Grapperhaus: Citrix-lek laat belang digitale veiligheid zien
Het beveiligingslek in Citrix laat zien hoe belangrijk digitale veiligheid is en biedt lessen hoe hiermee moet worden omgegaan, zo hebben minister Grapperhaus van Justitie en Veiligheid en minister Knops van Binnenlandse Zaken vandaag in een brief aan de Tweede Kamer laten weten.
In de brief bespreken de bewindslieden de ontwikkelingen van de afgelopen weken en hoe hier binnen de overheid op is gereageerd. "Op vrijdag 17 januari 2020 bracht de AIVD een beveiligingsadvies uit. Op basis van de ontstane situatie en het beveiligingsadvies is daarom op 17 januari jl. -door het NCSC het dringende advies gegeven aan Rijksoverheid en het advies aan vitale organisaties om de Citrix-systemen uit te schakelen tot het moment dat een sluitende oplossing beschikbaar is", aldus de ministers.
Inmiddels zijn de eerste beveiligingsupdates beschikbaar gemaakt. "Organisaties worden met klem geadviseerd de patches uit te voeren, maar wel de afweging te maken wat de impact is en of (aanvullende) maatregelen alsnog nodig blijven cq. zijn", adviseren Grapperhaus en Knops. De ministers voegen toe dat dit soort kwetsbaarheden laten zien hoe belangrijk onze digitale veiligheid is.
"Het kabinet werkt aan de versterking van onze digitale weerbaarheid, vandaar ook dat dit kabinet voor het eerst een Nederlandse CyberSecurity Agenda heeft opgesteld. Op korte termijn zal het kabinet uw Kamer informeren over wat deze specifieke kwetsbaarheid ons daarbij leert, ook in relatie tot de in voorbereiding zijnde kabinetsreactie op het WRR-rapport 'Voorbereiden op Digitale Ontwrichting'", zo stellen de ministers, die verder de Tweede Kamer een technische briefing over het beveiligingslek aanbieden.
Reacties (21)
Ja ja. Digitale Veiligheid. Hoe zit het met de planning om End-to-End encryptie te verbieden? Of moeten we eerst de lessen van Citrix goed geleerd hebben voor we daarmee verder kunnen gaan? Ondertussen lachen criminelen, terroristen en pedofielen zich dood omdat ze zelf geen Citrix hoeven te gebruiken.
20-01-2020, 16:59 door
Erik van Straten
Ik ben het niet altijd eens met minister Grapperhaus, maar deze keer wel! Ik hoop dat de juiste lessen getrokken worden uit dit incident.
Het enige wat werkelijk zou helpen is om een FOSS versie te gaan gebruiken ipv de closed source software.
20-01-2020, 20:07 door
Tintin and Milou
Door donderslag: Het enige wat werkelijk zou helpen is om een FOSS versie te gaan gebruiken ipv de closed source software.
Omdat dit nooit lek is?Les 1: stop niet al je eieren in hetzelfde mandje.
In dit geval: wees niet totaal afhankelijk van een digitale oplossing. Als die uitvalt (om wat voor reden dan ook), schakel dan over op een andere oplossing. Bij voorkeur een niet-digitale.
Voorbeeld: InHolland die tentamens moest uitstellen omdat Citrix gecompromitteerd was:
Als je zo afhankelijk bent geworden van een digotale wereld dat je geen tentamens meer kunt afnemen of maken zonder Citrix (of ander digitaal systeem) dan is er echt iets goed fout gegaan met deze wereld.
Op zijn minst hoort een school een alternatief te hebben dat bestaat uit lokalen, papier, pennen en personeel.
Klinkt ouderwets, maar werkt wel.
Wil de overheid hier echt van leren, dan zal zij zich moeten bezinnen op haar digitaliseringsdrang. Ook dat is al je eieren in 1 mandje stoppen. Dat kan alleen maar fout gaan.
In dit geval: wees niet totaal afhankelijk van een digitale oplossing. Als die uitvalt (om wat voor reden dan ook), schakel dan over op een andere oplossing. Bij voorkeur een niet-digitale.
Voorbeeld: InHolland die tentamens moest uitstellen omdat Citrix gecompromitteerd was:
Als je zo afhankelijk bent geworden van een digotale wereld dat je geen tentamens meer kunt afnemen of maken zonder Citrix (of ander digitaal systeem) dan is er echt iets goed fout gegaan met deze wereld.
Op zijn minst hoort een school een alternatief te hebben dat bestaat uit lokalen, papier, pennen en personeel.
Klinkt ouderwets, maar werkt wel.
Wil de overheid hier echt van leren, dan zal zij zich moeten bezinnen op haar digitaliseringsdrang. Ook dat is al je eieren in 1 mandje stoppen. Dat kan alleen maar fout gaan.
20-01-2020, 22:20 door
Ron625
Het beveiligingslek in Citrix laat zien hoe belangrijk digitale veiligheid is
Het toont aan, hoe afhankelijk we zijn van Amerikaanse software bedrijven .............Door Erik van Straten: Ik ben het niet altijd eens met minister Grapperhaus, maar deze keer wel! Ik hoop dat de juiste lessen getrokken worden uit dit incident.
Het niet de taak van de regering is om eerst de boel in het honderd te laten lopen en daarna "de juiste lessen" te trekken. Het is hun taak vooruit te zien. En dat zie ik ze niet doen.Dus iedere keer dat ze zo opzichtig achter de muziek aanlopen, geven ze eigenlijk een brevet van onvermogen af. Dat mogen we ze best eens wat vaker voorhouden. Zeker in het geval van dit soort dingen, waar de tekenen al jaren van aan de wand te zien waren. "Digitale veiligheid" is geen natuurramp, het is mensenwerk.
20-01-2020, 22:45 door
souplost
Door Tintin and Milou:
Nee omdat het sneller wordt gefixed. Niet afh van 1 partij die niet wil dat anderen meekijken.Door donderslag: Het enige wat werkelijk zou helpen is om een FOSS versie te gaan gebruiken ipv de closed source software.
Omdat dit nooit lek is?
21-01-2020, 07:35 door
karma4
Door souplost: Nee omdat het sneller wordt gefixed. Niet afh van 1 partij die niet wil dat anderen meekijken.
Dat er BSD onder zit was nu niet bepaald behulpzaam. Mogelijk zelfs een oorzaak doordat er geloofd werd dat er niets meer aan gedaan hoefde te worden. Welke andere OSS onderdelen er meer bij betrokken zouden zijn weten we niet eens.Door Ron625:
Het beveiligingslek in Citrix laat zien hoe belangrijk digitale veiligheid is
Het toont aan, hoe afhankelijk we zijn van Amerikaanse software bedrijven .............De bureaucratische besluitvorming in vrijwel alle landen van de Europese Unie wordt de afgelopen decennia gestuurd door de belangen het Amerikaanse surveillance kapitalisme. Citrix is een de grote leveranciers voor die afluister industrie. De voordeur stond zo'n vijf jaar onopgemerkt wagenwijd open. Dat feit kwam uit en dat nieuws kwam ongecontroleerd in de massamedia terecht, met de nodige paniek onder de klasse van topambtenaren en bestuursders tot gevolg.
The states’ dependence on Microsoft
– creates steadily increasing costs and blocks technical progress in state authorities;
– systematically undermines European procurement and competition law;
– brings with it a stifling political influence from the corporation;
– and puts state IT systems along with the data of their citizens at a high technical and political security risk.
Microsoft was unwilling to answer any of Investigate Europe’s questions about these issues. And public IT administration insiders know why.
– creates steadily increasing costs and blocks technical progress in state authorities;
– systematically undermines European procurement and competition law;
– brings with it a stifling political influence from the corporation;
– and puts state IT systems along with the data of their citizens at a high technical and political security risk.
Microsoft was unwilling to answer any of Investigate Europe’s questions about these issues. And public IT administration insiders know why.
https://www.investigate-europe.eu/publications/europes-dire-dependency-on-microsoft/
Door karma4:
Door souplost: Nee omdat het sneller wordt gefixed. Niet afh van 1 partij die niet wil dat anderen meekijken.
Dat er BSD onder zit was nu niet bepaald behulpzaam. Mogelijk zelfs een oorzaak doordat er geloofd werd dat er niets meer aan gedaan hoefde te worden. Welke andere OSS onderdelen er meer bij betrokken zouden zijn weten we niet eens.Als je bedoelt dat OSS (open source software) betrokken is bij het Citrix-lek heb je het mis.
Citrix is gebaseerd op BSD (Berkely Software Distribution). BSD is open source software, maar de Berkely licentie laat het toe om op basis van BSD gesloten source software te ontwikkelen.
Zo zijn op basis van BSD twee categorien software ontstaan: Free en Nonfree.
https://en.wikipedia.org/wiki/List_of_products_based_on_FreeBSD
Citrix is dus een Nonfree product gebaseerd op BSD.
Ook Apple is een Nonfree software product (deels) gebaseerd op BSD, namelijk Darwin.
https://en.wikipedia.org/wiki/Darwin_(operating_system).
Eerder is dat ook al uitgelegd, maar Karma4 blijft dezelfde foute informatie herhalen.
https://www.security.nl/posting/639854/Microsoft+waarschuwt+voor+actief+aangevallen+lek+in+Internet+Explorer
Anoniem 20-01-2020 14:24
Ach, die malloot doet ook weer z'n mond open.
De infantiel heeft geen idee waar hij over praat.
Vraag nog even voor een extra backdoor, achterlijk.
De infantiel heeft geen idee waar hij over praat.
Vraag nog even voor een extra backdoor, achterlijk.
Door souplost:
Had de huidige issues niet opgelost.Door Tintin and Milou:
Nee omdat het sneller wordt gefixed. Niet afh van 1 partij die niet wil dat anderen meekijken.Door donderslag: Het enige wat werkelijk zou helpen is om een FOSS versie te gaan gebruiken ipv de closed source software.
Omdat dit nooit lek is?Grapperhaus is schizofreen als het gaat om IT-security.
J&V wil zelf bij alle data kunnen van anderen, maar snapt niet dat hierdoor ook hun eigen systeem zo lek is als een mandje.
J&V wil zelf bij alle data kunnen van anderen, maar snapt niet dat hierdoor ook hun eigen systeem zo lek is als een mandje.
Door karma4:
Het issue heeft niets met BSD te maken.Door souplost: Nee omdat het sneller wordt gefixed. Niet afh van 1 partij die niet wil dat anderen meekijken.
Dat er BSD onder zit was nu niet bepaald behulpzaam. Mogelijk zelfs een oorzaak doordat er geloofd werd dat er niets meer aan gedaan hoefde te worden. Welke andere OSS onderdelen er meer bij betrokken zouden zijn weten we niet eens.Er waren 2 echte issues met de Netscaler.
* Path Traversal in een Apache configuratie.
* Perl Module die geen sanity check correct uitvoerde.
De combinatie van beide problemen, zorgen voor een mega exploit.
Door souplost:
Maar het werkelijke issue van de Citirx Netscaler zit in Apache en perl configuratie en code. Door Tintin and Milou:
Nee omdat het sneller wordt gefixed. Niet afh van 1 partij die niet wil dat anderen meekijken.Door donderslag: Het enige wat werkelijk zou helpen is om een FOSS versie te gaan gebruiken ipv de closed source software.
Omdat dit nooit lek is?Configuratie is gewoon als txt file uit te lezen.
De foute configuratie zit dus eigenlijk in de FOSS software en niet in het closed source gedeelte.
Door Anoniem:
Als je bedoelt dat OSS (open source software) betrokken is bij het Citrix-lek heb je het mis.
Klopt niet helemaal. Want in de Apache en Perl zitten de exploits van de Citrix ADC.Door karma4:
Door souplost: Nee omdat het sneller wordt gefixed. Niet afh van 1 partij die niet wil dat anderen meekijken.
Dat er BSD onder zit was nu niet bepaald behulpzaam. Mogelijk zelfs een oorzaak doordat er geloofd werd dat er niets meer aan gedaan hoefde te worden. Welke andere OSS onderdelen er meer bij betrokken zouden zijn weten we niet eens.Als je bedoelt dat OSS (open source software) betrokken is bij het Citrix-lek heb je het mis.
Door Tintin and Milou:
Door donderslag: Het enige wat werkelijk zou helpen is om een FOSS versie te gaan gebruiken ipv de closed source software.
Omdat dit nooit lek is?Natuurlijk niet, alhoewel dat wel zo zou moeten zijn. Nee, maar als het FOSS is dan hoef je het maar 1x te ontwikkelen en dan vervolgens alleen maar hoeven te onderhouden. En je kan de code auditen.
@Tintin and Milou
We zijn het eens dat het Citrix-lek niets met BSD (OSS open source software) te maken heeft.
Maar als je Apache (webserver, free and open source software) verkeerd configureert (onder de paraplu van de closed software Citrix) met een kwetsbaar Path Traversal (het Citrix-lek), kan je toch niet zeggen dat "de fout in FOSS software" zit? Als namelijk in de code van Apache een dergelijke kwetsbaarheid zou zitten, zou er geen sprake zijn van alleen een Citrix-lek, maar van een wereldwijd probleem met websites. En dat is er niet, voor zover ik weet.
Is de Apache configuratie die Citrix installeert wel voor "iedereen" zichtbaar? Zoals de code van FOSS voor iedereen zichtbaar is? Dat is mijns inziens het wezenlijke verschil tussen "open" en "closed" software.
We zijn het eens dat het Citrix-lek niets met BSD (OSS open source software) te maken heeft.
Maar als je Apache (webserver, free and open source software) verkeerd configureert (onder de paraplu van de closed software Citrix) met een kwetsbaar Path Traversal (het Citrix-lek), kan je toch niet zeggen dat "de fout in FOSS software" zit? Als namelijk in de code van Apache een dergelijke kwetsbaarheid zou zitten, zou er geen sprake zijn van alleen een Citrix-lek, maar van een wereldwijd probleem met websites. En dat is er niet, voor zover ik weet.
Is de Apache configuratie die Citrix installeert wel voor "iedereen" zichtbaar? Zoals de code van FOSS voor iedereen zichtbaar is? Dat is mijns inziens het wezenlijke verschil tussen "open" en "closed" software.
Dat je citrix nodig bent is al van den zotte.
Net zoals dat veilig inloggen voor 50,- bij de belastingdienst.
Met een beetje logica kom je er achter dat dit ook niet veilig is.
Hoezo denken ze allemaal dat het wel veilig is ?
Het is overtuigingskracht als verdien-model.
En onwetende klanten zoals de regering.
Net zoals dat veilig inloggen voor 50,- bij de belastingdienst.
Met een beetje logica kom je er achter dat dit ook niet veilig is.
Hoezo denken ze allemaal dat het wel veilig is ?
Het is overtuigingskracht als verdien-model.
En onwetende klanten zoals de regering.
Door Ron625:
Als jij een vervanger voor Citrix wil ontwikkelen go for it !Het beveiligingslek in Citrix laat zien hoe belangrijk digitale veiligheid is
Het toont aan, hoe afhankelijk we zijn van Amerikaanse software bedrijven .............
22-01-2020, 23:00 door
Ron625
Door Anoniem:Als jij een vervanger voor Citrix wil ontwikkelen go for it !
Daar ben ik helaas niet voldoende voor opgeleid :-)Maar er zijn Europese bedrijven die dit wel kunnen maken/leveren, helaas is dit weer een voorbeeld van vendor-lock-in.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
