CDA wil opheldering van minister over Citrix-beveiligingslek
Het CDA heeft minister Grapperhaus van Justitie en Veiligheid opheldering gevraagd over de kwetsbaarheid in Citrix en de problemen die het beveiligingslek in Nederland veroorzaakte. Aanleiding voor de Kamervragen is een interview met Citrix-ceo Fermin Sera en de tijdelijke oplossing die het softwarebedrijf in december gaf om klanten te beschermen.
"Klopt het dat er op 17 december 2019 een tijdelijke oplossing van het beveiligingslek beschikbaar werd gesteld door Citrix en dat met deze oplossing, mits goed doorgevoerd, gebruikers van Citrix beschermd waren geweest tegen het beveiligingslek?", vragen CDA-Kamerleden Van Dam, Van den Berg en Van der Molen. Vervolgens willen de CDA'ers weten waarom de tijdelijke oplossing niet is doorgevoerd bij overheidsdiensten die gebruikmaken van Citrix.
Grapperhaus moet verder duidelijk maken of overheidsdiensten of semipublieke organisaties de tijdelijke oplossing verkeerd hebben doorgevoerd en of dit vanuit de overheid wordt onderzocht. Ook vragen Van Dam, Van den Berg en Van der Molen naar de impact van de kwetsbaarheid op Nederland. "Kunt u lering trekken uit de wijze waarop andere landen om zijn gegaan met dit beveiligingslek? Kunt u verklaren waarom met name in Nederland dit beveiligingslek tot grote problemen heeft geleid?" Eerder stelde Grapperhaus dat hij uit andere landen complimenten had ontvangen over de Nederlandse Citrix-aanpak.
De kwetsbaarheid in Citrix was door drie verschillende partijen aan Citrix gerapporteerd. Volgens Serna liet één van de drie beveiligingsbedrijven weten informatie over het beveiligingslek op 23 december te zullen publiceren, ongeacht of er een beveiligingsupdate beschikbaar was. "Hoe beoordeelt u de ongeschreven regel in de industrie die zegt dat er binnen 90 dagen nadat een beveiligingslek wordt gemeld, deze niet publiekelijk wordt gemaakt, zodat een bedrijf het lek kan dichten? Acht u het wenselijk dat een dergelijke periode formeel wordt vastgelegd, al dan niet op Europees niveau?", besluiten de Kamerleden hun vragen aan de minister. De vragen moeten binnen drie weken zijn beantwoord.
*kuch* vrijheid van meningsuiting *kuch*
En dan vragen we ons af, waarom de politiek zo weinig vertrouwen krijgt.
Hebben ze echt niets beters te doen?
Antwoord: Nee, want er draaiden overal nog stokoude Citrix "gateway" versies. Het toepassen van de workaround zou totaal zinloos zijn geweest, want die bood -zoals later bleek - geen enkele bescherming voor deze oude versies! Goed dat we er geen tijd aan verspild hebben, gagh gagh gagh. Daarbij had de rijkssysteembeheerder hier ook geen tijd voor, want hij was druk met het inplannen van het patchen van onze Pulse Secure servers, waar begin vorig jaar een update voor verschenen was. Een ding tegelijk graag!
Nog andere vragen?
Het klopt dat Citrix een tijdelijke oplossing beschikbaar stelde en daarmee meteen aan de hele wereld vertelde wat het beveiligingslek was.
De tijdelijke oplossing was echter "lek"; men had snel ontdekt dat door /vpns/ te vervangen door /vpn/../vpns/ het lek als nog misbruikt kon worden. Pas in een later niet vermelde update van de tijdelijke oplossing is dit gat gedicht.
Dat klopt! Dat klopt als een zwerende vinger!
Het was juist een mix van oud en niet oud wat patchbaar (11.1 en 12.0) en niet patchbaar was. Dat was juist het probleem, sommige nieuwere versies (12.1 en dacht ook 13 ) hadden een bug waardoor de aanbevolen aanpassing niet werkte.
https://www.security.nl/posting/639590/Citrix+waarschuwt+dat+workaround+voor+ernstig+lek+niet+altijd+werkt
Daarnaast was er ook een mogelijkheid op conflicterende policies waardoor alsnog e.a. niet werkte.
De mitigation werkte achteraf niet op twee specifieke builds binnen 2 versies. Hier is enorm veel paniek om gezaaid en foutieve informatie de wereld in geholpen. Oplossing was simpel: update naar een hogere build of versie en de mitigation werkte wel.
Wat er echter gebeurd is dat heel veel organisaties hebben liggen slapen en de mitigation niet hebben doorgevoerd of niet de commando juist hebben doorgevoerd: https://support.citrix.com/article/CTX267679
Security is niet een laag, maar meerdere. Een Palo Alto Networks had ik December reeds een signature die aanvallen ook al afsloeg. Als je als organisatie bent gehacked door dit lek, dan heb je echt wel wat uit te leggen en moet je echt even beter je security op orde hebben.
Het neemt uiteraard niet weg dat dit een zeer ernstig Citrix lek was en zeer kwalijke zaak is.
Laten we wel wezen: Het is een fact of life. MS heeft de afgelopen weken ook drie enorme lekken gehad en ook Apple met MacOS.
Hier nog meer info over de kwetsbaarheid en de patch timelines (allen al reeds gedaan): https://support.citrix.com/article/CTX267027
De vraag vanuit het CDA is een terechte, maar wellicht voor de show, zoals zoveel debatten. Laten we hopen dat men hier nu echt wat mee doet.
En dan vragen we ons af, waarom de politiek zo weinig vertrouwen krijgt.
Hebben ze echt niets beters te doen?
Politici komen uit dezelfde genenpool en zijn door ons gekozen. Dat de politiek in de volksmond minder vertrouwen krijgt is meer het gevolg van de overdreven assertieve, egoïstische burger en de eindeloze stroom opportune meningen op internet.
En dan vragen we ons af, waarom de politiek zo weinig vertrouwen krijgt.
Hebben ze echt niets beters te doen?
Politici komen uit dezelfde genenpool en zijn door ons gekozen. Dat de politiek in de volksmond minder vertrouwen krijgt is meer het gevolg van de overdreven assertieve, egoïstische burger en de eindeloze stroom opportune meningen op internet.
En dan vragen we ons af, waarom de politiek zo weinig vertrouwen krijgt.
Hebben ze echt niets beters te doen?
Ik heb later een baan gehad waarin ik, een keer per week, zelf misschien een vijfde van die hoeveelheid papier op mijn bureau kreeg, en daar dezelfde dag nog een mening over moest vormen zodat er besluiten over genomen konden worden. Het was volstrekt niet te doen voor me, het was veel meer informatie dan ik kan verwerken zonder de draad kwijt te raken.
Dan had ik te maken met dingen die binnen een bedrijf spelen. Kamerleden krijgen te maken met wat er in een heel land speelt. De onderwerpen lopen dan enorm uiteen.
Ik heb ernstige twijfels of het voor wie dan ook mogelijk is om dat te doen met maar bij benadering de diepgang en grondigheid die je toepast als je ergens onderaan de hiërarchie bungelt en daar uitvoerend werk doet. Ik neem tegelijk mijn petje af voor mensen die dit soort werk doen, zich daar staande in weten te houden, het ook nog redelijk goed weten te doen en dan ook nog dingen weten te bereiken.
Het is heel makkelijk om van de zijlijn te klagen over hoe incompetent onze volksvertegenwoordigers zijn. Maar vraag je eens af hoe je zelf zou functioneren als je voordurend dergelijke hoeveelheden informatie moet verwerken terwijl het tempo waarin grotendeels door debatagenda's wordt gedicteerd. Als je dat aankan zou je misschien een goede volksvertegenwoordiger kunnen worden, maar gezien je reactie was je vermoedelijk nog niet eens op het idee gekomen dat je je daar wat over zou kunnen afvragen.
Dit soort gedoe is nou eenmaal inherent aan IT. Je gaat het met regels niet oplossen. Je gaat het alleen onder controle houden met een stel vak-idioten. En die krijg je niet bij elkaar. Dus accepteer het gewoon als een gevolg van de door de Roverheid gevoerde digi-dwang.
Daar gaan we weer, de 'roverheid' kon weer eens ergens in een discussie geplempt worden. Met een hoofdletter nog wel.
*kuch* vrijheid van meningsuiting *kuch*
Er zijn grenzen aan een vrije meningsuiting. Het wereldkundig maken hoe je een bestaand systeem kunt hacken is in mijn optiek ook niet een mening, maar een oproep tot het bevorderen van een misdaad.
Wat mij betreft mag je het openbaren binnen de genoemde termijn van 90 dagen (of een andere redelijke tijd) na ontdekking, strafbaar stellen als het meehelpen met het inbreken op computersystemen.
Gagh is a dish best served live!
https://intl.startrek.com/database_article/gagh
Gagh is a dish best served live!
https://intl.startrek.com/database_article/gagh
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
