Een gesprek over de verschillende #cyberaanvallen van even geleden waarvan de opname nu als podcast op YouTube en Spotify beschikbaar is.
Met dank aan Stefaan De Cuyper en de rest van het V-ict-or team.
Jan Guldentops is al 25 jaar met cybersecurity bezig. Maar ondanks de technologische vooruitgang blijft het soms sukkelen met digitale veiligheid. In zijn nieuwjaarsbrief geeft hij zes adviezen voor 2022.
(Dit stuk verscheen eerder al op de site van Datanews )
2021 is het 25ste jaar dat ik actief ben in cybersecurity. Als een accidental security expert, bracht ik in 1996 een aantal zware securityproblemen aan het licht in de eerste Belgische online internetbank Beroepskrediet. Van de ene dag op de andere word je dan security-expert, ethical hacker en denkt iedereen dat je alles weet over informatieveiligheid.
Een kwarteeuw is zeer lang en je zou verwachten dat al die problemen die we toen signaleerden, vandaag de dag grotendeels opgelost zouden zijn. Niks is minder waar: het jaar 2021 was weer een geweldig jaar voor de cybersecurity-industrie. De pandemie liet ons nog veel meer inzetten op de digitale economie met een obligaat thuiswerken. Dit werd nog versterkt door een triade aan zero day securityproblemen met een hoog-risico en een angstaanjagende naam van haffnium tot log4j. En ook IOT (je weet wel alle spullen met een draad die we tegenwoordig aan het netwerk hangen) kreeg een paar security-problemen te verwerken.
En ja 2021 was een goed jaar voor security exploits. NIST registeerde gemiddeld meer dan 50 CVE’s (Common Vulnerabilities and Exposures) of bugs elke dag. Opvallend:
Deze bugs (en oudere varianten van de jaren ervoor) werden uitvoerig gebruikt om binnen te dringen bij bedrijven en organisaties, data te stellen of met ransomware plat te leggen. Slachtoffers in ons land: Ziekenhuizen, Mediamarkt, Defensie…
En ja de cybersecurity-industrie profiteert hiervan. Volgens statista groeide de cybersecurity industrie in 2021 met 12%. Volgens de helderzienden van Gartner zal die markt volgend jaar 170 miljard waard zijn. De cybercriminelen, de entrepreneurs die kozen voor de dark side hebben er ook een goed jaar opzitten. Omdat niemand vertelt hoeveel ze betaald hebben aan de afpersers, is hier een cijfer opplakken nog meer voodoo dan Gartner-voorspellingen. Hierbij worden ze geholpen door cyberrisico-verzekering die tot voorkort losgeld terugstortten binnen hun verzekering en bedrijven die er prat op gaan voor u als dienstverlening met de afpersers te onderhandelen.
Hoewel deze industrie enorm gegroeid is, zijn er dingen die in 25 jaar niet veranderd zijn. De voornaamste verkoops- en marketingtechniek is angst of zoals we dat in de industrie FUD (Fear, Uncertainty, Danger) noemen. En die wordt gevoed met weinig constructieve apocalyptische slogans als “er is een cyberramp in de maak” of vage “in 2022 krijgen we nog meer cyberaanvallen” meestal ondersteund met een statistiek die naar de hemel wijst maar waar men makkelijkheidshalve de legende en soms zelfs de cijfers bij vergeten is. Je hebt leugens, grote leugens en statistieken. In de pers weet men ook dat angst en miserie verkoopt.
Wat ook altijd opvalt is hoe de stroom aan niks-zeggende terminologie en hippe oplossingen die al deze problemen moeten oplossen, wel geworden is. De hele bullshit-bingo aan termen en oplossingen die je zogezegd absoluut nodig hebt voor je veiligheid maar waar zelfs de industrie zelf niet 100% zeker van is wat ze betekenen. Het verkoopt blijkbaar lekker met vage termen als Artificial intelligence, Next Generation en Zero Trust.
Volgens mij is de toestand ernstig maar niet hopeloos. De afgelopen maand heb ik in mijn hoofd eens opgelijst waar niet over gepraat wordt maar wat belangrijke aspecten zijn om de digitale werking van je organisatie te garanderen.
We moeten stoppen met paniekvoetbal te spelen telkens als er een nieuwe security-probleem bovenkomt. Als kiekens zonder kop proberen de uitslaande brand te blussen met moeite wetend wat er allemaal in het magazijn is opgeslagen dat kan ontploffen.
Wat bedoel ik hiermee?
Zie de werkelijkheid onder ogen: informatieveiligheid gaat voor uw organisatie even belangrijk zijn als fysieke veiligheid op de werkvloer, de boekhouding correct voeren, belastingen op tijd betalen en al die andere noodzakelijke aspecten om correct een bedrijf of vzw te runnen. Iemand zei ooit dat er 2 zekerheden in het leven zijn: Death and taxes. Misschien moet je mentaal daar ook maar cybersecurity bijzetten.
Net zoals er een goede kans bestaat dat uw gebouw in de fik vliegt of er fysiek ingebroken wordt, is er een zeer grote waarschijnlijkheid dat uw organisatie vroeg eerder dan laat te maken krijgt met een securityprobleem. De manier om dit aan te pakken is u voorbereiden: inventariseer wat belangrijk is qua digitale infrastructuur voor de organisatie en hoe die er fysiek uitziet, lijst de risico’s op en maak een plan om deze risico’s te vermijden. En maak hier een permanent proces van dat u regelmatig opnieuw bekijkt en aanpast aan wijzigingen, gebeurtenissen en de nieuwe werkelijkheid die deze meebrengen. Volg ook problemen op en leer eruit. Zet een soort security-organisatie op met een verantwoordelijke medewerker die op zijn beurt met regelmaat rapporteert aan de directie en de stakeholders van het bedrijf.
De Vlaamse regering heeft hier ook het belang van ingezien en samen met VLAIO een gesubsidieerd verbetertraject op poten gezet met 9 bedrijven, waaronder het mijne BA N.V., die bedrijven helpen dit op te zetten met de nodige financiële hulp.
De vraag is echter niet of je een securityprobleem gaat hebben maar wanneer. Een goede security-organisatie en de nodige bijhorende maatregelen gaan niet voorkomen dat je een securityprobleem zoals een inbraak, een ransomware, phishingaanval of een niet gepatchte bug hebt met de nodige gevolgen van dien. Wat het wel gaat doen is het risico beperken en als zo’n probleem opduikt, de schade beperken zonder dat hiervoor extra security-producten of services gekocht moeten worden.
Samengevat: pak cybersecurity structureel aan, wees een brandpreventie-adviseur en geen pompier.
De afgelopen 2 jaar zijn er massaal veel berichten over bedrijven die wekenlang platliggen omdat een cryptolocker al hun gegevens heeft versleuteld. Heel vaak betalen deze bedrijven dan ook het losgeld om terug te kunnen opstarten en leggen ze hun lot in de handen van de criminelen.
De olifant in de kamer waar niemand over spreekt, is dat deze bedrijven geen of toch geen werkend Business continuity plan hebben. Wanneer je dit voorbereid hebt, goed opgezet en getest hebt, ga je nog altijd last hebben van een cryptolocker en misschien ga je 1 à 2 dagen en veel bloed, zweet en tranen van de IT-staff nodig hebben om alles terug de lucht in te krijgen maar je hebt iets om op terug te vallen.
Haffnium was begin van dit jaar een bug waarbij het voor buitenstaanders mogelijk werd om een exchange mailserver over te nemen. Een gevaarlijke bug die gelukkig wel op tijd gemeld werd aan Microsoft en waar updates voor waren voor hij publiek bekend gemaakt werd.
Als uw organisatie een structurele manier van updates heeft (bijvoorbeeld wekelijks een update) zou het risico relatief beperkt gebleven zijn. Bedrijven die maanden na het bekend worden van deze bug en de nodige patches nog niet geüpdatet zijn, roepen de problemen over zichzelf uit.
Dit is een ernstig probleem in log4j, de logsoftware die door meeste java-software wordt gebruikt. En helaas is een belangrijk deel van alle software die on premisse, op je pc of door allerlei cloud-oplossingen gebruikt wordt geschreven in JAVA.
Het probleem is eigenlijk dat, als je van buitenaf de juiste logboodschap naar het systeem kan sturen, dit systeem een connectie kan opzetten naar buiten, daar allerlei code kan downloaden en die uitvoeren met alle gevolgen van dien.
Alleen waarom moet een aan het internet verbonden server dns, ldap of andere connecties naar het hele internet kunnen opzetten? De beste firewall-strategie is een zogenaamde whitelist of deny all policy waarbij je enkel het inkomend en uitgaand verkeer toelaat dat expliciet noodzakelijk is. Verkeer dat niet noodzakelijk is, blokkeer je en sla je op in een logfile of beter nog je stuurt het door naar een SIEM-oplossing die je er attent op gaat maken dat er iets raars gebeurt.
Samengevat: De bug of breach kan je niet (altijd) vermijden, de schade die hij aanricht kan je wel beperken.
Vaak gehoord: “dit moet je met IT bespreken daar heb ik geen verstand van. “
Dit is mijns inziens heel sterk de kern van het probleem: als leidinggevende moet je de risico’s rond cyberveiligheid en de oplossingen zelf in grote lijnen begrijpen. Dit is de enige manier waarop je deze risico’s kan gaan beperken door o.a. de juiste organisationele en technische beslissingen te nemen. Dit wil niet zeggen dat je je niet mag door een interne medewerker of een externe partij laten adviseren maar je moet altijd voldoende begrip en de vinger aan de pols hebben om dit inhoudelijk te kunnen volgen. Tenslotte begrijp jij meestal beter dan hen wat belangrijk is voor de organisatie en… draag jij de eindverantwoordelijkheid als het mis gaat.
De gouden vuistregel die ik zelf altijd gebruik: Als een IT’er of consultant het mij niet kan uitleggen zodat ik de grote lijnen begrijp, dan begrijpt hij of zij het meestal zelf niet helemaal. Dure complexe termen zijn meestal een vorm van ofwel jobprotectie of een smoke and mirrors om onkunde en andere gaten in het verhaal te verbergen.
Gebruik ook de belangrijkste veiligheidsoplossing die er is: het gezond verstand. Denk na over wat belangrijk is en hoe het moet beveiligd worden. Vaak zijn oplossingen ook nodeloos complex.
Security en privacy is immers te belangrijk om aan IT’ers, advocaten of self-proclaimed experten en consultants over te laten.
Samengevat: wees als leidinggevende altijd nauw betrokken bij informatieveiligheid en zorg dat jij de grote lijnen uitzet.
Wat me opvalt is hoe tribaal IT eigenlijk is. Men zit in een kamp met één leverancier (bijvoorbeeld: Microsoft ) of gemeenschap (Open source, linux) en men vertrouwt deze blindelings en gaat alle potentiële problemen minimaliseren. Om een bijbelse vergelijking te maken: men ziet de splinter in het oog van de rest van de wereld maar de balk in het eigen oog niet.
Dit geldt zeker voor cloudoplossingen. We hebben altijd het gevoel dat een cloud-oplossingen op magische manier beter, sneller, goedkoper en veiliger is dan een andere oplossing. Maar cloud-oplossing zijn aan dezelfde problemen onderhevig dan oplossingen die bij u in de serverruimte staan. Alleen heeft u er minder controle over ( dus afspraken zijn nog belangrijker!).
Wees dus kritisch en geloof niet blind dat een oplossing veilig is. Als je iets aankoopt, vraag naar referenties en kijk ook eens de lijst van recente bugs bij NIST na. Zo zijn er een aantal vpn-oplossingen die de afgelopen 2 jaar al 4 zware bugs gehad hebben die bovendien heel traag op deze problemen reageren. Zo’n partij kan je dan beter links laten liggen.
Samengevat: Geen enkele oplossing is veilig en je gaat permanent moeten updaten en de veiligheidsnormen van dit product te volgen.
Geen enkele structuur of organisatie is helemaal veilig dus Plan for the worst, zorg dat de basis beveiliging zo goed mogelijk in orde is en vooral dat de procedures klaar liggen als er problemen opduiken.
Hiervoor heb je een goede operationele beveiligings infrastructuur nodig :
Zorg ook voor minimale uitgaande rechten: het gebouwbeheersysteem dat de airco aanstuurt moet niet met de hele wereld kunnen verbinden en je webserver ook niet.
Samengevat: security is hard, permanent werk in een verbeteringstraject waar je continue mee bezig moet zijn.
Test de veiligheid van je omgeving op vaste tijdstippen. En dit testen kan op verschillende manieren die allemaal even belangrijk zijVLAIn.
Allereerst heb je de checklist, lijstjes van vragen waar je op kan beantwoorden. Pas hier op voor papieren tijgers: elk bedrijf wordt vandaag de dag platgeslagen met ISO27k-achtige vragenlijsten waarbij juridische en taalkundige kennis belangrijker is dan technische veiligheidskennis. Vaak is de vraag te weinig genuanceerd, snapt de invuller de vraag met moeite door het jargon en de juridische spitsvondigheid waarin hij is opgesteld of wordt er gewoon gelogen uit bestwil. “Everybody lies” zegt één van mijn favoriete TV-figuren in bijna elke aflevering van “House”.
Aan de andere kant heb je de uitgebreide audits die veel gespecialiseerde bedrijven o.a. het mijne aanbieden om je bedrijf binnenste buiten te keren. Probleem is dat dit mensenwerk is en een serieus prijskaartje. Dit betekent dat je dit niet elke maand gaat doen. En helaas is elke audit maar een momentopname en kan er 10 minuten later al een andere securitybug inzitten.
Daarom is het ons inziens ook belangrijk dat je regelmatig (bijvoorbeeld maandelijks) jezelf door middel van een aantal vulnerability tools (Nessus, qualsys of gewoon een open source KALI met alle tools die erinzitten) test en controleert of alles nog in orde is.
Wij bieden trouwens een gratis, passieve internetvulnerability test aan via deze link.
Samengevat: test op regelmatige basis zo vaak mogelijk de veiligheid van je omgeving.
Eén van de dingen die mij nog altijd het meest verbazen als ik over alle cyberrampen van het afgelopen jaar lees, is hoe weinig bedrijven, sluitende backups laat staan een echt Business Continuity Plan hebben.
Bepaal eerst wat je wil bereiken qua beschikbaarheid. Niet alles is even belangrijk en wat belangrijk is hangt af van de specfieke vereisten van uw bedrijf. Maak per dienst een worst case Recovery Time objective (RTO of hoe lang mag de dienst maximaal onbeschikbaar zijn in tijd) en Recovery Point Objective (RPO of hoeveel data in tijd mag de dienst maximaal kwijt zijn). Vaak wordt ook retentie vergeten: hoe lang wil je wenselijk en om juridsiche redenen kunnen terugkeren in je backups? Hoe vlot kan je de data recuperen ?
Bepaal ook wat je daar budgetair aan kan besteden. Het is een standaard verhaal dat een directie zegt dat een dienst niet mag platleggen maar dat er geen budget voor voorzien wordt en elke investering er één teveel is. If you pay peanuts, you get monkeys.
Bekijk het per concrete dienst, niet per technisch element zoals netwerk, server, internetconnectie of een ander IT-spul. Om een dienst beschikbaar te hebben, heb je immers meerdere dingen nodig – wat heb je eraan dat je je server in 10 minuten terug de lucht in kan krijgen als je geen netwerk er meer naartoe hebt ?
Maak een technische inventaris van alles wat je nodig hebt om die dienst te kunnen garanderen en probeer niks te vergeten. IT is een complex verhaal van netwerken, cloud, servers, authenticatie, enz geworden. Elke schakel die ontbreekt of foutgaat, kan de hele recovery-inspanning nutteloos maken. Een keten is maar zo sterk als zijn zwakste schakel.
Op basis van vereisten, budget en inventaris kan je dan een plan opmaken. Wees hier realistisch en hou vooral ook rekening met de dode hoeken in je plan waar je niet aan gedacht hebt. Zorg ook dat alle risico’s geëvolueerd worden en er deze aangepakt worden. Dingen die vaak vergeten worden: alles staat op één locatie (backups gaan het bedrijf niet uit of worden niet ergens anders naartoe gestuurd.) met alle gevolgen van dien, stroom, configuraties van infrastructuur als switches wordt niet gebackuped, backupservers zijn slecht beveiligd (en worden bv ook versleuteld door de cryptolocker), etc.
Last but not least: test! Volg je systemen en backups dagelijks op, pak het aan als er iets foutgaat. Test je business plan af en toe. Recover je backups af en toe. De wet van Shrödinger voor backups leert ons immers dat je pas weet dat een backup in orde is, als je hem volledig succesvol gerecovered hebt.
Samengevat: maak een realistisch Business Continuity Plan met duidelijke, realistische doelstellingen per dienst, een budget en dat je ook op vaste tijdstippen test op zijn werking.
Vandaag las ik nog in een artikel hoe de universiteit van Kyoto 77TB aan onderzoeksdata is kwijtgeraakt bij een Hpe SAN update. Het lijkt onbegrijpelijk maar mijn ervaring in het werkterrein laat me al vermoeden hoe het is foutgegaan: Universiteit: we kopen bij een grote naam, dus de backups en Business Continuity zullen wel in orde zijn. Hpe: backups zijn verantwoordlijkheid voor de klant.
Het is een veelvoorkomende fout: “Assumption is the mother of all fuck ups”. Veel belangrijke elementen worden intrinsiek afgesproken en niet uitgesproken. Daarom is het belangrijk om goede afspraken te maken met je leverancier, partners, IT-dienst en medewerkers. Durf uit te spreken wat je verwacht en zet het ook op papier. En eerlijkgezegd ik vind het belangrijker dat iedereen snapt wat er in dat contract staat en aanvaardt wat er verwacht wordt dan dat het onleesbaar is maar juridisch klopt.
Er worden ook veel papieren tijgers opgesteld : contracten waar dingen in staan waar alle partijen op voorhand weten dat ze niet haalbaar zijn maar er voor de goeie vorm ingezet worden. Een goed voorbeeld zijn SLA’s waar met een percentage gegooid wordt dat niet voor iedereen duidelijk is. Bijvoorbeeld 99% beschikbaarheid op jaarbasis, betekent dat het systeem 3 dagen na elkaar mag platliggen. Er zitten vaak ook geen tanden aan: als een bedrijf de SLA niet haalt moet het dit voelen door middel van bijvoorbeeld een boete. Aan de andere kant heb je ook bedrijven die 10€ / maand betalen en een schadevergoeding van 10.000€ vragen bij elke onbeschikbaarheid.
Samengevat: Maak goeie duidelijke, realistische afspraken die alle partijen begrijpen. In tijden van nood zal je hier heel dankbaar voor zijn.
De toestand is ernstig maar niet hopeloos. In een digitale wereld kan je niet anders dan aandacht besteden aan de degelijkheid en de veiligheid van de infrastructuur en diensten die eronder zitten.
Dus pak de informatieveiligheid van je organisatie permanent structureel aan en probeer er een verbetertraject van te maken waar iedereen van de gewone werknemer tot de directie nauw betrokken is.
Gebruik vooral de superkracht gezond verstand om dit te doen: denk na, veronderstel niks maar spreek het af en wees realistisch. Iedereen zal vroeg of laat een securityprobleem hebben, het is vooral belangrijk hoe je dan reageert en of je voldoende in huis hebt om de schade te beperken.
De veiligheid van je organisatie op orde zetten en houden is hard werken net als de boekhouding van een bedrijf laten kloppen, een degelijk human resource beleid te voeren of duurzaam te ondernemen.
Bij BA en zijn partners hebben we een sterk team om uw organisatie te helpen met het verbeteren van zijn veiligheid.
In de eerste plaats kan je hier een gratis passieve audit van je omgeving aanvragen. Wij controleren dan de basis veiligheid van je organisatie en geven je een eerste analyse. Dit is een ideaal startpunt om te beginnen!
VLAIO selecteerde BA samen met 9 andere bedrijven als partij om Vlaamse KMO’s te begeleiden bij security-verbeteringstrajecten, waarbij we uw organisatie niet alleen auditeren maar met praktische raad en daad helpen om de IT veiligheid van uw KMO op punt te zetten. En als uw bedrijf aan de vereisten voldoet, subsidieert VLAIO 45% van het traject. Geïnteresseerd? Neem contact op met sales@ba.be of 016/29 80 45
Samenvatting: Vmware waarschuwt dat er een zeer kritische bug zit in Vcenter, de centrale beheerssoftware voor zijn VMware Vsphere platform. Iedereen die de software op de https-poort kan bereiken kan ze zonder veel moeite overnemen met alle gevolgen van dien.
Door de doorgedreven wet van Moore die (server)systemen steeds meer CPU en geheugen geeft, zijn we beginnen virtualiseren: op dezelfde serverhardware een tussenlaagje leggen dat ons instaat stelt meerder virtuele servers te gaan draaien op één stukje hardware. Het ontstaan van virtualisatie is één van de grote doorbraken met veel extra mogelijkheden die mee de ict-explosie van dit millenium aangestuurd heeft. Van virtual appliances die je toelaat snel te installeren, tot het ontstaan van Infrastructure-as-a-service cloud providers waar je voor een paar Euro per maand Enterprise internet server infrastructuur kan huren.
Helaas heeft deze technologie ook een paar verborgen monsters in de kast die ons kwetsbaarder hebben gemaakt en de hypervisors en virtualisatieplatformen die de grondstof vormen, tot geweldige doelwitten voor hackers hebben gemaakt.
Nu meldt één van de dominante providers van dit soort virtualisatie-software VMWare dat hun core-products zijn beheerssoftware Vsphere een security probleem heeft dat iedere snoodaard die in staat is deze machine via het netwerk, meer bepaald de https-poort te bereiken en een file op te laden gewoon kan overnemen met alle veiligheidsgevolgen voor de onderliggende virtuele machines en hun data van dien. Het is best een pittige bug want Mitre geeft het een score van 9,8/10. De systemen die kwetsbaar zijn, zijn ook de VMWare platforms 6.7 en 7 die op dit moment het meest courant gebruikt worden.
Het is ook één van die gedroomde lekken voor criminelen die graag de data van hun slachtoffers versleutelen met zogenaamde cryptolockers en we kunnen er vanuit gaan dat we weldra hele infrastructuren zien die via deze bug open en toegankelijk zijn te gaan versleutelen en het nodige losgeld te eisen. Wees gerust dat we hierover nog horror-verhalen gaan horen. En wees gerust mensen met een slecht karakter zullen er nog veel ergere dingen mee kunnen doen.
Wat moet je doen ?
Op korter termijn is het essentiëel om je VMware Vcenter zo snel mogelijk te patchen. Is het moeilijk om te patchen dan heeft VMware ook nog een andere workaround ter beschikking waarbij je een paar configuratie-bestanden moet aanpassen en het probleem is ook tijdelijk opgelost.
Op lange termijn is het mijns inziens belangrijk om eindelijk dit soort belangrijke infrastructuur en zijn beheersinterface structureel op netwerk-niveau te gaan afschermen van de buitenwereld in een zogenaamd Management Netwerk dat je dan van onbevoegden afschermt en enkel beheerders toelaat om er naar te connecteren. Meer technisch gezegd: stop de beheersinterface van je virtualisatie in een eigen management vlan en zorg door middel van firewalls, een Awingu security gateway of andere technieken dat enkel een beheerders er toegang toe kunnen hebben. Dit maakt dit soort securitybugs al een stuk moeilijker om te misbruiken.
Meer informatie :
https://www.vmware.com/security/advisories/VMSA-2021-0020.html
Leg eens een online school plat
Hoorde net op de radio de CEO van Smartschool als #cybersecurity onheilsprofeet voorspellen dat er steeds meer aanvallen komen op schoolinfrastructuur. En inderdaad het is mogelijk om zogenaamde Denial of service aanvallen uit te voeren waarbij je in feite zoveel verkeer stuurt naar een machine dat de lijn verzadigd geraakt of een service die erop draait zoveel request moet slikken dat die het niet meer aankan.
Nederlandse uberHacker Rop Gongrijp beschreef een Denial-of-service aanval als met een tankwagen de Kennedytunnel inrijden en hem dwars over de weg zetten en de fik insteken.
DoS-aanvallen zijn al geruime tijd gemeengoed om concurrenten, politieke partijen waar je het niet mee eens bent of als gamer je tegenstander op online spelletjes een extra handicap te geven. Zelf ben ik het jaren geleden het eerst tegengekomen toen dns.be geliberaliseerd werd en domeinnamen first-come, first-serve beschikbaar werden. Er was toen een serieuze rush op de koele, commerciële namen zoals ik zeg maar iets redbull.be en alle agenten wilden er op uur 0 zoveel mogelijk binnenhalen. Op een bepaald moment merkten we dat één van de agenten waarlangs de namen geregistreerd werden probeerden andere agenten hun internetlijn met nutteloos verkeer te vullen om zelf meer kans te maken op de juiste domeinnaam.
En dit is niet zo moeilijk vandaag de dag: iedere thuisgebruiker met een Telenetlijn kan makkelijk meer dan 10MBit aan verkeer genereren en ergens naartoe sturen. En op het dark web is er met wat bitcoin ook Denial-of-service-as-a-service ( DoSaaS ofzoiets?) te kopen. Veel scholen doen ook hun eigen Denial-of-service door zelf enorm veel, soms nutteloos verkeer te genereren: als de hele klas zijn laptop openstaan heeft en ook zijn persoonlijke camera streamt dan hoeft er geen snoodaard de boel plat te leggen dan doen jullie het onbewust het zelf wel.
Scholieren en studenten hebben ook veel energie, stamina en de nodige tijd om dit soort dingen uit te zoeken. Tijd die de ICT-coordinator van de school niet heeft met alle gevolgen van dien. Ik heb zelf als scholier/student heel veel uren besteed aan het uitzoeken van allerlei toepassingen op basis van een toen nog obscuur besturingssysteem genaamd linux maar ik had ook de tijd en (vaak nachtelijke) energie om allerlei securityproblemen uit te zoeken.
Het klinkt ook een beetje een cover-your-ass verhaal van Smartschool: ze hebben het duidelijk moeilijk gehad om te schalen, hebben ( logischerwijze) het afgelopen jaar heel veel problemen gehad en zijn als platform een nummer 1 doelwit voor zo’n Denial-of-service aanval. Het blijft een goeie verdediging als je alles aan het oplossen bent om te zeggen tegen de eindklant dat het zijn lijn is die platgelegd wordt natuurlijk. Ik neem hen dit als bedrijf niet kwalijk – ze hebben zeer snel moeten schalen in coronatijden. Maar technisch kunnen er wel een aantal slimme performantie-verbeteringen kunnen doen. Zo staat hun hele infrastructuur in een Nederlands datacenter met al de nodige vertragingen van dien en ook de connectiviteit er naartoe zou beter en redundanter kunnen. Maar ik vermoed dat het beschikbare budget hier ook een rol in speelt.
Maar wat kan je als school doen ? Hoe voorkom je dat je internetlijn zo zwaar belast is dat je niet meer deftig kan op afstand lesgeven?
5 tips :
Wij als BA vinden onderwijs maatschappelijk zeer belangrijk en willen hier ons steentje voor bijdragen. Bij BA hebben we een medewerker gereserveerd de rest van de paasvakantie om scholen te helpen om gratis een eerste status op te stellen en op gang te helpen naar oplossingen. Stuur een mailtje naar support@ba.be en iemand neemt contact met je op voor een snelle check en een paar eerste adviezen.
versie 0.1 – 15 maart 2021 – Jan Guldentops ( j@ba.be )
Dit weekend konden we bijvoorbeeld in dit artikel in het laatste nieuws lezen dat meer dan 1000 bedrijven, gemeentes en ziekenhuizen account gevaar lopen van hackers.
Dit artikel en de modus operandi ervan is typisch voor wat er allemaal mis is hoe wij informatieveiligheid aanpakken en vooral hoe de media er verslag van uitbrengt. Het is een giftig recept dat eigenlijk heel simpel is :
De druk wordt opgebouwd, mensen fixen één probleem, geven geld uit aan de oplossing voor dat ene probleem en hopen dan dat ze maanden gerust zijn.
Alleen is dit een illusie, snake oil en wordt meestal the elephant in the room, de echte waarheid altijd verzwegen. De waarheid dat security iets is waar je permanent mee bezig moet zijn, dat je permanent aangevallen wordt, permanent updates moet doen op een structurele manier ( niet alleen als Het Laatste Nieuws het zegt), zelf je security moet controleren en beheren en er permanent mee bezig zijn. Net zoals je crediteurenbeheer doet van al je openstaande facturen, je werknemers op vaste basis naar de bedrijfsmedische preventiedienst stuurt, je de veiligheid op de werkvloer permanent wil aanpakken of de overall kwaliteit in je organisatie wil verbeteren.
Informatieveiligheid en alles wat daar rond hangt moet een permanent proces zijn dat grotendeels gevolgd en voor een belangrijk stuk gedragen moet worden door de interne medewerkers van de organisatie. Het is moeilijk, hard gestructureerd werk waar veel aspecten en kanten aan zijn. Daarom was ik zelf zo blij toen VLAIO verbetertrajecten informatieveiligheid ging subsidiëren.
En neen, niet alleen omdat wij met BA, één van de 9 geselecteerde partijen zijn maar vooral dat zij een geheel verbetertraject subsidiëren : niet alleen de audit of het magische doosje dat de oplossing voor één of andere veiligheidsprobleem is maar het hele verbeterproces met een check van de problemen, een inventaris, risico-analyse, plan van aanpak en een gestructureerde aanpak van alle issues.
Wil je als organisatie hiermee zelf aan de slag ? Neem contact met ons op +32 16 29 80 45, info@ba.be of neem een kijkje op https://www.ba.be/cybersecurity-verbetertraject/
Je kan ook altijd een online bezoekje brengen aan Infosecurity 2021 ( Schrijf je in via: https://www.ba.be/is21 ) waar je de créme de la créme van de Belgische security-industrie kan ontmoeten en een hoop interessante mensen hun visie brengen in het seminarprogramma.
Welke les moet je als online startup / digitaal ondernemer hier uit leren ?versie 0.1 – 10 januari 2020 – Jan Guldentops ( j@ba.be )
Wie een beetje de naweeën rond de bestorming van het Capitool in Washington DC gevolgd heeft, weet ondertussen dat Amazon het alternatieve sociale media-netwerk Parler van hun servers heeft gehaald en op die manier ze de facto uit de lucht haalt. (Ik las het eerst op Slashdot)
Net als Google en Apple hun App van de ene dag op de andere uit de store halen, heeft de grote infrastructuur-speler Amazon nu ook de stekker uit hun cloud-infrastructuur gehaald en hen de facto uit de lucht gehaald. Of je het nu met deze actie van de #bigtech groten der aarde eens bent of niet, de almacht en hun quasi-monopoliesituatie kan ook voor jou digitale infrastructuur of impact de nodige gevolgen hebben. In dit stuk beschrijft de auteur de #bigtech groten als digital warlords waar je als gewone digitale sterveling bij terecht kunt voor infrastructuur en bescherming maar waar je compleet weerloos en canceled blijft als je feodale heer, je warlord zich tegen je keert en je in de steek laat. Of in het geval van Parler, als een groepje van de personeelsleden van Amazon besluiten dat je gecanceled moet worden.
We denken dan ook dat je de nodige lessen kan trekken uit dit verhaal als online ondernemer :
Maar by all means, maak gebruik van de cloud-boeren die elastische, wereldklasse, global infrastructuur on-demand leveren. Gebruik ze om je bedrijf kosten-efficiënt en met beperkte investering (CAPEX) te laten groeien. Elasticiteit in de diensten die je afneemt en vooral het feit dat je pay-what-you-actually use kan doen, biedt veel mogelijkheden. Verkoop alleen je ziel niet aan hen door je vast te laten zetten. Gebruik hen maar laat de grote spelers geen mogelijkheid om jou te misbruiken of zelfs te cancellen.
Je wil de toekomst van je bedrijf niet in handen geven van gigantische spelers met monopolistische reflexen voor wie enkel de bottom line telt… Openheid is bij BA vanaf dag één de werkmethode geweest en door de jaren heen hebben we een strategie opgebouwd van best practices en infrastructuren-as-code om een echte lockin-situatie te voorkomen. Drop ons gerust een mailtje op info@ba.be of bel naar 016/298045 voor een brainstorm.
We merken dat in #corona tijden ook cybercriminelen niet stilzitten. Het zijn immers van nature telewerkers die van deze crisis proberen misbruik te maken om nog makkelijker aan je gegevens te geraken. Om jullie te helpen komen we bij BA met een aantal corona-tips, tips om beter en veiliger te kunnen telewerken. Hiervoor baseren we ons op de concrete vragen die we krijgen van onze klanten.
Zelf een vraag of probleem waar u mee zit ? Je kan altijd contact opnemen met support@ba.be of telefonisch +32 16 29 80 45.
Nu iedereen van thuis gaat werken is het vooral belangrijk om de toegang tot de systemen van het bedrijf en alle toepassingen die je in de cloud zitten hebt zeker voldoende te beveiligen.
Het drama is dat we nog altijd toegang van buitenuit dichtzetten met het ouderwetse userid / wachtwoord systeem. Dit is een accident-waiting-to-happen.
Een wachtwoord op zich is immers vaak makkelijk te achterhalen :
Er zijn tientallen andere manier waarop dit kan gebeuren, de makkelijkste met een goeie smoes het wachtwoord gewoon vragen. Ik zit meer dan 20 jaar in informatieveiligheid en in mijn allereerste presentatie die ik gaf, zei ik dat ik het me door de onveiligheid niet kon voorstellen dat we in het nieuwe millennium nog userid/wachtwoorden gingen gebruiken. Ik zal nooit een Nostradamus worden want het is nog altijd nummer één manier om dit te doen.
De malloten van Basta deden het ons al voor
Maar hoe maak je dat dan wel veilig ? Wel door een tweede (of zelfs een derde, vierde ) authenticatie-factor toe te voegen. Nu log je in en krijg je toegang tot alles door iets in te voeren wat je weet. Een veiligere manier zou zijn wat je weet te combineren met iets wat je hebt een zogenaamd token. Dit kunnen heel veel verschillende dingen zijn :
Alternatief kan je ook combineren met wie je bent als factor. Dit noemt men biometrie, waarbij je gebruik maakt van een vingerafdruk, irisscan of je gelaat. Deze toegangscontroles zijn echter minder veilig dan een echte token. Bij een wachtwoord of een token is het immers juist of niet-juist, 0 of 1. Een biometrische toegang werkt op basis van statistische waarschijnlijkheid m.a.w. statistisch gezien is men bijvoorbeeld 99% zeker dat jij het bent. Bij zo’n hoge waarschijnlijkheid gaat bv je vingerafdruk-scan meestal een paar keer misgaan, een zogenaamde false negative, je hebt je vingerafdruk ingescand maar de waarschijnlijkheid is te laag om je binnen te laten. Heel vervelend als je er 10 keer je vinger over moet halen. Daarom zet men dit percentage meestal een stuk lager. Geen of minder false negatives maar de kans dat per ongeluk iemand anders wordt toegelaten is wel groter.
Als je extra factoren gaat gebruiken kan het minder kwaad als je gebruiker slordig met zijn wachtwoord omgaat en het laat slingeren. En vooral: het wordt een heel grote uitdaging om deze toegangsgegevens of credentials via phising te pakken te krijgen. Dit hoeft ook geen dure grap te zijn zowel Google als Microsoft hebben authenticator apps die je gewoon bij op je Smartphone kan zetten en eigenlijk niks meer kosten dan het abonnement dat je nu al met deze bedrijven hebt. Alternatief zijn er betalende oplossing als Yubikey of Vasco of moet ik nu Onespan ( met N in plaats van M ) tokens.
Het hoeft dus geen arm en been te kosten om dit uit te rollen. Alleen je VPN of telewerkersapplicatie moet het ondersteunen en juist ingesteld worden. Er is dus geen excuus meer om geen 2factor authenticatie te gebruiken.
Zelf een vraag of probleem waar u mee zit ? Je kan altijd contact opnemen met support@ba.be of telefonisch +32 16 29 80 45.
Red Hat cap: Make IBM Great Again
© 29 october 2018 – Jan Guldentops ( j@ba.be )
Vanmorgen kwam de aankondiging dat IBM Red Hat wil opkopen voor de stevige som van 34 miljard dollar. Een stevige extra smak van 1,5 keer de beurswaarde van het meest open commerciële bedrijf ter wereld. Ondertussen probeer ik, samen alle andere open source aanhangers de gevolgen hiervan in te schatten. En neen, het gaat me niet om de centen van de aandeelhouders of de belangen van de grote klanten vanRed Hat . Het gaat om het verder bestaan van de open source beweging en alle consequenties van dien.
Ik heb zelf persoonlijk veel te danken aan open source en Linux meer in het bijzonder. Het obscure open en gratis besturingssysteem stelde mij als geschiedenisstudent zonder middelen begin jaren 90 in staat enorm coole internetprojecten uit te voeren. Dit was de tijd dat niemand een idee had wat open source was en je meewarig bekeek als je afweek van de traditionele Sun, IBM, HP of Microsoft-paden om oplossingen te bouwen.
20 jaar later heeft open source op het eerste zicht “gewonnen” – open source zit onder de motorkap van bijna alle onderdelen van onze internet- en digitale economie van smartphones tot cloud-infrastructuur. Zelfs de grote antipool Microsoft is overstag gegaan en omarmt bijvoorbeeld de linux-beweging die haar CEO Balmer ooit een kanker noemde.
Red Hat speelde hier een belangrijke rol in omdat het één van de bedrijven is die bewees dat open source niet voor in lompen geklede anarchisten is maar er ook op een eerlijke manier (veel) geld mee verdiend kan worden. Het is ook een echt open source bedrijf dat de broncode van al zijn producten (en de producten die het overneemt), vrij aan de wereld beschikbaar maakt. Het bedrijf heeft een open ontwikkelingsmodel waarbij er van elk “product” een open source development versie met broncode beschikbaar is en tegelijkertijd een officiële, stabiele, gesupporteerde en betrouwbare maar vooral betalende versie. Als besturingsysteem bieden ze subscriptions op Red Hat Enterprise Linux, waarvan de broncode vrij beschikbaar is en door andere partijen gebundeld wordt als Centos of Scientific Linux. De ontwikkeling doen ze dan in een bleeding edge omgeving genaamd Fedora. Deze lijn wordt doorgetrokken op alle producten: Automation heeft het Ansible Tower en Ansible, update management Sattelite en Spacewalk, enzovoort.
IBM zelf heeft qua open source twee gezichten. Enerzijds heeft het bedrijf een doorbraak veroorzaakt in de Linux beweging door het volledig te omarmen en heeft het zelf heel wat technologie o.a. zijn cloudplatform als broncode beschikbaar gesteld. Anderzijds sleept het bedrijf nog altijd de bijnaam I Blow Money en een reputatie als monopolist mee. En nu biedt big blue 34.000.000.000$ voor een bedrijf waarvan het gratis alle broncode van kan downloaden, kan compileren en als product gebruiken. Het kan verkeren zei Bredero.
Met deze merger vrezen velen een tweede Oracle / SUN scenario waarbij één van de absolute kampioenen van de gesloten software wereld SUN overnam voor zijn hardware, en open source projecten als mysql, openoffice en java een beetje in een moeilijk parket kwamen.
Er werd veel lawaai gemaakt over Microsoft dat Github opslorpte en wat de gevolgen kunnen zijn voor open source. Maar puur strategisch filosofisch is dit een veel groter manoeuvre. Open source is één van de grote motoren van onze digitale innovatie en de stroomversnelling aan nieuwe diensten en technologieën die we aan ijltempo zien verschijnen. Zal deze acquisitie deze ontwikkeling vertragen of versnellen? Is open source ook voor IBM volledig incontournable geworden of gaat het bedrijf de beweging proberen dood te knuffelen? De tijd zal het ons leren…
Overgenomen door Computable.be ( https://www.computable.be/artikel/opinie/infrastructuur/6506660/5594140/wat-gebeurt-er-met-de-rode-fedora.html )
Netevents 2018 Albufeira AI in security panel (bron: Netevents )
Versie 0.1 – 30 september 2018 – Jan Guldentops ( j@ba.be )
In de Portugese Albufeira bracht Netevents een schare professionals samen met een groep journalisten om de huidige stand van de netwerk- en securitywereld op te maken. Het leuke is dat je op Netevents niet alleen in contact komt met de powers-that-be, de grote spelers maar er ook veel kleinere startups hun visie en producten komen toelichten in de hoop voet aan grond te krijgen in de Europese markt.
Eén van de grote problemen van de security-industrie vandaag is de snelheid waarmee alles gebeurd. Duurde het vroeger maanden voor een gekende zwakheid in een systeem werd omgezet in een in het wild voorkomende exploit of malware, gaat dit nu veel sneller. Onderzoeksbureau Ovum denkt dat het gemiddeld net geen 20 dagen duurt maar in de praktijk gaat het vaak slechts om dagen.
Ovum – Attach velocity statistics ( bron: OVUM )
Al een tijdje is er de belofte dat artificiële intelligentie ons allemaal gaat helpen om ICT-beveiliging een stuk beter, goedkoper en vooral minder arbeidsintensief te maken. Geen wonder dat men er op Netevents een debat aan wou wijden waar een aantal wijzen en de informatieveiligheid en één ambetante Belg hun gedachten rond AI kwamen toelichten.
Nu is artificiële intelligentie in de eerste plaats een zo brede containerterm dat het een beetje alles en niks kan beteken. Sterk te vergelijken met dingen als Cloud, IOT of andere brede marketing-termen die wel een lading dekken maar die vaak voor teveel verschillende dingen worden gebruikt.
Ik zou zelf nooit de term AI gebruiken want de versies die we nu hebben zijn nog verre van het mens-vernietigende Skynet waar nerd-guru Elon Musk zo bang van is. Wat je enigszins onder die lading kan dekken zijn drie technieken.
In de eerste plaats is er machine learning wat eigenlijk het verzamelen van een set gegevens is, die je dan met de nodige wiskunde gaat analyseren en conclusies uit puren. Een soort statistische analyse die we al meer dan een decenium gebruiken om regeltjes op te stellen om spam te onderscheppen. Een technologie met heel veel mogelijkheden maar evenveel beperkingen.
Andere discipline die onder AI valt is Natural Language Processing waar men een corpus aan teksten of taal taalkundig gaat analyseren er op die manier wijsheid uit te halen. Het is een techniek die totnogtoe vooral gebruikt wordt in de antivirus en SIEM producten.
De laatste techniek is wat men noemt deep learning waar men neurale netwerken gaat gebruiken om objecten te herkennen. Een techniek die redelijk in zijn begin-fase staat en waar de intelligentie vaak in de soep draait op een onvoorspelbare manier.
Stuk voor stuk kan je met die dingen leuke deelanalyses maken die vaak heel succesvol zijn: het sorteren en klasseren van alarmen of het herkennen van anomalieën. Maar het panel was het eens dat dit een tool, een klein stukje techniek, zeg maar een hamer is waar je één heel specifiek ding heel snel kan doen, meestal veel sneller dan een mens. Maar het is geen magie, het haalt absoluut niet het denkvermogen van een mens, en het is nog mijlenver van een terminator in een strak leren pakje.
Iedereen was het er over eens dat dit soort AI snel zijn weg vindt en zal vinden in allerlei features die de security beheerder minder repititief en geestdodend werk zal geven. Kortom genoeg voor een levendig debat.
Tweede belangrijke vernieuwing is SD-WAN en zijn verschillende afkooksels. In feite ga je een nieuw netwerk in software over je bestaande netwerkverbindingen leggen. In zijn ideale vorm gaat ons dat in staat stellen om bovenop gewone internet of andere datalijnen het perfecte eigen interne WAN-netwerk te bouwen. Op die manier kan je dan zelf Quality-of-service, veiligheid en segmentatie gaan leggen zonder af te hangen van je onderliggende connectiviteits-provider. Dit SD-WAN kan dan hoofdzetels, deelkantoren en verschillende cloud-wolken op een veilige en efficiënte manier met elkaar verbinden tot één groot Wide Area Netwerk. Er zijn spelers die zo ver gaan om deze technologie ook tot op de client door te trekken.
Grote beloftes die de toekomst van producten van VPN tot MPLS op termijn volledig overbodig kunnen maken en de netwerk-infrastructuur veiliger, transparanter en vooral eenvoudiger maken. En daar is nood aan : klanten willen veiligere, eenvoudigere en goedkopere Wide Area Networks.
Opvallend is dat spelers als Versa of Netfoundry ook niet echt met hardware oplossingen komen maar hun product als virtuele machines aanbieden. Je hoeft enkel een eigen virtualisatieplatform(pje) te hebben en dit kan gaan van een RasperyPI, openstack of VMware virtualisatie, docker of Azure-achtige IAAS wolken.
Over potentiële problemen spreekt men weinig. Het is nog zeer vroeg dag voor deze technologie en wat mij vooral stoort is het gebrek aan standaarden waardoor er tussen verschillende oplossingen en vendoren nauwelijks interoperabiliteit zal zijn. Hoewel tig startups in het SD-WAN segment zitten, vrees ik dat je kiest voor één vendor en er zeker voor de nabije toekomst aan vastzit.
Futuriom – Cloud application network challenges
Analyst Futuriom beschrijft de uitdagingen van de nieuwe cloud-gebaseerde wereld uitgebreid : van de steeds grotere behoeftes aan bandbreedte over performantie- en management problemen tot allerlei security-issues. Totnogtoe zijn er 2 grote manieren om alles te verbinden : vpn’s en afgeschermde gesloten netwerken zoals MPLS. SD-WAN belooft vooral een derde alternatief te zijn dat ons op termijn van VPN’S moet verlossen. 63% van de respondenten in Futuriom kloeg over de performantie van hun vpn netwerken en 1/3 vindt ook het management en de configuratie van de VPNs moeilijk
Futuriom – vpn 4 cloud
Het meest interessante sprookje komt van Netfoundry. Het bedrijf is onstaan binnen TATA Communications ( de netwerk en datacenter divisie van de grote TATA industriële groep) om een stuk interne technologie te bouwen om datacenters en cloud met elkaar te verbinden. Het werd onmiddellijk geconcipieerd als een soort interne startup en men is de zakelijke huishouding zo aan het herorganiseren dat er ook extern kapitaal kan instappen.
Zelf zegt het bedrijf dat het Application Specific Networking levert. In feite leveren ze een overlay over de bestaande netwerken en verbindingen en zorgen ervoor dat de applicaties gewoon veilige verbindingen hebben. Philip Griffiths (Netfoundry) : “Het enige dat de business interesseert is dat de toepassingen en applicaties draaien”.
Alles draait volledig op om het even welke virtuele infrastructuur ( dus ze gaan geen hardware-dozen leveren in de nabije toekomst). De belofte is dat ze alles een stuk meer Agile, eenvoudiger, performanter en veiliger gaan maken. Het is veelbelovende technologie die we binnenkort eens stevig aan de tand gaan voelen in het testlab.