In Nederland raasde de afgelopen week een perfecte cyberstorm, die ervoor zorgde dat het voor gewone burgers tot nu toe anonieme bedrijf Citrix overal in de media opdook. Door een fout in Citrix apparatuur kunnen medewerkers van Schiphol, ministeries, gemeenten en ziekenhuizen niet meer thuiswerken totdat een definitieve technische oplossing voor de fout beschikbaar is. Het is wel een lokale storm. Zoek op de websites van BBC, CNN, The Guardian, EL PAÍS of Le Soir maar eens naar “Citrix”. Je vindt niet eens een miniberichtje over de storm.
Afgaande op de berichten in Nederland zouden beleggers in Citrix zich zorgen moeten maken, maar het aandeel steeg in de periode sinds de bekendmaking van het lek met zo’n 8 procent. De Nederandse 'Citrix-files' hadden tot gisteravond geen effect op de beurskoers, of het moest een positief effect zijn. Zijn we dan gek geworden in Nederland? Wat weten wij wat ze in andere landen niet weten? Omdat we nog midden in de storm zitten, is het nog te vroeg om daarover conclusies te trekken.
Een lek van de gevaarlijkste soort
Wat zeker is: het Citrix beveiligingslek is er één van de gevaarlijkste soort. Citrix maakt onder meer apparatuur waarmee bedrijven, overheden en andere organisaties hun werknemers of relaties beveiligd toegang bieden tot hun netwerk. Zo kunnen ambtenaren, dokters en rechters thuis of onderweg inloggen en werken. Omdat die zogeheten Netscalers van Citrix aan de Internet-toegangspoort van een beveiligd bedrijfsnetwerk staan, kan een fout in de software ervan enorme gevolgen hebben. Hackers kunnen daardoor in principe wachtwoorden of vertrouwelijke data stelen, ransomware installeren en geheime achterdeurtjes in netwerken inbouwen die pas maanden later stiekem data gaan verzamelen. Een nachtmerrie-scenario, dat niet uniek is. Wekelijks melden bedrijven en onderzoekers serieuze beveiligingslekken in veelgebruikte hardware en software.
Citrix meldde op 17 december vorig jaar dat er een serieuze fout zat in de software van twee veelgebruikte apparaten, de Citrix Application Delivery Controller (ADC) en de Citrix Gateway. Citrix liet in het midden wat de fout precies behelsde (om hackers niet op ideeën te brengen), maar in cybersecurity land hesen specialisten overal ter wereld al snel de rode vlag. Citrix had nog geen definitieve oplossing voor het probleem - een zogeheten patch - maar wel een tijdelijke stoplap-maatregel die hackers buiten zou moeten houden totdat een permanente fix beschikbaar was.
Een race regen de klok
Daarmee ontstond een race tegen tegen de klok tussen hackers en Citrix-gebruikers. Je kon er namelijk op wachten dat hackers, direct na het uitkomen van het eerste Citrix-bericht op 17 december, naar slimme trucs gingen zoeken om de fout in Citrix uit te buiten. Dat bleek helemaal niet zo moeilijk te zijn, het beveiligingsgat was zo gapend dat je met een paar regels code al op systeembeheerderniveau in Citrix zat, en vanaf daar alle verkeer kon inzien bijvoorbeeld om wachtwoorden te verzamelen. Of erger: verder door te dringen in andere computers voorbij de Citrix voordeur.
Vanaf 8 januari maar misschien zelfs eerder, werd duidelijk dat op Internet allerlei manieren circuleerden om het Citrix-lek te misbruiken, en dat Citrix-servers massaal werden aangevallen. Hoe weten die hackers waar die Citrix-servers allemaal staan? Zo’n zogeheten scan kan dankzij de educatieve uithoeken van het Internet door een middelbare scholier met wat computerskills worden uitgevoerd.
Hackers zoeken massaal naar Citrix-servers
De stoplap-maatregelen van Citrix zouden in principe genoeg bescherming moeten bieden tegen de woeste horden die aan de poort van ziekenhuizen en ministeries stonden te rammelen. Maar dan moesten systeembeheerders ze natuurlijk wel installeren. Achteraf gezien snap je niet waarom alle Citrix gebruikers dat niet direct op 17 december hebben gedaan, en dat is een terechte vraag. Maar IT-afdelingen krijgen dagelijks meldingen die allemaal belangrijk zijn, soms zelfs extreem risicovol, maar die groeien maar bij uitzondering uit tot zo’n perfecte storm. Ze komen er dus meestal mee weg om de updates niet direct uit te voeren, en soms zijn er ook redenen om een update kort uit te stellen.
Eveneens achteraf hoor je ook de vraag of instellingen als het Nederlands Cyber Security Centrum (NCSC) of Z-CERT (voor de zorg) wel actief en indringend genoeg hebben aangedrongen op het installeren van de noodmaatregel. Die NCSC en Z-CERT zelf zeggen dat ze hard genoeg aan de bel hebben getrokken, maar deze digitale dijkdoorbraak zal nog wel tot de nodige evaluatie-momenten leiden.
Het NCSC, dat de wettelijke taak heeft om onze vitale sectoren te beschermen (in Nederand valt de zorg daar gek genoeg niet onder), liet vorige week dinsdag weten dat er nog veel Nederlandse Citrix-servers kwetsbaar waren voor aanvallen, en dat die dus zo snel mogelijk de stoplap-maatregelen moesten installeren. Het probleem was echter dat je wel met een grote waarschijnlijkheid te laat was, omdat hackers al bijna een week massaal het internet afstruinden op zoek naar onbeschermde Citrix-servers.
Hoe weet je of je gehackt bent?
En daarmee kom je in een nog vervelender situatie terecht. Je weet niet of je gehackt bent of dat je de dans bent ontsprongen, zegt Lieuwe Jan Koning, technisch directeur van cybersecurity bedrijf ON2IT. Het onderzoeken of hackers toegang hebben gehad tot je netwerk of vitale computers daarin is specialistenwerk.
Bij ingewikkelde netwerken met veel computers en data moet je worst case massa’s logbestanden doorspitten om verdachte activiteiten te kunnen vinden. In het ergste geval moet je daarna alle software opnieuw installeren, digitale certificaten vervangen en alle wachtwoorden updaten. Met mogelijk veel uitval van voorzieningen voor personeelsleden of klanten. Cyber-security onderzoekers hebben deze week dan ook overuren gedraaid.
Wat het echt vervelend maakt is dat een goed gemaakte achterdeur ergens in het netwerk moeilijk te vinden is, zegt Koning. “Je kunt de hacker eigenlijk pas weer betrappen als de achterdeur verdachte activiteit vertoont, maar hackers zijn steeds geraffineerder geworden in het verbergen van hun activiteiten. In feite maakt het niet zo veel uit of je door een phishing-mail of een Citrix-lek aan zo’n achterdeur bent gekomen: als het lek gedicht is blijft de dreiging bestaan. Je moet je netwerk dus extreem goed blijven monitoren, en liefst opdelen in behapbare segmenten.”
Het hoogtepunt van de storm
De storm bereikte in Nederland zijn eind vorige week zijn hoogtepunt toen bij het NCSC en de AIVD twijfel ontstond over de effectiviteit van de tijdelijke stoplap maatregel van Citrix, en de officiële patch maar uitbleef. Daarmee nam Nederland een bijzondere positie in ten opzichte van de nationale cybersecurity centra van andere landen, die niet zo ver gingen.
Het is interessant om te zien dat beveiligingsbedrijf Fox IT in een bulletin meldde dat ze (door het ontbreken van gedetailleerde technische info van het NCSC) niet goed konden beoordelen op basis waarvan de stoplap-maatregel in twijfel werd getroffen, en vooral of dat voor alle Citrix versies zou gelden. Maar het NCSC ging donderdag nog verder, en adviseerde alle Citrix gebruikers aan om hun Citrix ADC en Citrix Gateway servers uit te schakelen tot het moment dat een patch beschikbaar is. Dat zou je in ieder geval moeten doen wanneer je organisatie niet tijdig (dus voor 9 januari) de door Citrix geadviseerde mitigerende maatregelen had genomen. Ook daarmee was Nederland een uitzondering. Het Belgische CERT.BE hield het tot vanochtend bij een eenvoudig berichtje dat je goed moet op de updates van Citrix moet letten. Het Franse CERT houdt een slag om de arm, en adviseert organisaties de "mogelijkheid te bestuderen of je Citrix offline kunt halen". Geen dwingend overheidsadvies dus. Het NCSC in Engeland noemt uitzetten niet in zijn actuele advies.
Drastische maatregelen
De overheid nam het advies van het NCSC en later de AIVD over. Ook het ministerie van VWS vertoonde een niet eerder vertoonde stelligheid rond dit cyberlek van een specifieke leveranier met een apart persbericht en VWS CIO Ron Roozendaal roept op LinkedIn op tot uitzetten van Citrix (en weert zich prima in de commentaren). Daarmee gingen honderden Nederlandse Citrix servers vanaf vrijdag op zwart, en kon de ANWB waarschuwen voor 'Citrix-files' omdat mensen niet thuis konden werken. Het ‘zet-uit’ advies maakt Nederland uniek, tot vandaag namen alleen de Zwitserse overheid en een enkele Duitse deelstaat dit vergaande advies van de Nederlandse overheid over. Een korte ronde langs ziekenhuisdirecties leert dat bijna niemand het gevaar wilde lopen om het ziekenhuis te zijn “dat eigenwijs was, Citrix niet uitzette, en tegen een fors datalek aanliep". Bovendien: als zelfs ministeries en Schiphol Citrix uitzetten, dan moet er toch wel wat aan de hand zijn, zo lijkt de redenering.
Hoe effectief was de Nederlandse aanpak?
Citrix zegt op 24 januari de ‘definitieve’ patches voor alle getroffen versies beschikbaar te hebben. Wanneer die zijn geïnstalleerd, en bovendien is vastgesteld dat de netwerken van organisaties voldoende veilig zijn dan kunnen de thuiswerk-systemen weer in de lucht komen. Het is interessant om te zien of na een ‘final analysis’ het door de Nederlandse overheid gevolgde beleid wijsheid was. Wat mee kan spelen is dat Citrix in ons land veel meer wordt gebruikt dan in andere landen. Of die evaluatie ook echt gemaakt kan worden is wel een grote vraag. Daarvoor zou je immers moeten weten of in andere landen, waar de Citrix-servers minder massaal zijn uitgezet, achteraf meer inbraakpogingen en vooral datalekken kunnen worden vastgesteld. Minister Grapperhaus van Justitie en Veiligheid zei gisteren in de Tweede Kamer tijdens een vragenuur dat enkele overheden van grote bevriende naties Nederland hebben geprezen voor de manier waarop het omging met het beveiligingslek in Citrix. Waarom die grote naties tot nu toe die lijn dan niet hebben gevolgd is een voor de hand liggende vraag, die de aanwezige kamerleden lieten liggen. Je zou kunnen bedenken dat we in Nederland misschien niet de kennis hebben om zo'n storm goed te kunnen inschatten. Maar de reputatie van onze cyber-veiligheidsdiensten is ook internationaal dik in orde. Misschien zijn we nog niet door het oog van de storm. De komende weken zullen het leren.
Plaats een Reactie
Meepraten?Draag gerust bij!