De gemeenten Borssele, Den Bosch, Venlo en Weert ondervinden hinder van een computervirus dat niet door de virusscanners werd ontdekt. Computable vroeg zijn security-experts hoe systeembeheerders een besmetting moeten aanpakken en wat zij hadden kunnen doen om problemen te voorkomen.
Erik Kruijswijk (Inter Access)
Oplossen: Om het probleem te tackelen moet je zorgen dat het gebruikte antivirus-programma zo snel mogelijk wordt geüpdatet met de laatste definities en de hele infrastructuur wordt gescand. Om de getroffen Word- en Excel-bestanden terug te halen is een tool uitgebracht door Surfright.
Voorkomen: scan ook op spy- en malware. Gebruik een zogeheten HIPS (Host Based Intrusion Prevention System) om te waarschuwen bij abnormaal gedrag om de impact van een trojan te verkleinen. Voer updates van antivirus en HIPS stipt uit. Denk ook aan updates van andere software op de computer zoals Java, Adobe (denk aan de verspreiding van het Ukash-virus via een brakke Java RTE onlangs). Fox-IT raadt systeembeheerders aan om de ip-adressen 184.82.162.163 en 184.22.103.202 te blokkeren, om te voorkomen dat de malware wordt binnengehaald.
Erik Remmelzwaal (Medusoft)
Oplossen: Totdat de infectie volledig opgeruimd is een aantal regels instellen om gedrag van de malware te blokkeren en verder infectie voorkomen:
a. Connecties naar ip-adressen 184.82.162.163, 184.22.103.202 en 76.191.104.39 blokkeren en monitoren en elke pc die daarmee verbindt direct van het netwerk halen. Deze is geïnfecteerd met Citadel, een Zbot/Zeus variant.
b. Uitvoeren van .scr bestanden en het aanmaken van nieuwe .exe files voorkomen.
Herstellen van de geïnfecteerde office-documenten door een volledige scan op alle systemen. Bijvoorbeeld de extra.dat van McAfee of anders de tool van Hitmanpro.
Netwerkconnectiviteit monitoren om ander gedrag van Citadel te herkennen. Er waart ook bij sommige gemeentes een component genaamd Sasfis rond en die stuurt e-mails uit. Daarop zou ook moeten worden gemonitord.
Voorkomen: Connectiviteit naar het internet beter reguleren. Zorg dat een applicatie als Citadel niet het internet op kan of niet naar ip-adressen die een slechte reputatie hebben
Gebruikers beter opleiden om bedenkelijke attachments of urls in e-mails te herkennen en te voorkomen dat deze worden gestart.
En in algemene zin: software up-to-date houden, nadenken over de beveiliging van endpoints, want anti-virus alleen is niet meer voldoende.
Set van der Meer (Sophos)
Oplossen: Het virus maakt gebruik van een botnet dus dat betekent dat diegene die geïnfecteerd zijn al eerder geïnfecteerd zijn met malware. Sophos heeft in 2008 deze malware gedetecteerd. Systeembeheerders die werken met een antivirusfabrikant die nog geen oplossing hebben, kunnen het beste een aantal ip-adressen blokkeren op de firewall om nieuwe besmettingen te voorkomen: 184.82.162.163 en 184.22.103.202.
Voorkomen: Zorg dat je een goede oplossing op je gateway hebt staan die niet alleen fungeert als firewall en intrusion prevention system maar ook het web en de e-mail scant voor de gebruikers. Daarnaast is het belangrijk om de medewerkers op de hoogte te stellen van het gevaar dat internet met zich mee brengt voor een organisatie. Educatie en beleid zijn daarom van essentieel belang naast de juiste beveiligingen oplossingen.
Jeroen van Dongen (LBVD Informatiebeveiligers)
Oplossen: blokkeer bij voorkeur alle netwerkverkeer tussen Internet en potentieel besmette systemen (werkstations). Als dat niet haalbaar is, blokkeer dan tenminste de adressen 184.82.162.163 en 184.22.103.202. Scan alle systemen met een (zeer) recent bijgewerkte virusscanner (Kapersky, McAfee). Her-installeer besmette systemen vanaf een schone installatiebron. Herstel versleutelde bestanden met de 'dorifel decryptor' van SurfRight. Pas er daarbij voor op dat tijdens de herstel actie geen besmette office bestanden worden geopend, voer de ontsmetting bij voorkeur in de avonduren uit als er geen gebruikers actief zijn.
Voorkomen: Om dergelijke zaken te voorkomen zijn de volgende maatregelen aan te bevelen:
– up-to-date software gebruiken (OS, webbrowser – XP met IE6 kan echt niet meer …)
– up-to-date houden van systemen ten aanzien van veiligheidsupdates
– gebruik van een up-to-date virusscanner
– gebruik van een goed spam filter (veel 'malware mail' voldoet ook prima aan de criteria voor 'spam')
– flash en java browser plug-ins van systemen verwijderen tenzij ze echt noodzakelijk zijn en dan liefst op een apart systeem (bij 'drive-by' besmettingen wordt veel gebruik gemaakt van lekken in deze plugins en je kunt tegenwoordig vaak goed zonder)
– besteed aandacht aan het kennisniveau van je gebruikers, sommige malware maakt zich bekend in de vorm van pop-ups of raar systeem gedrag. Ook vereisen diverse malware besmettingen een of andere handeling van een gebruiker, bijvoorbeeld het openen van een attachement. Zorg dat je gebruikers de mogelijk symptomen herkennen en aan de bel trekken.
Als het er echt om spant is een radicalere, maar wel effectievere maatregel, om werkstations geen rechtstreekse toegang tot het Internet te geven maar gebruik te maken van virtuele internet pc's.
Frank Mulder (Panda Security Nederland)
Oplossen: Wat systeembeheerders nu zouden moeten doen is wat inmiddels overal op internet al wordt aangegeven; rechten beperken, systemen opschonen en backups terugzetten of de versleutelde bestanden ontcijferen met de reeds beschikbare tools.
Voorkomen: Men moet leren van deze infectie en kijken hoe deze te voorkomen was. Men moet aanvullende maatregelen nemen en niet alleen vertrouwen op de geinstalleerd antivirus oplossing. Een virusscanner alleen is namelijk niet voldoende.
Ik leg vaak de parallel met een sprinklerinstallatie. Het hebben van een dergelijke installatie alleen voorkomt geen brand. Hier heeft men aanvullende beveiligingen (zoals brandblussers), procedures en een gezond menselijk verstand (je gaat binnen niet met vuur spelen) nodig.
Dit zouden bedrijven ook moeten hebben voor hun computerbeveiliging. Kort gezegd stellen wij dat men 4 procedures nodig heeft; voorkoming van malware, omgaan met malware-meldingen, omgaan met malware infecties en evaluatie van malware infecties. Zo zijn procedures voor omgang met malware-meldingen en malware-infecties een soort van rampenplan, je weet daarmee wat je moet doen op het moment dat er een malware-melding of infectie is. Dergelijke procedures zijn per bedrijf verschillend. Bij kleinere bedrijven kun je bijvoorbeeld makkelijker een netwerk platleggen dan bij grotere bedrijven in geval van een mogelijke netwerk infectie. Hiermee kun je de schade aanzienlijk beperken.
Bastiaan Schoonhoven (Motiv)
Oplossen: Er is een belangrijke tijdelijke maatregel voor dit specifieke Sasfis-virus. Analisten hebben geconstateerd dat geïnfecteerde personal computers updates verkrijgen via ip-adres 184.82.162.163 via internet. Om de schade van dit specifieke virus te voorkomen kan op de centrale firewall al het verkeer vanaf dit ip-adres worden geblokkeerd. In de logging van een inbraakdetectie- of firewallsysteem kunt u zelf vaststellen of er communicatie is met dit specifieke ip-adres. Zo ja, isoleer de besmette pc's op het intern netwerk en neem dan direct aanvullende maatregelen zoals ook gemeente Weert, Borssele en Den Bosch hebben gedaan.
Voorkomen: Laat periodiek een controle uitvoeren om te valideren of alle antivirus-updates ook daadwerkelijk worden geïnstalleerd in de virusscanners op de personal computer, server en gateway. Gezien de berichtgeving van meerdere gemeentes is vandaag een mooi moment. Deze controles kunnen ook weer wordt geautomatiseerd met behulp van managementsoftware.
• Vertrouw niet op één virusscanner, maar op meerdere viruscanners. Motiv adviseert om de virusscanner op de gateway, voor e-mail en veilig websurfen, van een andere fabrikant in te zetten dan de virusscanner op het interne netwerk.
• Vertrouw niet alleen op een virusscanner voor de bescherming tegen malware zoals het trojaanse paard Sasfis. Zeker op de gateway zijn er moderne filters die niet met traditionele virusscanners werken. Voorbeelden zijn filters op basis van reputatie van de afzender en tijdelijke filters op basis van verdachte karakteristieken. Zo biedt een aanbieder drie filters voor virusprotectie binnen de e-mail: (1) traditionele virusscanner (2) reputatiefilter en (3) virus outbreak filter.
• En last but not least: zorg voor bewustzijn bij medewerkers. Open geen berichten van onbekende afzenders en open zeker geen bijlagen in berichten met verdachte omschrijvingen. Zorg voor continue aandacht door middel van webtrainingen en posters.
Steven Vlastra (Blue Coat Systems Benelux)
Oplossen: Om na te gaan hoe de organisatie getroffen kon worden, is het goed om te beginnen met het uitpluizen van logfiles van proxy en/of firewall systemen. Hierin kan vrij gemakkelijk terug te herleiden zijn welke clients in het netwerk verbonden waren met dit bot-netwerk. De betreffende IP adressen zijn reeds vernoemd in een uitvoerig document opgesteld door de firma Fox-IT. Wat hierin niet vermeld wordt zijn de betreffende URL domeinen die daarop gehost werden, te weten:
– reslove-dns .com
– windows-update-server .com
– wesaf341 .org
– 10ba .com
– wsef32asd1 .org
Voorkomen: het antwoord ligt vaak opgesloten in een meerlaagssecurityarchitectuur aan de internetgateway. Alleen een anti-virusengine is niet meer afdoende en geeft te weinig inzicht. Per slot van rekening zijn anti-virusengines zo goed als hun laatste update en dus per definitie re-actief.
Om ook pro-actief bescherming te bieden is het aan te raden de Internet beveiliging uit te breiden met bijvoorbeeld de WebPulse-techniek. Deze techniek bestaat enerzijds uit een database van url-categorieën waarin url's een desbetreffende rating mee krijgen. In het geval van de Sasfis trojan heeft er al een week eerder dan de aanval een wijziging plaats gevonden in het aanpassen van de categorie van de desbetreffende hosts, te weten: Suspicious and MalwareOutboundData/Botnet. Dit was de eerste waarschuwing om alert te worden.
Het tweede gedeelte van de WebPulse-techniek bevat analyse methoden om de daadwerkelijke payload van de URL te scannen. Zo werd de file 'a.exe' actief gebracht op 7 augustus om 10:40 uur. Deze file werd na afronding van de scan (17 minuten later) aangemerkt als schadelijk en doorgegeven aan de url-database.
Zo gold dit ook voor de file 'hermes.exe' die op een tweede host te vinden was. Ook hier heeft de analyse van WebPulse er voor gezorgd dat in iets minder dan een uur de geïnfecteerde file geblokkeerd werd. Door pro-actieve technieken als WebPulse in te zetten, had dit voor de getroffen organisaties waarschijnlijk een hoop ellende en kosten bespaard.
Jelle Niemantsverdriet (Deloitte)
Wat dit verhaal in het algemeen wat mij betreft wederom duidelijk maakt, is de noodzaak van goede voorbereiding op incidenten. Los van alle technische of 'user awareness' maatregelen, kan een incident als dit nu eenmaal altijd voorkomen. Een goed en getraind incident-response team is essentieel om in dit soort situaties snel en slagvaardig te kunnen optreden. Het is belangrijk om dit niet alleen als een ict- of securityprobleem te benaderen maar juist als een multi-disciplinair probleem; bijvoorbeeld wie heeft de beslissingsbevoegdheid om systemen uit te schakelen of hoe ga je om met communicatie naar klanten of de pers (zoals ook in dit geval duidelijk werd, kan zelfs een ict-storing gelijktijdig met een grote malware-uitbraak direct tot speculaties leiden – dus zelfs als je als bedrijf niet besmet bent, zul je misschien toch hierover moeten communiceren). Ook het opbouwen van goede contacten met bedrijven in dezelfde branche en overheidsdiensten zoals NCSC hoort tot deze voorbereiding, evenals het (contractueel) vastleggen van responstijden met leveranciers of outsourcing-providers.
Oplossen: De malware probeert de geinfecteerde systemen bij een botnet te voegen, onder meer door contact met Command & Control (C&C) servers. Door de communicatie met het internet te beperken en vooral te monitoren kan de malware geblokkeerd en gedetecteerd worden. Zo kunnen nieuw geïnfecteerde systemen geïdentificeerd worden en kunnen de bots niet langer bij het botnet komen (en nieuwe malware ophalen).
– De malware was bij de eerste infecties nog 'nieuw' in de zin van dat deze nog niet door anti-virusoplossingen herkend werd. Inmiddels hebben de meeste leveranciers hun definities aangepast, dus beheerders doen er verstandig aan om hun definities bij te werken. Mochten definities nog niet beschikbaar zijn, dan zou contact met de leverancier opgenomen moeten worden om meer informatie te krijgen over wanneer een nieuwe definitie beschikbaar komt. Eventueel kan de leverancier vragen om een 'sample' van de malware op te sturen, maar ik zou verwachten dat dat op dit moment niet meer nodig is. Een aantal van de leveranciers leveren inmiddels ook software om de versleutelde bestanden weer te ontsleutelen.
– Een ander meer algemeen aspect dat bij dit soort problemen voor het voetlicht komt, is de noodzaak van goede backups – en daarmee ook de capaciteit om daadwerkelijk data te restoren en indien nodig ook het backup proces te onderbreken (immers, in een kleine omgeving met bijvoorbeeld een backup die niet langer dan een paar dagen bewaard wordt, wil je niet het risico lopen dat je na een paar dagen slechts door het virus versleutelde bestanden in je backup hebt staan…). Wat betreft restoren: het gebeurt geregeld dat de restore van een backup nooit getest is, of dat het bijvoorbeeld alleen mogelijk is complete systemen te restoren in plaats van losse bestanden. Dit valt weer samen met het voorbereid zijn op incidenten: het testen van dergelijke situaties zou zeker in zo'n test worden meegenomen.
– Een collega merkte nog op dat de timing van de uitbraak in de vakantieperiode zowel positief als negatief kan uitpakken: aan de ene kant zijn mogelijk minder mensen op de ict- en Security afdelingen aan het werk en kan dit de oplossingstijd beïnvloeden; aan de andere kant zijn natuurlijk ook in het algemeen minder werknemers aanwezig en zal de malware zich daardoor mogelijk iets minder snel verspreiden.
Voorkomen: Wat betreft voorkomen van dergelijke problemen in de toekomst, is er helaas geen magische oplossing die elke malware-uitbraak voorkomt. Een aantal dingen die overwogen kunnen worden, is het toepassen van monitoring van het netwerkverkeer – eventueel in combinatie met 'threat-intelligence'. In zo'n geval zouden de command & controlsystemen bijvoorbeeld al na de eerste detectie geblokkeerd kunnen worden, als de IP-adressen via het delen van intelligence informatie bekend zijn. Ook via andere methoden proberen na te gaan waar afwijkend gedrag plaatsvindt (bijvoorbeeld netwerkverkeer met een land waar geen zaken mee gedaan worden, grote datatransfers of verkeer op een vreemd tijdstip) kunnen indicaties voor nader onderzoek zijn.
Juist in dit geval lijkt het virus verspreid te zijn via een al aanwezige besmetting – betere monitoring en detectiecapaciteiten zouden dit veel eerder aan het licht gebracht kunnen hebben.
Segmentering van het netwerk kan in ieder geval helpen om een eventuele uitbraak in te perken en te zorgen dat niet het hele netwerk getroffen wordt.
Een andere maatregel is uiteraard de 'user awareness' – met name wat betreft zaken als het openen van bijlagen maar ook bijvoorbeeld het melden van 'vreemde' dingen; het zou niet de eerste keer zijn dat een oplettende gebruiker aan de security afdeling meldt dat er iets vreemds aan de hand is. In alle gevallen is het zaak om een passende set maatregelen te nemen en niet zomaar een setje 'best-practices' uit te voeren – elk bedrijf heeft nu eenmaal andere eisen en het domweg opleggen van niet passende maatregelen leidt waarschijnlijk eerder tot verslechtering van de security dan tot verbetering.
Nienke Ryan (SpicyLemon)
Een bedrijf met een correct security beleid kan een uitbraak zoals deze tacklen of vroegtijdig detecteren waardoor de schade beperkt kan blijven. Denk hier bij aan scherpe monitoring van de beveiligingsoplossingen, de daarbij behorende kennis om hier een correcte reactie op uit te voeren. Vaak is een virusscanner op de werkstations alleen niet meer afdoende, en moet er ook gekeken worden naar proactieve gatewayoplossingen en intelligentie firewalls(Unified Threat Management oplossingen). Wanneer een bedreiging de rand van het bedrijfsnetwerk bereikt zal dit kunnen worden tegengehouden voordat er enige schade is aangericht op de achterliggende systemen. Met een goed monitoringssysteem worden de security officers hiervan direct op de hoogte gesteld en tacklen zij de aanval in kwestie.
Voor zover wij hebben kunnen ontdekken, heeft de infectie zich niet alleen bij gemeentes naar binnen gewerkt, maar ook verschillende bedrijven lastig gevallen. De infectie op zichzelf versleuteld documenten waardoor deze niet meer te openen zijn. Dit lijkt te duiden op ransomware, echter lijkt het er op dat de virusbouwer totaal geen pop-up voor het eisen van geld heeft toegevoegd. Mogelijk komt dit door een kapotte module binnen deze infectie. Eset, als een van de eerste virusbestrijders die de infectie kon herkennen en opschonen, heeft ons laten weten dat er zeer spoedig ook een specifieke cleanertool beschikbaar wordt gesteld welke de 'ge-encrypte' bestanden wederom toegankelijk zal maken.
Jan Folkert Bethlehem (Northwave)
Oplossen: Om de huidige problemen op te lossen zouden systeembeheerders als eerste een goede controle op hun netwerk moeten uitvoeren om te achterhalen hoeveel systemen feitelijk geïnfecteerd zijn. McAfee, Kaspersky en Symantec hebben hun software geüpdatet om de malware te herkennen. Vervolgens zal bij geïnfecteerde systemen de tool van Surfright uitgevoerd moeten worden om de versleutelde bestanden terug te zetten.
Voorkomen: Dit voorkomen is lastig. Vaak zijn bots en malware custom-made waardoor de virusscanners en malwarescanners achter de feiten aan lopen. Echter, gezien in dit geval het botnet bekend was (en daarom waarschijnlijk ook de trojan), was de virusscanner/malwarescanner niet up-to-date. Software zoals Windows, de virusscanner en malwarescanner up-to-date houden is altijd van het grootste belang. Handig hierbij is de website Waarschuwingsdienst.nl en het NCSC. Andere verouderde software kan ook een bron van infectie zijn. Voor dit soort software is de applicatie Secunia PSI ontwikkeld. Deze software controleert een grote lijst software op versies en kan aangeven welke software verouderd is.
Ook is het van groot belang om de gebruikers op te leiden: Open geen bestanden die je niet verwacht te ontvangen en bel of mail even na om te controleren of het bestand door de verstuurder gestuurd is. Open geen uitvoerbare (.exe, .com, .bat, .scr en anderen) bestanden die je per email ontvangt en schakel macro's in Word- en Excel-documenten altijd uit. Door deze handelingen te doen wordt in ieder geval de bulk van de virussen, trojans en botnets tegen gehouden.
Door vervolgens nog in het netwerk een vrij restrictieve policy op te nemen waarbij http-verkeer altijd via een strenge proxy gaat is het mogelijk om na te gaan wat voor informatie naar buiten gaat en is het mogelijk om verkeer naar 'gevaarlijke' landen zoals Rusland, Roemenië, China en dergelijke te blokkeren. Dit kan nog een deel van de botnets tegen houden, maar niet allemaal: Botnet controllers worden, zoals vorig jaar in het nieuws te lezen was, ook regelmatig in Nederland gehost.
De genoemde IP adressen zijn, zoals ik het begrepen heb van de C&C server (Citadel) welke via het SaaS concept aangeboden wordt en welke resp. 89 en 133 dagen actief zijn. – dank @UID – Vergis ik me als ik zeg dat het dus nog lang geduurd heeft voordat besmetting ontdekt werd door de AV-software. En zou het ontdekt zijn als er geen versleuteling van bestanden plaats had gevonden maar er alleen informatie gelekt was? Is er trouwens data gelekt en zo ja, hoeveel en wat?
Een andere vraag die bij me opkomt als ik terug denk aan DigiNotar is of er ook consequenties zijn voor leveranciers van falende AV-software? Want ik begreep dat sommige producten, ongeacht of deze up-to-date waren of niet ook tekort schoten. We zullen de volgende aanbesteding maar afwachten;-)
Aanvullend wat meer achtergrond via een expert die wat dieper graaft: http://rickey-g.blogspot.nl/2012/08/more-details-of-dorifel-servers.html?m=1
Ik mis in al deze reakties en in het artikel 1 punt. De gebruiker leren hoe hij moet omgaan met updates / antvirus-programma’s / firewalls.
Vooral een firewall is slechts zo goed als de gebruiker die hem bedient.
Dat XP nog steeds veel in gebruik is, is een gegeven. Dat bedrijven als SAP aan verouderde browsers vasthouden kun je als klant niet accepteren. Hier in oostenrijk trof ik IE6 als verplichte browser bij een SAP systeem voor een ziekenhuis, treurig.
Mijns inziens kun je dit soort rampen alleen voorkomen als je je gebruikers opleidt en duidelijk maakt waarom maatregelen die toegang beperken noodzakelijk zijn. Geen enkele gebruiker vindt het aangenaam als hij zijn werk niet meer kan doen of als “zijn” PC door de beheerders onder handen genomen wordt.
Desnoods kun je een eenvoudige PC met linux ter beschikking stellen waarmee men meer mag doen, dat komt goedkoper als een virusprobleem voor je hele organisatie.
@Jan van Leeuwen: Dit is iets dat Microsoft zelf in de hand heeft gewerkt. We denken er eigenlijk niet meer objectief over na, maar de microsoft gebruiker is een veredelde systeembeheerder en de systeembeheerder is een veredelde gebruiker.
Vroeger kon je zelf de lampjes van je auto verwisselen, maar dit werk is zo lastig geworden dat het werk naar de garages vertrokken is. Microsoft doet het omgekeerde. De bestuurder kan best wel even de bougies schoon borstelen, de olie verversen en de kleppen afstellen.
Op zich is dat geen probleem als alle bestuurders dat consequent goed doen en daar gaat het verkeerd.
Van gebruikers wordt dus heel veel verwacht en van systeembeheerders eigenlijk heel weinig. Ander neveneffect hiervan is dat je veel systeembeheerders ziet rondlopen, die totaal niet weten waar ze mee bezig zijn.
@Jan van Leeuwen, De hele securety flawn van MicroSoft is nu net dat de gebruiker verantwoordelijk is voor de integriteit van zijn systeem. Dit zou juist de verantwoordelijkheid van een ter zake deskundige profesional moeten zijn.
Updates, instellingen van programma’s e.d. moeten voledig buiten het bereik van de gebruikers van het systeem vallen.
Een firewall is al helemaal niet nodig, dat regelt de systeembeheerder toch immers via zijn router (in welke vorm deze dan ook voor mag komen)
Juist door de gebruiker dat te geven wat hij thuis ook heeft ontstaan al deze problemen.
Bedrijven die al die elende hebben, zijn daar zelf de oorzaak van.
@pascal
nog een voorbeeld. Een klant van mij had een drievoudige firewall, 1 in de router,1 in een squid-proxyserver en 1 in zijn linuxserver.
Daarachter een handvol PC’s die nooit een update hadden gekregen, XP zonder SP1, SP2 of SP3 zonder toegang tot internet.
Maar wel met een USB aansluiting die gewoon te gebruiken was.
1 gebruiker die dat leuke (geinfecteerde) filmpje aan een collega laat zien is dan genoeg.
De PC’s zijn uptodate gebracht, met antivirus en toegang tot internet, een zucht van verlichting in de organisatie. Wel geleerd dat je systemen uptodate moet houden. Klant en zijn personeel tevreden.
Overigens werd de linuxserver alleen als NAS gebruikt, de backups waren wel in orde, dat was het enige.
Jan, dat zijn de weinige glorie momenten waarop je kunt uitleggen waarom jij een ander tarief rekent dan die handige buurjongen.
Ik kwam laatst een dergelijk verhaal tegen bij een heel groot heel bekend bedrijf waar ook even iets mis ging en men geen adequate backups had.
@Pascal: Kanttekening die ik wel even wil plaatsen, is dat die handige buurjongen bij Generatie X of Y hoort en niet zo snel bij Generatie Einstein of later.
Technicus, ik deel je opmerking.
Ik ken wel wat handige scholieren die heel wat meer in hun mars hebben dan profesionele vakgenoten en die ik gerust om een boodschap durf te sturen.
Maar idd dat zijn dan wel de uitzonderingen.