De grootschalige cyberaanval die sinds vrijdagavond in meer dan honderdvijftig landen computers heeft besmet met ransomware, heeft in Nederland nauwelijks gevolgen gehad. Directeur Patricia Zorko van het Nationaal Cyber Security Centrum zegt tegen de NOS dat het waarschuwingssysteem goed heeft gewerkt en dat Nederland er daarom relatief goed vanaf is gekomen. Op internationaal vlak, beschuldigt ict-gigant Microsoft de NSA ervan om een eerder lek te hebben verzwegen. Als de NSA daar wel ruchtbaarheid aan had gegeven, was de cyberaanval mogelijk te voorkomen geweest, meent het bedrijf.
In Nederland werden alleen betaalautomaten van parkeergarages van Q-Park getroffen door de cyberaanval. Het NCSC heeft vooralsnog geen meldingen gekregen van hacks bij andere bedrijven, ook niet op deze maandagochtend waarbij veel netwerken worden ingeschakeld.
Zorko benadrukt dat bedrijven alert moeten blijven op een aanval. ‘Want helemaal honderd procent risicovrij zijn wij hier ook niet’, zegt ze in het NOS Radio 1 Journaal. Het Nationaal Cyber Security Centrum is zelf ook alert op nieuwe aanvallen of varianten van het virus.
De aanval van afgelopen weekend heeft wereldwijd naar schatting 200.000 computers getroffen. Daaronder waren systemen van Britse ziekenhuizen en nutsbedrijven in onder meer Spanje en Rusland. Ook in Azië waren er tienduizenden hacks. In China zijn enkele grote universiteiten getroffen, evenals geldautomaten en betaalsystemen bij bedrijven. In Zuid-Korea zijn negen aanvallen gerapporteerd.
Kaspersky rapporteerde afgelopen zaterdag dat het om 45.000 aanvallen in 74 verschillende landen gaat in met name Rusland. Nederland komt niet in de top twintig voor. Gartner spreekt vandaag van 150 getroffen landen, een verdubbeling van het door Kaspersky genoemde aantal staten.
Het NCSC waarschuwde in maart en april al voor aanvallen met ransomware. ‘We werken goed samen met het bedrijfsleven en alle overheden’, zegt Zorko daarover. ‘De politie is ook alert. Dat heeft ervoor gezorgd dat we de eerste klappen konden opvangen.’
Lessen trekken
Volgens Eric Primus, salesdirecteur bij VanRoey.be, toont de aanval het belang van een up-to-date it-omgeving. ‘Zo’n hack is te voorkomen wanneer de it-omgeving up-to-date is en de juiste securitymaatregelen zijn geïnstalleerd. Maar naast de technologie, is ook veilig online-gedrag belangrijk. Medewerkers zijn een zwakke schakel, zij klikken immers op de onbetrouwbare bijlage.’
Primus waarschuwt ook voor de potentiële ‘monsterboete’ die bedrijven riskeren wanneer de GDPR per volgend jaar van kracht is. ‘Deze wet verplicht bedrijven om technologie in te zetten om data te beschermen en verplicht bedrijven om klanten te melden als hun dat op straat is gekomen. De reputatieschade die bedrijven hiermee kunnen oplopen, is enorm.’
Privileged accounts
‘Ransomware blijft evolueren en er verschijnen steeds nieuwe varianten die meer kunnen dan alleen het blokkeren van data op computers’, vertelt Gerrit Lansing, chief architect bij CyberArk. ‘Cybercriminelen zoeken een bredere toegang om ook het netwerk te blokkeren. Hierdoor maakt het niet uit op welke computer de aanval is gericht, terwijl de aanval potentieel veel schade kan aanrichten.’
Ook proberen cybercriminelen via privileged accounts de back-ups van bedrijven te vernietigen, met de bedoeling te voorkomen dat organisaties de back-ups aanspreken om het effect van een aanval te neutraliseren. ‘In dat geval moet een bedrijf kiezen voor dataverlies of het betalen van het losgeld. Dit betekent dat enkel back-ups niet meer voldoende veiligheid bieden.’ Lansing adviseert daarom om te focussen op de beveiliging van deze privileged accounts.
Beschuldiging Microsoft aan adres NSA
De Wannacry-ransomware maakt gebruik van een lek dat door de Amerikaanse geheime dienst NSA is ontdekt. Het gaat om een beveiligingsprobleem dat door de NSA is benut om verdachten te hacken. Doordat de geheime dienst het stilhield, bleven echter ook computers van onschuldige burgers en organisaties kwetsbaar voor aanvallen. Microsoft beschuldigt nu de NSA van het stilhouden van dit lek, waardoor volgens de ict-gigant erger voorkomen had kunnen worden.
Vorige maand lekte een pakket digitale wapens van de NSA uit, waar het bewuste lek onderdeel van was. Onderzoekers vreesden toen al dat kwaadwillenden de wapens zouden misbruiken. Hoewel het probleem door Microsoft inmiddels is gedicht, zijn bedrijven en consumenten die hun computer niet hebben bijgewerkt nog steeds kwetsbaar.
Microsoft is niet blij dat de NSA het lek onder de pet heeft gehouden. Daardoor werd het beveiligingsprobleem niet eerder opgelost. ‘Dit toont het gevaar aan als overheden beveiligingsproblemen verzamelen. Overheden wereldwijd zouden dit als een wake-up call moeten zien en beter moeten nadenken over hoe ze digitale wapens gebruiken’, zegt Microsoft.
AIVD
In Nederland verzamelt de AIVD beveiligingsproblemen in software om doelwitten te hacken. Het kabinet wil nu dat ook de politie de bevoegdheid krijgt om verdachten te hacken. Binnenkort buigt de Eerste Kamer zich daarover. Critici vrezen evenwel dat door de politie verzamelde lekken door kwaadwillenden zijn te misbruiken, zoals nu gebeurde bij de NSA.
Op 14 februari 2017 stemde de Tweede Kamer in met het wetsvoorstel van de nieuwe wet op de veiligheids- en inlichtingendiensten. Het voorstel breidt de bevoegdheden van de diensten uit en maakt het mogelijk grootschalig en ongericht internetverkeer te verzamelen en te doorzoeken. Ook voorziet de wet in de optie om apparatuur van personen te hacken om zo toegang te krijgen tot apparatuur van concrete doelwitten. Gegevens die relevant zijn, mogen tot drie jaar worden bewaard.
Volgens het kabinet is de wet nodig om de geheime diensten hun taken goed te kunnen laten uitvoeren. Critici, waaronder de privacy-lobbyisten van Privacy First, waarschuwen voor een ‘sleepnet’, waarmee veel gegevens zijn te onderscheppen.
De Eerste Kamer is nu aan zet. Zodra zij instemt, is de wet zo goed als aangenomen. Privacy First verwacht dat de toetsing door de Eerste Kamer alsnog zal leiden tot verwerping van het wetsvoorstel. ‘Mocht echter ook de Eerste Kamer besluiten om het huidige wetsvoorstel goed te keuren, dan zal Privacy First dit bij de rechter aanvechten en het wetsvoorstel onrechtmatig laten verklaren wegens massale schending van het recht op privacy. De eerste oriënterende gesprekken tussen Privacy First en relevante advocatenkantoren zijn daartoe reeds gepland’, stelde de privacy-club begin dit jaar.
Discusseer mee!
Patchen na verloop van tijd is passé, dat maakt ransomware WannaCry nu wel duidelijk. Discussieer mee met de discussie-stelling van vandaag.
Q-Park maakt gebruik van Microsoft Exchange services. Het zou fijn zijn als die e-mail service providers hun zaakjes beter op orde hebben. De meeste ransomware komt binnen via e-mail en outlook.com heeft dat dus gewoon door gelaten. En gebruikers klikken gewoon overal op.
Ik vind het verbazingwekkend dat je naar een parkeerautomaat kunt SMB-browsen. Ik had verwacht dat een en ander beter gescheiden was. Ik zou niet graag hoofd IT van Q-Park zijn…
Microsoft boos? Het is een gat in hun software die deze problemen mogelijk maakt. De beste verdediging is kennelijk de aanval.
Waarom hebben de meeste bedrijven uberhaubt nog die Microsoft rommel als werkstations?
De meeste toepassingen kan in browsers of in de cloud, dan hou je thin clients over, scheelt een heleboel kosten en onderhoud. Het afschermen van rechten en scannen van malware kan dan veel beter geregeld worden, zelfs geïsoleerd worden van het rest van het netwerk.
Dat ze bij Qpark ook Microsoft gebruiken voor dit soort toepassingen, krijg ik kromme tenen van.
Goed artikel van Troy Hunt :
https://www.troyhunt.com/everything-you-need-to-know-about-the-wannacrypt-ransomware/
Overigens kwam ik op de firewall (up-to-date, geen target os, niet makkelijk accessible ) ook poort 445 tegen die open stond, for printing and filesharing.
Microsoft zou eerder boos op zichzelf moeten zijn vanwege die gaten in hun eigen software.
Het grote probleem van Microsoft is dat ze geregeld iets nieuws uitbrengen, bv SMB 3, maar het oude, SMB 1 en 2, gewoon laten zitten, vanwege de compatibiliteit.
Wat Microsoft had moeten doen, is de nieuwe SMB versie een compatibiliteitsoptie geven (liefst niet meer dan 1 versie terug), en de oude SMB (1 en 2) code verwijderen.
Hetzelfde gaat op voor win32 (win16 compatibiliteit is nog maar net uit Windows verdwenen) en meer…
Wat betreft Q-park verwonder ik me toch altijd hoe bedrijven het voor elkaar krijgen, de minst geschikt omgeving op een embedded device te zetten. Komt dat doordat men geen echte engineers kon vinden? Je gaat toch ook niet met een Fiat Panda tussen de F1 wagens rijden?
Eigenlijk eens met alle bovenstaande reacties. De getoonde automaten met problemen zijn voor zover ik gezien heb allemaal van leverancier Skidata (ik heb kort in de parkeerautomatenbranche gewerkt voor een bedrijf dat Linux als device-OS had gekozen, vandaar enig onderscheidend vermogen).
Maar, herhalend:
– Microsoft, werk aan de fundamentele kwaliteit van Windows, wees terughoudend met het mopperen op anderen
– bedrijven, mijdt Windows als server / device platform en scheidt dit van Office netwerken