Hackers maken dus overuren nu.

L.S.

Niet alleen hackers ook malcreanten en cybercriminele statelijke acteurs horen hiertoe.
Een hacker is weer zo'n algemene term, waar je van alles zich onder kan laten scharen.

Er zijn witte hackers (researchers, pentesters, technisch bevolgenen (die willen weten hoe iets werkt,
en daarom moet je dan hacken, aan resource engineering doen).
Er zijn grijze hackers (een tussengebied) en er zijn slechterikken, die we zwarte hackers noemen
(o.a. cybercriminelen, spammers, bloatware verspreiders, scammers, malcreanten, zwarte staatshackers
(met een licentie om te hacken, ja ook vloortkomend in de smaken: white, grey, and evil black).

Soms noemen sommige partijen bestaande uit bepaalde puristische white hat hackers activisten of erger,
nep nieuws verspreiders, net naar gelang waar men verbondenheid mee voelt of de loyaliteit ligt
of waarmee men collaboreren wil.

Anonymous bijvoorbeeld is slecht, NSA is goed. Main stream is goed, alternatief is slecht.
Globalist is goed, nationalist is slecht.

In die laatste zin dreigt er een globalistische dictatuur op wat goede en wat verwerpelijke info heet.

Als voorbeeldje hoe of het werkt.
Autisme toename via het gebruik van het middel round-up wordt in officiele kringen tot nep-nieuws verklaard
en daarom liefst geblokkeerd. Er wordt geen onderzoek gedaan om het te kunnen bevestigen noch om te kunnen ontkennen. Zo wordt een mening opgelegd of bepaalde zaken liever niet aangekaart.
Gebruik van round-up door particulieren zal mettertijd verdwijnen.

We wensen u allen voortschreidend inzicht om in dit alles juist te kunnen onderscheiden,
men houdt u echter nl. liefst zo dom en arm mogelijk, bedenk dat wel steeds.

Jodocus Oyevaer

Dus op 6 februari zijn er nog 150 kwetsbare Citrix (netscaler) servers in Nederland. Wordt het nu niet langzamerhand tijd om man en paard te noemen? Welke organisaties hebben hun ICT zo ongelofelijk slecht ingericht? Name and shame.

Als je niet update dan kom je nog in de krant ook ook. Als een gevaarlijke gewetenloze gek.

Ongetesterommelsoftwareleveranciers blijven maar steeds het slachtoffer zelf spelen.

Terwijl het pure wanprestatie is.

Dat is een beetje lastig. Ons bedrijf host VPS machines, waar eindklanten zelf hun spullen op hosten.
Gaan we dan op ip-block basis ons bedrijf shamen, terwijl we de klanten op de hoogte houden en helpen met patchen?
Als de eindklant niet wil/kan/snapt, moeten wij dan als commerciële partij de klant blokkeren, waardoor deze naar een ander gaat?
Als de overheid alle ipadressen laat blokkeren van alle betrokken ADC's, dan werken we daar graag aan mee.
pakken we meteen ook alle brakke RDP machines, en overige janboel aan.
Als ISP's dan alle particulieren blocken die vanwege uitgaand verkeer overduidelijk onderdeel van een botnet zijn, dan komen we er wel.

maar een level playing field graag.

Regel 1 is eerlijk zijn tegen je klant.

Als jij een doos met wijn levert. Maar je weet dat de bodem van de doos nat is.

Dan heb je twee keuzes. Je zegt niks. De bodem valt eruit. Zelf stom geweest, maar dan kun je weer een nieuwe doos leveren.

Of je zegt de bodem is nat. Dan kan de klant wel denken, jij bent ook een fraaie, met je natte bodem. Totdat die zelf ook begrijpt dat je niet uit bent op onnodig bijbestellen. En dat het zonde van goeie wijn is.

Keuze 1 is nogal populair. Want de klant is dom per definitie.

Dat verdienmodel werkt ook. Maar heeft een kortere overlevingscyclus. Want er zijn twee manieren van met kloten spelen. Verticaal kan prettig zijn. Maar horizontaal doet zeer. De eerste herinnering is rap vergeten. De tweede niet.

@anoniem van 22:21

Daarom moeten op dit niveau ook niet dit soort beslissingen worden genomen.
Dat zou een level hoger wel moeten gebeuren,
zodat alles op niveau's eronder verplicht is hier aan mee te doen.
Toezichthouders/waakhonden moeten nu eens iets gaan doen.

Overheid zou hier een verantwoordelijk moeten nemen zoals bij verkeersdeelname.
Verkeersdeelnemers kunnen ook niet met afgesleten banden de weg op, toch?

Eigenlijk zou een niet volledig van patches en updates voorzien device niet aan het digitale verkeer moeten kunnen deelnemen.

Dat zou de overheid ook aardig wat pecunia kunnen opleveren aan op te leggen boeten in geval van in gebreke blijven.

Ben je je parkeerbon kwijt, kost je dat ook 50 euro om de garage nog te kunnen verlaten.
Het moet gewoon mee genomen kunnen worden in het kosten-baten plaatje,
het hier niet aan voldoen moet gewoon een te dure optie worden.

Als er geen prikkel wordt gezet op voortgezette veiligheid, wordt het nog meer een "last resort issue" dan het nu al is.
Dat ligt nu eenmaal in de aard van het beestje, dat de vingertjes op het toetsenbordje zet.

J.O.

".. Dat is een beetje lastig. Ons bedrijf host VPS machines, waar eindklanten zelf hun spullen op hosten.
Gaan we dan op ip-block basis ons bedrijf shamen, terwijl we de klanten op de hoogte houden en helpen met patchen?
Als de eindklant niet wil/kan/snapt, moeten wij dan als commerciële partij de klant blokkeren, waardoor deze naar een ander gaat? .."

Je zit met dit dilemma in een vervelende positie. Maar als je het nader analyseert kan je proberen de vraag te beantwoorden: als jouw bedrijf op basis van een ip-block (wel)(niet) aan de digitale schandpaal wordt genageld, zou je dan je klanten (wel)(niet) blokkeren?
1. Wel+wel: dan hebben jullie reputatieschade, en worden pas daarna ransomware aanval(len) voorkomen.
2. Wel+niet: dan hebben jullie reputatieschade, en de klant gaat gewoon door op de foute weg, wachtend op een ransomware aanval
3. Niet+wel: dan hoop je dat de klant je actie begrijpt en waardeert om ransomware aanvallen te helpen voorkomen, en als hij dat niet begrijpt: wens de klant veel succes bij de eventuele migratie naar een andere (concullega) host, want de klant neemt mogelijke malwarebesmettingen en backdoors mee naar de concurrent
4. Niet+niet: dan zit je in feite samen met je klanten te wachten op ransomware aanval(len).

Als het Citrix-lek niet op uiterlijk 9 januari 2020 al gemitigeerd was, dat was de datum dat een exploit bekend werd, moet je (klant) ervan uitgaan dat hij mogelijk is besmet met malware en backdoors.
https://www.ncsc.nl/actueel/advisory?id=NCSC%2D2019%2D0979
Daarin staat ook hoe je IoC (indicator of compromise) kan vinden met een Forensic Tool gemaakt door FireEye:
https://www.poppelgaard.com/cve-2019-19781-what-you-should-know-and-how-to-fix-your-citrix-adc-access-gateway

Ik denk dat jullie aankondiging bij de (nog steeds kwetsbare) klanten van een aanstaande "niet+wel" situatie nu kansen biedt voor jullie bedrijf om de klanten te helpen, en daarmee juist reputatie op te bouwen. Als je klanten niet adequaat reageren op een mailtje, moet je misschien de klant-CEO bellen en alarmeren. Vraag de secretaresse of de CEO jullie kan terugbellen vanwege een mogelijke ransomware dreiging. Duidelijke taal spreken helpt. De "FireEye" forensic tool draaien is wel het minste wat (misschien nog net op tijd) uitgevoerd moet worden.

".. Als de overheid alle ipadressen laat blokkeren van alle betrokken ADC's, dan werken we daar graag aan mee.."
Zou wat mij betreft mogen. Dinsdagmiddag 13u is altijd het vragenuurtje in de Tweede Kamer, misschien is er een Tweede Kamerlid dat meeleest? Mij lijkt dit inderdaad belangrijker dan een discussie over moorkoppen of chocoladegebakjes.

".. pakken we meteen ook alle brakke RDP machines, en overige janboel aan.Als ISP's dan alle particulieren blocken die vanwege uitgaand verkeer overduidelijk onderdeel van een botnet zijn, dan komen we er wel .."
Volledig eens, direct doen zou ik zeggen (dat bedoel ik eerlijk zonder sarcasme). Ik begrijp niet dat Maastricht bij iedereen de bellen doet rinkelen.

Ik ben benieuwd om hier te lezen wat jullie besloten hebben, en wat het effect daarvan is. Tot later?

Anoniem van 08-02-2020, 14:55

Waarschijnlijk is er ook een domeinnaam en/of certificaat verbonden aan dat IP en is het dus mogelijk om dat IP naar de eindgebruiker te herleiden. Voor de rest wel eens met je overwegingen - behalve het informeren van de klant heeft een VPS-hoster volgens mij niet meer verantwoordelijkheid of zelfs autoriteit.

Ik denk dat een aantal van die systemen gewoon honeypots zijn.
Grote bedrijven hebben zelf hackers in dienst en die willen graag zien wat er gebeurt.