-2019, 20:54
Door Anoniem:
..
Of het advies was al goed genoeg om deze exploit tegen te gaan?
Als men legacy niet wil of kan patchen, zal een ander advies niet veel veranderen.
..
Ik denk dat je dicht bij de waarheid zit. Wat al goed beheerd wordt hoef je niet te veranderen.
Een politicus die vragen stelt doet dat vaak in de waan van de dag. Als die er naast zit met zijn vraag omdat hij geen behoorlijke informatie heeft kun je zo iemand toch niet laten afgaan. De volgende dag heb je hem nog nodig.

Door Bitwiper: ...
Aangezien het de filosofie van Microsoft is om "out of the box" zo min mogelijk foutmeldingen te genereren, zul je zelf moeten uitzoeken welke protocollen en algoritmes je sowieso uit kunt zetten omdat ze, binnen de organisatie, überhaupt niet meer worden gebruikt. En welke risicovolle algoritmes en protocollen je zo snel mogelijk uit wilt zetten, en vaart zetten achter het opheffen van de afhankelijkheden waardoor dat nu nog niet kan.

Dat gaat bij de uitbesteedde desktop diensten nog aardig goed. Het probleem ontstaat bij third party applicaties wara de leverancier van alles gaat eisen en zegt dat het "best practices" zijn. Speelt bij elk OS, nog ernstiger is het als het servers zijn die open aan he internet gehangen worden..
15-07-2019, 23:41 door Anoniem
Sommige onveiligheid blijft onveiligheid, hoe je het nu wendt of keert,
bijvoorbeeld excessieve server info proliferatie ofwel op Apache ofwel op een MS ASP server.

Deze onveiligheid produceert altijd een direct verhoogd risico.

Er zijn tevens nog andere manieren om toch achter de juiste configuratie en
de mogelijke exploits of bugs te komen, maar aanvallers moeten er iets meer moeite voor doen,
dan bijvoorbeeld via een shodannetje met een automatisch query-scriptje,
een 3rd party nmap scan met een lijstje van bijbehorende exploits
en exploiteerbare bugs, sources & sinks, etc.

Er zijn natuurlijk verschillen in hoe in een bepaald geval bepaalde "best practices"
toegepast kunnen worden binnen bepaalde configuraties,
welke ruimte er is binnen de gegeven codering,
en verder in hoeverre dit mogelijk is binnen gecompliceerde omgevingen.

Het vast geloven in "one click" oplossingen is dus het domste wat een beslissingnemer kan doen.

Het laatste om de puntjes op de i te zetten gaat over de toegevoegde veiligheid
of juist onveiligheid via 3rd party applicaties, waar karma4 het over heeft.

Veiligheidsheader settings, form security settings, enz. enz.

Kijk hier: https://mxtoolbox.com/domain/hostnet.nl/

Verder een heel snelle "quick & dirty" via UpGuard Cloud Scanner,
wat de volgende risico's daar aangeeft:
Security Checks for hostnet.nl
(3) Susceptible to man-in-the-middle attacks
Emails can be fraudulently sent
Unnecessary open ports
DNS is susceptible to man-in-the-middle attacks

Het kwalijkste is je er niet in te verdiepen, er ervaring mee te krijgen
en tenslotte het op de juiste wijze weten toe te passen ter verbetering
van security, tevens werkzaam naar een verbetering van het OS
na het toepassen van patches & upgrades.

Dit allemaal nalaten, hoe verklaarbaar dan ook, is kwalijk,

luntrus
16-07-2019, 14:14 door Anoniem
Als je het patch beleid op orde hebt (opzet bestaan en werking) is een aanpassing meestal niet nodig.
17-07-2019, 07:59 door Anoniem
Door Anoniem:
Door Anoniem: Dus hoe meer gedigitaliseerd de natie, hoe brakker de overall veiligheid op de infrastructuur.
Een "lame excuse" om geen extra inspanningen te hoeven doen. Lekker makkelijk weer, toch?
Of het advies was al goed genoeg om deze exploit tegen te gaan?
Als men legacy niet wil of kan patchen, zal een ander advies niet veel veranderen.

Men vraagt zich niet af of het advies moet veranderen, men vraagt zich af of het beleid dat er voor zorgt dat er bepaalde systemen niet gepatched kunnen worden misschien niet aangepakt moet worden.
17-07-2019, 14:32 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Dus hoe meer gedigitaliseerd de natie, hoe brakker de overall veiligheid op de infrastructuur.
Een "lame excuse" om geen extra inspanningen te hoeven doen. Lekker makkelijk weer, toch?
Of het advies was al goed genoeg om deze exploit tegen te gaan?
Als men legacy niet wil of kan patchen, zal een ander advies niet veel veranderen.

Men vraagt zich niet af of het advies moet veranderen, men vraagt zich af of het beleid dat er voor zorgt dat er bepaalde systemen niet gepatched kunnen worden misschien niet aangepakt moet worden.
Dat beleid is er echter al. Je kunt natuurlijk beschrijven dat de uitzonder op de uitzondering een uitzondering moet krijgen. Maar dat lost niets op.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.