Datadiefstal bij Noors parlement na inbraak op Exchange-server
Het Noorse parlement "Storting" is opnieuw getroffen door een aanval waarbij er data is gestolen. Aanvallers wisten in te breken op de Microsoft Exchange-server van het parlement. De volledige impact van de aanval is nog onbekend en wordt op het moment onderzocht.
Wel staat vast dat er data door de aanvallers is buitgemaakt. "De situatie is op dit moment onduidelijk en de volledige omvang van de schade is nog onbekend", zegt Marianne Andreassen van de Storting. Volgens Tone Wilhelmsen Troen, president van het parlement, laat de aanval zien dat cyberaanvallen grote gevolgen voor het democratische proces kunnen hebben.
In een verklaring laat het Noorse parlement verder weten dat het een zeroday-aanval betreft en het daarom de aanval niet kon voorkomen. Om de aanval uit te voeren hebben aanvallers wel toegang nodig tot de server. Door de Exchange-server achter een vpn te plaatsen zou die niet meteen kunnen worden aangevallen, zo laten experts weten. Om de aanval uit te voeren moet een "untrusted" verbinding naar poort 443 van de server worden opgezet. Door alleen verbindingen vanaf bijvoorbeeld een vpn toe te staan kan dit worden voorkomen.
Vorig jaar wisten aanvallers toegang te krijgen tot e-mailaccounts van Noorse parlementsleden en parlementsmedewerkers. Vooralsnog zijn er geen verbanden tussen die aanval en de inbraak op de Exchange-server gevonden.
Hoe krijgen ze mail binnen op die Exchange server dan?
Klinkt meer als "ik heb mijn 16GHz HDMI usb stick in met afwasmiddel beschermd tegen vingerafdruk skimming".
Hoe krijgen ze mail binnen op die Exchange server dan?
Klinkt meer als "ik heb mijn 16GHz HDMI usb stick in met afwasmiddel beschermd tegen vingerafdruk skimming".
Deze setup zou mogelijk zijn:
Mail komt binnen op een batch-smtp server, en de exchange server haalt daar de info op.
Personeelsleden maken een vpn-verbinding om met de exchange server te communiceren.
Hoe krijgen ze mail binnen op die Exchange server dan?
Klinkt meer als "ik heb mijn 16GHz HDMI usb stick in met afwasmiddel beschermd tegen vingerafdruk skimming".
Vrij simpel, een SMTP gateway er voor zetten waar je ook iets doet met virus/malware etc scannen. Exchange hoeft echt niet aan het internet te hangen, het is wel handig voor mobile devices etc..
Hoe krijgen ze mail binnen op die Exchange server dan?
Klinkt meer als "ik heb mijn 16GHz HDMI usb stick in met afwasmiddel beschermd tegen vingerafdruk skimming".
Het heeft niks met het ontvangen van de email te maken, maar met het lezen van de email. De bug zit hem in de toegang tot de email van de gebruikers en niet met het ontvangen van de email. Als de server alleen beschikbaar was doormiddel van een VPN dan moet je eerst een VPN verbinding opzetten voordat je bij de email kan komen en dat was dit inderdaad niet gebeurt.
Het zijn net apen met een gouden ring, het is en blijft een lelijk ding.
En de ellende is dit soort shit overal voorkomt ... ICT is niet hip het is een serieus stuk gereedschap waarbij je de handleiding goed moet lezen en specialisten mee moet laat werken. En die specialisten en de uitvoering dient weer gecontroleerd te worden inclusief een APK configuratie keuring op minstens uur basis.
Deze situatie had wel degelijk voorkomen kunnen worden. Zero day of niet. PUNT
Gebruikers willen natuurlijk dan mail 'automatisch' op hun telefoon binnen komt. Was het niet zo dat Nederlandse parlementsleden vaak hun privé account voor mail gebruikten omdat ze het zo'n 'gedoe' vonden om op de mailserver van het parlement in te loggen?
Dat staat los van het gegeven dat het parlement heel transparant moet werken. Wat dat betreft zou er toch niets aan de hand mogen zijn als iedereen hun mail van deze server kan lezen?
Je zet mailbox servers achter een VPN. Maar geen webmail en SMTP servers.
En wanneer vond die aanval bij de Noren plaats? Als het op de dag was dat de zeroday bekend werd dan is hun verweer dat er niks aan te doen was valide. Maar we zijn inmiddels een week verder. Dat geeft het gevoel dat ze gewoon te traag waren.
Ergo "is afgelegd door d' ambtenaren".
Click en alles moet werken, is het devies, niet hoe of hoe veilig en tegen welke prijs achteraf.
Dus open source (linux) alternatieven blijven op de plank liggen.
Als je al zoveel maal de investering kan terugverdienen blijf je toch bij vendor-lock-in.
Lobby en de beunhazende politici en belangenverstrengelaars.
De verkoper/entrepeneur die begon met MS-DOS moet eerst nog even een wereldbevolking laten 'prikken'.
Van dat experiment komt 20 keer de investering voor hem en zijn eega terug.
Aan mij zal ie het niet verdienen, denk ik zo, maar de aspiraties van de man zijn giga-globaal.
Het gaat direct in uw bloedvaten, zegt hij.
Niet gek gedaan voor een software-verkoper/handelaar.
Sommigen zien hem thans al als de valse vaccin-messias.
We zullen wel zien waar het allemaal toe voert.
Echt rare wereld komen we in te leven.
Nooit gedacht dit nog mee te moeten maken.
Joris Goedbloed
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
