Top van UM.

Allemaal leesbaar onder zwart gemaakte bladzijdes.

Heel goed dat ze dit doen!

The Matrix

Ik ben wel benieuwd in hoeverre ze de criminelen hebben kunnen traceren door onder gerechtelijk bevel informatie
op te vragen bij hun mailprovider en welke smoes die mailprovider had om geen informatie te verstrekken over
hun criminele klanten. En welke consequenties dat eventueel gaat hebben.

Ik ben ook benieuwd. Goed dat ze hun ervaringen en lessons learned willen delen. Dat helpt ons allemaal.
Het traceren van de criminelen zou toch via de transactie moeten kunnen ?

Waar heb je die wetenschap vandaan?

Waar ik benieuwd naar ben is ondermeer hoe concreet inzicht ze in Maastricht nu hebben in hoe Blackboard en andere studenten systemen in elkaar zijn gezet?

De eerste versies die op diverse Nederlandse hogescholen draaiden bijvoorbeeld al op ouderde systemen met combinaties van software-delen met achterstallige patching en up-to-date patches.

Nu staat over Blackboard op de webpagina - Technical Requirements - van de Californian Polytechnische Staat universiteit bijvoorbeeld dat ze kennelijk nog Windows XP & Vista i.c.m. Internet 6 toe staan i.c.m. Blackboard!
http://blackboardsupport.calpoly.edu/content/policies/tech.html

Maar de universiteit van Arkansas in Little Rock gaat bijvoorbeeld uit van nieuwere specs voor Blackboard gebruik.
Minimaal Windows 7 en aanbevolen Windows 10.
Zie https://ualr.edu/blackboard/welcome/system-requirements/

In het verleden zijn er al hacks geplaatst via blackboard en nadien blonk het bedrijf van Blackboard nog steeds niet uit in scherp zijn in security.

Het is een VRAAG Sjef! Ik hoop het antwoord in hun publicatie te vinden.

En ja, ik ben een groot tegenstander van diensten die het toelaten dat er gebruikers op werken die zich niet deugdelijk
geidentificeerd hebben zodat deze informatie aan justitie kan worden overhandigd. Ik vind dat dit soort diensten verplicht
moet worden om dat bij te houden en dat anders de steker eruit moet. Dat gaat voor mij boven het lot van Tibetaanse
vrijheidsstrijders.

Heel erg goed. In elk lab kan wel eens wat ontploffen. Goed dat de ervaring wordt gedeeld. Het kan een geweldige bron zijn voor security mensen. Zowel technisch als in hoe je onder dergelijke omstandigheden het hoofd koel houdt. Als er in paniek ook wat dingen zijn gedaan die achteraf niet echt handig bleken is zeer nuttige informatie. Voor techneuten (wanneer volg je en luister je en wanneer loop je weg om ergens een bakkie te drinken, een peuk te roken om daarna met plan B terug te komen), maar ook voor bestuurders en eind verantwoordelijken die een IT infrastuctuur zien als een knoppie van het licht. Dat altijd werkt. Ik hoop dat de uni daar zo open mogelijk over kan zijn. Want dat is veel belangrijker dan te weten wie er misschien een updateje gemist had en wie er bij voorbaat beter op had moeten letten. Dat is allemaal niet zo boeiend.

Ook kan het heel nuttige informatie opleveren voor politici. Om zich vooral te concentreren op het maken van wetten die nuttig zijn. En niet om een gelijk te halen. En voor het hele circuit van opsporing en vervolging.

Ik beloof plechtig dat als ze de achtergronden publiceren, dat ik niemand ga uitlachen en ook als er losgeld betaald is moeten worden geen schande schande te roepen. Goeie informatie over wat er precies gebeurd is toen er een reageerbuisje ontplofte is veel meer waard. Voor iedereen.


Want als je weet, dan is het hebben van meningen overbodig geworden. Dat zet iedereen dan maar op zijn Facebook of zo.

Mooi begin van het nieuwe jaar! Ik ben heel benieuwd!

Les 1: segmenteer het netwerk
Les 2: gebruik 2FA
Les 3: Patch
Les 4: Patch
Les 5: Patch

Niet noodzakelijkerwijs in deze volgorde.

Les 6: isoleer browser en mailclient van de computer (zie bijvoorbeeld Bromium of gelijkaardige technieken).
Les 7: gebruik snapshotting file systems voor de fileservers

Dat was me niet geheel duidelijk omdat je in je vraag meteen een aantal aannames doet.

Niet als het met Bitcoins betaald is :)

Exact! En vergeet hierbij niet om alles te monitoren.

En dan natuurlijk ook het beheer. Je wilt niet dat een aanvaller van het netwerk, via het account van een beheerder, naar een ander netwerk over kan springen. Heb je dus 5 beheerders, dan maak je 2 segmenten. Heb je 16 beheerders, dan kun je 5 segmenten maken.


Goede les


Gebruikers klagen nu al over het aantal keer dat een computer moet rebooten na het patchen. Wil je het nu in drie keer gaan doen?


Klopt. Want ik mis les 0 nog: bewustwording van gebruikers.


Dat helpt.


Zolang je er maar voor zorgt dat die snapshots offline worden bewaard. Zaken als Previous Versions helpen niet. De crimineel zet dat uit.

Peter

Kan iemand deze Belg vertellen hoeveel "een ton" waard is in euro's?...

Aller belangrijkste: Een goede backup strategie!

1 ton = EUR 100.000

google is down daar ?
(term als 'ton geld' )

een ton is de uitdrukking voor 100.000 geldeenheden. Dus 100.000 euro .
https://nl.wikipedia.org/wiki/Ton_(geld)

Ton (geld), een geldhoeveelheid, voorheen 100 000 gulden, thans in Nederland begrepen als 100 000 euro.

https://nl.wikipedia.org/wiki/Ton_(geld)


Dit begrip dient men niet te verwarren met: Ton (massa) (1000 kilogram), een eenheid voor massa/gewicht.

en niet te vergeten beperk de rechten.

https://en.wikipedia.org/wiki/Bromium

Bromium is een microVM isolatie techniek, gebaseerd op Xen. Xen werd ontworpen aan de universiteit van Cambridge, en doorontwikkeld door de Linux Foundation met steun van Intel. Qubes OS draait op Xen, dat op dit moment gezien wordt als het meest veilige single-user desktop besturingssysteem wat voorhanden is.

Net als onder Qubes kan men met Windows draaiende op Bromium microVMs de processen van de desktop applicaties van elkaar isoleren, wat het uitbuiten van kwetsbaarheden, in bijvoorbeeld de webbrowser of Office macro toepassingen, om een escalatie van privileges te forceren, moet uitsluiten -- of op z'n minst extreem bemoeilijken.

Voor de ontwikkeling van sandboxing onder Windows 10 Enterprice heeft Microsoft leentjebuur gespeeld met een vergelijkbare technologie als Bromium, oftewel Xen, geheten "Windows Sandbox", dat ook bekend staat als "InPrivate Desktop". Een serieuze mogelijkheid, afgezien van de keuze van open source Sophos Sandboxie gaan toepassen.

Als je eieren voor je geld zou willen kiezen, en je bedrijfsvoering zit vastgekleefd aan Windows toepassingen, dan zou ik gokken op Bromium. Anders zou ik als Windows administrator, zeker voor kritieke taken zoals SMB AD DC beheer op afstand, gaan werken vanaf een geharde Linux box of Windows AppVMs draaiend op een Qubes OS werkstation.

Gezichts verlies? Geleerde lessen? Lessen die we allemaal al weten en zij al hadden moeten weten?

Hahaha slecht slecht. En alle net afgestudeerde ITers zingen braaf in koor 'goedzooo'

Vernoedelijk de meest belangrijke. Het was de echte oorzaak bij Maersk dat het zo erg fout ging.
Helaas is de weerstand om processen is geisoleerde omgevingen op die manier in te zetten nogal erg hoog.
Het is veel makkelijker om algemene accounts zoals root overal in te zetten.

Helpt geen zier als beheerders hebt die overal toegang tot hebben omdat het wel zo makkelijk is.
Het probleem is niet een os maar een blinde vlek om een goede informatiebeveiliging in te richten.

Je vergeet monitoring + monitoring. Veel verdachte zaken kun je zo zien binnenkomen of gebeuren. Maar er moet ook actief of geautomatiseerd gehandeld kunnen worden. Automatisch in kunnen grijpen wanneer er bijvoorbeeld een paar honderd files ineens worden versleuteld (=verdacht gedrag). Verder IAM, PAM en PAW regelen, zeker bij grote organisaties. Bij o.a. MAERSK, en ik vermoed ook bij Maastricht, zag je dat malware als Not-Petya een pass the hash deed toen één of andere wappie met zijn domain admin account op een besmette server inlogde en binnen enkele minuten de complete organisatie onderuit trok.
Een gewone gebruiker is niet in staat, of zou niet in staat mogen zijn, om AD, DNS, Exchange, Database servers te infecteren, dus dat gaat vrijwel altijd met hogere rechten, beheerders die met veel te veel rechten werken dan strikt noodzakelijk is. Ook gebruikers-, beheerdersrechten moet je tenslotte gelaagd opzetten.
Fileshares vervangen door een DMS en backups off-line of in de Cloud.

Inderdaad Karma; waanzinnig belangrijk. laten we alleen niet vergeten dat onzettend veel malware zelf privilege escalation kan uitvoeren door kwetsbaarheden te misbruiken. Punt is er zijn ontzettend veel zaken heel belangrijk. Een andere die ik hier nog niet eens heb zien staan is om bijv. RDP alleen toe te staan via VPN. Omgevingen zoals shodan zijn uitstekend in staat om remote te scannen op vulnerablities, poorten en daardoor.. ingangen.

Natuurlijk hebben we ook nog de megacortex ransomware varianten die een EMOTET / QBOT / TRICKBOT exploit op de doelmachine zetten (via bijv. nuclear exploit), een cobalt strike - metasploit remote shell openen en vandaar rustig met bloodhound je AD in kaart brengen. Vandaar uit WMI of met psexec of desnoods gewoon met een GPO alles encrypten.

Als je echt iets over verschillende ransomvarianten wil weten raad ik aan om eens een kijkje te nemen op https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/sophoslabs-ransomware-behavior-report.pdf
Uitstekend stukje analyse wat vele mensen hun ogen zal doen openen.

Eminus

Microsoft heeft nog steeds last van het zogeheten "autorun" syndroom.
Oh, neen, ze zien dat niet als probleem.
Alle problemen moet men voortaan beschouwen als "features".
En dat deze zogenaamde "features" het leven wel gemakkelijker maken,
maar niet veiliger, dat moet ieder maar op de koop toenemen.

Dit is geen MS bashing, hoor, no way, maar als wezenlijke feitelijkheid is het toch wel waar.

J.O.

Les 8: Plaats voldoende 'verboden toegang' bordjes
Les 9: Zorg dat je geen gebruikers op je netwerk toelaat

De vraag is waarom zoveel organisaties (het merendeel) kiezen voor een beveiligingsmodel dat kennelijk niet zo bestendig is om zich succesvol te blijven verweren tegen volhardende moderne aanvallers wiens hele R&D, tijd, budget en middelen, gefocust is om binnen te dringen, en supervisie te verkrijgen en te behouden.

Anders gezegd, voor hen, het gros van ons, die naast hun dagelijkse taken, ook gemotiveerde, en uiterst creative, aanvallers van hun lijf dienen te houden, 24/7, is het advies.....?

(luistert naar tjilpende krekels)

Ah...het is makkelijk praten in theorie, of uitzonderlijke gevallen, maar in de praktijk, met vrijwel altijd begrensde budgetten, andere prioriteiten, en intern opgelegde restricties door leidinggevenden, is het een feit dat dit soort zaken plaatsvinden in de praktijk van alledag.

Maar alle gekheid op een stokje, puur en alleen vanuit theorie bekeken, is hedendaagse IT bedrijfsvoering, in het gros van de gevallen, niet meer of minder dan er blind op vertrouwen dat die zelfrijdende auto, waarin jij achterin zit, met je ogen dicht, je altijd, en overal, veilig op je plaats van bestemming gaat brengen, zonder ongelukken onderweg, ongeacht de omstandigheden.

Ik heb toch veel betaalt voor die zelfrijdende auto / IT omgeving....?! Wat moet ik nog meer doen dan?

Euh... up-to-date houden misschien?
Maar ja, dat had de verkoper er niet bij verteld.... En vanuit de overheid en branche vereniging komt ook niets of nauwelijks zinnigs... dus.... komt volgend jaar wel.... misschien. Want past nu niet in het budget, we hebben belangrijkere zaken momenteel, het gaat toch goed zo?

...

Als je gewoon - on-topic - de feiten benoemt zoals ze zijn, laat je dan s.v.p. geen 'MS-bashing' of 'OS-bashing' aanpraten...


Wie heeft het over inrichten met overal toegang toe hebben omdat het zo gemakkelijk is? Suggereer je dat dit bij de Universiteit Maastricht aan de orde was? Hoe kom je daarbij?


Het probleem is natuurlijk wel degelijk het besturingssysteem! (Goed gereedschap is het halve werk, dat beseft een kleuter nog). Plus, daarbij de inrichting van een goede informatiebeveiliging (ja duh... open deur!)

Access Denied :-(

https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/sophoslabs-ransomware-behavior-report.pdf

Nee hoor, gewoon PDF.