Patchbeleid overheid niet aangepast wegens EternalBlue-exploit
Het patchbeleid van de overheid zal vanwege de EternalBlue-exploit niet worden aangepast, zo heeft staatssecretaris Knops van Binnenlandse Zaken op vragen van D66 laten weten. De EternalBlue-exploit werd bij de Amerikaanse geheime dienst NSA gestolen en verscheen in april 2017 op internet.
De exploit maakt misbruik van een beveiligingslek dat in maart 2017 door Microsoft werd gepatcht. Onder andere de WannaCry-ransomware wist zich via EternalBlue te verspreiden. Onlangs meldde de New York Times dat de exploit gebruikt zou zijn om systemen van de Amerikaanse stad Baltimore met ransomware te infecteren, hoewel een Amerikaanse senator stelt dat dit niet het geval is geweest. Dat neemt niet weg dat twee jaar na het uitkomen van de beveiligingsupdate er nog altijd ongepatchte systemen zijn.
D66-Kamerlid Kees Verhoeven wilde dan ook weten of Knops vanwege de dreiging van de EternalBlue-exploit aanvullende maatregelen gaat nemen. "Ik zie vanwege deze ene specifieke kwetsbaarheid geen reden het overheidsbrede patchbeleid aan te passen, zoals dat is opgesteld in de Baseline Informatiebeveiliging Overheid (BIO)", laat de staatssecretaris weten. Daarin staat dat patches voor kwetsbaarheden waarvan de kans op misbruik en verwachte schade hoog is, binnen een week geïnstalleerd moeten zijn.
Knops merkt op dat in het geval van de kwetsbaarheid waar de EternalBlue-exploit gebruik van maakt het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid actief contact heeft opgenomen met organisaties in haar doelgroep. Het gaat dan om de rijksoverheid en de vitale sector die advies kregen om direct actie te nemen. "Het beveiligingsadvies van het NCSC omtrent deze kwetsbaarheid en de daarmee samengaande maatregelen zijn nog steeds van kracht", aldus Knops.
Verhoeven wilde ook opheldering van de staatssecretaris over het feit dat Nederland op de achtste plaats staat als het gaat om machines die nog steeds gebruik maken van het SMBv1-protocol, waar de EternalBlue-exploit gebruik van kan maken. Volgens de staatssecretaris is het zorgelijk dat machines in Nederland mogelijk nog steeds kwetsbaar zijn voor misbruik doordat updates niet zijn geïnstalleerd. "Echter de hoge score in de lijst hangt samen met de hoge mate van digitale connectiviteit van Nederland. Nederland is immers één van de meest gedigitaliseerde landen ter wereld", merkt Knops op.
Een "lame excuse" om geen extra inspanningen te hoeven doen. Lekker makkelijk weer, toch?
Dan mag je wel eerst eens een veiligheidsslag gaan maken, je developers gaan opleiden
zonder "security as a last resort issue" in het vizier. Zet het op het curriculum.
Willen we weer voor een duppie op de eerste rang zitten?
De overheid hoort het goede voorbeeld te geven, maar dat lukt zelfs niet altijd bij henzelf,
als klikken al een risico inhoudt:
zie: https://www.security.nl/posting/617011/Eerst+checken%2C+dan+klikken
Neen ze besteden het liever uit aan de (groot)commercie en
doen ook weinig aan de onveiligheidsbehoefte van de grote jongens,
vanwege hun hoofdverdienmodel (=data-(surveillance)-handel).
#sockpuppet
Een "lame excuse" om geen extra inspanningen te hoeven doen. Lekker makkelijk weer, toch?
Als men legacy niet wil of kan patchen, zal een ander advies niet veel veranderen.
zonder "security as a last resort issue" in het vizier. Zet het op het curriculum.
En een ander patch beleid heeft ook niets te maken met developers.
De overheid hoort het goede voorbeeld te geven, maar dat lukt zelfs niet altijd bij henzelf,
als klikken al een risico inhoudt:
zie: https://www.security.nl/posting/617011/Eerst+checken%2C+dan+klikken
Neen ze besteden het liever uit aan de (groot)commercie en
doen ook weinig aan de onveiligheidsbehoefte van de grote jongens,
vanwege hun hoofdverdienmodel (=data-(surveillance)-handel).
#sockpuppet
maar wel willen innoveren met een digitaal paspoort op je telefoon.
He haagse makkers. Kunnen jullie rekenen.
Reken maar van Hell-No
Dat Nederland op plaats 8 staat van landen die SMBv1 niet hebben uitgefaseerd, omdat dit zou samenhangen "met de hoge mate van digitale connectiviteit van Nederland", is natuurlijk larie (alhoewel ik geen idee heb hoe groot het percentage van SMBv1 van het totale verkeer door AMS-IX is ;-).
Daarnaast ademt het document van de staatssecretaris dat patchen en updaten volstaat. Door haar leeftijd barst Windows echter van de legacy protocollen en algoritmes die ronduit onveilig zijn (waar malware en interactieve aanvallers dankbaar gebruik van maken) maar niet gerepareerd zullen of zelfs kunnen worden.
Aangezien het de filosofie van Microsoft is om "out of the box" zo min mogelijk foutmeldingen te genereren, zul je zelf moeten uitzoeken welke protocollen en algoritmes je sowieso uit kunt zetten omdat ze, binnen de organisatie, überhaupt niet meer worden gebruikt. En welke risicovolle algoritmes en protocollen je zo snel mogelijk uit wilt zetten, en vaart zetten achter het opheffen van de afhankelijkheden waardoor dat nu nog niet kan.
Daarnaast ademt het document van de staatssecretaris dat patchen en updaten volstaat. Door haar leeftijd barst Windows echter van de legacy protocollen en algoritmes die ronduit onveilig zijn (waar malware en interactieve aanvallers dankbaar gebruik van maken) maar niet gerepareerd zullen of zelfs kunnen worden.
Aangezien het de filosofie van Microsoft is om "out of the box" zo min mogelijk foutmeldingen te genereren, zul je zelf moeten uitzoeken welke protocollen en algoritmes je sowieso uit kunt zetten omdat ze, binnen de organisatie, überhaupt niet meer worden gebruikt. En welke risicovolle algoritmes en protocollen je zo snel mogelijk uit wilt zetten, en vaart zetten achter het opheffen van de afhankelijkheden waardoor dat nu nog niet kan.
Het lijkt met dat een organisatie die het beveiligingsbeleid serieus neemt altijd na gaat denken over de protocollen er gebruikt dienen te worden, en voornamelijk welke ook niet. Los van welk OS dan ook. Het monitort sowieso wat makkelijker als je zelf op de hoogte bent van het gebruikelijke en verwachte verkeer, los van wat tooling eventueel automatisch aanmerkt als "verdacht".
Dan moet je toch in gemoede afvragen, zeer gewaardeerde poster, of ze dat wel doen, nadenken over de gebruikte protocollen en het zo veel mogelijk als de configuratie het toestaat gebruik maken van zogeheten "best polcies"?
En niet blijven steken in het maar blijven tolereren van a priori onveilig gebruikte op php gebaseerde CMS-sen bijvoorbeeld met allerlei verkeerde settings en niet-gepatchte of zelfs verlaten code en de daarbij behorende gigantische hacks en data breaches.
Zoals een niet aan de veiligheidseisen voldoende auto niet getolereerd wordt binnen het openbaar verkeer, want een gevaar voor andere weggebruikers, zou op de Internet infrastructuur - misschien wel binnen de gehele EU - een ondeugdelijke, niet aan de minimale eisen voldoende, website moeten worden verwijderd. Niet alleen kwaadaardige sites neerhalen, ook ondeugdelijke en a priori onveilige websites weren.
Dan zullen er ook wat minder gelikte en wat veiliger gecodeerde websites kunnen ontstaan, want er is een prikkel ontstaan om dat te doen. Nu rommelt ieder maar wat aan naar gelang van de ruimte, die hen geboden wordt. Geld vergoedt veel.
luntrus
Dat Nederland op plaats 8 staat van landen die SMBv1 niet hebben uitgefaseerd, omdat dit zou samenhangen "met de hoge mate van digitale connectiviteit van Nederland", is natuurlijk larie (alhoewel ik geen idee heb hoe groot het percentage van SMBv1 van het totale verkeer door AMS-IX is ;-).
De top 8-notering is gebaseerd op absolute aantallen, zie https://www.welivesecurity.com/2019/05/17/eternalblue-new-heights-wannacryptor/#single-post-fancybox-1. Ik ben benieuwd waar Nederland zou uitkomen als je het in percentages zou meten. Gezien "de hoge mate van digitale connectiviteit van Nederland" waarschijnlijk veel lager. Dit is statistiek, geen larie.
De top 8-notering is gebaseerd op absolute aantallen, zie https://www.welivesecurity.com/2019/05/17/eternalblue-new-heights-wannacryptor/#single-post-fancybox-1. Ik ben benieuwd waar Nederland zou uitkomen als je het in percentages zou meten. Gezien "de hoge mate van digitale connectiviteit van Nederland" waarschijnlijk veel lager. Dit is statistiek, geen larie.
Dat verandert echter niets aan het feit dat het SMB protocol (en zeker v1 daarvan) niet bestemd is voor gebruik over het publieke Internet [*], en dat het daarom geen moer te maken heeft met "de hoge mate van digitale connectiviteit van Nederland". Larie dus.
[*] Zie bijv. https://support.microsoft.com/en-ca/help/3185535/guidelines-for-blocking-specific-firewall-ports-to-prevent-smb-traffic.
..
Of het advies was al goed genoeg om deze exploit tegen te gaan?
Als men legacy niet wil of kan patchen, zal een ander advies niet veel veranderen.
..
Een politicus die vragen stelt doet dat vaak in de waan van de dag. Als die er naast zit met zijn vraag omdat hij geen behoorlijke informatie heeft kun je zo iemand toch niet laten afgaan. De volgende dag heb je hem nog nodig.
Aangezien het de filosofie van Microsoft is om "out of the box" zo min mogelijk foutmeldingen te genereren, zul je zelf moeten uitzoeken welke protocollen en algoritmes je sowieso uit kunt zetten omdat ze, binnen de organisatie, überhaupt niet meer worden gebruikt. En welke risicovolle algoritmes en protocollen je zo snel mogelijk uit wilt zetten, en vaart zetten achter het opheffen van de afhankelijkheden waardoor dat nu nog niet kan.
Dat gaat bij de uitbesteedde desktop diensten nog aardig goed. Het probleem ontstaat bij third party applicaties wara de leverancier van alles gaat eisen en zegt dat het "best practices" zijn. Speelt bij elk OS, nog ernstiger is het als het servers zijn die open aan he internet gehangen worden..
bijvoorbeeld excessieve server info proliferatie ofwel op Apache ofwel op een MS ASP server.
Deze onveiligheid produceert altijd een direct verhoogd risico.
Er zijn tevens nog andere manieren om toch achter de juiste configuratie en
de mogelijke exploits of bugs te komen, maar aanvallers moeten er iets meer moeite voor doen,
dan bijvoorbeeld via een shodannetje met een automatisch query-scriptje,
een 3rd party nmap scan met een lijstje van bijbehorende exploits
en exploiteerbare bugs, sources & sinks, etc.
Er zijn natuurlijk verschillen in hoe in een bepaald geval bepaalde "best practices"
toegepast kunnen worden binnen bepaalde configuraties,
welke ruimte er is binnen de gegeven codering,
en verder in hoeverre dit mogelijk is binnen gecompliceerde omgevingen.
Het vast geloven in "one click" oplossingen is dus het domste wat een beslissingnemer kan doen.
Het laatste om de puntjes op de i te zetten gaat over de toegevoegde veiligheid
of juist onveiligheid via 3rd party applicaties, waar karma4 het over heeft.
Veiligheidsheader settings, form security settings, enz. enz.
Kijk hier: https://mxtoolbox.com/domain/hostnet.nl/
Verder een heel snelle "quick & dirty" via UpGuard Cloud Scanner,
wat de volgende risico's daar aangeeft:
(3) Susceptible to man-in-the-middle attacks
Emails can be fraudulently sent
Unnecessary open ports
DNS is susceptible to man-in-the-middle attacks
Het kwalijkste is je er niet in te verdiepen, er ervaring mee te krijgen
en tenslotte het op de juiste wijze weten toe te passen ter verbetering
van security, tevens werkzaam naar een verbetering van het OS
na het toepassen van patches & upgrades.
Dit allemaal nalaten, hoe verklaarbaar dan ook, is kwalijk,
luntrus
Een "lame excuse" om geen extra inspanningen te hoeven doen. Lekker makkelijk weer, toch?
Als men legacy niet wil of kan patchen, zal een ander advies niet veel veranderen.
Men vraagt zich niet af of het advies moet veranderen, men vraagt zich af of het beleid dat er voor zorgt dat er bepaalde systemen niet gepatched kunnen worden misschien niet aangepakt moet worden.
Een "lame excuse" om geen extra inspanningen te hoeven doen. Lekker makkelijk weer, toch?
Als men legacy niet wil of kan patchen, zal een ander advies niet veel veranderen.
Men vraagt zich niet af of het advies moet veranderen, men vraagt zich af of het beleid dat er voor zorgt dat er bepaalde systemen niet gepatched kunnen worden misschien niet aangepakt moet worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
