Het is de 4e week van januari en dat betekent dat de eerste maand van 2020 er alweer bijna opzit. En dat was nogal een bewogen maand op het gebied van informatiebeveiliging en privacy. Zo hebben we onder andere twee grote aanvallen gehad op respectievelijk GWX en de Universiteit Maastricht en was ook Citrix lek. Laatstgenoemde heeft inmiddels de benodigde patches uitgerold en stelt tevens de gang van zaken de afgelopen twee weken te betreuren. Ik heb echter zo’n vermoeden dat de getroffen bedrijven hetgeen voorgevallen is nog meer betreuren. Maar goed, in deze blog zullen we daar niet verder bij stil staan. In plaats daarvan leggen we de focus op een ernstig lek in 1100 Nederlandse Remote Desktop Gateways, een opvallend datalek bij KPN en behandelen we de schaamte die mensen ondervinden bij WhatsApp fraude.
Actueler dan dit gaat onze, inmiddels fameuze Rootsec blog, niet worden. Vanochtend kwam namelijk naar buiten dat er nog altijd meer dan 1100 servers zijn met een ernstig lek. Dit lekt komt voort uit kwetsbaarheden welke zich voor doen in de Windows Remote Desktop Gateway. Ondanks dat er op 14 januari een beveiligingsupdate werd vrijgegeven, zijn er nog altijd ruim 1100 kwetsbare servers in Nederland via het internet toegankelijk. Aan deze 1100 organisaties; we zijn niet boos, maar wel teleurgesteld. Wereldwijd gaat het zelfs om 16.000 servers waarbij de vrijgegeven update nog niet is geïnstalleerd. Je zou verwachten dat na het hele Citrix debacle organisaties wat meer prioriteit zouden geven aan essentiële updates, maar niet dus. Hoe werkt deze kwetsbaarheid? De Remote Desktop Gateway stelt aanvallers in staat om in te loggen op machines achter de gateway binnen het bedrijfsnetwerk door misbruik te maken van de Windows Remote Desktop Client.
Meer alarmerend is wellicht nog wel de simpliciteit waarmee deze exploit is uit te voeren. De aanvaller hoeft enkel een speciaal geprepareerd request te verzenden. That’s it. Er zijn dus geen geldige inloggegevens nodig, enkel een RDP verbinding. Deze exploit staat inmiddels trouwens online. Het advies vanuit Windows is uiteraard om deze kwetsbaarheden zo spoedig mogelijk te verhelpen middels de update. Er zijn vooralsnog geen aanvallen waargenomen, aldus het Security Meldpunt. Maar ervaring leert dat dit een kwestie van tijd zal zijn. Ons advies, voor een ieder die dit leest, trek aan de bel bij de juiste persoon binnen uw organisatie en controleer of de update bijtijds is uitgevoerd. Zo niet, neem dan contact op en wij kunnen, middels een vulnerability assessment, voor u controleren of er inderdaad misbruik van is gemaakt.
Misschien wel de ergste nachtmerrie van mening lezer, het onbewust laten slingeren van je laptop met gevoelige data. En dan doelen we niet op het mapje met vieze filmpjes, maar op data waardoor de Autoriteit Persoongegevens (AP) je stevig op de vingers zal tikken. Het overkwam een monteur van KPN recentelijk toen hij een laptop met een gevoelige informatie bij een klant achterliet en, dit is opvallend, vervolgens nooit meer ophaalde. aldus Trouw. Nu, alvorens we verder kijken naar dit incident, is het wel amusant om even naar het security-beleid van KPN te kijken. Een woordvoerder heeft namelijk laten weten dat KPN een “betrouwbaar en solide security-beleid” voert. Ditzelfde beleid wordt zelfs per kwartaal geactualiseerd overeenkomstig met de meest recente eisen en ontwikkelingen. Klinkt als een goed beleid toch? In de volgende alinea een accurate uiteenzetting van het verschil tussen een goed beleid en de naleving hiervan.
De laptop die door de monteur in kwestie werd achtergelaten was namelijk niet beveiligd met een wachtwoord. Hierdoor was het voor iedereen mogelijk om in te loggen. Daarnaast waren ook de inloggegevens van allerlei bedrijfswebsites in de browser van de laptop opgeslagen. Tweefactorauthenticatie bleek ook niet nodig, kortom, vrij spel! Zo kon er zonder problemen toegang verkregen worden tot het intranet van TeamKPN. Hier stonden vervolgens weer veel, heel veel, vertrouwelijke documenten zoals organisatieschema’s met verwijzingen naar de AIVD, het ministerie van Defensie en het Koninklijk Huis. Om nog maar te zwijgen over dat bestand met 16.000 namen van zakelijke en publieke klanten. En zo kunnen we nog wel even doorgaan, maar het punt is gemaakt. Naar aanleiding van het incident heeft KPN overigens gemeld dat het de gemaakte afspraken, maar vooral de naleving hiervan, zal gaan bekijken. Bij Rootsec leggen we vaak de focus op het technische aspect van informatiebeveiliging, maar onthoud dat het allemaal begint bij een sterk beleid en de juiste naleving hiervan. Een werknemer, zoals deze monteur, kan je namelijk aan het einde van de dag simpelweg niet achter een firewall plakken.
En tot slot, schaamte bij slachtoffers van WhatsApp-fraude. Waarom schaamte? Omdat iedereen hier ongeveer hetzelfde over zegt “daar trap je toch niet in?”. Deze uitspraak kan hard aankomen bij iemand die er wel is ingetrapt en vervolgens tot zoveel schaamte leiden dat ze het vervolgens niet eens melden. Maar wat minder algemeen bekend is, is de vernuftigheid van de aanvallers. Zo gebruiken de oplichters tegenwoordig tactieken die minder snel te doorzien zijn. De WhatsApp accounts zijn compleet met profielfoto van de persoon wiens identiteit ze gestolen hebben. Via social media doen ze uitgebreid onderzoek naar familierelaties, hoe de persoon communiceert (woordgebruik, zinsbouw) en zelfs welke emojis vaak gebruikt worden. Enkele wantrouwende mensen hebben naar het nummer gebeld en waren er vervolgens toch van overtuigd de stem van de persoon in kwestie te herkennen. Dit doen de aanvallers door veel ruis op de lijn te creëren waardoor het slecht te horen is, maar vanwege de hoge mate van geloofwaardigheid, ben je sneller geneigd te geloven dat het inderdaad de stem is van je zoon, tante of vriendje. Vervolgens wordt er geld overgemaakt, want daar is het allemaal om te doen. Dit bedrag is de afgelopen jaren ook sterk toegenomen. Waar het in 2018 nog om gemiddeld 2100 euro ging, steeg dit in 2018 naar 3000 euro en is de verwachting dat het dit jaar de 4000 euro zal passeren. Ons advies, schaam je niet en doe meteen aangifte. De politie kan namelijk onderzoeksmiddelen inzetten om de verdachte te achterhalen, zelfs wanneer deze de verbinding al heeft verbroken.
Automated page speed optimizations for fast site performance