image

Terugblik op 2020: ransomware, spoofing, SolarWinds en corona

donderdag 31 december 2020, 09:35 door Redactie, 12 reacties

Het einde van 2020 is nog enkele uren van ons verwijderd, tijd om op dit bewogen jaar terug te blikken en de belangrijkste gebeurtenissen te bespreken. Het zal weinigen ontgaan zijn dat er de afgelopen twaalf maanden ook op het gebied van cybersecurity en privacy het nodige gebeurde.

Net als voorgaande jaren waren datalekken en beveiligingsincidenten aan de orde van de dag. Verschillende ontwikkelingen die dit jaar plaatsvonden hadden een grote impact op slachtoffers of de privacy van gebruikers en burgers.

Ransomware

Eindigden we 2019 met de ransomware-aanval op GWK Travelex en de Universiteit Maastricht, begin deze maand kreeg de gemeente Hof van Twente met een omvangrijke ransomware-infectie te maken waardoor de dienstverlening aan burgers werd verstoord. Eerder dit jaar wisten aanvallers ook bij het Friese onderzoeksinstituut Wetsus binnen te dringen en moesten ook systemen van Veiligheidsregio Noord- en Oost-Gelderland en Sportfondsen Nederland eraan geloven.

Tal van grote bedrijven en organisaties werden dit jaar het doelwit van ransomware, Randstad, Foxconn, Canon, Capcom, Garmin, Hydro, Honda, Cognizant, Picanol, SPIE ICS, Whirlpool, Mattel, Equinix, Nielsen en Royal Reesink. In de Verenigde Staten werden tal van schooldistricten door middel van ransomware platgelegd en werden ook allerlei ziekenhuizen en zorginstellingen getroffen.

Waren lange tijd eindgebruikers het doelwit van ransomware, inmiddels hebben criminelen hun focus volledig gericht op bedrijven en organisaties. De Fraudehelpdesk laat aan Security.NL weten dat het nauwelijks meldingen over ransomware krijgt. De impact van een succesvolle ransomware-aanval is voor organisaties veel groter en aanvallers kunnen ook meer losgeld eisen. Het afgelopen jaar betaalden slachtoffers van ransomware miljoenen euro's aan criminelen om hun bestanden te ontsleutelen.

Een ransomware-aanval verloopt vaak op dezelfde manier. De aanvallers compromitteren een systeem in de organisaties, verhogen hun rechten, bewegen zich lateraal door de organisatie, proberen domeinbeheerder te worden, zoeken en verwijderen back-ups, schakelen aanwezige antivirussoftware uit en installeren op alle systemen ransomware. Dit jaar werd daar nog een onderdeel aan toegevoegd, namelijk het stelen van data.

In het geval slachtoffers over een werkende back-up schikken wordt het losgeld niet betaald. Om deze organisaties toch af te kunnen persen besloot één ransomwaregroep om aanwezige data op het netwerk eerst te stelen voordat de ransomware wordt uitgerold. Als het slachtoffer niet betaalt dreigen de criminelen de data openbaar te maken. Al snel volgde allerlei andere groepen die deze tactiek inmiddels ook toepassen en via hun eigen "leak sites" de gestolen data voor iedereen beschikbaar maken.

Sommige slachtoffers besluiten dan alsnog te betalen om zo een openbaar datalek te voorkomen. Cloudsoftwarebedrijf Blackbaud besloot dit te doen nadat aanvallers via gestolen back-ups van een groot aantal onderwijsinstellingen, waaronder de TU Delft en Universiteit Utrecht, gegevens in handen hadden gekregen.

Veel organisaties die slachtoffer van ransomware worden laten niet weten hoe dit kon gebeuren. De manier waarop organisaties met ransomware besmet raken is volgens antivirusbedrijven al jaren hetzelfde: onveilige RDP-systemen, e-mailbijlagen en ongepatchte software. Dit jaar vonden de aanvallen vooral plaats via RDP en e-mail. Via RDP is het mogelijk om op afstand op een systeem in te loggen. Er zijn echter organisaties die hun RDP-beveiliging niet op orde hebben. Zo is het inloggen via RDP voor heel het internet mogelijk. Daarnaast wordt er geen tweefactorauthenticatie gebruikt, is er een zwak wachtwoord ingesteld en ook geen lock-out policy actief, waardoor een bruteforce-aanval op RDP succesvol kan zijn.

In het geval van e-mail maken aanvallers vooral gebruik van Microsoft Office-documenten met een kwaadaardige macro. Macro's staan standaard uitgeschakeld in Office. Daarom voegen criminelen instructies voor het slachtoffer toe om macro's in te schakelen, bijvoorbeeld omdat zo de tekst leesbaar kan worden gemaakt. Wanneer macro's worden ingeschakeld raakt het systeem besmet met malware en kunnen criminelen zo hun standaard draaiboek afwerken om de rest van de organisatie te infecteren.

Vaak wordt eerst het netwerk in kaart gebracht en gewacht voor een opportuun moment om de ransomware uit te rollen. De Nederlandse politie liet onlangs nog weten dat het een vpn-dienst uit de lucht had gehaald waar criminelen gebruik van maken bij hun aanvallen. Door de operatie tegen de vpn-dienst werden wereldwijd 250 organisaties in kaart gebracht waar criminelen al toegang tot het netwerk hadden gekregen en op elk moment ransomware konden uitrollen.

Telefoonspoofing en WhatsAppfraude

Dat criminelen niet over uitgebreide technische kennis hoeven te beschikken om miljoenen euro's te kunnen stelen werd dit jaar duidelijk door telefoonspoofing en WhatsAppfraude. Eind 2019 werden de eerste gevallen bekend waarbij criminelen mensen belden en zich voordeden als een bankmedewerker. Daarbij werd er gebruik gemaakt van telefoonspoofing, waardoor slachtoffers het telefoonnummer van hun bank in de display van hun telefoon te zien kregen.

De zogenaamde bankmedewerker stelt dat het geld op de rekening niet veilig is en naar een "kluisrekening" moet worden overgemaakt. Honderden slachtoffers doen dit en worden zo voor miljoenen euro's gedupeerd. Later dit jaar komen criminelen met een variant, waarbij ze de pincode van het slachtoffer ontfutselen en vervolgens de bankpas aan de deur komen ophalen. Veel slachtoffers worden niet vergoed, omdat ze het geld zelf naar de oplichters hebben overgemaakt.

De overheid en banken komen echter tot een overeenkomst dat slachtoffers met terugwerkende kracht worden vergoed, tenzij er sprake van grove nalatigheid is. Daarnaast introduceert ING een wachttijd van vier uur voor het verhogen van de overboekingslimiet. Dit moet het lastiger voor oplichters maken om geld van de rekeningen van hun slachtoffers te stelen.

Naast het oplichten van mensen via de telefoon blijken oplichters ook zeer bedreven in het misleiden van mensen via WhatsApp. De schade door WhatsAppfraude loopt dit jaar in de miljoenen euro's. Criminelen benaderen slachtoffers via WhatsApp en doen zich voor als hun zoon of dochter. Er wordt gesteld dat er tijdelijk van een nieuw telefoonnummer gebruik wordt gemaakt. Vervolgens vraagt "het kind" aan de ouder om een rekening te betalen.

Wanneer de ouder "het kind" probeert te bellen wordt er niet opgenomen. In augustus waarschuwde de politie dat de oplichters eerst de echte zoon of dochter van het beoogde slachtoffer belden en zo hun stem opnamen. Daarna wordt pas het slachtoffer benadert. Wanneer die de zogenaamde dochter of zoon probeert te bellen wordt de eerder opgenomen stem van de echte zoon of dochter afgespeeld.

De politie weet dit jaar tientallen verdachten van WhatsAppfraude en telefoonspoofing aan te houden. In veel gevallen gaat het om jongeren tussen de 17 en 21 jaar. Vanwege de omvang van de fraude komt de overheid met een campagne om ouderen te waarschuwen.

SolarWinds

Na de grote supply-chain-aanvallen via CCleaner, M.E. Doc (NotPetya) en ASUS Live Update, werd twee weken voor het einde van 2020 een nieuwe grote aanval bekendgemaakt. Aanvallers hadden updates van het Orion Platform van softwarebedrijf SolarWinds van een backdoor voorzien. Grote bedrijven, organisaties en overheden wereldwijd gebruiken het platform om hun it-omgeving te beheren.

De aanvallers blijken al sinds oktober 2019 in staat te zijn om een backdoor aan de updates voor het Orion Platform toe te voegen, maar doen dat in maart van dit jaar voor het eerst. 18.000 bedrijven installeren de besmette updates en geven de aanvallers zo toegang tot hun netwerk. Via de backdoor installeren de aanvallers bij een select aantal organisaties, waaronder Amerikaanse ministeries en grote tech- en securitybedrijven, aanvullende malware. Het zou om zo'n vijftig instanties en bedrijven gaan.

Daarnaast blijkt dat een tweede groep aanvallers gebruikmaakt van een kwetsbaarheid in het Orion Platform waardoor het mogelijk is om zonder authenticatie een backdoor op het systeem te installeren. De impact van de supply-chain-aanval via SolarWinds is nog onbekend. Volgens Microsoft hadden de aanvallers het onder andere voorzien op de clouddata van getroffen organisaties.

Wat betreft het aantal infecties is de SolarWinds-aanval niet de grootste. Bijna 2,3 miljoen gebruikers van het programma CCleaner werden in 2017 slachtoffer van een supply-chain-aanval. Wat betreft financiële impact veroorzaakte de NotPetya-malware, die zich via boekhoudsoftware M.E. Doc verspreidde, volgens het Amerikaanse ministerie van Justitie met een bedrag van bijna 1 miljard dollar de meeste financiële schade.

Corona

Een terugblik op 2020 is niet compleet zonder de uitbraak van het coronavirus te noemen. Cybercriminelen gebruikten het onderwerp voor allerlei phishingaanvallen. Zo werden er malafide e-mails verstuurd die zogenaamd van de Wereldgezondheidsorganisatie afkomstig waren. Organisaties die zich bezighouden met de bestrijding van het coronavirus of de ontwikkeling van het vaccin werden doelwit van aanvallen.

Ook op het gebied van privacy had het virus gevolgen. De overheid liet CoronaMelder ontwikkelen, een app waarmee via bluetooth de contacten van gebruikers worden bijgehouden, zodat die in het geval van een infectie kunnen worden gewaarschuwd. De app, die inmiddels meer dan 4,3 miljoen downloads telt, maakt gebruik van een door Apple en Google ontwikkeld platform, wat voor de nodige kritiek van privacyexperts zorgde.

Daarnaast wil de overheid telecomdata gaan verzamelen om het coronavirus te bestrijden. Zo is er een wetsvoorstel opgesteld dat telecomproviders verplicht om telecomgegevens met het CBS en het RIVM te delen. Volgens het ministerie van Volksgezondheid kan het RIVM met de telecomdata bij een eventuele toename van het aantal besmettingen in een gebied sneller handelen, door de regionale GGD te waarschuwen.

De data die het RIVM ontvangt bestaat uit een telling, per uur, per gemeente, van het totaalaantal mobiele telefoons dat daar aanwezig is vanuit welke gemeente. Daarbij wordt voor buitenlandse nummers ook een verdeling gemaakt naar herkomst op basis van het telefoonnummer. Het plan zorgde wederom voor felle kritiek van privacyexperts.

Voor de horeca, toen die nog open was, kwam de overheid met een registratieplicht. Restaurants en cafés moesten bezoekers om hun naam en contactgegevens vragen. Het afstaan van de gegevens is vrijwillig, maar baart privacydeskundigen desondanks zorgen en zorgt ook voor vervelende situaties. De registratieplicht wordt later uitgebreid naar alle contactberoepen. Het meten van de temperatuur van medewerkers door werkgevers was een ander privacyonderwerp dat afgelopen maanden speelde en voor actie van de Autoriteit Persoonsgegevens zorgde.

Als onderdeel van de vaccinatiestrategie kondigde minister De Jonge een centraal register aan. Dit systeem moet de gegevens van alle gevaccineerden gaan bevatten. Standaard zou de data van iedereen die is gevaccineerd worden toegevoegd, waarna burgers achteraf een verzoek konden indienen om hun gegevens te verwijderen. Een opzet waar veel kritiek op kwam. De minister is daar nu op teruggekomen en heeft besloten om burgers eerst om toestemming te vragen. Wat vragen betreft, het is werkgevers niet toegestaan om aan hun werkgevers te vragen of ze gevaccineerd zijn, aldus de Autoriteit Persoonsgegevens.

De basis

Sommige aanvallen en incidenten worden nooit opgemerkt, andere komen niet in de media. Bij de incidenten en aanvallen die wel openbaar worden blijkt dat die vaak ontstaan en mogelijk zijn doordat basale beveiligingsmaatregelen niet worden opgevolgd. Zo vinden beveiligingsonderzoekers nog altijd dagelijks onbeveiligde databases die voor iedereen op internet toegankelijk zijn, kiezen beheerders en gebruikers onveilige wachtwoorden, installeren organisaties beschikbare beveiligingsupdates niet, zijn webapplicaties kwetsbaar voor SQL-injection en Cross-Site Scripting en worden ongevraagde bijlages nog altijd geopend. Genoeg punten die op de lijst met goede voornemens van 2021 mogen.

Reacties (12)
31-12-2020, 12:16 door walmare - Bijgewerkt: 31-12-2020, 12:17
De miljardenschade wereldwijd opgelopen t.g.v. ransomware hebben afgerond allemaal 1 ding gemeen en dat is de grote gelegenheidsverschaffer windows.
Heel apart dat dit FEIT niet wordt genoemd. Het is ook het enige platform waar een drive-by download infectie mogelijk is door een niets vermoedende gebruiker. Daarom zal 2020 later de boeken ingaan als het waterloo van Windows 10.
31-12-2020, 14:03 door Anoniem
Door walmare: Het is ook het enige platform waar een drive-by download infectie mogelijk is door een niets vermoedende gebruiker.

https://www.security.nl/posting/426978/25_000+Macs+nog+onderdeel+van+Flashback-botnet
Flashback groeide met zo'n 700.000 machines uit tot het grootste Mac-botnet ooit. De malware maakte gebruik van een zero day-lek in Java waardoor het zich via drive-by downloads kon verspreiden. Het bezoeken van een gehackte of kwaadaardige website met een Mac was voldoende om besmet te raken.

https://www.security.nl/posting/492808/Chrome+op+Fedora+kwetsbaar+voor+drive-by+downloads
31-12-2020, 15:42 door walmare
Door Anoniem:
Door walmare: Het is ook het enige platform waar een drive-by download infectie mogelijk is door een niets vermoedende gebruiker.

https://www.security.nl/posting/426978/25_000+Macs+nog+onderdeel+van+Flashback-botnet
Flashback groeide met zo'n 700.000 machines uit tot het grootste Mac-botnet ooit. De malware maakte gebruik van een zero day-lek in Java waardoor het zich via drive-by downloads kon verspreiden. Het bezoeken van een gehackte of kwaadaardige website met een Mac was voldoende om besmet te raken.

https://www.security.nl/posting/492808/Chrome+op+Fedora+kwetsbaar+voor+drive-by+downloads
Het zegt genoeg dat je moet teruggrijpen naar een artikel uit 2015 over een dubieus Russisch antivirus bedrijf, die de drive-by download infectie trouwens nooit heeft bewezen en ook niet beweerd. Je kan malware altijd automatisch downloaden als je dat in Chrome aanzet bv. Maar de Mac of een Linux desktop runt niet automatisch de malware. Daar is userinteractie voor nodig.
Je Fedora Chrome link is ook al 4 jaar oud en is niet eens een infectie maar een crash. Linux gebruikers gebruiken ook geen Chrome closed software maar Firefox (De manier waarop Firefox dan ook bestanden opslaat is volgens de onderzoeker "superieur" ten opzichte van die van Chrome, aangezien gebruikers bij deze browser downloads wel moeten bevestigen).
Eenmaal gedownload moet het ook nog automatisch worden opgestart. Dat krijg je niet gedaan op een Linux desktop omdat alles read only binnenkomt en niet executeerbaar is. In een enterprise zorgt selinux er ook voor dat een gebruiker zelf gedownloade bestanden niet eens mag opstarten of installeren. Het is superieur vergeleken met een windows desktop.
31-12-2020, 15:44 door Anoniem
De gehele redactie van Security.NL wederom bedankt!

Iedereen een fijn 2021 gewenst!
31-12-2020, 18:13 door Anoniem
Zet hier dan op in voor 2021: https://code313detroit.org/cyber-security/
Onze coderende toekomst komt eraan en nog wel op PHP, headers - 7.2.15?!?
Mogelijk gemaakt door Verizon.

luntrus
31-12-2020, 19:29 door Anoniem
Door walmare:
Door Anoniem:
Door walmare: Het is ook het enige platform waar een drive-by download infectie mogelijk is door een niets vermoedende gebruiker.

https://www.security.nl/posting/426978/25_000+Macs+nog+onderdeel+van+Flashback-botnet
Flashback groeide met zo'n 700.000 machines uit tot het grootste Mac-botnet ooit. De malware maakte gebruik van een zero day-lek in Java waardoor het zich via drive-by downloads kon verspreiden. Het bezoeken van een gehackte of kwaadaardige website met een Mac was voldoende om besmet te raken.

https://www.security.nl/posting/492808/Chrome+op+Fedora+kwetsbaar+voor+drive-by+downloads
Het zegt genoeg dat je moet teruggrijpen naar een artikel uit 2015 over een dubieus Russisch antivirus bedrijf, die de drive-by download infectie trouwens nooit heeft bewezen en ook niet beweerd. Je kan malware altijd automatisch downloaden als je dat in Chrome aanzet bv. Maar de Mac of een Linux desktop runt niet automatisch de malware. Daar is userinteractie voor nodig.

...

Het is waar dat Mac of Linux files standaard non-executable maakt, maar het is niet uitgesloten dat je malware automatisch kunt starten.

In een reverse-attack waar de gebruiker een externe ssh-sessie opent, is het wel degelijk mogelijk om code direct op het target uit te voeren.
01-01-2021, 00:00 door Anoniem

_
_ _ _ _ _ _ | |
/| |\ |\ |\ / |\ |_|
|___| _ _ _ | \ | _ / | _ _ ,_ _
| | / | | \ | \ / | | \ | /_\ / / | \___|//_\ / | | ` / \
\| |/\_|/|_/_/|_/_/\_| \| \| \__/\_\_| /| \__/\_|/| \_/
' | | /| ` ( |
| | \| \|
. `:
: : .
: .
[""]
| |
| |
| |
: .'--`.
_..-~-.._ : .: /`.__.'\
.' `. : . / \
.' .-'''''-. `. ,-'``'-. ; ;
/ ,' XII `. \ |`-..-'| | ,--. |
/ / /|\ \ \ | . :| |_.','`.`._|
| ; | ; | | . : | |--'2021`--|
| |IX o III| | |`-..-'| || | | | |
| ; ; | \::::::/ ||)|/|)|)|\|
| \ / | `::::' |._ ~**~ _.|
------| `. V I ,' |----)(----| `-..-' |-------
_____j `-.....-' | )( | |,--.
____/ / /\\ ,-._.--------.-.-' ,-')('-. | |\`;/
.-()___ : |`.!,-'`'/`-._ (___) ( ' ` )`-._ _.-'|;,|
`-, \_\__\`,-'>-.,-._ `-....-' ```` `--' hjw
`-._ (`- `-._`-.`

01-01-2021, 13:44 door walmare
Door Anoniem:
Door walmare:
Door Anoniem:
Door walmare: Het is ook het enige platform waar een drive-by download infectie mogelijk is door een niets vermoedende gebruiker.

https://www.security.nl/posting/426978/25_000+Macs+nog+onderdeel+van+Flashback-botnet
Flashback groeide met zo'n 700.000 machines uit tot het grootste Mac-botnet ooit. De malware maakte gebruik van een zero day-lek in Java waardoor het zich via drive-by downloads kon verspreiden. Het bezoeken van een gehackte of kwaadaardige website met een Mac was voldoende om besmet te raken.

https://www.security.nl/posting/492808/Chrome+op+Fedora+kwetsbaar+voor+drive-by+downloads
Het zegt genoeg dat je moet teruggrijpen naar een artikel uit 2015 over een dubieus Russisch antivirus bedrijf, die de drive-by download infectie trouwens nooit heeft bewezen en ook niet beweerd. Je kan malware altijd automatisch downloaden als je dat in Chrome aanzet bv. Maar de Mac of een Linux desktop runt niet automatisch de malware. Daar is userinteractie voor nodig.

...

Het is waar dat Mac of Linux files standaard non-executable maakt, maar het is niet uitgesloten dat je malware automatisch kunt starten.

In een reverse-attack waar de gebruiker een externe ssh-sessie opent, is het wel degelijk mogelijk om code direct op het target uit te voeren.
Daar wachten we al 30 jaar op, dat zal dan nog wel even duren voordat dat mogelijk is.
SSH is inderdaad heel krachtig en is de levensader voor veel beheerklussen. Om software te kunnen runnen moet je wel eerst binnen zijn en de omgeving zal minimaal beschikbaar zijn. Alleen inloggen met ssh keys en 2FA is prima te doen. Grootste probleem is eigenlijk alleen een brute force attack (als deze port voor heel internet open staat). Fail2ban lost dat voorlopig op.
Verder natuurlijk vulnerabilities in betrokken software, maar dat geldt voor elk OS. Is allemaal alleen geen drive-by infectie.
01-01-2021, 19:54 door karma4
Door walmare:
Het is waar dat Mac of Linux files standaard non-executable maakt, maar het is niet uitgesloten dat je malware automatisch kunt starten.

In een reverse-attack waar de gebruiker een externe ssh-sessie opent, is het wel degelijk mogelijk om code direct op het target uit te voeren.
Daar wachten we al 30 jaar op, dat zal dan nog wel even duren voordat dat mogelijk is.
SSH is inderdaad heel krachtig en is de levensader voor veel beheerklussen. Om software te kunnen runnen moet je wel eerst binnen zijn en de omgeving zal minimaal beschikbaar zijn. Alleen inloggen met ssh keys en 2FA is prima te doen. Grootste probleem is eigenlijk alleen een brute force attack (als deze port voor heel internet open staat). Fail2ban lost dat voorlopig op.
Verder natuurlijk vulnerabilities in betrokken software, maar dat geldt voor elk OS. Is allemaal alleen geen drive-by infectie.[/quote]En hoe vaak zie je niet dat met ssh van alles open gezet sordt omdart het dan werkt draai het onder root en doe geen controles.
Zo werden fe supercomputers van meerdere unviversiteiyen gehackef. Niemand zag het totdat wat projecten raar onderuit gingen.
01-01-2021, 21:01 door Anoniem
Door karma4:
Door walmare:
Het is waar dat Mac of Linux files standaard non-executable maakt, maar het is niet uitgesloten dat je malware automatisch kunt starten.

In een reverse-attack waar de gebruiker een externe ssh-sessie opent, is het wel degelijk mogelijk om code direct op het target uit te voeren.
Daar wachten we al 30 jaar op, dat zal dan nog wel even duren voordat dat mogelijk is.
SSH is inderdaad heel krachtig en is de levensader voor veel beheerklussen. Om software te kunnen runnen moet je wel eerst binnen zijn en de omgeving zal minimaal beschikbaar zijn. Alleen inloggen met ssh keys en 2FA is prima te doen. Grootste probleem is eigenlijk alleen een brute force attack (als deze port voor heel internet open staat). Fail2ban lost dat voorlopig op.
Verder natuurlijk vulnerabilities in betrokken software, maar dat geldt voor elk OS. Is allemaal alleen geen drive-by infectie.
En hoe vaak zie je niet dat met ssh van alles open gezet sordt omdart het dan werkt draai het onder root en doe geen controles.
Zo werden fe supercomputers van meerdere unviversiteiyen gehackef. Niemand zag het totdat wat projecten raar onderuit gingen.[/quote]
Nou, kom op concrete voorbeelden dat MEERDERE universiteiten zo "gehackt"zijn.
02-01-2021, 17:35 door Anoniem
Door Karma 19:54 (met foute quotes door Karma4 tussen haakjes):
(Door karma4) Door Walmare 13:44:
(Door walmare) Door Anoniem 19:29:
Het is waar dat Mac of Linux files standaard non-executable maakt, maar het is niet uitgesloten dat je malware automatisch kunt starten.

In een reverse-attack waar de gebruiker een externe ssh-sessie opent, is het wel degelijk mogelijk om code direct op het target uit te voeren.
Daar wachten we al 30 jaar op, dat zal dan nog wel even duren voordat dat mogelijk is.
SSH is inderdaad heel krachtig en is de levensader voor veel beheerklussen. Om software te kunnen runnen moet je wel eerst binnen zijn en de omgeving zal minimaal beschikbaar zijn. Alleen inloggen met ssh keys en 2FA is prima te doen. Grootste probleem is eigenlijk alleen een brute force attack (als deze port voor heel internet open staat). Fail2ban lost dat voorlopig op.
Verder natuurlijk vulnerabilities in betrokken software, maar dat geldt voor elk OS. Is allemaal alleen geen drive-by infectie.
En hoe vaak zie je niet dat met ssh van alles open gezet sordt omdart het dan werkt draai het onder root en doe geen controles.
Zo werden fe supercomputers van meerdere unviversiteiyen gehackef. Niemand zag het totdat wat projecten raar onderuit gingen.

"... en doe geen controles" .... Karma 4 jij kan het goede voorbeeld geven en even op "preview" klikken voordat je reageert. In jouw reactie van 19:54 heb jij nu de oorspronkelijke tekst bij de verkeerde personen geplaatst.

En als je een goede deur met een goed slot (ssh) open zet, kan iedereen naar binnen lopen. Dat is logisch. Maar dat is een voorbeeld van slecht beheer, en leidt af van de vraag of de deur en het slot (ssh) van goede kwaliteit zijn. Daar zou de discussie op security.nl op gericht moeten zijn.

Dus ingaande op wat "walmare" stelt: ik denk ook dat de combinatie van "ssh + 2FA + fail2ban" een goede cybersecurity maatregel is, althans kan zijn als een slechte beheerder de poorten niet allemaal open zet.

En de vraag van Anoniem 21:01 is ook interessant: "Nou, kom op concrete voorbeelden dat MEERDERE universiteiten zo "gehackt"zijn."

Ik herinner mij het rapport van FoxIT over de hack van de Uni Maastricht: de Linux systemen waren buiten schot gebleven. Hoe dat kan is interessant. Voor mij als lezer van security.nl
02-01-2021, 19:56 door Anoniem
Door Anoniem: Ik herinner mij het rapport van FoxIT over de hack van de Uni Maastricht: de Linux systemen waren buiten schot gebleven. Hoe dat kan is interessant. Voor mij als lezer van security.nl

Ja, dat klopt. Linux bleef daar buiten schot. Dat was ook het enige geluk bij het grote ongeluk van die onderwijsinstelling.

Het gepubliceerde onderzoeksrapport van Fox-IT.com, na het Windows debacle aan de Universiteit Maastricht, staat nog steeds online [PDF, 47 pagina's]. De inhoud daarvan is voor gedesillusioneerde Windows systeembeheerders, maar ook voor Linux experts, erg interessant om opnieuw terug te lezen:

https://www.security.nl/posting/642659/Servers+Universiteit+Maastricht+misten+belangrijke+update+uit+2017

4.2 Scope

In totaal heeft Fox-IT vijf accounts en 269 Windows systemen geïdentificeerd als gecompromitteerd (van in totaal 1.647 servers en 7.307 werkplekken). Naast Windows systemen heeft Opdrachtgever Linux en OS X systemen binnen de infrastructuur welke niet zijn geraakt door de aanval.

https://www.maastrichtuniversity.nl/file/foxitrapportreactieuniversiteitmaastricht2pdf

Dit pleit dus niet voor Linux systeembeheerders om op hun op lauweren te gaan rusten. Om herhaling te voorkomen kreeg de universiteit in het rapport verschillende adviezen aangereikt, waarvan de boodschap ook ter zake doet in een omgeving die overwegend door UNIX-achtige systemen wordt gedomineerd:

Managementsamenvatting

Op basis van het onderzoek heeft Fox-IT verschillende aanbevelingen geformuleerd welke kunnen worden ingedeeld in de categorieen preventie, detectie, en respons:

* Verbeter processen omtrent vulnerability en patch management.
* Breng meer segmentatie aan binnen de network architectuur en gebruikersrechten.
* Implementeer of verbeter network- en logmonitoring.
* Oefen planmatig met verschillende crisis scenario's en verbeter de opgestelde plannen waar nodig.

Tot slot adviseert Fox-IT om de implementatie van bovenstaande aanbevelingen kritisch to (laten) toetsen.

Het rapport gaat gedetailleerder in op ieder punt. Lees het Fox-IT rapport dus vooral goed -- opnieuw -- door, en doe er je voordeel mee. Het zou je zomaar eens een betere nachtrust kunnen opleveren. Dat is goed voor je weerstand.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.