Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

DarkV
Premium Member
Premium Member
Berichten: 566
Lid geworden op: 17 Apr 2019
Bedankt: 20 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 16 keer

Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor DarkV » 14 Jan 2020, 13:09

De Belgische weefgetouwenproducent Picanol is maandag getroffen door een aanval met ransomware. Het bedrijf bevestigt dat de systemen volledig plat liggen, wat naar eigen zeggen nogal problematisch voor de productieactiviteiten is.

Bron: https://tweakers.net/nieuws/162238/belg ... mware.html

tien
Premium Member
Premium Member
Berichten: 641
Lid geworden op: 17 Apr 2019
Locatie: Attenhoven (Landen)
Bedankt: 27 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 31 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor tien » 14 Jan 2020, 13:18

Het kan een probleem zijn bij de produktie #understatement
Ook bij het manueel invullen van de 1600-2300 papieren voor tijdelijke werkloosheid.

Hopelijk is de schrapping van het aandeel op de beurs enkel tijdelijk uit bescherming, is best wel interessant bedrijf :eek:

Tomby
Elite Poster
Elite Poster
Berichten: 4355
Lid geworden op: 01 Feb 2006
Bedankt: 290 keer
Recent bedankt: 13 keer
Uitgedeelde bedankjes: 627 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor Tomby » 14 Jan 2020, 13:20

Beetje oud nieuws, niet ? Zat gisteren in zowat alle nationale nieuws en kranten :P.
Ondertussen : https://www.standaard.be/cnt/dmf20200114_04804843
Afbeelding

DarkV
Premium Member
Premium Member
Berichten: 566
Lid geworden op: 17 Apr 2019
Bedankt: 20 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 16 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor DarkV » 14 Jan 2020, 13:25

Tomby schreef:Beetje oud nieuws, niet ?


Ik wou even het topic gebruiken om volgende bedenking... draaien al die kritieke processen dan op servers welke Fileserving enabled hebben en waar een gebruiker zomaar toegang heeft tot alles ?

Ik zou verwachten dat kritische servers niet zomaar voor iedereen toegankelijk zijn en gebruik maken van client-server protocollen (bv. database links)… of doet men bij Picanol nog alles met Notepad ?

Gebruikersavatar
Joe de Mannen
Elite Poster
Elite Poster
Berichten: 4160
Lid geworden op: 22 Feb 2005
Bedankt: 471 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 457 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor Joe de Mannen » 14 Jan 2020, 13:38

Tja, er moet toch iemand mee kunnen werken. Je kan nu éénmaal niet alles toetimmeren want dan kan je niet werken.

Het is toch altijd een balans zoeken tussen dichtgetimmerd en werkbaarheid...
J.
Ik ben alleen verantwoordelijk voor mij eigen uitspraken, niet voor wat anderen ervan maken of aan toevoegen...

tien
Premium Member
Premium Member
Berichten: 641
Lid geworden op: 17 Apr 2019
Locatie: Attenhoven (Landen)
Bedankt: 27 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 31 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor tien » 14 Jan 2020, 13:40

machines heel veel 'het simpelste protocol mogelijk'
zou er niet van verschieten. Denk dat je achterover valt hoeveel telnet & ftp er nog intern gebeurd.

tb0ne
Elite Poster
Elite Poster
Berichten: 989
Lid geworden op: 24 Aug 2012
Bedankt: 84 keer
Uitgedeelde bedankjes: 28 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor tb0ne » 14 Jan 2020, 13:45

Ik vraag mij vooral af welke ransomware en wat was het point of entry?
In de media verscheen al iets over vpn, misschien nog een lekke PulseSecure?
Langs de andere kant zit Citrix ook met een redelijke exploit momenteel...

boran_blok
Premium Member
Premium Member
Berichten: 668
Lid geworden op: 09 Mar 2011
Bedankt: 50 keer
Uitgedeelde bedankjes: 13 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor boran_blok » 14 Jan 2020, 15:00

Bij een klant van ons is dit ook voorgevallen en ik kan niets zeggen of het nu bij picanol ook zo is, maar daar was het echt wel een getargette attack. Geen huis-tuin en keuken ransomware virusje, maar een intrusie waarschijnlijk al maandan vooraf, alles was grondig voorbereid en uitgevoerd vlak voor een periode van productie-rust zodat het bedrijf kans had om te betalen zonder bedrijfsimpact.

Een gewone backup strategie waarbij men mits domein admin rechten nog aan de backups kan is hierbij niet voldoende, je moet echt volledig afgesneden backup systemen hebben waarbij iemand met volledig toegang toch niet in staat is om deze te verwijderen.

Dus welke ransomware, kan waarschijnlijk beantwoorden worden als "iets custom op maat geschreven" het kan zelfs zijn dat ze gewone off the shelf encryptie software gebruiken. Het is de intrusie die het probleem is, op zich niet een ransomware virus.

En point of entry is heel breed, er moet maar één toegangspunt zijn en één privilige escalation en ze zitten binnen.

Gebruikersavatar
heist_175
Elite Poster
Elite Poster
Berichten: 8221
Lid geworden op: 07 Okt 2010
Locatie: Kempen
Bedankt: 599 keer
Recent bedankt: 20 keer
Uitgedeelde bedankjes: 350 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor heist_175 » 14 Jan 2020, 15:07

Joe de Mannen schreef:Het is toch altijd een balans zoeken tussen dichtgetimmerd en werkbaarheid...

In principe heb je gelijk, maar dit grapje kost onnoemlijk veel geld.
Geld dat ze toch beter in IT en proces- en procedureoptimalisatie hadden gestoken.

Gebruikersavatar
Joe de Mannen
Elite Poster
Elite Poster
Berichten: 4160
Lid geworden op: 22 Feb 2005
Bedankt: 471 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 457 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor Joe de Mannen » 14 Jan 2020, 15:52

Tuurlijk kost dit veel geld, maar zonder details weet je niet of het 'te vermijden' geweest is of niet.

Ik werk in een sector waar beveiliging een hoofdzaak is, soms gaat het zover dat men wel support wenst maar niemand fysiek toegang wil geven tot een gebouw. Da's natuurlijk veilig maar niet werkbaar.

Da's als reclameren bij de poetsvrouw dat het niet gekuist is, terwijl ge angstvallig uw deur op slot houdt. Dat werkt niet.
En dan kan je dat oplossen op verschillende manieren, je kan zelf de deur opendoen en uw poetsvrouw binnenlaten, ze heel de tijd in 't oog houden en ze terug buiten laten, deur achter haar gat op slot doen (alles M/V/X uiteraard).
Of je kan ze een sleutel geven en zelf gaan werken.

In beide gevallen kan het mis lopen. Maar wat is meer werkbaar ?

J.
Ik ben alleen verantwoordelijk voor mij eigen uitspraken, niet voor wat anderen ervan maken of aan toevoegen...

DarkV
Premium Member
Premium Member
Berichten: 566
Lid geworden op: 17 Apr 2019
Bedankt: 20 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 16 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor DarkV » 14 Jan 2020, 16:09

tien schreef:Denk dat je achterover valt hoeveel telnet & ftp er nog intern gebeurd.


Maar over dergelijke protocollen kan je geen massale encryptie doen van bestanden.

Ik zou gewoon graag weten hoe het virus z'n werk doet... is het een gebruiker die op een onbekend attachment klikt waarbij het ding alle drive mappings meteen gaat encrypteren, of is het veel geavanceerder en gebruikt men bijvoorbeeld een buffer overflow met privelege escalation om code rechtstreeks op een server te draaien en daar massaal en encrypteren.

Het eerste kan je misschien nog vermijden (alhoewel users opvoeden niet eenvoudig is), het tweede al veel moeilijker (behalve continue patchen).

ITnetadmin
Elite Poster
Elite Poster
Berichten: 7588
Lid geworden op: 28 Jan 2012
Bedankt: 560 keer
Recent bedankt: 14 keer
Uitgedeelde bedankjes: 125 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor ITnetadmin » 14 Jan 2020, 16:12

Productienetwerken airgappen zou een goed begin zijn, met dedicated workstations enzo.

DarkV
Premium Member
Premium Member
Berichten: 566
Lid geworden op: 17 Apr 2019
Bedankt: 20 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 16 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor DarkV » 14 Jan 2020, 16:30

Uiteindelijk moeten die netwerken wel input krijgen vanuit bv. het order systeem... airgappen wordt dan moeilijk.

Voor pure process bewaking zijn er mogelijkheden denk ik maar zoiets moet je echt case by case bekijken.

SpecialK
Elite Poster
Elite Poster
Berichten: 941
Lid geworden op: 22 Mei 2013
Bedankt: 73 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 2 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor SpecialK » 14 Jan 2020, 16:32

Het is perfect mogelijk dat het productienetwerk niet geimpacteerd is, maar dat niemand nog op het ERP-systeem kan inloggen en men daardoor niet weet wat er geproduceerd moet worden. Die producten zijn zo klantspecifiek dat je niet kan zeggen: bouw zo maar wat en we passen het dan desnoods nadien nog wel aan.

Al vraag ik me ook wel af hoe bv een ERP-systeem kwetsbaar zou zijn door iets dat via file shares werkt...

ITnetadmin
Elite Poster
Elite Poster
Berichten: 7588
Lid geworden op: 28 Jan 2012
Bedankt: 560 keer
Recent bedankt: 14 keer
Uitgedeelde bedankjes: 125 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor ITnetadmin » 14 Jan 2020, 20:15

Ik zou bijna durven zeggen: de airgap bridgen met een serial connection tussen twee programmas die enkel voorgeconfigde inputs en values accepteren.

CCatalyst
Elite Poster
Elite Poster
Berichten: 2878
Lid geworden op: 20 Jun 2016
Bedankt: 248 keer
Recent bedankt: 22 keer
Uitgedeelde bedankjes: 14 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor CCatalyst » 14 Jan 2020, 20:32

Tangentieel on topic, vandaag de laatste dag dat Microsoft nog ondersteuning biedt voor Windows 7. Vanaf morgen is het gedaan met security updates, tenzij je Microsoft betaalt en dan willen ze nog 3 jaar langer updates leveren.

Dat belooft weinig goeds als ik zie hoe vaak Windows 7 nog gebruikt wordt in de bedrijfswereld hier.

Gebruikersavatar
Joe de Mannen
Elite Poster
Elite Poster
Berichten: 4160
Lid geworden op: 22 Feb 2005
Bedankt: 471 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 457 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor Joe de Mannen » 14 Jan 2020, 20:58

En net nu komt win10 met een beveiligingslek...
Ik ben alleen verantwoordelijk voor mij eigen uitspraken, niet voor wat anderen ervan maken of aan toevoegen...

Gebruikersavatar
heist_175
Elite Poster
Elite Poster
Berichten: 8221
Lid geworden op: 07 Okt 2010
Locatie: Kempen
Bedankt: 599 keer
Recent bedankt: 20 keer
Uitgedeelde bedankjes: 350 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor heist_175 » 14 Jan 2020, 21:21

CCatalyst schreef:Dat belooft weinig goeds als ik zie hoe vaak Windows 7 nog gebruikt wordt in de bedrijfswereld hier.

En wat dacht je van de voorlopers van W7? Hoeveel beursgenoteerde bedrijven zouden er nog kritische toepassingen draaien op een pre W7 toestel? Ik denk dat je steil achterover zou vallen...

CCatalyst
Elite Poster
Elite Poster
Berichten: 2878
Lid geworden op: 20 Jun 2016
Bedankt: 248 keer
Recent bedankt: 22 keer
Uitgedeelde bedankjes: 14 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor CCatalyst » 14 Jan 2020, 21:25

Joe de Mannen schreef:En net nu komt win10 met een beveiligingslek...


Windows 7 ook.

Support for Windows 7 is nearing the end met Rachel Dolezal

tien
Premium Member
Premium Member
Berichten: 641
Lid geworden op: 17 Apr 2019
Locatie: Attenhoven (Landen)
Bedankt: 27 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 31 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor tien » 15 Jan 2020, 07:26

Heb nog voldoende collega's die vechten om windows 98 buiten te krijgen...
Dikwijls is dat dan 'gewoon terminal/controler' voor machine van paar duizenden euros die wel nog zijn werk doet, niet meer onderhouden wordt en waar er geen vervanging voor gepland is.
Sinumerik is dan weer linux gebaseerd maar twijfel of daar veel aan het os zelf gewerkt wordt. Voor de prijs van onderhoud zou er toch soms wel eens update mogen gebeuren. (moet niet eens aan internet gekoppeld zijn om malware binnen te krijgen, dat hebben ze bij Siemens toch al geleerd)

Eigenlijk hetzelfde probleem als iot (het zijn gewoon grote T's...), zeker buiten ICT is er enorm veel 'smerig' oud spul in produktie.

Hoop dat er met zo enkele zware problemen ogen open gaan.

Gebruikersavatar
devilkin
Elite Poster
Elite Poster
Berichten: 2685
Lid geworden op: 17 Mei 2006
Twitter: jdeluyck
Locatie: Gent
Bedankt: 120 keer
Recent bedankt: 20 keer
Uitgedeelde bedankjes: 262 keer
Contact:

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor devilkin » 15 Jan 2020, 08:09

Zolang men beseft dat die oude windows machines er nog zijn, en deze ook volledig ontkoppeld gebruikt worden (lees: enkel aan het toestel waar ze moeten aanhangen voor sturing) hoeft dit niet perse een probleem te zijn. Maar men moet wel de nodige maatregelen nemen.

Ik vraag me ook af in hoeverre mate deze infectie (want dit is het uiteindelijk wel) niet de oorzaak kan zijn van iemand die op een linkje geklikt heeft?
Bij ons op't werk doen ze met regelmaat phishingmail testen, en er hangt ook wel degelijk iets aan vast als er teveel mensen op klikken.
Orange Love Trio -- using Ubiquiti USG-3
Orange Dolphin & Proximus (corporate) -- Using OnePlus 6 (ROM: Stock)

Doktor Avalanche
Premium Member
Premium Member
Berichten: 680
Lid geworden op: 21 Dec 2010
Locatie: Oostmalle
Bedankt: 71 keer
Uitgedeelde bedankjes: 119 keer
Contact:

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor Doktor Avalanche » 15 Jan 2020, 08:59

Ik ken hier in de buurt ook een kmo, die dit heeft voorgehad. Was een email met daarin een bestelbon in word. Het openen van dit word document startte de encryptie. Kostprijs was 1 bitcoin om te decrypten. Ze hebben het kunnen oplossen met een backup.
"The Internet is allergic to truth, reason and humour."

CCatalyst
Elite Poster
Elite Poster
Berichten: 2878
Lid geworden op: 20 Jun 2016
Bedankt: 248 keer
Recent bedankt: 22 keer
Uitgedeelde bedankjes: 14 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor CCatalyst » 15 Jan 2020, 09:23

heist_175 schreef:En wat dacht je van de voorlopers van W7? Hoeveel beursgenoteerde bedrijven zouden er nog kritische toepassingen draaien op een pre W7 toestel? Ik denk dat je steil achterover zou vallen...


Vista zie ik nergens meer daar deze versie nooit echt aangeslaan heeft in de bedrijfswereld. XP wel maar toch nooit meer verbonden met het internet. Pre-XP niets meer.

Dan al die Server varianten daarvan zou ik zelfs niet weten welke gevaarlijk is en welke niet, gelukkig dat dit niet mijn domein is en ik dus ook niet veel met deze zaken geconfronteerd wordt en van cryptolocker toestanden gespaard blijf. Wij kunnen wel nog klagen, maar de wereld van de IT-collega's die wel met dat Windows-gedoe bezig moeten zijn moet toch wel de grootste hel zijn van allemaal.

DarkV
Premium Member
Premium Member
Berichten: 566
Lid geworden op: 17 Apr 2019
Bedankt: 20 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 16 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor DarkV » 15 Jan 2020, 10:07

SpecialK schreef:Al vraag ik me ook wel af hoe bv een ERP-systeem kwetsbaar zou zijn door iets dat via file shares werkt...


Die vraag stel ik me dus ook constant... daarom dat men zou moeten verplichten getroffen bedrijven te communiceren over de attack vector.

ITnetadmin schreef:Ik zou bijna durven zeggen: de airgap bridgen met een serial connection tussen twee programmas die enkel voorgeconfigde inputs en values accepteren.


Gewoon een firewall met beperking tot één protocol (bv. MQ) zou voldoende moeten zijn.

ITnetadmin
Elite Poster
Elite Poster
Berichten: 7588
Lid geworden op: 28 Jan 2012
Bedankt: 560 keer
Recent bedankt: 14 keer
Uitgedeelde bedankjes: 125 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor ITnetadmin » 15 Jan 2020, 11:25

DarkV schreef:
ITnetadmin schreef:Ik zou bijna durven zeggen: de airgap bridgen met een serial connection tussen twee programmas die enkel voorgeconfigde inputs en values accepteren.

Gewoon een firewall met beperking tot één protocol (bv. MQ) zou voldoende moeten zijn.

Vertrouw ik niet genoeg in.
Ook firewalls hebben bugs die je kan uitbuiten.

Een volledig geisoleerd airgapped productienetwerk, desnoods met 1 serial of ander protocol kabel verbonden met een standalone workstation (die geen deel is van het airgapped netwerk maar apart staat), die orders verwerkt via een ingeplugde usb stick.
Een hacker gaat al goed moeten zijn om die standalone pc software zo te corrupten dat ie verkeerde orders doorgeeft via zijn serial link.
En zelfs dan is dat snel gefixed, gewoon een backup standalone bovenhalen en nieuwe orders doorvoeren en klaar.

DarkV
Premium Member
Premium Member
Berichten: 566
Lid geworden op: 17 Apr 2019
Bedankt: 20 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 16 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor DarkV » 15 Jan 2020, 11:44

ITnetadmin schreef:Ook firewalls hebben bugs die je kan uitbuiten.


Inderdaad maar dan zit je al op een gans ander niveau... voor kerncentrales en andere kritieke infrastructuur kan ik dit begrijpen, voor een standaard bedrijf is dergelijke manier van werken gelukkig nog niet aan de orde volgens mij.

ITnetadmin schreef:via een ingeplugde usb stick.


Hopelijk begrijp ik je verkeerd want het gebruik van USB sticks is totaal NOT DONE in termen van security (zelfs niet als ze encrypted zijn).

ITnetadmin schreef:Een hacker gaat al goed moeten zijn om die standalone pc software zo te corrupten dat ie verkeerde orders doorgeeft via zijn serial link.


Verkeerde orders is niet meteen een probleem... gans de productie die stil ligt is van een totaal andere orde.

CCatalyst
Elite Poster
Elite Poster
Berichten: 2878
Lid geworden op: 20 Jun 2016
Bedankt: 248 keer
Recent bedankt: 22 keer
Uitgedeelde bedankjes: 14 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor CCatalyst » 15 Jan 2020, 11:58

Gegevens uitwisselen via floppies is nog het beste.

Gebruikersavatar
devilkin
Elite Poster
Elite Poster
Berichten: 2685
Lid geworden op: 17 Mei 2006
Twitter: jdeluyck
Locatie: Gent
Bedankt: 120 keer
Recent bedankt: 20 keer
Uitgedeelde bedankjes: 262 keer
Contact:

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor devilkin » 15 Jan 2020, 13:04

Zo newfangled. Steekkaarten!
Orange Love Trio -- using Ubiquiti USG-3
Orange Dolphin & Proximus (corporate) -- Using OnePlus 6 (ROM: Stock)

tien
Premium Member
Premium Member
Berichten: 641
Lid geworden op: 17 Apr 2019
Locatie: Attenhoven (Landen)
Bedankt: 27 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 31 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor tien » 15 Jan 2020, 13:07

devilkin schreef:Zo newfangled. Steekkaarten!

Vooral voor weefgetouwen :angel:

Gebruikersavatar
Joe de Mannen
Elite Poster
Elite Poster
Berichten: 4160
Lid geworden op: 22 Feb 2005
Bedankt: 471 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 457 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor Joe de Mannen » 15 Jan 2020, 14:17

Een weefgetouw heeft toch geen IT nodig :)
J.
Ik ben alleen verantwoordelijk voor mij eigen uitspraken, niet voor wat anderen ervan maken of aan toevoegen...

tien
Premium Member
Premium Member
Berichten: 641
Lid geworden op: 17 Apr 2019
Locatie: Attenhoven (Landen)
Bedankt: 27 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 31 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor tien » 15 Jan 2020, 14:22

maar is wel waar ponskaarten vandaan komen :idea:

Zelfs hobbymateriaal kan overigens pc gestuurd (is dat intussen niet bij elke hobby :lol: ).

ITnetadmin
Elite Poster
Elite Poster
Berichten: 7588
Lid geworden op: 28 Jan 2012
Bedankt: 560 keer
Recent bedankt: 14 keer
Uitgedeelde bedankjes: 125 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor ITnetadmin » 15 Jan 2020, 15:59

DarkV schreef:
ITnetadmin schreef:via een ingeplugde usb stick.

Hopelijk begrijp ik je verkeerd want het gebruik van USB sticks is totaal NOT DONE in termen van security (zelfs niet als ze encrypted zijn).

Tja, ik zie liever full airgaps, maar men zit hier te zagen dat het erp systeem de productie moet kunnen accessen.
Dan zie ik dat liever via een isolated workstation met een usb stick gebeuren dan networked.
Die isolated workstation kan je dan ook snel wegzetten en vervangen als ie besmet raakt.
En de link met het productienet als serial doen zorgt ervoor dat zelfs besmet die workstation weinig schade kan aanrichten.


DarkV schreef:
ITnetadmin schreef:Een hacker gaat al goed moeten zijn om die standalone pc software zo te corrupten dat ie verkeerde orders doorgeeft via zijn serial link.

Verkeerde orders is niet meteen een probleem... gans de productie die stil ligt is van een totaal andere orde.

Wat dus niet gaat gebeuren wanneer je enkel pre arranged commands via serial aanvaardt.


Ik vat het nog ns samen:
Een volledig airgapped productienetwerk, dat gerund wordt vanop een server.
Volledig = geen vlans, maar fysiek gescheiden switchen en apparatuur.
Die server aanvaardt orders via een serial link, en enkel prearranged values.
Die serial link aansturen vanop een volledig geisoleerde workstation.
Die workstation orders geven via usb.
Zelfs als de usb en dus de workstation compromised raken, kan het virus zich niet over de serial link naar het productienetwerk verspreiden.

DarkV
Premium Member
Premium Member
Berichten: 566
Lid geworden op: 17 Apr 2019
Bedankt: 20 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 16 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor DarkV » 15 Jan 2020, 16:18

ITnetadmin schreef:Die serial link aansturen vanop een volledig geisoleerde workstation.
Die workstation orders geven via usb.


Dan heb je al een dubbele GAP... ik zie niet in waarom die stap nodig is (in de meeste normale bedrijven).

Als je workstation enkel een seriele link heeft met een productie server dan zal deze nooit besmet kunnen geraken (tenzij je serieel protocol dat je hebt bedacht toelaat binaire files over te sturen).

Nu dat serieel protocol is wat mij betreft een synoniem voor eender welk beperkt protocol (MQ, database link, sockets connectie, …). In theorie zijn deze nog steeds vatbaar maar dan moet je als externe kennis hebben van het gebruikte protocol en hierin buffer overflows gaan produceren om toch code te laten draaien op de target (wat je in theorie ook bij die seriele connectie kan).

In ieder geval... beperk de attack surface tussen je end-user en productie netwerk maximaal... ik kan me moeilijk van de indruk ontdoen dat dit hier het geval was. Tevens ben ik blij nog altijd in het "grotere" segment te zitten van systemen en niet in het Windows gebeuren waar dit dagelijkse kost is wat je niet kan zeggen van het grotere segment (maar dat vinden de meeste managers maar oudbollig :roll: ).

Gebruikersavatar
devilkin
Elite Poster
Elite Poster
Berichten: 2685
Lid geworden op: 17 Mei 2006
Twitter: jdeluyck
Locatie: Gent
Bedankt: 120 keer
Recent bedankt: 20 keer
Uitgedeelde bedankjes: 262 keer
Contact:

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor devilkin » 15 Jan 2020, 16:36

Wat is voor jou het grotere segment?
Orange Love Trio -- using Ubiquiti USG-3
Orange Dolphin & Proximus (corporate) -- Using OnePlus 6 (ROM: Stock)

DarkV
Premium Member
Premium Member
Berichten: 566
Lid geworden op: 17 Apr 2019
Bedankt: 20 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 16 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor DarkV » 15 Jan 2020, 19:37


axs
Moderator
Moderator
Berichten: 2353
Lid geworden op: 18 Dec 2010
Bedankt: 201 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 427 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor axs » 15 Jan 2020, 20:15

Ik denk dat jullie versteld zouden staan hoeveel systemen er nog op XP (embedded) - Windows 7 draaien in de medical devices sector.... en nog meer van hoeveel er gekoppeld zijn op 1 of ander netwerk met oa direct access tot patiënt gegevens.

Gebruikersavatar
Fatsie
Pro Member
Pro Member
Berichten: 308
Lid geworden op: 29 Dec 2010
Bedankt: 30 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 64 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor Fatsie » 15 Jan 2020, 20:30

Ik hunker terug naar "mijn" DEC/Compaq bakken met OpenVMS ...

(en zou HEEL graag eens met IBM z systemen kennis maken)

Gebruikersavatar
mailracer
Elite Poster
Elite Poster
Berichten: 3465
Lid geworden op: 23 Feb 2010
Bedankt: 274 keer
Recent bedankt: 5 keer
Uitgedeelde bedankjes: 206 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor mailracer » 16 Jan 2020, 00:10

CCatalyst schreef:Gegevens uitwisselen via floppies is nog het beste.


Via een sneakernet :banana:

https://nl.m.wikipedia.org/wiki/Sneakernet

silencer
Elite Poster
Elite Poster
Berichten: 3947
Lid geworden op: 08 Jul 2008
Locatie: 398m van de ROP@0.48dB
Bedankt: 99 keer
Uitgedeelde bedankjes: 160 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor silencer » 16 Jan 2020, 00:38

heist_175 schreef:
CCatalyst schreef:Dat belooft weinig goeds als ik zie hoe vaak Windows 7 nog gebruikt wordt in de bedrijfswereld hier.

En wat dacht je van de voorlopers van W7? Hoeveel beursgenoteerde bedrijven zouden er nog kritische toepassingen draaien op een pre W7 toestel? Ik denk dat je steil achterover zou vallen...


Nog +500 Windows 2000 toestellen en +500 Win XP hierzo (en domein controllers van 2003) met firewall domain af (gpo), gelukkig afgeschermd van internet (op een paar uitzonderingen na :bang: ).

joriz
Pro Member
Pro Member
Berichten: 443
Lid geworden op: 13 Mei 2006
Bedankt: 29 keer
Uitgedeelde bedankjes: 29 keer

Re: Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

Berichtdoor joriz » 16 Jan 2020, 18:56

Wat is best practices dan om dergelijke machines te blocken van het net? Via IP op de firewall?
Edpnet VDSL XL + Voip @ 100/30Mbit / Fritzbox 7490


Terug naar “Netwerken en Security”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 3 gasten