Iets met Windows XP bij de politie? Hypocriet.

Eerst Iets met ongepatchte Pulse Secure/Fortigates bij het Ministerie van Veiligheid en Justitie?
Eerst maar het goede voorbeeld geven anders komt dat A-team de deur niet eens uit..

Mr Grappenhaus is weer zo'n typisch immoreel, gewetenloos justitie boefje. Wat hij vergeet te melden dat er dankzij de NeDDRlandse overheid en dankzij de aivd uberhaupt geen veilige IT meer bestaat aangezien onze "good guys" doodleuk alles en iedereen voor elke mogelijk wisseswasje mogen "terug" hacken.

Hiernaast worden alle IT bedrijven & software leveranciers in de hele wereld ondertussen gegag ordered (nda) en gedwongen door NeDDRlandse en oa amerikaanse "good guys" gedwongen met de "wet" in handen om over gevaarlijke en achterbaks sneaky achterdeurtjes in te bouwen die onse "good guys" vervolgens anoniem, zonder controle en toezicht onbeperkt kunnen inzetten.

Hiernaast kopen geheime diensten (wat gewoon schofterige criminelen zijn) in het geheim massaal betaalde lekken (software fouten, virussen of tools) open houden ze deze geheim om het overgewicht te behouden, dat dit allemaal tegelijker tijd betekend dat ook andere criminelen, scriptkiddies, hackers en andere "veiligheidsdiensten" deze lekken ongezien, onbeperkt kunnen misbruiken en inzetten voor elk mogelijk doel.

Hierdoor is elke burger, elke overheidsinstantie en elk bedrijf gegarandeerd onveilig hoe veel ze ook betalen voor hun software en hoe vaak ze ook updaten.

Sinds de laatste jaren lopen we waarschijnlijk juist meer risici dankzij gepushte updates die zijn voorzien van bugs en achteedeurtjew.

En dit is allemaal te danken aan de kritiek loze journalistiek die na 1 klein artikeltje over wikikeaks vrolijk doorgaan met wegkijken en met positive vibes only nieuws brengen, soort van propaganda nieuws zonder ooit kritisch te zijn om criminele overheden.

Dankzij deze gebrekkige journalistieke controle kon wereldwijd (en helemaal in NeDDRland) het volk lekker dommig blijven stemmen op de zelfde politieke boefjes partijen (zoals vvd, pvda, cda, d66, maar ook pvv) zonder zich een gevaarlijke landsverader te voelen.

Prachtig dat deze "betrouwbare" informatie oorlogmisdadiger ons zo fijn van goedbedoelde en eerlijke adviezen voorziet.

Om heel eerlijk te zijn is het niveau van het NCSC ook niet om over naar huis te bellen.
Het gros van de medewerker heeft weinig tot geen technische skills, iets wat vrij belangrijk is voor een dergelijke instantie.
Daarnaast een hoop zweverig gepraat zonder concrete acties of een achterliggend plan.
Ik ken meerdere mensen die er met alle goede intenties naartoe zijn gegaan en binnen twee maanden even hard weer wegliepen.

Alhoewel hij gelijk heeft zou het fraai zijn geweest als hij vanuit een voorbeeldpositie zou kunnen spreken, maar als ze ergens in Nederland ernstig achterlopen met updates e.d. dan is het wel bij de overheid. Dit klinkt als een pikzwarte pot die de ketel verwijt dat 'ie een roetveegje heeft.

En hoe gaat die centrale partij dan monitoren dat bedrijf x met verouderde software werkt? Dan gaan we het zelf uitvoeren? Alsof dat de situatie veiliger maakt. Achterdeurtjes die exclusief door de overheid gebruikt kunnen worden zeker? Grapperhaus is zelf een oliebol met z'n populistische praatjes.

De minister verminkt de rechtstaat met z'n acties en bij gebrek aan leiding van z'n baas het verder op z'n beloop laten van collega's die het qua ict-veiligheid in z'n totaliteit vooral slechter maken. Hij maakt geen systeem-sprong maar te veel en te groot telkens een systeem-val.

Ik mis de nuance over waar en wanneer updaten. Het is geen kwestie van zonder nadenken altijd maar snel updaten, maar altijd een afweging tussen de vertrouwelijkheid en beschikbaarheid.

Op sommige systemen kan je best een veel minder strikt update beleid toepassen dan systemen die een veel groter risico lopen. (dat gezegd hebbende, VPN-servers is natuurlijk een voorbeeld waar je wel snel wilt updaten


Oliebol

Ik vermoed dat het bij NGO's (waaronder bedrijven met winstoogmerk) ongeveer net zo'n zootje is, zo niet erger.

Zie bijv. Comodo, notabene een securitybedrijf https://www.security.nl/posting/626045/Comodo+waarschuwt+245_000+forumgebruikers+voor+datalek. Uit mijn hoofd zie ik veel meer bedrijven dan de NL overheid met ernstige datalekken te maken hebben.

M.b.t. oude software/firmware/hardware, los van beschikbaarheid zou ik als volgt risico's inschatten en prioriteren:
1) Systemen met poorten die vanaf internet benaderbaar zijn;
2) Systemen die niet vanaf internet benaderbaar zijn, maar wel zelf verbindingen met servers en andere systemen op internet kunnen maken;
3) Systemen die geen enkele directe internetconnectiviteit hebben.

Categrorie 1 kun je onderverdelen in systemen die:
a) Direct toegang hebben tot interne systemen uit de categoriën 2 en 3;
b) In een DMZ staan maar wel direct toegang hebben tot vertrouwelijke informatie en/of data waarvan de integriteit gewaarborgd moet worden;
c) In een DMZ staan en niet zijn als b).

Bij VPN-servers hebben we het over de leveranciers/personeelsingang (categorie 1a), vaak met toegang tot de meest kritische systemen in de organisatie (niet zelden management (V)LANs). Oliebol is extreem zacht uitgedrukt voor organisaties die known critical vulnerabilities daarin gedurende 5 maanden niet patchen, of het nu om de overheid zelf of om NGO's gaat (waaronder commerciële overheidleveranciers, o.a aan defensie).

Aanvulling: prima dus als er een soort "cyberpolitie" komt met meer mandaat dan het NCSC, en die -in tegenstelling tot de AP- preventief handelt . En die ook de overheid zelf om de oren kan slaan als zij lax zijn. En die wellicht rapporteert aan de Tweede Kamer, of full-disclosure gaat, als kwetsbaarheden niet binnen een redelijke termijn worden verholpen.

Hij heeft natuurlijk helemaal gelijk, maar ik vind het bij dit soort berichten vaak erg lastig om de boodschap los te zien van de boodschapper. Een persoon zonder kennis van IT, werkend voor een organisatie die haar IT-beveiliging niet op orde heeft, en zelf vele malen een enorm slecht voorbeeld geeft (en heeft gegeven) omtrent veiligheid, privacy, awareness, security-houding en security-gedrag. Waarom zou het A-team dat bij bedrijven gaat helpen zich niet eerst bezig houden met de rotzooi in de eigen organisatie? Hebben ze tijd, kennis en resources over? Daar zet ik heel grote vraagtekens bij.

Desondanks: dat er iets moet gebeuren is duidelijk. Organisaties denken nog veel te makkelijk "we zijn niet interessant, waarom zouden hackers zich op ons richten?". Totdat het te laat is. Het twijfelachtige gedrag en de kortzichtige houding bij bedrijven zal alleen veranderen als die bedrijven hard worden geraakt. Financieel straffen werkt vaak heel goed. Behalve bij de overheid jammer genoeg, want de (semi-)overheidsinstellingen krijgen hun geld toch wel, ook al maken ze er zelf een enorme zooi van.

Een overheid waar ict problemen de norm zijn omdat ze zelf niet in staat zijn de boel te overzien, aan te sturen, beheren zou in staat zijn anderen de maat te nemen?
Dat gaat een escalerend problematisch iets worden.

Er zijn bestaande toezichthouders zoals dnb die het al lang als taak hebben. Er is nooit wat meer gedaan.

Is dit publiekelijk figuur wel helemaal tof?

Syntax error. Bufferoverflow while parsing in logic array. Does not compute. Incorrect use of terminology or ambiguous redirect detected.

Wat bedoelt die man met deze zin?

De grootste oliebol is Grapperhaus zelf... In het debat gisteren zei hij letterlijk over VPN: "Dat is eigenlijk software waarmee je geanonimiseerd verbinding kunt maken met wifi". Yep. Echt.

Zie voor de quote: https://debatgemist.tweedekamer.nl/debatten/vragenuur-307
(Spoel vooruit naar 3:12)

Jantje van Elteren wat een ongelofelijke oliebol dan volgens Grapperhaus!
Hij was maar liefst 4 uur te laat met zijn CMS updaten en werd gehackt. Zijn bedrijf begon net goed te lopen en hij was net winst aan het maken en dus uit de kloof klom, maar door het datalek dankzij een zero day waar Jantje te laat achter kwam en te laat melden aan Autoriteit Persoonsgegevens (AP) moest hij al zijn klanten een bedrag betalen en hij kreeg een boete voor het overtreden van de AVG.

De hacker heeft gewonnen, één bedrijf minder.
Waar we heen gaan, maak de maatschappij maar kapot.

Kleine man maken ze kapot, grote bedrijven komen er mee weg, ongelofelijk is dit.

..............Zeker als het NCSC je waarschuwt, moet je dat onmiddellijk oppakken", aldus Grapperhaus................

Waarschuwt het NCSC ook om geen QR codes voor paspoorten en dergelijke in te voeren???
Dan rent Grappheraus waarschijnlijk meteen naar zijn collega's die dan echt naar hem luisteren om er blindelings mee te gaan stoppen. Omdat het nou eenmaal van het NCSC komt.

Daar gaat het dus ook niet om. Het is gewoon landje-pik. Noem het maar "oliebolbevoegdheid".


Vind ik niet eigenlijk. Het is niet waar dat "updaten" een binaire goed/kwaad-afweging is. Voor je het weet maken patches je het leven zuur, dus als de boel maar kritiek genoeg is dan ga je ze eerst eens rustig testen op de testservers en hevel je ze dan via de gebruikelijke (hoop ik dan toch) change management mechanismen over naar productie.

Als je dat allemaal niet hebt, geen management backing ook nog, en zo verder, nouja... als je dan een oliebol bent dan zit het land vol met oliebollen. Heel erg veel winkeltjes hebben hun IT alleen maar op orde in de zin dat "het lijkt te werken", niet in de zin van "trap er eens stevig tegen en je weet zeker dat het blijft staan".

Zelfs dan wil ik de beheerders niet 1-2-3 afvallen. Ik heb op die plek gezeten en ik deed al 100+ uur per week en nog vond management dat ik niet "committed genoeg" was.

Daar kan ik wel inkomen.


Het gaat niet om het helpen. Het gaat om die oliebolbevoegdheid.

"Hackers" zijn de grote onbekende, en zo draai je jezelf mooi een rad voor ogen.

Maargoed, ook zonder bangmaakwoorden: Mensen hebben wel vaak moeite zich te realiseren dat het inbrekers geen hol uitmaakt in wiens huis ze inbreken zolang er maar flink buit te halen is en de kans op gesnapt worden lekker laag. Idem dito met oplichters, identiteitsfraudeurs, computerkrakers, en noem maar op.

Wat dat betreft hoeft gabberhause niets te doen. Met ransomware besmet worden en er weer vrij van geraken is duurrrr, en heeft ondertussen een hogere besmetkans dan de politie aan oplossingspercentage "in de cyber" weet te produceren.

Ze zijn dan ook niet bezig met problemen oplossen. Ze profiteren wel graag van andermans of desnoods zelfgeschapen problemen.

Hij heeft dus echt geen verstand van zaken, dit is het bewijs!

IEEE 802.11 oftewel draadloos ethernet of Wi-Fi heeft hier helemaal niets mee te maken, dat klopt. Met een VPN krijg je een andere exit node oftewel een ander WAN IP en er zit nog eens extra encryptie op deze VPN verbinding of tunnel..

Mensen die beweren dat een VPN tegen hackers en virussen werkt is tevens ook zwakbegaafd. Enige voordeel is dat je een ander IP nummertje hebt, en je provider niets meer over blokkades te zeggen heeft of kan monitoren wat je doet omdat je nu opeens vanaf een datacenter ergens in Timboektoe naar Feestboek surft en alles over deze verbinding is versleuteld..... Maar wat heb je hier nu echt aan? Helemaal niets wat betreft privacy, tenzij je op hele vreemde plekken op het internet zit of illegaal gaat zitten downloaden. Ja, dan is het handig om dit zo te doen dat je provider er geen hoogte van kan krijgen..

Een VPN op een openbare Wi-Fi hotspot, ja dat is wel zo handig als je gaat internetbankieren in een hotel of elders..
Doe je dit niet is er een kleine kans dat iemand een man in the middle aanval kan uitvoeren. Maar het lijkt mij niet meer als gezond verstand gebruiken dat je niet zomaar op een gratis open netwerk of waar het wachtwoord voor iedereen leesbaar is daar je bankzaken op gaat doen, ongeacht of er https is of niet. Gewoon uit voorzorg.

Vraag me nog wel echt af of het nog wel allemaal zo gemakkelijk kan hoor.. Windows 10, en de certificaten namaken, denk het niet. Dus dan zou je meteen zien dat het foute boel is.. Misschien kan het met een "WiFi Pineapple" of met metasploit..

Dat bedrijven VPNs gebruiken heeft meerdere redenen. Zij kunnen daardoor vaak bij aparte applicaties of RDP broker komen die niet zo los aan het internet hangen. Het is ook gedaan zodat als ze ergens op een onveilig draadloos netwerk inloggen en willen werken dat er geen MITM aanval uitgevoerd kan worden. Vanuit bedrijfsoptiek gezien zeker verstandig omdat je er altijd een oliebol tussen hebt, overal..

Dat jij denkt dat een VPN is (en alleen is) wat je daar beschrijft tekent meer je eigen gebrek aan kennis dan dat van
Grapperhaus. Jij kent VPN's kennelijk alleen uit de huidige hype van "ik wil mijn IP adres anonymiseren zodat ik
dingen kan doen die de overheid of de service waar ik gebruik van maak niet wil dat ik doe", maar dat is wel een heel
beperkt inzicht. Als je al iets langer mee liep dan wist je dat VPN een al bestaande technologie was die bedrijven
gebruikten om bijvoorbeeld het LAN van 2 vestigingen te koppelen via het internet, of om computers van medewerkers
thuis toegang te teven tot een LAN via hun internet verbinding bijv tbv thuiswerken.
Dat is dus een heel andere toepassing dan wat jij daar thuis kent van je NordVPN enzo, en dat is precies de toepassing
waarvoor bedrijven VPN concentrators kopen waar nu die update issue mee was. Die bedrijven willen die VPN echt
niet gebruiken om "lekker niet te pakken" te zijn of zoiets.

Zelf als beveiliger gewerkt bij de overheid, maar de ambtenaar, het hoofd van de beveiliging, was niet eens gediplomeerd. Deze mensen zomaar opeens alles over 'security' weten, zonder enige certificatie en als "hoofd" beveiliging worden aangesteld (althans zo ging dat in mijn tijd). Normaal gesproken mag dat helemaal niet, maar iemand uit de overheidssfeer mag dat opeens weer wel. Het kwam er dus op neer dat een of andere amateur de bevelen moest uitgeven aan de professional.

"Wij komen het doen..." Volkomen branie. Dit is onmogelijk. De halve-man-en-een-paardekop bij NCSC hebben geen enkele kennis en ervaring op dit gebied. Nog even los van hoe ze weten waar de spullen in een bedrijf staan, en hoe ze ermee om moeten gaan zonder dat de zaak ontploft. Nee ik heb het niet enkel over Pulse VPN maar over het echte industriele werk.

Ja, dat zei hij echt.

Daarbij gaf hij tot wel tweemaal toe aan dat hij het slechts even in het kort uitlegd. Slechts om te schetsen waar het bij het debat over gaat. Dat gaat uiteraard ten koste van de technische details en de complexe bedrijfsmatige werkelijkheid.

Had je een heel college van een ICT docent verwacht, of zo?

Uit de context getrokken klopt zijn korte uitleg dus niet, want uiteindelijk weet een VPN-provider vanaf welk IP-adres je werkt en meestal ook wel wie je bent. Iemand moet de rekening namelijk betalen. Dat weet Grapperhaus ook wel.

Wat voor beleidsmakers, onderzoekers en systeembeheerders op Security.NL van meer belang is, is dat Grapperhaus in zijn vragenuur van 1 oktober j.l. refereert aan de WRR rapportage "Voorbereiden op digitale ontwrichting" [PDF]


https://www.wrr.nl/publicaties/rapporten/2019/09/09/voorbereiden-op-digitale-ontwrichting

Alles wat in dat WRR rapport staat zal vroeg of laat leiden tot meer stringente wetgeving. Mij lijkt het verstandig om je daar als ICT firma ter dege op voor te bereiden, want anders kun je je tent wel sluiten. Het wilde westen is voorbij.

Nou moe? Dat is zelfs geen oliebol meer, dat is een APPELFLAP!!!

Dan kunnen we daar dus wel zo'n beetje de hele telco industrie onder scharen.
Het aantal updates voor mobieltjes loopt zwaar achter, en als ze al uitgerold worden dan heel laat.

https://www.security.nl/posting/610747/Consumentenbond%3A+Androidtelefoons+krijgen+te+weinig+updates


Maar dit zal dhr. Grappenhaus wel niet bedoelen met zijn: "u krijgt een aanzegging en anders komen we het over een maand voor u doen."


Dus toch maar weer een spelletje voor de buhne?

Helemaal eens met Anoniem van vandaag 02-10-2019, 15:36, en dank voor de link naar het WRR rapport.

Aan de WiFi-trollen hierboven: minister Grapperhaus is rechten-specialist (https://nl.wikipedia.org/wiki/Ferdinand_Grapperhaus). Je kunt niet overal specialist in zijn; ik vind het laf om als anoniem iemand op deze manier belachelijk te maken.

Aangetoond is dat zowel overheden, als bedrijven die een kititische rol vervullen in Nederland en/of veel vertrouwelijke persoonsgegevens verwerken/opslaan, hun beveiliging niet op orde hadden (en hoogstwaarschijnlijk grotendeels nog steeds niet hebben, zie het WRR rapport). Dat terwijl cybercrime-cijfers in de lift zitten, dus er ligt wel degelijk een taak voor deze minister en zijn ministerie.

Voor allen hierboven die vinden dat een "cyberpolitie-force" geen taak is van de overheid (omdat je Grapperhaus een oliebol vindt, de overheid "de roverheid" noemt etc., maar ook als je serieus geen vertrouwen hebt in een goede uitkomst): welk alternatief stel je voor, anders dan voorstellen afbranden en/of schouderophalen?

Volgens mij is de digitale ontwrichting al zachtjesaan en zoetjesaan begonnen.
Nu bent U aan zet. Alle IT-oliebollen verzamelen.

J.O.

Ik zou graag hebben dat ze het goede voorbeeld lieten zien. En dat is veel meer dan wat IT-projectjes tot succes verklaren. Maar echt inhoudelijk laten zien dat je weet wat het betekent een robuuste IT-omgeving neer te zetten.

Wat onder andere inhoudt geen windows, geen hardware met iME of PSP, en zo nog het een en ander. Nouja, een en ander, best wel een lange lijst eigenlijk. Dat gaat veel verder dan vingertje wijzen naar huawei, dat betekent diep spitten en consequent harde eisen stellen. Ja, dat gaat (voorlopig) schreeuwend duur zijn en ja, daar gaat iedereen je raar aankijken want je zit mijlenver van wat "iedereen" cq. de rest van de wereld doet. En nee, de meeste "specialisten" op computergebied kunnen dit ook totaal niet, dus laat staan de overheid zoals'ie er nu bijstaat. Maar als je de beveiliging echt serieus neemt, dan moet je dat doen. En het is wel iets waar de overheid voldoende marktmacht heeft om zaken af te dwingen danwel zelf iets te organiseren dat niet direct op zichzelf winstgevend hoeft te zijn. Als ze het zou willen, zou de overheid dat kunnen.

Nouja, als ze de juiste mensen weten te vinden. Mij hebben ze in ieder geval zeer effectief weggejaagd. Maar ik zou wel kunnen vertellen in welke richting je het zou moeten zoeken.

Heb je die basis op orde, dan heb je recht van spreken. Voorlopig is de overheid zelf het schoolvoorbeeld van hoe het niet moet, en dat maakt bevoegdheden eisen om bij anderen ongevraagd te kunnen ingrijpen ronduit belachelijk. Dus trek deze keutel maar snel in, en begin eerst maar eens te bouwen aan een fundament waarop verder gebouwd kan worden. Dat is nu volledig afwezig, dus heeft het ook geen zin te eisen dat de bovenbouw aan allerlei eisen voldoet. Dat is, technische term, "turd polishing". Met extra bevoegdheden om te dwingen. Ja doei.

Het gaat wat mij betreft dus vooral om de combinatie het zo overduidelijk niet beter weten maar wel de macht om met overheidsgeweld erbij over anderen te betweteren. Daar hebben ze dus overduidelijk het morele voetstuk niet voor. Probeer het dan dus ook maar niet, maar zorg dat je met iets komt waarmee je wel geloofwaardig mee bent. En als dat technisch van aard is, dus ook voldoende technisch onderlegd. Een jurist is hier een lichtgewicht.

De bottom line van de reacties is wel dat hier iemand dingen verordonneert waar hij het gezag niet voor heeft. Dat gegeven is wel zo'n beetje het belangrijkste. Hij en de organisatie waar hij voor staat zijn gewoon niet geloofwaardig in dezen. Dus wordt'ie niet vertrouwd met deze gewilde extra bevoegdheden om in te mogen grijpen bij anderen. Dat had'ie op z'n vingers na kunnen tellen, maar dat doet'ie dan weer niet. En zo zakt'ie steeds dieper weg in de donkere wateren van ongeloofwaardigheid.

Binnenkort hoeft die zelf helemaal niets meer te beveiligen :
windows 10 is niet goedgekeurd voor de nederlandse staat om te gebruiken.
Helaas zit de gewone ondernemer eraan vast.

Ben beniewd wanneer ze computerloos zijn, ik denk het niet, ze bedenken wel een nieuwe wet of regel die het tog mogelijk maakt om bespioneerd te worden.

Blind updaten in de veronderstelling dat elke update goed is, is ook voor oliebollen.

Wel goed dat de minister op deze wijze de materie entameert.

Nu doorpakken voordat iemand de stikstofuitstoot van een oliebolupdate berekent en heel de tweede kamer daar weer ernstige bedenkingen bij gaat hebben.

@ anoniem van 17:20

Je hebt m.i. helemaal 100% gelijk. Robuuste internet infrastructuur beveiliging.
Kom daar maar eens om. Dan zit je op IDF niveau en dan ben je 12 keer meer kwijt aan pegels (shekel),
dan voor een normale standaardbeveiliging, die dus niet al te veel voorstelt of om het lijf heeft, zogezegd.

Je zult dan een geweldige omslag moeten gaan maken en lieden, die nu het internet nog onveilig houden
met hun hobbyistische bouwsels of ook een heel belangrijke factor "security through obscurity" toepassen,
gaan heropvoeden.

Vergeet hierbij niet de devasterende rol van de beslissingnemers, die immers nergens verstand van hoeven te hebben, maar wel overal de dienst uitmaken, zoals het CEO- en manager-gilde.

De security consultant speelt geen rol, hij zet groene vinkjes of verteld, afgedwongen via een NDA,
vertelt hij dat, wat men het liefst wil horen.

De onafhankelijke IT-stem is verstomd, dat geldt overal. Men gaat eerst door het stof,
regelt een afkoopsommetje en gaat daarna onverdroten op de ingeslagen weg door bij bedrijfsleven en politiek.

Tot de point of no return, when the sh*t hits the fan, a.k.a big cyber-calamity.

Dat "security through obscurity" komt door het tegengestelde belangen verhaal, dat online geldt.
De datajassende graaier van de Big US IT Monopolist heeft heel andere belangen voor de core business,
dan de eindgebruiker, die zijn privacy en data wil beschermen, tot in redelijke proporties althans.

De grootdatagraaier en de surveillerende overheden-cluster met de 14 eyes diensten bijvoorbeeld
hebben veel meer gemeenschappelijke belangen met de grote datagraaiers,
meer dan met hun onderdanen (proef dat woord eens goed op de tong: o n d e r-daan, juist hebt u het door?).

Dan komen pas de technische invullingen, HTTPS Everwywhere, gratis encryptie (waarvoor u alweer het product bent),
SSL en TSL in veilige versie, best policies voor headers, sri, kwetsbaar javascript en jQuery bibliotheken afvoeren,
json errors, etc. etc.
Vaak een last resort issue dit alles ook bij de opleidingsinstituten, zoals ik als proctor nogal eens ervaar.
Leer linten, fuzzen, XSS-DOM scannen, schrijf eigenSNORT en SNYK regels, educate yourself.
Ik heb hier veel geleerd en leer nog elke dag.

luntrus

Over geloofwaardigheid gesproken: waar is het alternatief waar ik om vroeg?

Je vergeet wie er begon met oliebollen smijten.
Het is wel erg gemakkelijk gezegd: .
Hoeveel verstand van het bedrijfsleven en van systeembeheer heb je dan, dat immers bol staat van de deadlines of anders heeft het grote gevolgen zoals klantenverlies, baanverlies en financiële consequenties. In het ergste geval bestaat het bedrijf helemaal niet meer als je een deadline niet hebt gehaald. En iedere werknemer wordt hier op beoordeeld.
Daarom moet patchen vaak op zijn minst wachten tot in de avond of nachtelijke uren wanneer er zo weinig mogelijk werknemers last van hebben. Of tot het weekend. (of het moet wel duidelijk zijn dat het risico echt bijzonder hoog is)

Natuurlijk is patchen erg belangrijk, maar het is niet het enige dat in het bedrijfsleven erg belangrijk is.
En dan hebben we het nog niet eens gehad over van tevoren enigszins uittesten, omdat een patch soms vervelende, onvoorziene gevolgen kan hebben in sommige situaties waar het puin ruimen nadien veel tijd en moeite kost..
Dus Grapjeshuis heeft makkelijk praten. De praktijk is anders. En wie de bal kaatst....

(en verder zou ik het ook weer niet al te serieus nemen)

Wat is eigenlijk: "een kititische rol"?
Toch geen trollenvoer hoop ik?

Als het echt zo serieus belangrijk is, niet alleen de eindklant aanpakken, maar de hele keten. Dus niet re-actief alleen de kleine jongens aanpakken, maar (ook) pro-actief de grote jongens (fabrikanten, importeurs, power houses, enz), en alles er tussenin (installateurs, inkopers, resellers, inspecties, consultants, enz). Maar ja, de grote jongens, die hebben juristen, lobbyisten, vriendjes, gouden stoeltjes voor specifieke personen in het verschiet, en meer.

Dat ziet men wel meer bij overheden en politici, achteraf de kleintjes pakken, maar de groten niet of nauwelijks lastig vallen, en al helemaal niet aan de voorkant. Kijk naar IoT, BYOD, en allerlei andere goedkope, onbeheer(s)bare, rommel (vanuit beveiligingsaspecten bezien), wie laat die rotzooi toe op de markt? Wie legt er geen mega maatregelen op? Wie verordent niet een massale terugroepactie?

Maar wel roepen dat het superbelangrijk is, dat er echt wat moet gebeuren nu, harde maatregelen, kostbare maatregelen, vervelende maatregelen, maar ja, moet, want anders gaan we allemaal kapot over een paar jaar of zoiets.
Maar dan vooral de kleine jongens het mes op de keel zetten, nou, dan laat je echt zien dat het je echt ernst is. Niet.

Als het echt zo'n noodzaak is, dan gingen nu alle mindere (prestige) (overheid) projecten op slot, en worden alle beschikbare middelen ingezet om eerst en vooral de belangrijkste infrastructuren aanzienlijk te verstevigen, werden power houses en andere verantwoordelijken die positief verschil hadden moeten maken voor de rechter gesleept en publiekelijk aan de schandpaal genageld (om een zeer krachtig signaal af te geven dat niemand ermee weg komt, dat het echt serieus is), enzovoorts, enzovoorts. Alsof er een pandemie met een levensgevaarlijke besmettelijke ziekte was uitgebroken en alles en iedereen (hoogwaardigheidsbekleder of niet) met symptomen met noodtoestand noodmaatregelen uit huis en haard gesleurd werd en in quarantaine gezet, tegen wil en dank, desnoods met geweld, zonder beroepsmogelijkheden.

Iets is pas echt heel erg, als alles en iedereen, groot of klein, zonder uitzondering, er aan moet geloven.
Iets is kul, als er hel en verdoemenis wordt gepreekt, maar slechts weinigen (zeker niet diegene die het preken) belijdenis moeten afleggen, desnoods met dwang.

Waarop baseer je dat ik vergeet wie er over oliebollen begon? En je quote alsof ik dat laatste schreef, maar dat deed ik niet.

Ik ben het er trouwens ook niet mee eens: je moet al EERDER aan de slag. Namelijk zodra er een kwetsbaarheid bekend wordt die potentieel een groot risico vormt voor jouw organisatie. Als het onmogelijk is om mitigerende maatregelen te nemen en/of op een redelijk alternatief over te schakelen, en niets doen een GROTER risico oplevert dan de stekker eruit trekken, weet ik wel wat ik zou adviseren (rij maar naar de zaak als je systeemaccess nodig hebt, of heb maar even geen forum voor je gebruikers - https://www.security.nl/posting/626045). Zodra de patch uitkomt kun je beginnen met testen. En zodra het risico op nieuwe kwetsbaarheden of andere issues (bijv. elke 24 uur moeten herstarten vanwege een geheugenlek - zoals, naar verluidt, aanvankelijk bij de Fortinet SSL-VLN server-patch het geval was) opweegt tegen het risico van langere onbeschikbaarheid van het systeem, neem je dat systeem -met patch- weer in productie.

Waarschijnlijk net zoveel als jij en ik verstand hebben van de juridische aspecten van voormalige werknemers die bij de concurrent zijn gaan werken.

Over trollenvoer gesproken, waar is het alternatief waar ik om vroeg?

Aanvulling, @Anoniem 20:41 hierboven: heel verhaal, "...niet re-actief alleen de kleine jongens aanpakken..." etc. maar ik zie nog steeds geen alternatief voor een door NCSC en/of AP aangestuurde "cyberpolitie". Ben ik dan zo onduidelijk, of hebben jullie geen idee en is het gewoon lekker om Grapperhaus te trollen en/of tegen de overheid te schoppen?

Vermoedelijk onduidelijk dan, want alleen een selectie van het gehele probleem aanpakken is geen oorzaakbestrijding, maar symptoombestrijding. Heel simplistisch gesproken, laat die "cyberpolitie" eerst eens los op wat in eerste instantie deze issues de markt op geholpen heeft, want dam dat in, dan voorkom je meer en erger. Of is dat "schoppen" of "trollen"?

Niks mis met dat uitgangspunt van Grapperhaus. Als updates direct worden geïnstalleerd zijn er gewoon veel minder problemen. Hulde dat dit nu eindelijk eens duidelijk gemaakt wordt op politiek hoog niveau.
Dat hij hierover getrolled wordt is een teken dat hij een punt heeft.

In mijn 40 jaar ervaring bestaat er zoiets als Bad Patches, met (soms) gigantische negatieve effecten, als zodanig heeft menig bedrijf geleerd, door schade en schande, om niet de Beta tester voor een of andere (nood)patch te zijn. Al was het maar om SLA's. en een hele sloot aan andere juridische adviezen die mening ICT bedrijf krijgt.

Een uitspraak als "Als updates direct worden geïnstalleerd zijn er gewoon veel minder problemen" getuigt derhalve van zeer weinig met de voeten in de modder staan. Zo herinner ik mij een aantal Spectre Meltdown patches die veel meer kwaad als goed deden, maar he, je was wel up-to-date, alsof klanten die hun servers meermaals spontaan zagen rebooten, met al het niet opgeslagen werk spontaan verdwenen, dat belangrijker vonden.

Wel belletjes gehad van juristen toen, die geen ruk gaven om wat een of andere ambtenaren organisatie, of fabrikanten, belangrijk vonden.

Zeg mij, als er straks een of andere wet komt dat je (bepaalde) patches direct moet installeren, wordt je dan ook vrijgesteld van iedere vorm van aansprakelijkheid, als je dat doet? Of is dat dan plotseling je eigen probleem? Maar oh wee, als je desondanks niet gelijk gepatched hebt, want dan komt er een of andere (semi)ambtenaar je een boete geven, of je bevelen die patch toch te installeren, ongeacht de (juridische) gevolgen voor jouw bedrijf?

Als dat de gewenste manier is om wat dan ook te verbeteren, dan ben je koekoek. Je bent dan niets meer dan iemand die zijn eigen straatje schoon veegt, ten koste van anderen, die niet de macht hebben om te doen wat jij doet.

Resultaat: verre van wat gesproken wordt, maar oh, hoe deugend, ogenschijnlijk, in de ogen van benevelde blikken.

Leuke theorie, maar de praktijk is helaas veel weerbarstiger.
Dat hij hierover getrollt wordt is terecht. U maakt dus een matig onderbouwd punt.

Enerzijds omdat update mechanismen van zowel windows als Mac OS meermalen blijken te falen.
Anderzijds omdat de update facilliteiten fantastisch exploiteerbare mechanismen blijken voor hackers.
Niet zelden blijken updates malicieus.
Bij meerdere vitale infrastructuren draait men bovendien software met tamelijk geavanceerde structuren.
Verifieerbaarheid en Valideerbaarheid van diverse software onderdelen is als je vanuit systeem-ketens ernaar kijkt niet zelden bepaald geen sinecure waar controleren van hashes geen/onvoldoende soelaas biedt voor het garanderen van de vitale infrastructuren.
Veel meer zou helpen als de minister de software en hardware suppliers zou grillen.
Die brengen de nodige kritische updates juist wekenlang, maandenlang en soms jarenlang niet uit.
Kabinetten Rutte I, II en III stelden zich zo op dat het kunnen hacken van computers door de overheid moest kunnen.
Nog los van hoe ondoordacht de consequenties ervan zijn betrokken in die overwegingen,
ze moeten dan niet gaan wijzen naar organisaties / beheerders die meer tijd nodig hebben om updates op verantwoordere wijze voor hun geavanceerde structuren door te voeren.
Kabinetten Rutte I, II en III blijken daarbij telkens TE veel op big-data fantasieën, remote-beheer en cyber-dromen te willen terug vallen die "vooruitgang" zou moeten creëren.
Onder noemer dat het goedkoper en modern zou zijn.
En daarna wel raag naar private organisaties wijzen die dat niet bijbenen omdat ze TE veel qua budget en mankracht zijn beknot.
Laat de minister zijn debat eerst naar die tekortkomingen verschuiven.

@dnmvisser: dank voor de bijval!

Ah, als ik het goed begrijp (dan is het zeker geen trollen maar ben je een stap verder dan ik was) ben je ook vóór een soort "cyberpolitie", mits hun takenpakket (of prioritering daarbinnen) aan bepaalde eisen voldoet?

Zo ja, onder welk "gezag" zou die "cyberpolitie" moeten vallen, en welke dwangmiddelen zouden zij mogen inzetten (boetes, full disclosure indien niet binnen een 'redelijke termijn" gefixed, ...)?

Ik kijk uit naar een inhoudelijke discussie! Want of je "de overheid" nu vertrouwt of niet c.q. op gebieden incapabel acht, er moet m.i. wel snel iets gebeuren om te voorkomen dat al onze gegevens op straat belanden of malloten "kritische systemen" (bruggen, sluizen, spoorwegovergangen, verkeerslichten, luchtverkeersleiding, energievoorziening, brandstof- en voedseldistributie, bancaire systemen etc etc), kunnen gijzelen of anderszins manipuleren.

Ondergetekende is niet voor een "cyberpolitie", want de ervaring leert dat de overheid daar vaak mee aanklooit, en eerder bureaucratie inbrengt dan echte verbetering (onderwijs, zorg, politie, defensie, boeren). Maar als er "cyberpolitie" moet komen (om redenen die mij ontspoord lijken, en waarschijnlijk hun uitgesproken doel in daden teniet doen, keer op keer), dan beginnen bij de bron, hoe pro-actiever, hoe beter, hoe harder en echt verschil makend, hoe beter.
Voorkomen is beter dan genezen.

Liever een echte vrije markt, met echte anti-kartel wetgeving en daadwerkelijk gehandhaafde draconische maatregelen bij overtreding daarvan, alsmede echte vrije vakkundige pers, om inhoudelijk, en objectief volledig feitelijk, te berichten over overtreders, zodat een ieder weet wie te boycotten, mede omdat de pers elkander onderling feitelijk, oprecht en scherp houdt, maar vooral om beroepseer.

Verder leert de ervaring dat de overheid niets concreets doet tot er echt een ramp gebeurt, dus het beste wat er kan gebeuren is dat er echt een totale ramp gebeurt, en dan pas zal er daadkrachtiger worden opgetreden (bv: watersnoodramp 1953). Tot die tijd, helaas, veel woorden, weinig daden, en altijd weer buigen en niet barsten. Nooit krijg je wat er echt moet gebeuren, altijd water bij de wijn, onduidelijke personen die nodeloos profiteren van de situatie, enzovoorts, totdat het echt fout gaat, heel fout, dan worden "ze" "daadkrachtig". Geef mijn portie maar aan Fikkie, met dat soort slappe hap. Echt het niet waard om te mogen besturen, en weg te (blijven) komen met de fouten die ze blijven maken, opstapelen zelfs. Ieder commercieel bedrijf had ze al lang de deur uitgetrapt, om faillissement te voorkomen.

Dus nee, eerst een totale, verregaande, nationaal schokkende ramp, alles moet compleet plat liggen, veel rampspoed, protesten in de miljoenen, wie weet hoeveel doden, en dan kijken of ze dan eindelijk wakker worden.
Eerder gaat er niets concreets gebeuren wat echt verschil gaat maken, en blijven maken. Het boeit ze niet, totaal niet.
Alles wordt weg geluld.

Dus ik kijk uit naar de dag dat de hele boel kapot gaat, rampspoed alom, want niets anders gaat die wensdenkers tot andere gedachten brengen. Pas als het echt totaal niet meer te ontkennen valt, omdat er van alles in de puin ligt, van alles en nog wat stil ligt, van alles en nog wat fout gaat, alle uitgesproken woorden een totale leugen blijken, alle daadwerkelijke ingevoerde daden tot niets concreets geleid blijken te hebben, gaan die "bestuurders" water UIT de wijn doen, en geen seconde eerder.

Het is als met een klein kind, niet met je vingers aan het vuur komen, een hoop gezeur en gezeik en gejengel, totdat ze daadwerkelijk hun vingers branden, en dan ben je nog fout, want je had ze eerder, en beter, moeten waarschuwen. Zucht. Het is nooit goed, altijd is het je eigen schuld, nooit hun fout.

Zolang je onkundigen, onmachtigen, gelijk blijft geven, excuses voor verzint, macht blijft geven, wordt het alleen maar slechter, nooit beter. Steeds erger, totdat er een echte ramp komt, pas dan wordt men wakker.

Samengevat, er gaat niets echt gebeuren, zolang er geen totale ramp plaatsvindt en "men" wel moet.
Hopelijk is men tegen die tijd wel zo verstandig om de verantwoordelijken dusdanig af te zetten, zodat ze ook nooit meer in welke belangrijke positie dan ook kunnen terugkeren.

Maar dit is Nederland, de grootste veroorzakers zie je vrijwel altijd, vroeg of laat, terugkeren in andere posities waar ze net zoveel, of nog meer, schade kunnen veroorzaken. Kennelijk waren de eerdere rampen niet erg genoeg?

L.S.

Ik denk dat die cyber-taskforce, zoals men dit nu reeds al vaker doet,
veel meer moet gaan optreden als een soort van juridische "sinkholing" brigade.
Haal die cybercrimineeltjes maar uit de lucht.
Op net zo'n makkelijke manier als een zij een server de lucht in tillen en houden.

Predator the Thief, infostealer, zal je niet snel ontmantelen.
Voor stealer-malcreanten servers uit deRussische Federatie te kunnen ontmantelen,
heb je daar medewerking nodig. Bijvoorbeeld van 39gov.ru in Kaliningrad.

Lees je eens in: https://www.fortinet.com/blog/threat-research/predator-the-thief-new-routes-delivery.html
Ontmoet deze onwelkome notoire leden dezer familie hier: http://cybercrime-tracker.net/index.php

Er werden in 2017 pogingen ondernomen om commercieel sinkholen al enigszins te kunnen automatiseren.
Ik ben daar zelf bij betrokken geweest onder leiding van de beroemdse Weense hacker/security expert.
Het bleek zeer moeilijk te gaan en globaal kon men geen verlopen domeinen opkopen
en niet alles kwam voor sinkholing in aanmerking jammer genoeg.

Deze expert is nu woonachtig in Praag, omdat hij al als student-hacker Oostenrijk moest verlaten
en later zijn eigen security bedrijf daar opzette. Nu is hij bekend van o.m. de X Intelligence zoekmachine.

Dat security sinkholen moet zeker kunnen in samenwerking met europol,
die al overal bij alle europese av vendors "binnen zit".

De London branch of europol heeft de meeste expertise op dit gebied.
Namelijk via het digitaal vernuft uit het Indiase sub-continent natuurlijk. ;)

Het zijn opwindende tijden en niet alles moet je negatief zien.
Er gloort hoop.

luntrus

Het is natuurlijk een afweging... grofweg komt die neer op:
1. Downtime omdat je WEL security updates installeerde die (heel soms) probleempjes geven (goed verhaal).
2. Downtime omdat je GEEN security updates installeerde en je hele tent binnenstebuiten gehacked is (slecht verhaal).

Ik weet wel welk verhaal ik het liefst ga uitleggen aan de klantjes...

Je vergeet:
3/ de update is vanuit foute bron ofwel is de malware
4/ de beheerder is degene die moedwillig de boel saboteerden
5/ de hele Stack valt om met de Update en er is geen Fall back optie.

Die laatste is een gangbare praktijk doir veel van her en der geplukte code die neergezet is om sat "het werkt".

Informatieveiligheid is echt wat meer dan een werkstationnetje of een zolder hobby pc.
In de al jaren op papier gezette normen de iso27k verplicht en uitgebreid met de bio als open standaard is dat bijhouden van software een paragraaf in een omvangrijk geheel.

Zo te zien laat jij je klantjes ten onder gaan in de ict problematiek en chaos waarbij jij je handen er vanaf trekt omdat je de updates hebt aangebracht.

In de luchtvaart en de medische wereld is elke automatische update van apparaat verboden. Dd reden is eenvoudig de impact risico's van kleine veranderingen kunnen onvoorzien rampzalig uitpakken.
Neem nu het 737 max verhaal. Het begon met de opdracht dat het bestaande model minimaal aangepast moest worden omdat daarmee aan alle controles en testen voorbij gegaan kon worden. Klein probleempje is dat alles met die andere motoren een plaats nodig was waardoor het toestel zich fundamenteel anders gedraagt.
Kleine update ..... grote gevolgen.

Voor bancaire systemen en verzekeraars heb je sinds jaar en dag de dnb afm als toezichtshouder. Die noemen ict met invvuling van de iso27k als eis. Met sox heb je het onderdeel 404 wat expliciet over ict gaat. Inderdaad toezicht erop is 404 ingevuld (niet gevonden). Een eigen verklaring volstaat.

Voor de gezondheidszorg heb je igj en wat andere instanties. De nenu7510 is de norm gebaseerd op dd iso27k . De controle op de werkelijke naleving is niet echt ingevuld. Het voldoet wel als er een paar puntjes afgevinkt worden.

Overheden hebben ook al die richtlijnen. Het zelfde beeld toezicht is officieel benoemd maar de invulling en echte contre ontbreekt.

Dan heb je nog de technische infrastructuur van de overheid. Die wordt gewoonlijk aanbesteed uitbesteed en moet dan tientallen jaren onveranderd mee. Het gesloten p2000 communicatiesysteem is een fraai voorbeeld.

Genoeg instanties maar het zijn de mensen als een Grapperhaus die uit onkunde er een grote zooi van maken en die laten voortduren.

graag deel ik ook een positief verhaal over NSC.
Een paar jaar geleden werd een bedrijf dat ik ken wat ook medische gegevens verwerkt door hun gewaarschuwd voor een lek in een publieke website.
Simpel en effectief, want er werd gelijk actie door het bedrijf ondernomen.
Paul

Hoeft ook niet als hij zich maar laat bijstaan en uiteindelijk adviseren door experts die er wel verstand van hebben.

Eerst ga je wel akkoord met cyberpolitie maar nu weer niet. En eerst schrijf je "dam dat in, dan voorkom je meer en erger" maar een paar uur later vind je dat er eerst maar een ramp moet gebeuren? Waarom reageer je überhaupt op mijn vraag "welk alternatief stel je voor, anders dan voorstellen afbranden en/of schouderophalen?"

Ondanks dat ik, bij mijn pogingen om securityproblemen aan te kaarten en -waar mogelijk- zelf te verhelpen (zowel beroepsmatig als in mijn vrije tijd), heel vaak met -soms enorme- teleurstellingen te maken heb gehad, ga ik niet gefrustreerd staan janken aan de zijlijn. Want daar bereik je zelden iets mee, en waarschijnlijk nooit als je dat anoniem doet en/of op de man speelt. Je doet dan niets anders dan welwillende security.nl bezoekers irriteren met jouw frustraties.

@luntrus: natuurlijk moet je ook aanvallers blijven aanpakken, maar het lukt al nauwelijks om spammende zombie-consumenten-PC's uit de lucht te halen. En voor je het weet post Trump een echt foute tweet, drukt op een verkeerde knop of stuurt troepen naar weetikveelistan en wordt Nederland gedwongen partij te kiezen in een ernstig conflict. Het lijkt mij verstandig om vóór dat moment onze beveiliging redelijk op orde te hebben, want dat is nu echt niet het geval.

Over het meteen installeren van patches gesproken: Ik heb nog steeds https://www.security.nl/posting/625321/Microsoft+patcht+actief+aangevallen+lek+in+Internet+Explorer niet binnen gekregen op Windows 10 Home 1903. Ben ik nu ook een ongelofelijke oliebol?

Als het lek door Chinezen of Russen actief misbruikt werd, zou het nu wel automatisch gepatched zijn. Dus welke overheid houdt dit tegen?

Of zijn er misschien grote problemen met de losse patch?

Wat mij betreft mag IE11 helemaal uitgeschakeld worden. Want die kan je toch nergens meer voor gebruiken.

Lekker invullen zeg, ik bedoel gezien vanuit de consument inzicht en hoe ze overal reclame maken vooral op YouPoop. Dat alles komt neer op wat ik toch zeg.. Weet zeker hoe een VPN werkt, heb zelf openvpn cli servers gehad..
Waar de consument zich mee bezig houdt met een VPN, is alleen maar IP GEO restricties omzeilen en knetter hard downloaden wat op feestboek zitten en dan heb je het gehad. Eerlijk is eerlijk, maar er zijn maar weinig mensen die het gebruiken waar het ook uiteindelijk voor bedoeld was. Zelf had ik ook een vpn thuis voor bij mijn interne LAN spul te komen vanaf WAN. Maar heb het weg gedaan, heb alleen nog ssh en dan doe ik gewoon poortje tunnelen naar de service die ik gebruik en klaar. SSH natuurlijk fatsoenlijk beveiligd met RSA keys & extra passphrase.

@ Erik van Straten

Beste Erik, we zullen toch ergens moeten beginnen om de fatale situatie, die we nu hebben
en die ik als cold recon website security analist en website foutenjager,
ook bij mijn concultancy, ervaar om te gaan buigen.

Ik heb die jarenlange ervaring op twee terreinen, website security via de av-industrie
en mijn jarenlange werk als proctor op een HS, afdeling IT-studies.

Dat men een jaar lang als studenten security onderricht krijgt "uit het verkeerde boek",
zoals studenten mij meedeelden en dat docenten technische IT
(lambda berekeningen laten doen met een calculator bij een toets van drie uur),
zonder dat de docent in kwestie weet heeft van een zich online bevindende "lambda-generator",
betekent, dat we er bij lange na nog niet zijn.

En dit weet de heer Grapperhaus ook best wel, hij is niet dom.

JavaScript moet men zich zelf maar eigen maken op de opleiding in het eerste jaar
en security toetsen gaan meestal over het aantal te ontdekken DOM-XSS en SQL sinks en sources
(3e jaars back-end studie bijvoorbeeld)

."jQuery kwestbare bibliotheken afvoeren?, nooit van gehoord, mijnheer".

Natuurlijk, de goede docenten niet te na gesproken.
Hoe veel moeite de docent deed om de reikwijdte van bijvoorbeeld een "array" uit te leggen.
"Je moet het weten, niet zitten gokken, man".

Leuke discussies ontwikkelden zich daarbij over het gebruik van babel.js
als veiliger pendant voor andere eerdere JavaScript oplossingen.

Het meest frustrerend is, dat ik geen beveiligingsslag zie maken, daar waar het nodig moet.
We blijven op het zelfde punt staan. En de overheid dwingt het niet regulerend af.

Online zijn gaat het zelfde als kinderen nemen. Je hoeft er geen diploma voor te hebben,
met alle gevolgen van dien. Dat zou de overheid is moeten heroverwegen.

Ik maak me niet zo'n zorgen om Mr. President, de potus is een hele goede zakenman
en als die domme dingen doen, dan worden ze meestal door de markt snel afgestraft.

En dat grote conflict...er zit genoeg hersens in Jeruzalem om daar op een goede manier mee om te gaan,
"lo lanu" zegen zij. Trouwens wat is "ver weg" in Global Village? Beer Sheva?

Er zijn een aantal routes om dit bewustzijn te bereiken en te versterken
- educatie en het goed intomen en in de gaten houden van de krachten,
die het veld dom willen houden voor het eigen gewin.

Dan is de hele Amerikaanse Big IT samen met de veiligheidswereld, een veel groter gevaar
dan die tweetende Amerikaanse president, denk aan het Cambridge Analytica schandaal,
de voortgaande stiekeme tracking bevorderende voorstellen van Googles en Facebook.

De consument en eind-gebruiker staat al twintig slagen achter met een arm op de rug gebonden en soms wel twee.
Daar moet de heer Grapperhaus achteraan, maar dat willen noch zijn politieke broeders, noch de sterke IT lobby.

We worden op veiligheidsgebied gegijzeld door de IT industrie onder de paraplu van overheden,
die louter voor de commercie werken en dat voor een groot deel ten koste van de eindgebruikers.
Een veld vol nepotisme.

Hou de aapjes dom, train ze voor de behoeften van de groot-industrie en beloon ze matig,
frusteer de kennisdragers en de mensen, die er echt toe kunnen doen.
Verdedig je monopolie ook ten aanzien van de broodnodige innovatie desnoods.

Ik zie het glas nog steeds half vol, we hebben de mogelijkheden, maar we moeten de slag wel gaan maken.

Oh en om snel te zien wat er allemaal mis gaat, haal eens een willekeurige website door deze quick and dirty scanner:
https://webscan.upguard.com/#/ en daarna hier: https://webcookies.org/

groetjes,

luntrus

Was er niet een bericht enkele jaren terug dat er nog een windows 3.11 bak in een hoek stond bij de overheid ergens die verantwoordelijk was voor de airconditioning?

Yep. Echt. Verdiep je in hoe de departementale structuur van onze overheid in elkaar steekt, dan kom je hier niet met dergelijke zinloze uitspraken.
Een minister hoeft geen diepgravende kennis te hebben over de zaken waarop (eventueel nieuw) beleid wordt gebaseerd.. Daarvoor stuurt zijn departement onderzoekscommissies aan die voor hem/haar adviezen samensteld ten behoeve van (nieuw) beleid.

Was bij familie, die hebben een surface tablet. Automatische updates, ie11 uitgeschakeld. Maar geen alternatief. Dus geen browser. En dat was het enige waar het nog nuttig voor was. Dus nu is het een duur presse-papier.

Nu was windows RT toch al waardeloze software, maar de hardware met al z'n "beveiliging"s lock-down is dus nu ook volstrekt nutteloos. Al was er een alternatief je kon het er toch niet opkrijgen. Leuk he, die volautomatische updates. Je denkt dat je de hardware bezit maar ondertussen wordt de functionaliteit er van veraf uitgezogen.

Het probleem met beveiliging is dat het een race is die je nooit kunt winnen.
Je kunt wel (en dat is natuurlijk ook de bedoeling van deze uitspraak) vragen om toch op zijn minst de meest voor de hand
liggende maatregelen te nemen, zoals het installeren van updates en het aanbrengen van een poging tot een firewall,
maar het is altijd wel mogelijk om achteraf aan te geven (zoals de reaguurders hier boven weer zo graag doen) waar er
ergens iets fout gegaan is en dat dat onveilig was en wellicht zelfs dom.

Het is net als met je huis: je kunt wel dievenklauwen plaatsen en iets betere sloten dan gemiddeld, maar als je geen
tralies voor de ramen gedaan hebt kan de inbreker gewoon een ruit ingooien. Je kunt dan vanaf de zijlijn makkeijk
roepen "maar een raam met glas erin dat is onveilig" en zelfs gaan verwachten dat de mensen overal tralies voor
gaan zetten, maar er zijn gewoon grenzen aan wat je kunt en wilt doen op het gebied van beveiliging.

Het is dan ook veel beter om achter inbrekers aan te gaan en die hard aan te pakken, dan om ieder huis te verbouwen
tot een fort met 80cm dikke muren en stalen luiken voor de ramen.

@ Wilbert Wintergaard

Maar dan moet je de mededelingen van die departementele commissies wel goed kunnen communiceren.
De minister is tenslotte spreekbuis en het beleid valt onder zijn verantwoordelijkheid,
waar een moderne minister nog wel eens hard voor weg wil lopen.

Het grote euvel is dat we geen onafhankelijke overheid meer hebben, ze zit in de tas van de grootcommercie.

Dat was altijd al wel zo binnen dit kapitalistisch systeem, maar men hield tenminste de schijn nog op,
dat het anders was (kuch - democratie en zo) en dat is nu allemaal echt anders geworden.
Niet in naam maar wel naar de feitelijkheid. Of het er beter op wordt, dat kun je zelf vaststellen.

Soms lijken het de nadagen van het antieke Rome we.,
Zelf "brandjes" (laten) stichten om net zo rijk te worden als Marcus Licinius Crassus,
de grootste oorlogsmisdadiger uit de antieke wereld.

Dus nu, welkom bij de "moderne Romeinen" en dat is helaas geen stripverhaal.
Ik wens je sterkte ermee.

Jodocus Oyevaer

Ik ben dan ook niet zo erg blij met "verantwoordelijke" ministers zonder inhoud.

Dat is niet eens het grootste probleem. Het is makkelijk af te gaan op opzichtige akkefietjes als de afschaffing van de dividentsbelasting, of zelfs het gedoe met "rulings" die grootbedrijven voortrekken, maar dat is misleidend.

Het probleem is veeleer dat de mensen die er zitten er volgens eigen zeggen zitten vanwege hun "merites" (die ze helemaal niet hebben; het waren de vrindjes) maar dan dus ook niet de conclusie trekken dat het niet zo waar was met de merites als ze weer eens opzichtig falen. Het is een spelletje om het pluche, en ook werkelijk iets betekenen voor het land is geen ding meer.

Wat er nu zit, en gezeten heeft de laatste halve eeuw ofzo, heeft stukje bij beetje de overheid omgetoverd in een onnavolgbaar ingewikkeld kaartenhuis. En zo langzamerhand beginnen we door te krijgen hoezeer dit vreselijk mooie en welvarende land door ondermaats bestuur verzwakt is. En als je dan op oude voet door wil gaan, ja, dan glij je vanzelf af.

Je kan het op vele manieren zien. Het gedoe in het onderwijs, de huizenmarkt, de afkalvende maar toch steeds duurder wordende medische zorg en het geldrondpompcircus eromheen, de mantelzorg-aanfluiting, de hulp aan sociaal zwakkeren, maar ook het openbaar vervoer inclusief ov-faalkaart, allerlei ict-gedoe, de belastingdienst, het uwv, de svb, noem maar op, het zijn allemaal dingen die met een beetje visie rechtgezet hadden kunnen worden. Maar zelfs dat beetje visie ontbreekt en de problemen zijn dan ook ontstaan uit bemoeizucht van betweterende politici en carrierezuchtige ambtenaren en zo verder. Dit land wordt al een tijdje erg slecht geleid. En omdat het gewoon een enorm mooi en welvarend land was dat wel een stootje kon hebben, ging dat best een lange tijd goed. Maar het houdt een keertje op.

Zeker begrijp ik wel waarvoor een vpn wel geschikt is en hoe deze werkt, heb zelf openvpn cli server gehad thuis en in de cloud. Waar het mij om ging was hoe de bedrijven het de consumenten verkopen met een mooi broodje aap verhaal. Dan natuurlijk nog de rest van de uitleg, dat komt meer op de waarheid. De consument gebruikt het ook zo, ga maar eens op internet zoeken..

Maar dat heeft helemaal NIKS met het automatisch installeren van updates te maken!!!
Dit was een nieuw ontwerp (een upgrade van een bestaand ontwerp) en het was geen software probleem maar een
probleem in de vereisten/specificaties. De software deed wat ie moest doen, alleen wat ie moest doen was fout/dom.

Maar het is juist dit soort foute voorbeelden (uit andere situaties of in andere omgevingen) waarmee beheerders
of managers onterecht de policy invoeren dat er geen updates moeten worden geinstalleerd of dat dit pas een
jaar na dato gedaan moet worden. Die hebben er helaas niets van begrepen, en kunnen nog wat van Grapperhaus
leren. Juist starre dogma's zijn het grootste gevaar voor de veiligheid.

Elke minister moet weten wat de meest kritische factoren zijn in de rij/keten van informatie die zij/hij voorgelegd krijgt.
Dat kan hij/zij alleen goed inschatten met voldoende kennis en oriëntering en sowieso niet door alleen op rapporten en lobby's af te gaan.
De meest bepalende factoren moet hij/zij sowieso scherp kunnen beoordelen en wegen.
Daar moet je dan wel zelf voldoende know-how over langere termijn voor hebben opgedaan.
Of dat niet diepgravende kennis vereist of zeer treffende gerichte kennis van specifieke onderdelen van elk dossier dat voorgelegd wordt is volstrekt secundair aan het grotere belang.
Alleen met een dergelijk gevoel voor de materie kunnen zaken doowrochten worden overwogen en besloten.

Zoals ik al eerder aangaf (b)lijkt minister Grapperhaus met zijn definitie van VPN zélf nogal een oliebol.
Waardoor meteen ook duidelijk is waarom het bij V&J - en al die andere grote organisaties - zo fout ging, en gaat.

Naar blijkt heeft minister Grapperhaus tijdens de 'One Conference' van 1-3 oktober 2019 in Den Haag het 'Cybersecurity Woordenboek' ontvangen uit handen van Petra Oldengarm, directeur van Cyberveilig Nederland.
[ https://www.ncsc.nl/actueel/nieuws/2019/oktober/1/cybersecurity-woordenboek-maakt-lastige-terminologie-begrijpelijk ].

Er staat ook een definitie van VPN in.

Gezien de huidig aankomende feestdagen is 'oliebollen' wat voorbarig. Ik had persoonlijk momenteel 'boterletters' gebruikt. Hiermee is dan ook meteen mijn kennisniveau over het onderwerp duidelijk. ;-)

Hier is 'ie dan... de Jip en Janneke definitie:

Die strikt genomen niet eens correct is. Het stukje "tunnel" en "uitbreiding" kloppen wel redelijk, maar bijvoorbeeld het stukje "veilig" is dankzij (hier niet genoemde) encryptie. Encryptie die wel gebruikelijk is in de praktijk maar niet standaard in de definitie van "VPN" zit, en waar dus op gelet moet worden dat je 'm ook krijgt.

Dat beeld komt herkenbaar voor.

Een forum zoals Security.NL fungeert als een soort vergaarbak van "slecht nieuws" in de ICT sector. Daardoor gaat men wel eens voorbij aan het feit dat er juist ook heel veel goed gaat. De meeste mensen zijn betrouwbaar. :-)

Veel zelfstandigen, en vooral de medische firma's, zijn er als de pinken bij, want een lek kan hen al gauw hun winkelnering kosten. Ambtelijke organisaties en grote ondernemingen reageren, door de complexe ICT, vaak veel trager.

Het was het dogma van de boeing marketing dat het nieuwe toestel slecht een kleine update was. Zo werd het verkocht zo werd het aan de piloten en afnemers verteld. Ik heb het als update over het complete toestel.

De software die het ontwerp moest corrigeren was niet op orde wat ontwerp en implementatie betreft. Er is nog steeds geen update voor als zullen er vele inmiddels gedaan hebben. De eis is nu een completere test.

Definieer eens een "update". De systeemklok veranderd constant dat zou een fout kunnen geven. Jaar 2000, certificaten licenties zijn er afhankelijk van. GEwoon wat pratkijkervaringen:
- Probeer eens certificaten massaal te veranderen dan wel licenties bij te werken in een periode dat er geen veranderingen mogen plaats vinden.
- Probeer eens een ander versie DBMS te activeren dan een SAN configuratie iets anders te maken. Voor je het weet valt de boel om.
Waar een desktop makkelijk van win7 naar win10 al automatische update ging aan het thuisfront zijn het meerjaren projecten bij bedrijfsmatige omgevingen. Citrix VMWare virtualisatie applicaties middleware de hele boel komt bij elkaar.
Hoevell voorbeelden van mislukte kleine updates bij de overheid wil je hebben?.
Kei is een voorbeeld onder Grapperhaus zelf. Het foute niet 2fa ondanks de wettelijk eis ook bij justitie.

De volgende keer iets minder eiwit shake. Is beter voor de nuance schijnt het.

Want als we in de keuken van de overheid kijken in de lade met de tekst " Contracten ICT Leveranciers" dan staan daar interessante zaken in.

Maar in Nederland zijn klokkenluiders helaas niet beschermd.


Ben er klaar mee.

Meer of Minder Oliebollen, dat is de vraag. Of krijg ik nu een rechtszaak aan mijn broek?

Man man ik lig onder de tafel v.h. lachen om die overheid. Als ze ergens niet doorpakken is het wel bij de overheid.

Vooral als iemand voor een karretje gespannen wordt en voorbijgaat aan wetgeving,verleden, invulling en hoe het nu geregeld is.

De hele boel is a.h. aftakelen. Een cabaretier kan er zijn avond mee vullen.

Ik geef het op. Dit is gewoon infantiel

Lief Anoniempje,

Die reactie is een uit de geitenwollenskken-management-categorie.
"We bedoelen het zo goed" en "We doen zo ons best" zijn daar de standaardfrasen om amateurisme goed te praten.
In plaats van werken aan resultaten werkt men vooral aan 'bewustwording'. Met als consequentie dat men zelfs het basale minimumniveau niet haalt,
Niet nu, maar al decennia niet!

En al decennia zet men beveiliging en privacy in de hoek van de nerdy techneuten en letterneukende juristen. Om vervolgens systeembeheerders de schuld te geven van de virussen op de werk-PC en de Micorsoft-ellende, en intussen lekker te datagraaien in persoonsgegevens, of patientgegevens door te nemen bij een bekertje koffie bij de plaatselijke Albert Heijn.

Dit forum is in staat om zéér snel de vinger te leggen op IT-pijnpunten, en oplossingen aan te dragen voor problemen.
Maar kennelijk wordt het onvoldoende gelezen en de bijdragers worden afgeschilderd als 'niet lief'.

Wakker worden, oliebol!
Je hoeft niet lief te zijn om gewoon je werk goed te doen!
Dat staat in schril contrast met prietpratende veelvergaderaars.

Na de definitie gelezen te hebben heb ik maar niet eens de moeite genomen die hier te citeren.
Ik moest éérst even bijkomen van de verbijstering, en daarna van een onbedaarlijke lachbui.

Ik zie aan deze definitie namelijk bijna niets dat wél correct is.

De term "veilig" is bedoeld voor Jip en Janneke, en voor die doelgroep is er m.i. niks mis met deze definitie: de letter P uit VPN (voor Private) duidt erop dat niemand anders kan meekijken naar de informatie die via de tunnel wordt uitgewisseld, en dat vereist -impliciet- dat de informatie wordt versleuteld (bij gebruik van een fatsoenlijke cipher-suite wordt ook de integriteit van de uitgewisselde informatie gewaarborgd). Als er niet wordt versleuteld is er m.i. eerder sprake van bijv. VLAN- of MPLS- technieken.

Als jij meer gedetailleerd wilt definiëren wat VPN betekent, doe het dan goed. Encryptie is namelijk zinloos als je niet weet met wie je communiceert. Daarom authenticeren VPN servers zich richting hun communicatiepartners middels pre-shared secret keys, pre-shared public keys of public keys in certificaten (public keys die niet pre-shared zijn kan ook, maar dan moet de client -of de VPN-client-gebruiker- het eigenaarschap of andere wijze vaststellen, of genoegen nemem met TOFU - Trust On First Use).

Clients (die de verbinding initiëren) doen iets vergelijkbaars ter authenticatie (een wachtwoord is een soort pre-shared key), waarbij je, in het geval van een certificaat, spreekt van een client-certificaat.

Verder kun je onderscheid maken tussen "site-to-site"- (waarbij 2 netwerken gekoppeld worden via een tunnel) en "client-to-site" VPN's (waarbij een endpoint, zoals PC of smartphone, verbinding heeft met een netwerk elders).

"Anonimiserende" VPN's servers, die niet zo lang bestaan als VPN's voor bedrijfstoepassingen, zijn min of meer van dat tweede type - waarbij de VPN-server (vanuit de client bezien aan de andere kant) het hele internet in plaats van een intern (bedrijfs-) netwerk ontsluit. In aanvulling daarop past dat type VPN-server PNAT (Port and Network Address Translation) toe, waardoor jouw IP-adres (dat een RFC 1918 adres kan zijn) niet bekend wordt gemaakt aan de buitenwereld (die port translation zorgt ervoor dat twee gebruikers van dezelfde VPN-server, met op internet hetzelfde publieke source-IP-adres, NIET hetzelfde source-port-nr. gebruiken, wat problemen zou geven als ze toevallig allebei met hetzelfde remote internet IP-adres pakketjes uitwisselen).

Ik leer graag. Wat deugt er volgens jou niet aan die Jip en Janneke definitie?

Dat is dus net niet waar. Die P voor Private duidt op het meedoen met het Private netwerk, niet op de encryptie die de communicatie ook Privé moet houden. Je krijgt 'm er wel vaak bij, maar hij zit niet standaard in het pakket omdat er "VPN" op staat!

En omdat je 'm er vaak wel bijkrijgt neemt 'men', inclusief deze woordenlijstschrijver, het maar aan. Maar dat maakt het niet correct. Want strict genomen is die VPN alleen het tunnelen van het verkeer zodat je virtueel kan doen of je lokaal op dat andere private netwerk zit. De rest, waaronder encryptie en authenticatie, is extra. Ondertussen meestal een "standaard extra", dat wel, maar niet altijd. Dat is wel net een valkuil.

Dat maakt het wel lastig om voor "Jip en Janneke" definities te schrijven, want hoe gedetailleerd wil je het hebben? Maar als je niet uitkijkt creëer je dus wel zulke valkuilen. Strict genomen correcter zou zijn om de bewering "veilig" eruit te laten. Eventueel toevoegen dat een stukje beveiliging bij het opzetten van een VPN wel aan te raden is.

Huh? Als je een "private network" via één of meer VPN's met nodes en/of netwerken elders uitbreidt, en die uitbreiding zou niet versleuteld zijn, wat is er dan nog "private" aan je oorspronkelijke netwerk?

Dat sommige "anonimiserende" VPN-providers diensten aanbieden die zij "VPN zonder encryptie" noemen [*], die niks anders zijn dan een proxy of PNAT op afstand, wil niet zeggen dat we daarom de gangbare definitie van VPN maar moeten aanpassen. En zelfs al zou de een of andere anoniem daar ook voor pleiten, gaat dat niet gebeuren.

[*] Ongetwijfeld bedacht door de een of andere marketingmalloot: "Oh, u wilt VPN met encryptie? Dat kan, maar dat kost u zoveel extra per MB".

Dat is een prima vraag, en ook precies waarom je wel encryptie toepast. Maar dat neemt niet weg dat versleuteling strikt genomen niet in de afkorting "VPN" zit, het is een extraatje dat ook uit kan.

Hoe dat kan is ook al aangestipt: Het oorspronkelijke mechanisme is dat van verkeer uit een privaat netwerk in een tunnel over een ander netwerk zodat je bij anders alleen interne servers en diensten kan, voorbij de vuurmuur en zo verder. Dat je zeker tegenwoordig echt wel encryptie wil en dat een VPN zonder encryptie dus voor sommigen haast ondenkbaar is verandert dat niet. Vandaar dus, geniepige valkuil.

Zulke "VPNs" zijn ook helemaal geen VPNs, want de tunnel verbindt niet met een Privénetwerk, maar met het publieke internet. Al dan niet met proxy of PNAT. Wat niet strikt noodzakelijk is want ze zouden ook een publiek IPadres kunnen uitdelen, maargoed, dat doet natuurlijk helemaal niemand want de alternatieven zijn goedkoper. Dus eerder een "Virtual Public Network". (VPIN dan maar? Virtual Public InterNetwork?) Het gaat erom dat je verkeer van ergens anders vandaan lijkt te komen dan het werkelijk doet. Een beetje zoals mobile IP dat moest doen maar dan goedkoper inelkaargeflanst.

Merk op dat je daar ook vaak helemaal geen encryptie nodig hebt, bijvoorbeeld als je de TV-shows van een ander land wil bekijken en het enige wat je echt wil is dat je aanvraag van een "acceptabel" eindpunt vandaan lijkt te komen. Want alleen de streamserver kijkt naar je IPadres en vergelijkt dat met z'n geoIP database, en verder kijkt er niemand naar je verkeer. En aangezien encryptie nog steeds computationeel intensief is, kan het zomaar ineens gebeuren dat je helemaal geen zin hebt de CPUtijd daaraan te besteden of mischien heeft je set-top-box daar de rekencapaciteit niet voor, of noem maar op.

Maargoed het is wel een vervelend hergebruik van "VPN" door mensen die geleerd hebben dat het de oplossing is voor hun probleem zonder enig benul van wat de technische term eigenlijk inhoudt.

Een afkorting of een naam van een technologie is geen een uitputtende beschrijving van die technologie. Je kan vandaag de dag geen harde schijf meer kopen waar de controller niet in de schijfbehuizing is ingebouwd, maar toch zie ik in de afkorting HDD niet de C van controller voorkomen, om maar een voorbeeld te noemen.

Het private in Virtual Private Network geeft aan dat iets gedaan wordt om privacy te waarborgen. Als je denkt dat dat bij verkeer dat over het publieke internet wordt gerouteerd kan zonder versleuteling dan neem ik aan dat je ook denkt dat online bankieren over HTTP in plaats van HTTPS voldoende waarborgen geeft, je hebt immers geen versleuteling nodig om privacy te waarborgen.

Natuurlijk is een VPN versleuteld, die is keihard nodig om de P in de afkorting te kunnen waarmaken.

Dat is dus het hele punt: Dat is oorspronkelijk niet zo. Het begon niet met Private-als-in-privacy maar met Private-als-in-toegang-op-het-afgeschermde-netwerk. Dat is de clou. En dus ook de valkuil.

En ja, de tijden zijn veranderd en VPN zonder encryptie zal veelal als zinloos en gevaarlijk worden gezien. Maar strikt genomen ligt encryptie niet in de technische term "VPN" besloten.

Je kan wel wensdenken en in het wilde weg aannemen, maar dat maakt het niet waar.

Dat denk jij, maar dat is niet zoals je een VPN opzet. Dat begint met een tunnel. Dat je die wil versleutelen, ja natuurlijk. Maar dat moet je dan wel doen, en is een extra handeling. Ook al is het mogelijk zijn van nalaten van die handeling voor sommige mensen practisch ondenkbaar.

Ik wens je veel succes met jouw gelijk.

Je kan wat van dat succes meepikken. Het is niet of je niet gewaarschuwd was dat het om een detail ging. Laat nou juist in de computer security vaak zulke details de dag maken of breken.