image

Minister: global address list met Outlook-visitekaartjes bij politie gestolen

woensdag 2 oktober 2024, 23:06 door Redactie, 42 reacties

Bij de inbraak op een politieaccount lijkt de global address list met daarin Outlook-visitekaartjes te zijn gestolen, zo heeft minister Van Weel van Justitie en Veiligheid vanavond aan de Tweede Kamer laten weten. De visitekaartjes bevatten namen, e-mailadressen en telefoonnummers en in enkele gevallen ook privégegevens. Ook zijn er e-mailadressen van een aantal ketenpartners buitgemaakt. De betrokken ketenpartners zijn inmiddels op de hoogte gesteld. Nader onderzoek naar het datalek vindt nog plaats.

"Ik kan me voorstellen dat politiemedewerkers zich zorgen maken over de mogelijke gevolgen van de hack. De korpschef en ik nemen de hack bij de politie uiterst serieus. De politie heeft meteen nadat zij is geïnformeerd door de inlichtingendiensten beveiligingsmaatregelen ingezet", aldus Van Weel. Volgens de minister zet de politie samen met nationale (veiligheids)partners alles op alles om politiemedewerkers te beschermen en verdere schade te voorkomen.

De minister stelt verder dat de AIVD en MIVD de politie over het cyberincident hebben geïnformeerd. De inlichtingen- en veiligheidsdiensten denken dat een statelijke actor zeer waarschijnlijk verantwoordelijk is. "De AIVD en MIVD waarschuwen in hun jaarverslagen al langer voor de toename van offensieve cyberactiviteiten van een aantal landen", aldus Van Weel (pdf).

Reacties (42)
02-10-2024, 23:56 door [Account Verwijderd]
In de Telegraaf lees ik:
Justitieminister Van Weel liet woensdag weten dat daarnaast ook gegevens van partners van de politie zoals officieren van justitie, medewerkers van Reclassering en advocaten zijn buitgemaakt.
Dus niet alleen Outlook-visitekaartjes zijn buitgemaakt: de hack blijkt veel groter dan gedacht.
03-10-2024, 00:11 door Anoniem
Door De Magere: In de Telegraaf lees ik:
Justitieminister Van Weel liet woensdag weten dat daarnaast ook gegevens van partners van de politie zoals officieren van justitie, medewerkers van Reclassering en advocaten zijn buitgemaakt.
Dus niet alleen Outlook-visitekaartjes zijn buitgemaakt: de hack blijkt veel groter dan gedacht.

Waarop baseer je deze uitspraak? Ik ken genoeg organisaties waar de contactgegevens van ketenpartners zijn op te zoeken in Outlook. De uitspraak 'de hack blijkt veel groter dan gedacht' is in mijn ogen nergens op gebaseerd. Als ik dat mis heb, dan zie ik graag een onderbouwde reactie die deze uitspraak onderbouwd.
03-10-2024, 03:26 door Anoniem
Door De Magere: In de Telegraaf lees ik:
Justitieminister Van Weel liet woensdag weten dat daarnaast ook gegevens van partners van de politie zoals officieren van justitie, medewerkers van Reclassering en advocaten zijn buitgemaakt.
Dus niet alleen Outlook-visitekaartjes zijn buitgemaakt: de hack blijkt veel groter dan gedacht.

Die kunnen toch ook in Outlook visite kaartjes hebben gestaan?
03-10-2024, 05:38 door Anoniem
Waarschijnlijk waren die als Contactpersoon opgevoerd in de GAL @de magere
03-10-2024, 07:18 door Anoniem
Door De Magere: In de Telegraaf lees ik:
Justitieminister Van Weel liet woensdag weten dat daarnaast ook gegevens van partners van de politie zoals officieren van justitie, medewerkers van Reclassering en advocaten zijn buitgemaakt.
Dus niet alleen Outlook-visitekaartjes zijn buitgemaakt: de hack blijkt veel groter dan gedacht.
Of die stonden ook in de GAL?
03-10-2024, 07:19 door Anoniem
"Ik kan me voorstellen dat politiemedewerkers zich zorgen maken over de mogelijke gevolgen van de hack. De korpschef en ik nemen de hack bij de politie uiterst serieus. De politie heeft meteen nadat zij is geïnformeerd door de inlichtingendiensten beveiligingsmaatregelen ingezet", aldus Van Weel.

Hij vergat er dit keer bij te zeggen: Oh, btw, "Get used to it" ¡
03-10-2024, 07:50 door Anoniem
Het kan toch 1 account zijn met eigen contacten in outlook, dan heb je de gal + eigen contacten te pakken.
03-10-2024, 08:04 door Anoniem
In de GAL van Exchange of Microsoft365 kan je iedereen zetten, dus ook externen waar je veel contact mee hebt, of gasten waarmee je veel samenwerkt, deze laten zich in Outlook ook gewoon als visitekaartje downloaden.
Iedere gebruiker heeft het recht om de GAL in te zien, dus het is niet moeilijk om met een Powershell scriptje deze te downloaden. Hier zijn geen extra rechten voor nodig alleen een MS365 for Office licentie.

Hetgeen te denken zet met zoveel gebruikers, een account is gewoon misbruikt hiervoor. de vraag of een dergelijke instantie gebruik moet maken van gast gebruikers kan je hierbij dus ter discussie zetten. (Ik zou dit niet toelaten).
03-10-2024, 08:16 door notmybackdoorbug
Door De Magere: In de Telegraaf lees ik:
Justitieminister Van Weel liet woensdag weten dat daarnaast ook gegevens van partners van de politie zoals officieren van justitie, medewerkers van Reclassering en advocaten zijn buitgemaakt.
Dus niet alleen Outlook-visitekaartjes zijn buitgemaakt: de hack blijkt veel groter dan gedacht.

Zoals in het artikel aangegeven:
Ook zijn er e-mailadressen van een aantal ketenpartners buitgemaakt.

Dus klopt. Maar kan nog steeds Outlook-visitekaartjes probleem zijn.
03-10-2024, 09:03 door Anoniem
Door De Magere: In de Telegraaf lees ik:
Justitieminister Van Weel liet woensdag weten dat daarnaast ook gegevens van partners van de politie zoals officieren van justitie, medewerkers van Reclassering en advocaten zijn buitgemaakt.
Dus niet alleen Outlook-visitekaartjes zijn buitgemaakt: de hack blijkt veel groter dan gedacht.

Begrijpend lezen is een keuze....
Waarom ga je er vanuit dat dit niet en en kan zijn, dit soort "externen" staan vaak ook "gewoon" in het adresboek.
03-10-2024, 09:14 door Anoniem
De politie kronkelt weer als een paling in een emmer snot over de oorzaak. Ze hebben geen idee.. Nu is het weer ingezet als een "statelijke actor". Eerder was het een gehacked account... Het een sluit het ander niet uit, maar ALS het een statelijke actor was\, heb ik wel wat onduidelijkheden:
1. statelijke actors leveren de data aan de opdrachtgever en geven er verder geen ruchtbaarheid aan.
2. Ik betwijfel het nu van de data voor statelijke actors, tenzij er wel wat meer is buitgemaakt wat WEL interessant is.

Wat nu van vitaal belang gaat zijn voor de hele politie organisatie (en ketenpartners) dat er heel alert gereageerd gaat worden op phishing attempts.
03-10-2024, 09:27 door Anoniem
Dit is gewoon een Outlook365 harvest geweest ten tijde dat Microsoft de boel WEER open had laten staan...
Sinds Exchange open relay, ehm, mail server hebben ze niets van geleerd...

Echt zo'n bullshit-the-dog-ate-my-homework excuus...
Mail hoort niet online bij amerikanen te staan als het veilig moet...
Kun je nog beter kaspersky als antivirus hebben dan microsoft als mail/office-omgeving.
03-10-2024, 09:48 door Anoniem
Je kan toch met een simpele policy de export van de GAL onmogelijk maken?
03-10-2024, 09:50 door Anoniem
Door Anoniem: Het kan toch 1 account zijn met eigen contacten in outlook, dan heb je de gal + eigen contacten te pakken.

Dit is de meest logische verklaring. Iemands account is ge-owned, wat veel makkelijker is dan bij de organisatie inbreken. #&#mb94
03-10-2024, 09:57 door Anoniem
Hij vergat er dit keer bij te zeggen: Oh, btw, "Get used to it" ¡
En vast staat dat alvast een buitenlandse staatshacker was.
Dat hep op NU.nl gestaan.
03-10-2024, 09:58 door Anoniem
Wat mij verbaas is dat een organisatie altijd beweert te weten wat er precies gestolen is.

In de fysieke wereld is dat makkelijk. Als ik thuiskom en zie dat de TV, laptop en mijn dure tennisracket weg zijn weet ik precies wat er gestolen is. Maar in de digitale wereld wordt geen data oontvreemd, maar gekopieerd. Het origineel is er dus nog.

De enige manier om erachter te komen wat er buitgemaakt is is het reverse engineeren van de hack. Maar hoe weet je zeker dat je de hack compleet hebt reverse engineered. Dus het enige wat je kunt zeggen is dat je weet wat er in ieder geval is buitgemaakt. Maar dat betekent niet dat dat alles is wat is buitgemaakt.
03-10-2024, 10:21 door Anoniem
Door Anoniem: Wat mij verbaas is dat een organisatie altijd beweert te weten wat er precies gestolen is.

In de fysieke wereld is dat makkelijk. Als ik thuiskom en zie dat de TV, laptop en mijn dure tennisracket weg zijn weet ik precies wat er gestolen is. Maar in de digitale wereld wordt geen data oontvreemd, maar gekopieerd. Het origineel is er dus nog.

De enige manier om erachter te komen wat er buitgemaakt is is het reverse engineeren van de hack. Maar hoe weet je zeker dat je de hack compleet hebt reverse engineered. Dus het enige wat je kunt zeggen is dat je weet wat er in ieder geval is buitgemaakt. Maar dat betekent niet dat dat alles is wat is buitgemaakt.

Nee dat is niet zo. In de digitale wereld wordt er veel "gelogd".
Bijvoorbeeld iedere keer als jij in je mailprogramma "kees" intikt en hij zoekt dat op in het adresboek en geeft iedereen die "kees" heet terug dan logt de server ergens "hij vroeg naar kees".
Als er nu iemand alle 65000 namen ophaalt dan is er meestal ergens een log (of heel veel logregels) waar dat in staat, compleet met tijdstip, IP adres van de vrager, account waaronder het gebeurd is, etc.

Zo is men er waarschijnlijk ook achter gekomen: er is een analyse gedaan op dat log waardoor er uitkwam dat bepaalde gebruikers wel heel veel namen opvroegen, iets waar "we" zelf om vroegen toen bleek dat bepaalde agenten keken naar veel zaken waar ze zelf niet mee bezig waren.
Daardoor is bekend wat er is opgevraagd. Niet doordat het "weg is".
03-10-2024, 11:25 door Anoniem
Door Anoniem: Wat mij verbaas is dat een organisatie altijd beweert te weten wat er precies gestolen is.

In de fysieke wereld is dat makkelijk. Als ik thuiskom en zie dat de TV, laptop en mijn dure tennisracket weg zijn weet ik precies wat er gestolen is. Maar in de digitale wereld wordt geen data oontvreemd, maar gekopieerd. Het origineel is er dus nog.

De enige manier om erachter te komen wat er buitgemaakt is is het reverse engineeren van de hack. Maar hoe weet je zeker dat je de hack compleet hebt reverse engineered. Dus het enige wat je kunt zeggen is dat je weet wat er in ieder geval is buitgemaakt. Maar dat betekent niet dat dat alles is wat is buitgemaakt.

Digital Forensics mijn vriend. Forensics bestaat overigens ook in de fysieke wereld
Vandaar dat er ook meer verplichtingen komen omtrent logging en auditing.
.
03-10-2024, 11:38 door Anoniem
De hackers hebben niet alleen toegang tot de namen van personen, maar ook van de afdelingen waar ze werken. De inlichtingen- en veiligheidsdiensten waarschuwen al langer voor de toename van cyberaanvallen waarvoor een ‘statelijke actor’ verantwoordelijk is. Gedacht wordt dan aan landen als Rusland, Iran of China. Minister Van Weel noemt geen land.

https://www.parool.nl/amsterdam/politiehack-volgens-inlichtingendiensten-uitgevoerd-door-ander-land-en-is-groter-dan-gedacht~b09ea492/
03-10-2024, 11:45 door Anoniem
get used to it want het zijn de gevolgen van makkelijke keuzes uit het verleden om met O365/exchange en run-of-the-mill ITers je organisatie te ondersteunen.
03-10-2024, 11:52 door Anoniem
Door Anoniem: Wat mij verbaas is dat een organisatie altijd beweert te weten wat er precies gestolen is.

In de fysieke wereld is dat makkelijk. Als ik thuiskom en zie dat de TV, laptop en mijn dure tennisracket weg zijn weet ik precies wat er gestolen is. Maar in de digitale wereld wordt geen data oontvreemd, maar gekopieerd. Het origineel is er dus nog.

De enige manier om erachter te komen wat er buitgemaakt is is het reverse engineeren van de hack. Maar hoe weet je zeker dat je de hack compleet hebt reverse engineered. Dus het enige wat je kunt zeggen is dat je weet wat er in ieder geval is buitgemaakt. Maar dat betekent niet dat dat alles is wat is buitgemaakt.


Dus jij telt je lepels, messen en vorken elke dag? :)
03-10-2024, 12:24 door Anoniem
Door Anoniem: Je kan toch met een simpele policy de export van de GAL onmogelijk maken?

Ja, al zou andersom beter zijn. Standaard nee, mits er een policy "overruled" met een ja...
03-10-2024, 12:41 door Anoniem
Door Anoniem:
Door Anoniem: Wat mij verbaas is dat een organisatie altijd beweert te weten wat er precies gestolen is.

In de fysieke wereld is dat makkelijk. Als ik thuiskom en zie dat de TV, laptop en mijn dure tennisracket weg zijn weet ik precies wat er gestolen is. Maar in de digitale wereld wordt geen data oontvreemd, maar gekopieerd. Het origineel is er dus nog.

De enige manier om erachter te komen wat er buitgemaakt is is het reverse engineeren van de hack. Maar hoe weet je zeker dat je de hack compleet hebt reverse engineered. Dus het enige wat je kunt zeggen is dat je weet wat er in ieder geval is buitgemaakt. Maar dat betekent niet dat dat alles is wat is buitgemaakt.


Dus jij telt je lepels, messen en vorken elke dag? :)

Je vergeet de zoutkorrels.
XD
03-10-2024, 13:01 door Anoniem
Door Anoniem: Dit is gewoon een Outlook365 harvest geweest ten tijde dat Microsoft de boel WEER open had laten staan...
Sinds Exchange open relay, ehm, mail server hebben ze niets van geleerd...

Echt zo'n bullshit-the-dog-ate-my-homework excuus...
Mail hoort niet online bij amerikanen te staan als het veilig moet...
Kun je nog beter kaspersky als antivirus hebben dan microsoft als mail/office-omgeving.
Je bedoelt dat een admin zijn werk niet geeft gedaan, of mocht doen?
03-10-2024, 13:43 door Anoniem
Door Anoniem: get used to it want het zijn de gevolgen van makkelijke keuzes uit het verleden om met O365/exchange en run-of-the-mill ITers je organisatie te ondersteunen.
Kijk daar heb je weer zo'n zolderkamer-specialist!
Volgens jou had de politie inhuis een eigen mail client en server moeten ontwikkelen zeker?
En als daar iets mee mis ging dan had je gepost "waarom nemen ze dan ook niet de standaard Office365 die iedereen gebruikt"???
03-10-2024, 14:05 door linuxpro
Door De Magere: In de Telegraaf lees ik:
Justitieminister Van Weel liet woensdag weten dat daarnaast ook gegevens van partners van de politie zoals officieren van justitie, medewerkers van Reclassering en advocaten zijn buitgemaakt.
Dus niet alleen Outlook-visitekaartjes zijn buitgemaakt: de hack blijkt veel groter dan gedacht.

Denk dat ze daarmee die ketenpartners bedoelen. Onderdeel dus van het globale adresboek.
03-10-2024, 17:41 door Anoniem
Ook bij het Openbaar Ministerie is onrust ontstaan over de grote datadiefstal bij de politie. Bij de hack blijkt ook een onbekend aantal gegevens van officieren van justitie gestolen, net als van 300 rechtbankmedewerkers. Een deel van de medewerkers van het OM heeft ook een mailadres van de politie, omdat ze bijvoorbeeld op een politiebureau werken.

https://nos.nl/artikel/2539487-ook-onrust-bij-medewerkers-om-om-politiehack
03-10-2024, 18:40 door Anoniem
Door Anoniem: Wat mij verbaas is dat een organisatie altijd beweert te weten wat er precies gestolen is.
In veel gevallen (audit logging) kun je je er van verzekeren dat bepaalde data benaderd is. Maar andersom kun je als je geen logging hebt die toont dat bepaalde data benaderd is, nooit met zekerheid zeggen dat die data niet benaderd is.

Er wordt dan ook niet beweerd dat ze precies weten wat er gestolen is. Ze zeggen te weten wat er minimaal gestolen is, maar niet dat er niets meer dan dat gestolen is. Dat laatste is nodig om het precies te maken.

Als je ziet dat het gecompromiteerde account heel de GAL heeft opgevraagd (dat kan als dat gelogd wordt), dan weet je dat die data gestolen is. Heeft de hacker meer data buitgemaakt? Wellicht, maar minimaal is de GAL binnengehengeld.
03-10-2024, 19:30 door Anoniem
Door Anoniem:
Door Anoniem: get used to it want het zijn de gevolgen van makkelijke keuzes uit het verleden om met O365/exchange en run-of-the-mill ITers je organisatie te ondersteunen.
Kijk daar heb je weer zo'n zolderkamer-specialist!
Volgens jou had de politie inhuis een eigen mail client en server moeten ontwikkelen zeker?
En als daar iets mee mis ging dan had je gepost "waarom nemen ze dan ook niet de standaard Office365 die iedereen gebruikt"???


https://www.geenstijl.nl/5178938/politie-hack-kwam-door-foutje-vrijwilliger-hackers-zijn-russisch

https://nos.nl/artikel/2539487-ook-onrust-bij-medewerkers-openbaar-ministerie-om-politiehack

genant hoor!
03-10-2024, 21:00 door Anoniem
Aan alle security-experts hier. Hoe is dit te voorkomen? En dan bedoel ik niet alle poortjes dicht houden want dat is onmogelijk met zo’n grote organisatie. Dat een van de gebruikers gehackt gaat worden is een feit.

Hoe kun je al organisatie werken zonder GAL? En accepteert Microsoft dit überhaupt of loopt je dan tegen allerlei problemen aan? (volgens mij linkt MS een heleboel aan de GAL)
03-10-2024, 22:14 door Anoniem
Door Anoniem: "Ik kan me voorstellen dat politiemedewerkers zich zorgen maken over de mogelijke gevolgen van de hack. De korpschef en ik nemen de hack bij de politie uiterst serieus. De politie heeft meteen nadat zij is geïnformeerd door de inlichtingendiensten beveiligingsmaatregelen ingezet", aldus Van Weel.

Hij vergat er dit keer bij te zeggen: Oh, btw, "Get used to it" ¡
Inderdaad.....
https://www.bitsoffreedom.nl/2020/11/19/ict-systemen-politie-niet-op-orde-iedereen-de-dupe/
03-10-2024, 22:18 door Anoniem
Door Anoniem: Aan alle security-experts hier. Hoe is dit te voorkomen? En dan bedoel ik niet alle poortjes dicht houden want dat is onmogelijk met zo’n grote organisatie. Dat een van de gebruikers gehackt gaat worden is een feit.

Hoe kun je al organisatie werken zonder GAL? En accepteert Microsoft dit überhaupt of loopt je dan tegen allerlei problemen aan? (volgens mij linkt MS een heleboel aan de GAL)

Niet. Je kan proberen e.e.a. te monitoren, maar een aanvaller die het een beetje handig aanpakt, kan wel onder de radar blijven. Deze hack vind ik persoonlijk niet eens zo heel schokkend. De gestolen gegevens zijn semi-openbare gegevens, elke medewerker van de poltie (>60.000) heeft daar toegang toe.
04-10-2024, 00:54 door burne101
Door Anoniem: Aan alle security-experts hier. Hoe is dit te voorkomen? En dan bedoel ik niet alle poortjes dicht houden want dat is onmogelijk met zo’n grote organisatie. Dat een van de gebruikers gehackt gaat worden is een feit.

Het heet 'defense in depth' en het is geen enkele oplossing, maar een hele verzameling. Zoals: iemand die inlogt via OWA (een externe) mag enkel bij z'n directe collega's en mag geen links in email openen. Iemand die op een bureau zit, en dus een beheerde computer heeft, waarvan je weet dat alle relevante patches geïnstalleerd zijn, mag meer. Die mag bij voor hem relevante informatie van z'n lokale omgeving en misschien van de regio, en die mag 'veilige' links openen. Volledige toegang tot alle collega's heeft niemand, zelfs de landelijke korpschef niet. Dat heeft 'ie niet nodig. Mocht je om een of andere reden ooit een email aan alle politieagenten willen sturen, dan maak je daar een procedure voor waarbij een techneut (de CIO), een mensenmanager (directeur HRM) en de grote baas himself (CEO) toestemming moeten geven.

Ja, dat is complex, en dat is veel werk. Maar, daar worden we voor betaald: complexe problemen oplossen.

Wij kunnen het. Ik vind dat het IT InfraBedrijf van de politie dat ook moet kunnen. En het is teleurstellend dat nu blijkt dat ze het niet goed gedaan hebben. Van de andere kant: Office365 en Azure maken het je heel makkelijk om iets werkend te krijgen, en heel moeilijk om iets op de juiste manier werkend te krijgen.

Het IT InfraBedrijf verdient een pak slaag, maar hun management verdient meer straf omdat ze onvoldoende toezicht hielden en niet duidelijk hebben gemaakt dat gelaagde toegang cruciaal is voor een organisatie als de politie. Een PV van Team Kerkrade heeft vrijwel nooit het telefoonnummer van de hondenbegeleider van Vlieland nodig. Het is meer dan onzin om ze de mogelijkheid te geven: het is een veiligheidsrisico. En dat is nu aangetoond.

Het is maar goed dat je informatie van het internet kunt verwijderen.

(Mocht je de grap niet snappen: zoek maar naar het 'Streisand effect'..)
04-10-2024, 08:09 door Anoniem
Door burne101:
Door Anoniem: Aan alle security-experts hier. Hoe is dit te voorkomen? En dan bedoel ik niet alle poortjes dicht houden want dat is onmogelijk met zo’n grote organisatie. Dat een van de gebruikers gehackt gaat worden is een feit.

Het heet 'defense in depth' en het is geen enkele oplossing, maar een hele verzameling. Zoals: iemand die inlogt via OWA (een externe) mag enkel bij z'n directe collega's en mag geen links in email openen. Iemand die op een bureau zit, en dus een beheerde computer heeft, waarvan je weet dat alle relevante patches geïnstalleerd zijn, mag meer. Die mag bij voor hem relevante informatie van z'n lokale omgeving en misschien van de regio, en die mag 'veilige' links openen. Volledige toegang tot alle collega's heeft niemand, zelfs de landelijke korpschef niet. Dat heeft 'ie niet nodig. Mocht je om een of andere reden ooit een email aan alle politieagenten willen sturen, dan maak je daar een procedure voor waarbij een techneut (de CIO), een mensenmanager (directeur HRM) en de grote baas himself (CEO) toestemming moeten geven.

Ja, dat is complex, en dat is veel werk. Maar, daar worden we voor betaald: complexe problemen oplossen.

Het schept wel een ander probleem: de interne transparantie in je organisatie is dan grotendeels weg. Dit zal onherroepelijk tot meer corruptie leiden.
04-10-2024, 09:21 door Anoniem
Door Anoniem: Aan alle security-experts hier. Hoe is dit te voorkomen? En dan bedoel ik niet alle poortjes dicht houden want dat is onmogelijk met zo’n grote organisatie. Dat een van de gebruikers gehackt gaat worden is een feit.

Hoe kun je al organisatie werken zonder GAL? En accepteert Microsoft dit überhaupt of loopt je dan tegen allerlei problemen aan? (volgens mij linkt MS een heleboel aan de GAL)

De Politie werkt immers met M365 en ze hebben naar mijn weten een E5 licentie. Zoals een hierbovenstaande 'collega' als schrijft dat Microsoft bedrijven met M365 out of the box het heel gemakkelijk maakt om ermee aan de slag te kunnen en dat geldt eigenlijk ook voor de beveiliging. Door de E5 licentie wordt een enorm potentieel aan extra beveiligingsmaatregelen ontsloten om dit soort zaken te kunnen voorkomen. Via een conditional acces rule kun je een hele hoop dichtzetten, zoals het downloaden, kopieren, printen van bestanden maar ook dat mensen via hun eigen Outlook client hun zakelijk M365 kunnen toevoegen en zo dus de zakelijke e-mail maar ook de GAL kunnen sponzen. Je kunt via conditonal acces heel finegrained je beveiliging opzetten. Maar om gegevens binnen boord te houden heb je ook nog een shitload aan mogelijkheden zoals o.a. DLP en fileprotection, om er maar een paar te noemen.
Een beetje IT afdeling zou samen met een beetje security officer de beveiliging van M365 binnen een week, vanaf scratch volledig veilig op kunnen zetten. Je kunt zelfs complete phishing campagnes zelf uitvoeren om medewerkers tegen phishing te trainen. Binnen M365 zitten zoveel mogelijkheden om de boel veilig te houden dat ik niet helemaal snap waarom uitgerekend een organisatie als de Politie hier niet maximaal op heeft ingezet. In een ander bedrijf krijg je als security een hoop gezeik als mensen niet meer via hun lokaal geinstallerde Teams op hun eigen niet beheerde pc meer kunnen werken vanwege een conditional acces policy. Daar moet je dan mee dealen en je loopt de kans dat de directie zal zeggen dat dit toch moet kunnen. Echter bij een organisatie als de Politie zou security hoog op de lijst moeten staan en dienen gebruikers op de voorgeschreven wijze te werken of anders niet.
De CISO bij de Politie zou de bezem door het beveiligingsteam heen moeten halen want die hebben flink liggen snurken.
04-10-2024, 09:24 door Anoniem
Door burne101:
Door Anoniem: Aan alle security-experts hier. Hoe is dit te voorkomen? En dan bedoel ik niet alle poortjes dicht houden want dat is onmogelijk met zo’n grote organisatie. Dat een van de gebruikers gehackt gaat worden is een feit.

Het heet 'defense in depth' en het is geen enkele oplossing, maar een hele verzameling. Zoals: iemand die inlogt via OWA (een externe) mag enkel bij z'n directe collega's en mag geen links in email openen. Iemand die op een bureau zit, en dus een beheerde computer heeft, waarvan je weet dat alle relevante patches geïnstalleerd zijn, mag meer. Die mag bij voor hem relevante informatie van z'n lokale omgeving en misschien van de regio, en die mag 'veilige' links openen. Volledige toegang tot alle collega's heeft niemand, zelfs de landelijke korpschef niet. Dat heeft 'ie niet nodig. Mocht je om een of andere reden ooit een email aan alle politieagenten willen sturen, dan maak je daar een procedure voor waarbij een techneut (de CIO), een mensenmanager (directeur HRM) en de grote baas himself (CEO) toestemming moeten geven.

Ja, dat is complex, en dat is veel werk. Maar, daar worden we voor betaald: complexe problemen oplossen.

Wij kunnen het. Ik vind dat het IT InfraBedrijf van de politie dat ook moet kunnen. En het is teleurstellend dat nu blijkt dat ze het niet goed gedaan hebben. Van de andere kant: Office365 en Azure maken het je heel makkelijk om iets werkend te krijgen, en heel moeilijk om iets op de juiste manier werkend te krijgen.

Het IT InfraBedrijf verdient een pak slaag, maar hun management verdient meer straf omdat ze onvoldoende toezicht hielden en niet duidelijk hebben gemaakt dat gelaagde toegang cruciaal is voor een organisatie als de politie. Een PV van Team Kerkrade heeft vrijwel nooit het telefoonnummer van de hondenbegeleider van Vlieland nodig. Het is meer dan onzin om ze de mogelijkheid te geven: het is een veiligheidsrisico. En dat is nu aangetoond.

Het is maar goed dat je informatie van het internet kunt verwijderen.

(Mocht je de grap niet snappen: zoek maar naar het 'Streisand effect'..)

samengevat dus:

"get used to it want het zijn de gevolgen van makkelijke keuzes uit het verleden om met O365/exchange en run-of-the-mill ITers je organisatie te ondersteunen."
04-10-2024, 11:41 door Anoniem
Door burne101:
Door Anoniem: Aan alle security-experts hier. Hoe is dit te voorkomen? En dan bedoel ik niet alle poortjes dicht houden want dat is onmogelijk met zo’n grote organisatie. Dat een van de gebruikers gehackt gaat worden is een feit.

Ja, dat is complex, en dat is veel werk. Maar, daar worden we voor betaald: complexe problemen oplossen.

Het wordt pas complex als je te maken hebt met een systeem wat niet is ontworpen met security in mind. Dus kappen met die MS oplossingen. Nu zijn is het een AD directory, binnenkort is het ransomware.
Het zou trouwens kunnen zijn dat ze tot AD hebben kunnen doordringen en de hele directory hebben kunnen exporteren omdat de politie de adressen wel degelijk heeft gesegmenteerd. Voor een statelijke actor zou ransomware uitrollen veel effectiever zijn geweest om onrust te zaaien. Misschien moest dat nog komen en wisten ze nog niet dat het was ontdekt door goeie monitoring. We weten het niet en ik denk dat we ook niet alles gaan horen. Ik ken de methode van doen alsof je transparant bent maar in werkelijkheid wordt dat gebruikt oom te manipuleren.
04-10-2024, 11:54 door Anoniem
Door Anoniem:
Door Anoniem: Aan alle security-experts hier. Hoe is dit te voorkomen? En dan bedoel ik niet alle poortjes dicht houden want dat is onmogelijk met zo’n grote organisatie. Dat een van de gebruikers gehackt gaat worden is een feit.

Hoe kun je al organisatie werken zonder GAL? En accepteert Microsoft dit überhaupt of loopt je dan tegen allerlei problemen aan? (volgens mij linkt MS een heleboel aan de GAL)

De Politie werkt immers met M365 en ze hebben naar mijn weten een E5 licentie. Zoals een hierbovenstaande 'collega' als schrijft dat Microsoft bedrijven met M365 out of the box het heel gemakkelijk maakt om ermee aan de slag te kunnen en dat geldt eigenlijk ook voor de beveiliging. Door de E5 licentie wordt een enorm potentieel aan extra beveiligingsmaatregelen ontsloten om dit soort zaken te kunnen voorkomen. Via een conditional acces rule kun je een hele hoop dichtzetten, zoals het downloaden, kopieren, printen van bestanden maar ook dat mensen via hun eigen Outlook client hun zakelijk M365 kunnen toevoegen en zo dus de zakelijke e-mail maar ook de GAL kunnen sponzen. Je kunt via conditonal acces heel finegrained je beveiliging opzetten. Maar om gegevens binnen boord te houden heb je ook nog een shitload aan mogelijkheden zoals o.a. DLP en fileprotection, om er maar een paar te noemen.
Een beetje IT afdeling zou samen met een beetje security officer de beveiliging van M365 binnen een week, vanaf scratch volledig veilig op kunnen zetten. Je kunt zelfs complete phishing campagnes zelf uitvoeren om medewerkers tegen phishing te trainen. Binnen M365 zitten zoveel mogelijkheden om de boel veilig te houden dat ik niet helemaal snap waarom uitgerekend een organisatie als de Politie hier niet maximaal op heeft ingezet. In een ander bedrijf krijg je als security een hoop gezeik als mensen niet meer via hun lokaal geinstallerde Teams op hun eigen niet beheerde pc meer kunnen werken vanwege een conditional acces policy. Daar moet je dan mee dealen en je loopt de kans dat de directie zal zeggen dat dit toch moet kunnen. Echter bij een organisatie als de Politie zou security hoog op de lijst moeten staan en dienen gebruikers op de voorgeschreven wijze te werken of anders niet.
De CISO bij de Politie zou de bezem door het beveiligingsteam heen moeten halen want die hebben flink liggen snurken.
Het zal allemaal wel maar bovenaf een applicatie dichtzetten helpt niet als de onderste laag (windows) zo lek is al een zeef. Wie heeft hier zitten slapen dan? Waarom moet een medewerker getrained worden om een link wel of niet te moeten openen? Heb je wel eens bedacht dat dit op een ander besturingssysteem vrijwel geen enkel probleem is met al die digibeten (android) of helemaal niet (Linux desktop). Een intrinsiek onveilg systeem coûte que coûte in de lucht houden dat is alleen slim en goed voor de portemonnee van de aandeelhouders.
04-10-2024, 12:00 door Anoniem
De politie is wat ICT betreft al decennia eigenwijs met hun trage nietwerkende citrix servers. Wat ik niet begrijp is dat, als je het geen enkel probleem vindt om van een Amerikaanse multinational afhankelijk te zijn, ze niet voor Google Workspace gaan dan want deze software heeft veel en veel minder security issues en is niet gevoeilig voor windows ransomware, en andere ransomware blijkt er maar niet op te kunnen komen.
04-10-2024, 16:34 door Anoniem
Door Anoniem: De politie is wat ICT betreft al decennia eigenwijs met hun trage nietwerkende citrix servers. Wat ik niet begrijp is dat, als je het geen enkel probleem vindt om van een Amerikaanse multinational afhankelijk te zijn, ze niet voor Google Workspace gaan dan want deze software heeft veel en veel minder security issues en is niet gevoeilig voor windows ransomware, en andere ransomware blijkt er maar niet op te kunnen komen.
Spoiler alert. Google is ook een Amerikaanse multinational.
05-10-2024, 12:54 door Anoniem
Door Anoniem:
Door Anoniem: De politie is wat ICT betreft al decennia eigenwijs met hun trage nietwerkende citrix servers. Wat ik niet begrijp is dat, als je het geen enkel probleem vindt om van een Amerikaanse multinational afhankelijk te zijn, ze niet voor Google Workspace gaan dan want deze software heeft veel en veel minder security issues en is niet gevoeilig voor windows ransomware, en andere ransomware blijkt er maar niet op te kunnen komen.
Spoiler alert. Google is ook een Amerikaanse multinational.
Dat wist hij ook als u goed had gelezen: "als je het geen enkel probleem vindt om van een Amerikaanse multinational afhankelijk te zijn"
07-10-2024, 12:27 door Anoniem
Ik vind het vervelend te leven in een land waarin zulke onkunde niet wordt gedeporteerd.

Technisch is het niet eens een uitdaging om een veilige omgeving voor de politie te creëren. Het kost wat tijd en geld, maar door blijven modderen, kost veel meer.

De IT-afdeling van de politie zou voor het volledige land niet groter hoeven te zijn dan vijf man als je alles goed organiseert. Ik verwacht dat het veel groter is. Ik tel dan onderzoeksafdelingen niet mee.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.