Je moet je toch serieus afvragen hoe het kan dat e e n enkele gebruiker heel je operatie plat kan leggen door op een linkje te klikken.

Het is werkelijk schandalig en absurd. Maar de details zal men nooit weten want het is closed source software.

Moet men niet eens beginnen het probleem van de zogeheten ransomware serieus te nemen?

Ik heb de goede oplossingen nog niet gehoord ('ranstop' misschien - uitgekiende extra beveiligingslagen) en ook nog niets vernomen over hoe men de daders wil gaan vervolgen. Als je wereldwijd een eind kan maken aan bermbommen, kun je toch ook een eind maken aan ransomware?

Kan iemand me dit eens uitleggen? Of is het gelegen in het feit dat bepaalde globale Amerikaanse Tech-reuzen inmiddels bijkans onaantastbaar zijn geworden en niet met de billen bloot willen, omdat dit een directe bedreiging is voor de veiligheid van hun bestaand imperium? Hoe het ook zij, zo kan het niet veel langer doorgaan of je raakt je Internet kwijt en misschien is dat wel net de bedoeling, een beter in de gaten te houden en controleren Internet versie 2?

Ik heb hier zo weinig reactie's gehoord op mijn vragen, dat me dat verbaast. Is iedereen bang zich uit te spreken? Ik bedoel dan de gasten, die weten van de hoed en de rand. Wie zijn die "Mexicaners" (van "Mag Sie keiner"), die wereldwijd de boel lopen te 'verstehren'? Vroeger kon je zien lopen in het King David hotel, juist ja, die lieden met de dikste bontmantels aan.

Ik geloof niet meer in directe instant dozenschuif oplossingen. "Ja, als "de blinde Maup", eerst zien en dan geloven.

#sockpuppet

OMG, men moet zich toch serieus afvragen of email nog wel geschikt is voor incompetente medewerkers en of deze niet eerst door 'experts' nagelezen moet worden alvorens het doorgestuurd wordt naar 'domme' medewerkers. Je hoeft toch echt geen hoog iq te hebben om een phishingmail te herkennen. Ik pleit ervoor om een emailclient in een sandbox te laten draaien of maillezers eerst een cursus te laten volgen hoe men met mail om moet gaan. Klinkt allemaal overdreven, maar lijkt me het beste heden ten dage.

Waarom zijn bedrijfscritische systemen met internet verbonden?

Mogelijkheden genoeg, ook als de code opensource is.

Gebruiker negeren gerust alle rode uitroeptekens die naar voren kunnen komen.

Het is allemaal begonnen ergens eind negentiger jaren toen er HTML in email gepropt werd.

Het is werkelijk schandalig en absurd hoe evangelisten zich bezondigen aan os flaming en daarbij de informatieveiligheid frustreren. Email protocollen en internet zijn open standaarden, toch heeft men de noodzakelijke veiligheid als basis vergeten.

In ieder geval zou de dagelijkse mail verplichte administratieve handelingen gescheiden moeten zijn. Dan heb je nog steeds niets tegen de onkunde en opzettelijke foute handelingen van een beheerder. Je moet ergens beginnen, verdiep je eens in de adviezen daarover van het NCSC met nips en hips in het verbreken van de aanvalsketen.

Niet e-mail de schuld gaan geven! Je moet je afvragen hoeveel bestaansgrond een platform heeft dat voor z'n veiligheid ervan afhankelijk is of iemand al dan niet een phishingmail opent. Waar mensen zijn daar worden fouten gemaakt. Je platform moet daar tegen kunnen.


Onzin! E-mail is gewoon de boodschapper. Het probleem ligt bij brakke platformen (besturingssystemen) die niet in staat zijn om gebruikers in te perken, waardoor ze een heel netwerk plat kunnen leggen door het verkeerde e-mailtje te openen of op de verkeerde link te klikken.


Je platform (besturingssysteem) moet in staat zijn om de gebruiker in te perken, zodat het niet uitmaakt welke e-mails deze opent of waar deze al dan niet op klikt. Dat men het tegenwoordig vanzelfsprekend vindt dat dit niet het geval is en daarom de gebruiker de zwartepiet toespeelt is werkelijk schandalig!

Huh, geef ik email de schuld dan? Ik geef de gebruikers de schuld. Nergens geef ik email zelf de schuld in mijn betoog. Phishingmails bestaan al tigtal jaren, maar niemand schijnt zich echt te willen verdiepen in hoe je deze mails kunt herkennen (taalfouten, onbekende afzender, links die niet overeenkomen, amateuristische opstelling van mail etc. etc.). Tijd voor iemand per afdeling (die weet waar naar gekeken moet worden) die de mails eerst leest alvorens het wordt doorgestuurd naar Bep, Henk of Miep van de afdeling.

Ik vraag me af hoe een NIET ADMIN een systeem kan infecteren door op een link te klikken?
Is een volledig gepatched Windows system dan kwetsbaar of niet?

Heeft Karma4 daar toevallig een antwoord op?

Je kunt nog zo hard alles en iedereen de schuld geven... maar ik blijf het een gevalletje https://en.wiktionary.org/wiki/PEBCAK zijn.

Oplichting is al zo oud als de mensheid, en ook nieuwsgierigheid. Dus dit zal nog wel een tijdje blijven bestaan.

Maar een andere (fijne (not)) oplossing is al het uitgaande verkeer monitoren. Whitelisting van websites.... De ransmomware moet toch vaak van een gecomprimeerde website komen. En laat dat nou vaak simpele huis, tuin en keuken websites zijn, waar je als werknemer niet bij hoeft. Dus gooi de poort dicht, en sta alleen werk gerelateerde domeinen toe.
Maar mag dat met de huidige wetgeving...... Iets limiteren wordt vaak gezien als inperking van vrijheid....

TheYOSH

Dan faalt elke unix en linux variant jammerlijk wat die zijn nooit ontworpen om veilig te gebruiken. Het moest het doen.

Dat is nog steeds het echte probleem, het werkt toch dus waarom zou je aan beveiliging doen? Beveiligen kost geld.
Dat bij kassa's een camera wordt opgehangen er detectie poortjes bij winkels zijn, vroeger bestond het allemaal niet.
Daar heeft men de betreffende acties gedaan op en risico impact analyse met kosten baten.

Het is inderdaad werkelijk schandalig dat evangelisten in hun os flaming blijven zitten. Dat doen zelfs AH en Jumbo niet als er overlast in een winkelcentrum is, dan is het gezamenlijk tegen die overlast optrekken.

@karma4,

In hoeverre is eigenlijk Microsoft propriety software de schuldige hier?
Waarom horen we zo weinig over bijvoorbeeld ranstop, een integratie met slimme backup systemen bij ransomware aanvallen?
Zie https://cybersecurity-excellence-awards.com/candidates/temasoft-ranstop/

In denial mode gaan helpt toch niet meer hier? Microsoft dient haar verantwoordelijkheid te nemen.
Niet leunen op fix-it's door derden.

#sockpuppet

Heel internet draait op Linux maar het gaat eigenlijk alleen aan de randen mis (waar Microsoft Windows wordt gebruikt). (Even de 'hacks' door gebruik van default of lege passwords, etc. daargelaten.)

Dat snap ik niet goed, kan je dat aan een leek uitleggen?

Ik dacht altijd dat Linux veel veiliger was dan Windows, klopt dat niet dan?


--
Sjef

DMARC als buzzword, too little to late ingevoerd als protocol.
Waarom vraagt Europol o.a. zich af? En ik ook.

luntrus

Een oude discussie, zie ook:

https://www.security.nl/posting/13327/%22Waarom+Linux+veiliger+is+dan+Windows%22

Zie zegt dat ze verbonden waren met het Internet?

Kan je nog wel eens vies tegenvallen. Ze zien er tegenwoordig heel echt uit. Als dan niet van eventueel bekende gehacked mail accounts.

Daar komt niet uit naar voren waarom Unix en Linux nooit ontworpen zijn om veilig te gebruiken zoals Karma dat hierboven zegt.

Ik zou graag van Karma willen weten waar hij de wetenschap vandaan heeft dat Unix en Linux nooit ontworpen zijn om veilig te kunnen gebruiken. Er zijn namelijk talloze banken en overheidsinstellingen die b.v. Solaris en/of Linux gebruiken, zeker op plaatsen waar het echt veilig moet zijn.

Daarom snap ik die opmerking niet en ik wil graag iets leren van mensen die meer expertise (denken te) hebben.


--
Sjef

tja zou je ook boos worden op een keuter die een scherp mes van tafel kan grijpen?

Wat niet klopt ?

Het uitgangspunt dat een OS (on-) veilig is, zonder verder te kijken naar configuratie, naar hardening, naar de vraag welke applicaties draaien bovenop het besturingssysteem, e.d. ?

De vraag moet zijn: Hoe goed heb je je Linux, danwel Windows (, ...), systeem beveiligd.

Mensen die denken dat het OS de beveiliging voor hen regelt, zonder daarover na te denken, snappen weinig van beveiliging.

Van elk OS kan je gatenkaas maken.

tip:

goed bedoeld; maar ik zou de posts van die persoon karma4 met argwaan tot me nemen. vaak genoeg blijkt hij/zij het inhoudelijk niet juist te hebben en vervalt dan vlug in een std patroon iedereen van evangelisme te beschuldigen. weet dat voordat je begint :)

inhoudelijk:

ik snap die opmerkingen ook niet, maar ik ben, met 20j unix ervaring bij accademische reken centra, wel sceptisch over deze beweringen. vele voorbeelden de laatste tijd geven het tegenovergestelde aan. het incident in maastricht nu ook.

Daar sluit ik mij bij aan. Dus karma4?

Ik ben nieuw hier en begrijp inmiddels dat ene Karma en FOSS het telkens met elkaar aan de stok hebben. Jammer en niet constructief.

Maar als ik dan vraag aan iemand waarom een bepaald ontwerp onveilig is, of niet ontworpen is om veilig te zijn, zou ik ook graag antwoord krijgen.

Dank je voor de tip maar ik oordeel liever zelf over mensen.
Ik heb al wel gelezen dat volgens Karma4 opensource kennelijk een religie is en daar heb ik helemaal niks mee, met religies.

--
Sjef

Met religies heb ik ook niks, maar wat is nu je punt?

Dat ik geen voorschot hoef te krijgen van iemand dat ik postings van ene Karma met argwaan moet lezen.
Dat kan ik prima zelf bepalen.

joh het was goed bedoeld, maar dan kun je ook zelf meteen het antwoord op je vraag zelf lezen. niet dan?

filosofische vraag; weet jij dan altijd van jezelf wanneer je verwart bent en een denk fout maakt?

Dat had ik al begrepen maar dat heeft toch helemaal niets met je religie uitspraak te maken?

Nou verwar je me een beetje, denk ik. Of zou het een denkfout van me zijn?

Evangelisten, Karma4, religie. Die link kan je toch wel leggen?

Windows gaat ervanuit dat het op een peecee draait waar precies één persoon (niet nul, zoals bij een server, niet meer) achter zit. Daar kun je met wat moeite wel een mouw aan passen, maar het vergt vaak extra hardware (IPKVM, LoM in vele namen, etc. voor remote beheer of van die proprietary multi-head kaarten voor meerdere gebruikers als terminal server/citrix/... niet genoeg is) en de onderliggende aanname blijft. Unix is vrij snel van dat eenpersoonsmodel afgestapt en toen er meer mensen tegelijk (via terminals, in den beginne een printer-met-toetsenbord) aan wilden werken werd het vrij snel hoogst noodzakelijk om interne barrieres in te bouwen. De twee systemen bouwen dus op een heel andere onderliggende aanname en dat merk je door het hele systeem heen.

Dus laat ik het lief zeggen: Ik ben het niet eens met wat karma4 zegt.


Er is wel een verschilletje tussen hoe beveiligbaar iets is, en hoe nodig het is om eerst flink te sleutelen aan een net geinstalleerd systeem voor je het in productie durft te nemen.

Toen ik nog servers op een publiek netwerk (inclusief publieke IPadressen, met verschillende gradaties firewall ervoor) draaide durfde ik dat met FreeBSD (toen nog 4) binnen een paar minuten. Dat was de tijd die het me kostte een bootdisk te formatteren, bespelen, configureren, in een server te steken en de boot-up te testen. Sterker, FreeBSD leverde de firewall.

Windows heb ik eigenlijk nooit aan ook maar iets publieks durven hangen, en als het dan echt moest met hele dikke lagen filtering ertussen, geleverd door non-windows. Net als dat je een exchange server gewoon niet ongefilterd aan het 'net moet hangen, daar moet een niet-microsoft MTA vóór om de rommel op te schonen. Daar zijn hele goede technische argumenten voor maar die ben ik godzijdank allemaal vergeten dus verwijs ik naar NANAE als je het wil weten. Overigens niet de enige mail-versturende software die daar last van heeft. qmail is er ook een, maar om compleet andere redenen. Dus ja, ik heb zo mijn ervaringen en mijn meningen.

De kern van het punt van The FOSS was wel dat software die zó onveilig is dat je op je installatie eerst allerlei experts los moet laten voordat het een beetje in de buurt van bruikbaar voor de leek komt, dat dat effectief betekent dat de software gewoon niet bruikbaar is om bij leken in de buurt te laten komen.

Wat mij betreft een valide punt voor elk systeem dat daar problemen mee heeft.


Nu ik toch aan het oreren ben: Eerlijkheidshalve denk ik dat linux met systemd een groter risico is dan linux zonder systemd en ik zit wel een beetje te wachten tot er specifieke malware opkomt die daar misbruik van maakt. Maar voorlopig is de gigantische monocultuur van microsoft in het kantoorlandschap nog de drijfveer en daar zal dus de ellende nog wel even het hardst gevoeld gaan blijven worden. Let wel, microsoft bouwt ook al weer enige jaartjes aan hun software en ze krijgen het maar niet voorelkaar om het ook maar een beetje dicht te timmeren, er zijn altijd weer nieuwe gaten, of oude gaten die toch niet gedicht bleken, of weetikhet. Dat is het effect van bouwen op lekke aannames diep onderin het systeem, en die krijg je er van z'n lang zal ze leven niet uit. Dat is namelijk onder andere wat "NT" had moeten bewerkstelligen! Of je moet willen zeggen dat al die tienduizenden beste jongetjes en meisjes uit de programmeursklas die microsoft ieder jaar voor veel geld inhuurt allemaal incompetent zijn. Dat zijn ze vast niet, dus is er iets in het geheel dat scheef zit. De software, de architectuur, de bedrijfscultuur, iets. Wat het is weet ik niet. Maar het zit scheef, dat kun je zó zien.

De premisse van karma4 was nou net dat "elke unix en linux variant" "nooit ontworpen [is] om veilig te gebruiken".

Niet, "je kan bij elk OS wel alle veiligheidsdeurtjes openzetten" maar "er zitten geen deurtjes in om dicht te zetten".

En dat is met "Unix" gewoon niet waar. Je verdedigt dus een punt dat niet gemaakt werd.

Als je zo'n verantwoordelijke baan krijgt en dan het toch niet kan laten om op zo'n linkje te klikken waarvan je weet dat het fout kan gaan, dan is dat onproffesioneel en onvergeeflijk, en dien je daarvoor de prijs van ontslag te krijgen vind ik.

Het is net als dat gezegde "curiosity killed the cat". In mijn familie vond zoiets een jaar geleden ook plaats via een andere aanvalsvector. Mn zus kreeg een telefoontje zogenaamd van microsoft uit india. Dat geintje heeft schijnbaar meer dan 1000dollar gekost. In dit geval ligt een kritisch nationaal instrument plat door zo'n uitglijder. Zijn er eigenlijk opleidingen of trainingen die gegeven worden, om deze aanvalsvectoren beter te herkennen?. Zou voor gewoon civiel en militair personeel geen overbodige luxe zijn denk ik.

:)

jammer dat niet iedereen hier op dit forum een gevoel voor humor / ironie heeft.

ook nog jammerer is dat niet iedereen zaken kan relativeren of zich onthouden van stokpaardjes.

ja maar karma kan dat dus net niet en daar is hij/zij niet persee uniek in.

L.S.

Digitale religie is een vorm van geloven. Dat is vertrouwen hebben in iets dat je nooit zeker kunt weten.
Linke soep, zoiets. Je weet het van te voren nooit en als het nou eens waar was of niet waar was?
Je krijgt achteraf gelijk, dan ben je in de digi-hemel. Of niet en dan zit je wel in de digi-hel.

Begin maar eens met de digitale tien geboden en bidt veel.
Geloven is geen technisch verhaal, want technisch betekent "meten is weten".
Dat is op de vingers van twee handen uit te tellen.
Beta-vertrouwen in gecompileerde code en assesment d.m.v. testen, linten, fuzzen.

Kennis is vast te stellen met de vijf zintuigen en misschien een zesde, maar stoelt niet op religie.
Digi-religie is nog kwalijker als echt geloof, want het is een algemene afspraak wat digi-geloof moet zijn en wat niet.

Evangelisten geloven dus in digi-dromen. Maar dromen zijn bedrog, want "doe je het in je bed, vind je het morgen nog".

Jodocus Oyevaer (daarom digi-realist & digi-optimist)

De link had ook kunnen zijn dat je niets met opensource hebt (dat volgens Karma4 opensource kennelijk een religie is en daar heb ik helemaal niks mee)

@karma4

Zou je zo vriendelijk willen zijn om je stelling toe te lichten?

Ik meen toch echt te weten dat unix/linux/bsd systemen van de grond af ontworpen zijn als multi-user systemen met de inherente beveiligingen. Dat die beveiligingen in de loop van de tijd beter werden noemen we evolutie. Iedereen heeft immers last van het fenomeen dat je niet kunt voorzien hoe kwaadwillenden fouten kunnen gebruiken.

Er zijn systemen, met name Windows in de diverse gedaantes, die die ontwikkeling niet van de grond af aan ingebouwd hadden, en pas later werden toegevoegd.

We weten allemaal wel dat later iets toevoegen nu niet de beste methode is om integrale beveiliging te bereiken... Microsoft heeft nog heel lang last gehad van de filosofie dat beveiliging iets was dat je overliet aan anderen, de virusscanners. We weten ook allemaal hoe dat afloopt, met als meest recente exponent de ransomware.

Ik vermoed dat @karma4 niet van zich laat horen. Ik wil ook wel eens horen hoe hij denkt een goed opgezet, layered defense netwerk op basis van unix systemen met 2FA denkt te kunnen penetreren. Ik weet wel als pentester hoe ik binnen kom op een WIndows only netwerk, er is altijd wel iets over het hoofd gezien of niet gepatcht op tijd.

Niet expliciet maar als je stelt dat men moet zich toch serieus afvragen of email nog wel geschikt is voor incompetente medewerkers en of deze niet eerst door 'experts' nagelezen moet worden alvorens het doorgestuurd wordt naar 'domme' medewerkers dan betrek je e-mail erbij, terwijl dat er eigenlijk helemaal buiten staat. Het is slechts een 'envelop' en het onderliggende systeem moet tegen de inhoud daarvan kunnen.