VRT Factcheckers - fake hacking met USB sticks - aanvaardbaar of niet ?

[Joe de Mannen]

In het nieuws de actie van factcheckers met achtergelaten USB sticks.

https://www.nieuwsblad.be/cnt/dmf20240116_94198859

Ik weet niet goed wat ik er moet van denken, goed of niet ?

Het viel me bij de eerste berichtgeving op VRT wel op dat er een opmerking kwam op het einde 'het kan ook van ethische hackers zijn' wat ik al heel vreemd vond, nu weet ik waarom

J.

[CCatalyst]

Heb het niet gezien dus ik baseer mij op het feit dat het parket blijkbaar vindt dat het niet aanvaardbaar is. (Dat wil echter nog niet zeggen dat een strafrechtbank dat ook vindt, maar het is de eerste stap).

De stunten waarvan sprake in dat artikel, waarbij mensen en instanties angst aangejaagd worden, passen daarnaast ook niet in de missie en opdracht van de VRT. Dat men dit bovendien ook nog doet in ziekenhuizen waar de dreiging als zo reëel ervaren werd dan men overwoog om het netwerk plat te leggen getuit van een grove inschattingsfout van de programmamakers. Men had dezelfde boodschap ook kunnen overbrengen op een manier zonder risico's voor de infrastructuur.

De VRT-fanboys zullen het hieronder uiteraard komen goedpraten, maar weet dat ze het 100% niet aanvaard zouden hebben mocht de VTM dit hebben gedaan. Voor de rest niets aan toe te voegen, het is nu in handen van het parket.

[Splitter]

tgoh... is het goed, "meh" (als in: het is niet de job van de vrt hun lulventjes om dat te gaan doen)
maar... het is zowiezo nodig, en als je dan instanties hebt die nogal gevoelige apparatuur hebben en het zelf niet doen... ja, dan is dat een goede zaak, als er daardoor wat meer nagedacht zal worden over interne training.

en ja, ok, er zijn procedures, en de vrt gaat tijd en geld verspild hebben wss... maar beter "een foutje, maar veilig" dan "oeps, tis om zeep".

het enige wat je kan zeggen is dat eventuele gemaakte kosten op de vrt verhaald zouden kunnen/moeten worden, maar gezien de vrt van ons belastinggeld leeft,
zou dat willen zeggen dat de gewone man moet betalen voor de onbekwaamheid van die bedrijven + het kijkplezier van de vrt kijker.... wat niet serieus is.

conclusie: ja het is goed, en gemaakte kosten moeten maar rechtstreeks afgehouden worden van het loon van de factcheckers.

[Dizzy]

De actie is geslaagd, het onderwerp krijgt nu meer aandacht en sommigen zijn wakker geschoten, zelfs bij het parket

Angst aanjagen mag de boze VRT echter niet, dat is voorbehouden aan VTM met hun eindeloze reeks sensatieprogramma's.

Dat een ziekenhuis nu eens in realiteit ziet hoe slecht ze voorbereid zijn op iets levensgevaarlijk als een usb-stick lijkt me niet verkeerd. Ik vind het vreemder dat ze daar nooit eerder een usb-stick zijn tegengekomen of werden die gewoon ingeplugd?

De boodschap dat USB-sticks niet zonder gevaar kunnen zijn is al vaker gebracht maar niemand heeft er aandacht voor, dat is nu eventjes anders, bravo!

Ik zou het ook goed vinden mocht VTM zo'n "paniek" zou veroorzaakt hebben maar die zijn hard bezig met de expeditie van Gooris in Japan, ieder zijn prioriteiten

[Splitter]

nooit eerder een usb-stick zijn tegengekomen of werden die gewoon ingeplugd?

volgens mij is dat idd gewoon het geval: "he een stickje" en huppa.

expeditie van Gooris in Japan, ieder zijn prioriteiten

sammeke wou eens kijken hoe het gras daar groeit hé

[heist_175]

Geen idee wat hiermee aangetoond moest worden?
Over verdachte mails, social engineering, fishing, ... worden hier op het werk quasi maandelijkse verplichte elearnings gegeven etc, doen ze toch eens een (interne) test, dan valt 40+% door de mand (ze openen toch nog de bijlage). Er is ook maar zoveel dat je aan "procesbeschrijvingen" kan overlaten: bij ons zijn de USB poorten standaard geblokkeerd, op power-out (opladen) na. Als hier dus USB sticks zouden opduiken, gebeurt er niets mee.

Als het UZLeuven hun netwerk wilde "afzetten", veronderstel ik dat ze USB-sticks standaard toelaten?
Dat lijkt me een groter probleem dan een TV-programma dat iets uitsteekt.

[on4bam]

Er zou geen paniek moeten zijn. Wie niet door heeft dat je een onbekende usb stick nooit in een PC steekt moet maar op de blaren zitten.
Zo lang ik met computers ben stak ik nooit een floppy, CD, DVD, USB-stick of wat dan ook zo maar in een PC en dat zou eigenlijk voor iedereen zo moeten zijn.

[Splitter]

Zo lang ik met computers ben stak ik nooit een floppy, CD, DVD, USB-stick of wat dan ook zo maar in een PC

heh, nou, ik kan zeggen dat ik dat dik 30 jaar geleden wel deed, althans: als ik een floppy zag wou ik weten wat erop stond, dus huppa de drive in...
omgekeerd was trouwens ook waar: ooit een cassette gevonden van een van de oudere toestellen van mijn vader en die willen beluisteren.
i can assure you, data klinkt niet zo leuk

gaanderweg is internet er, samen met de intelligentie, gekomen en is dat natuurlijk een ander verhaal.
maar ik kan niet tout court zeggen dat ik het nooit gedaan heb

[ivob]

Er zou geen paniek moeten zijn. Wie niet door heeft dat je een onbekende usb stick nooit in een PC steekt moet maar op de blaren zitten.
Zo lang ik met computers ben stak ik nooit een floppy, CD, DVD, USB-stick of wat dan ook zo maar in een PC en dat zou eigenlijk voor iedereen zo moeten zijn.

Niet iedereen buiten de IT wereld, laat staan de medische wereld want daar zijn de IT ongeletterden nog altijd in de meerderheid heeft die aangeleerde noch natuurlijke reactie.
En wanner er in een medische omgeving (of een nadere) iets misloopt beperkt zich dat doorgaans ook niet tot op de eigen blaren zitten.

[devilkin]

Over verdachte mails, social engineering, fishing, ... worden hier op het werk quasi maandelijkse verplichte elearnings gegeven etc, doen ze toch eens een (interne) test, dan valt 40+% door de mand (ze openen toch nog de bijlage).

Eigenlijk wel triest. Is dit omdat het hun geen hol kan schelen?

Bij ons doen ze ook met regelmaat testen, er is rapportage over _en_ er hangt wat aan vast. En dat helpt, die "klik op elke mail" precentages dalen naar luttele percenten.
Nu, elke klik is er nog 1 te veel natuurlijk.

[Tomby]

Hier ook regelmatig phishing tests en bij ons is er een duidelijke policy. Bij de eerste vangst wordt je manager op de hoogte gesteld. Bij een tweede moet je al een verplichte refresh volgen, bij een derde wordt director niveau ingelicht, en bij een vierde moet je een in-depth training volgen.

[ITnetadmin]

Met respect voor mensenlevens en het UZLeuven, maar... als het een echte hacking actie was, hadden ze dus *ook* alles moeten platleggen, maw hun security voor hun cruciaal netwerk (dat eigenlijk airgapped zou moeten zijn zonder ook maar 1 plugin punt) was niet op punt.

Dat gezegd: sinds MS autorun voor USBs afgezet heeft by default, is de paniek op dat vlak wel wat gaan liggen.
Sindsdien was het grootste gevaar idioten die op die USB sticks op een file klikken.

Eigenlijk wel triest. Is dit omdat het hun geen hol kan schelen?

Dat is omdat zulke procedures en beveiligingen in de weg staan van hun productiviteit (en routine), en daar kunnen users niet tegen.
Je ziet dat overal: users die vervelende popups (installers, errors, etc...) enzo wegklikken als zotten omdat ze gewoon verder willen doen.
Ze hebben een doel voor ogen (bv een programma gebruiken, een file opendoen, vinden van wie een usb stick is), en alles dat dat doel in de weg staat wordt een obstakel.

Zelfs als ITer hebben we dat wel wat. Ik heb ook USB sticks met tools enzo die anders al wel ns per ongeluk gewist worden door de AV, en ik zeg dan ook altijd "ik heb mijn sticks/tools nodig, ik moet nog wel kunnen werken he".


Mod note: ik heb de titel van het topic iets duidelijker gemaakt.

[DarkV]

Dat gezegd: sinds MS autorun voor USBs afgezet heeft by default, is de paniek op dat vlak wel wat gaan liggen.
Sindsdien was het grootste gevaar idioten die op die USB sticks op een file klikken.

Het is niet omdat iets met een USB plug ook een "storage" device is... er kan heel wat meer "logica" in een USB device zitten wat geactiveerd wordt bij het insteken (bv. een keyboard device dat start met het geven van commando's).

Het enige issue met deze actie is dat politiediensten nodeloos tijd hebben gestoken in het achterhalen van de bron van deze sticks. Het had dus netjes geweest dat er eerst overleg was met deze diensten.

Wat oa. UZ Leuven betreft... als je security op orde is moet je hier niet van wakker liggen... blijkbaar was ze dat niet (gezien de paniek) en dan moet je maar tevreden zijn dat dit gewoon een awareness project was van Factcheckers.

[heist_175]

Over verdachte mails, social engineering, fishing, ... worden hier op het werk quasi maandelijkse verplichte elearnings gegeven etc, doen ze toch eens een (interne) test, dan valt 40+% door de mand (ze openen toch nog de bijlage).

Eigenlijk wel triest. Is dit omdat het hun geen hol kan schelen?

Geen idee wat de reden is.
En voor heel wat hangt er een bonus aan vast.

[R2D2]

Twee jaar geleden hebben diezelfde Factcheckers de bevolking willen waarschuwen voor een fraude die in de praktijk niet eens bestaat: contactless betalen is om zoveel redenen veilig, al was het maar omdat de buit te klein is en de pakkans te groot.
Maar toch probeerden ze te bewijzen dat het niet veilig is, ook al zijn er bij de banken of de politie geen voorbeelden van misbruik.
https://febelfin.be/nl/pers/digitaliser ... -en-veilig
Gevolg: allemaal tijdverlies aan de kassa's door angsthazen die de contactlessfunctie afgezet hebben en liever knoeien met cash of met PIN-codes.
Met deze "stunt" bewijzen ze opnieuw dat sensatie belangrijker is dan informatie.

[jutuiz]

Ze moesten gewoon usb-c sticks gebruikt hebben.

<next scene>
Onderzoeksrechter tracht usb-c stick in zijn windows 95 pc te steken.

/s

[Splitter]

Maar toch probeerden ze te bewijzen dat het niet veilig is, ook al zijn er bij de banken of de politie geen voorbeelden van misbruik.
Gevolg: allemaal tijdverlies aan de kassa's door angsthazen die de contactlessfunctie afgezet hebben en liever knoeien met cash of met PIN-codes.

nu ben ik allesbehalve fan van de factcheckers (want idd sensatie + common knowledge wat groter uitgesmeerd zeverprogramma), maar:

contactless is gewoon effectief minder veilig dan met de kaart & code (net zoals proton dat indertijd was: kaart kwijt, geld kwijt)
je ruilt handigheid voor veiligheid en dat is gewoon een feit, of dat nu actief op grote schaal misbruikt zou worden of niet staat er toch los van?
(als je je voordeur nooit op slot doet, is dat ook minder veilig, maar het wil niet zeggen dat je daarom perse dadelijk geviseerd zal worden voor inbraak)

dat jij degenen die aan de kassa liever betalen met cash of pin afschrijft als "angsthazen" en "knoeiers" vind ik wat kort door de bocht,
want: mss willen ze dat (relatief kleine) risico niet? of willen ze met pin betalen om de code niet te vergeten? of is de boodschap groter dan x euro en moet je toch een code ingeven? of is de kaart (half) defect waardoor contactless niet meer werkt? of hebben ze cash "van de bomma" gehad en willen ze daar vanaf ? ...

ikzelf wissel gewoon vaak af: soms met kaart & code, soms met contactless, soms met cash als ik dat op zak heb en er vanaf wil (om meestal 5 minuten later dan ergens cash nodig te hebben en het niet meer te hebben) en soms met de gsm (hoewel dat tbh zelden is)

er zijn trouwens veel betere (belachelijkere) afleveringen van de factcheckers om af te breken dan deze

[R2D2]

contactless is gewoon effectief minder veilig

Dat is je gevoel. De feiten bewijzen het omgekeerde.
Kaart en code: daar gebeurt dus wel veel fraude mee, grote fraude. (feit!)
contactless is sowieso veiliger dan cash op zak hebben. Een kaart kan je blokkeren. Cash ben je definitief kwijt.
Maar dit is een volledig OT discussie. De enige relevantie is dat Factcheckers inderdaad mensen graag schrik aanjaagt met sensatie.
In dit USB-geval voelt justitie/politie zich blijkbaar wat gepakt en zinnen op wraak.

[Splitter]

Dat is je gevoel. De feiten bewijzen het omgekeerde.

hoezo? (het is niet omdat het mss minder voorvalt, dat het minder eenvoudig is... klein, maar belangrijk, detail)

cash: niet fraudegevoelig (op vals geld na, obviously), maar wel "makkelijk kwijt" (valt uit je zak = kwijt, gestolen = kwijt)

kaart + code: je hebt beide nodig, fraude is enkel mogelijk door dat te ontfutselen (of in de portemonnee te kijken voor het papiertje waar de code opstaat...)

contactless: fraudegevoelig zonder fysiek contact, want het is theoretisch mogelijk geld van de kaart af te halen door gewoon een terminal te swipen (hoewel dit traceerbaar, en dus onwaarschijnlijk, is - maar dieven zijn niet altijd intelligent), alsook is het mogelijk (meermaals) kleine bedragen af te halen zonder code, dus in geval van diefstal kan dit zonder pincode (net zoals dat met proton kon)

In dit USB-geval voelt justitie/politie zich blijkbaar wat gepakt en zinnen op wraak.

het typische "wij staan hier met ons broek naar beneden en moeten nu boos reageren zodat we onze naam hier wat redden"

[Marre]

Voor zover ik weet is het achterlaten van gegevensdragers op een publieke plek niet strafbaar, dus geen idee waarom het parket zich daar mee zou moeten inlaten.

Weet er iemand of er daadwerkelijk ook iets van schadelijke software op de USB-sticks stond?

[Splitter]

dat het niet strafbaar is, is een goed punt.
al denk ik dat ze niet gaan richten op "iets achterlaten", maar op iets a la "onnodig paniek veroorzaken" ofzo een onnozel regeltje ertussen.

qua schadelijke software denk ik niet dat ze zo dom zouden zijn? misschien gewoon iets dat een vrt pagina opent? zodat ze wel een counter hebben?

[R2D2]

hoezo? (het is niet omdat het mss minder voorvalt, dat het minder eenvoudig is... klein, maar belangrijk, detail)

Mss minder? Het gebeurt niet. NIET.

[CCatalyst]

Voor zover ik weet is het achterlaten van gegevensdragers op een publieke plek niet strafbaar, dus geen idee waarom het parket zich daar mee zou moeten inlaten.

Als er een zodanige geloofwaardige angst of bedreiging gecreëerd werd dat een groot ziekenhuis op het punt stond haar netwerk plat te leggen (security op orde of niet maakt niet uit - als je concrete informatie ontvangt ben je altijd voorzichtig), wat mogelijks impact gehad zou hebben op bv dringende medische ingrepen, dan denk ik dat er daar wel gemakkelijk enkele strafrechtelijke kwalificaties voor gevonden kunnen worden, dat is ook de reden dat het parket er op springt. Het omgekeerde zou pas straf zijn. Wat die kwalificaties precies zullen zijn zal afhangen van de feiten die bewezen kunnen worden.

Het is en blijft triest dat een omroep die altijd uitpakt met haar zogezegd kwaliteitskarakter en de sensatiedrang van anderen zo vaak afkeurt, uiteindelijk zelf dezelfde toer opgaat. En het moet verplicht worden gezegd: dat met ons belastingsgeld. Iig weer iets om aan het lijstje van toe te voegen voor de onderhandelingen van de volgende beheersovereenkomst.

hoezo? (het is niet omdat het mss minder voorvalt, dat het minder eenvoudig is... klein, maar belangrijk, detail)

Ik treed R2D2 toch bij, nav wat ik lees op Febelfin was ook dit een stunt van de VRT die weinig, laat ons zeggen bijna niets, met de realiteit te maken had. De zaken die daarin beschreven worden kunnen in theorie natuurlijk wel, maar zouden echt wel gemakkelijk en volledig te traceren zijn, wat IMHO toch wel de grootste deterrent is voor financiele misdrijven, dus in de praktijk is dit gewoon niet het risico wat de VRT ervan probeerde te maken. Ik zou zeggen: probeer het zelf eens. Zo'n terminal bemachtigen, tweedehands oid, zal nog wel lukken. Maar wanneer je de betaalverwerking erop wil activeren en je plots allerhande informatie moet afgeven zal je wel twee keer nadenken...

Ook hier werd de bevolking opnieuw onnodig opgejaagd en angstig gemaakt. Het laatste dat we nodig hebben is een openbare omroep die de mensen onnodig bang zit te maken voor de technologische vooruitgang van de maatschappij.

[heist_175]

Voor zover ik weet is het achterlaten van gegevensdragers op een publieke plek niet strafbaar, dus geen idee waarom het parket zich daar mee zou moeten inlaten.

Iets generieks pakt altijd wel, genre "orde verstoren".
Dat klinkt dan stoer om in de rioolpers te komen, maar niemand neemt zoiets serieus. Het zal in het bakje "classement verticale" komen.

Weet er iemand of er daadwerkelijk ook iets van schadelijke software op de USB-sticks stond?

Nee, enkel een link naar een artikel om geen gegevensdragers te vertrouwen

Wie de files aanklikte, opende meteen een link naar een VRT-pagina met ... een waarschuwing voor achtergelaten USB-sticks.

Ze benadrukt dat er geen schadelijke software op de USB-sticks stond. “Elke IT-afdeling ziet ­onmiddellijk dat dit een sensibiliseringsactie is en dat er geen kwaadwillige software in het spel is. De resultaten zullen ook niet gelinkt worden aan de onderzochte plekken of instanties. Geen enkele locatie zal in de reportage met de vinger gewezen worden. We willen er juist op wijzen dat iedereen een potentieel slachtoffer is.”

[Joe de Mannen]

hoezo? (het is niet omdat het mss minder voorvalt, dat het minder eenvoudig is... klein, maar belangrijk, detail)

Mss minder? Het gebeurt niet. NIET.

omdat het sop de kool niet waard is om eraan te beginnen...maar dat maakt het niet veiliger an sich.
J.

[Dizzy]

We bewijzen gewoon ook hier op UB dat ze gelijk hebben. Het thema is weer even hot en mensen spreken erover. Dat is blijkbaar ook nog altijd nodig. Missie geslaagd dus.

En dan de commerciële huilebalken die nu nog afkomen met TV-programma's die aandacht willen, zijn er andere?

Er is geen enkele schade aangericht buiten dat enkelen hun procedures niet op punt stonden en dat iedereen dat nu weet.

Wie gaat lopen van een USB-stick die zal dan maar beter pleiten voor het sluiten van terroristische zaken als een PC-winkel. Onlangs kwam ik in de mediamarkt en een coolblue winkel, dat lag daar vol met USB-sticks, stel u voor! Ik heb het maar nipt overleefd, dat besef ik nu pas.

Ik ga ook een aanvraag indienen om de werkplek te laten ontruimen want meerdere collega's gebruiken dat oorlogstuig en die laten dat dus liggen op hun bureau, de rampen die al konden gebeurd zijn terwijl ze even op het toilet zaten

Momenteel ben ik bezig met backups op SSD-schijven wat eigenlijk enorme USB-sticks zijn. Die dingen zijn gemaakt om draagbaar te zijn en dus mee te nemen naar elders waar ze waarschijnlijk in een ander toestel geplugd worden. Dat deed ik meerdere keren per week toen ik een avondcursus volgde, net als al de andere cursisten. Gekkenwerk! Als Facktcheckers SSD-schijven laat liggen dan vrees ik dat de aarde zal vergaan, erger kan toch niet meer

Alé, ik ben al een paar uur bezig en ik leef nog altijd. Fingers crossed

[CCatalyst]

We bewijzen gewoon ook hier op UB dat ze gelijk hebben. Het thema is weer even hot en mensen spreken erover. Dat is blijkbaar ook nog altijd nodig. Missie geslaagd dus.

Dat vind ik niet. Dat is gewoon cherry picking in de media. Het kon gelijk welk ander onderwerp zijn, zolang het maar toegankelijk was en de meesten het kunnen verstaan vermoed ik. Dat het voor contactloos betalen bijvoorbeeld ook helemaal niet nodig was, heeft Febelfin netjes aangetoond. Het is niet omdat de VRT (of de VTM, of gelijk wie) iets aanhaalt, dat het per definitie "hot" is. Zij bepalen niet wat wij moeten denken.

De vele misbruiken van bepaalde Antwerpse en Vlaamse politici, die je hier regelmatig aanhaalt, worden bijvoorbeeld nooit bovengehaald bij de factcheckers. Mogen we daaruit concluderen dat het eigenlijk niet nodig is?

[ITnetadmin]

Dat gezegd: sinds MS autorun voor USBs afgezet heeft by default, is de paniek op dat vlak wel wat gaan liggen.
Sindsdien was het grootste gevaar idioten die op die USB sticks op een file klikken.

Het is niet omdat iets met een USB plug ook een "storage" device is... er kan heel wat meer "logica" in een USB device zitten wat geactiveerd wordt bij het insteken (bv. een keyboard device dat start met het geven van commando's).

Dat heb ik voor de duidelijkheid ook nooit beweerd. Dat soort attacks gebeurt tegenwoordig vaak door USB sticks die zich als keyboard identificeren.
Ik zeg alleen dat de "voorzichtigheid" die vroeger bestond (toen autoplay nog wel een ding was) voor een stuk afgebouwd is toen USB sticks niet langer hun autorun file by default uitvoerden bij het insteken.

[Dizzy]

Het is inderdaad niet VRT of VTM die bepalen of we iets bijvoorbeeld "hot" bespreken op UB maar hier was het programma wel de aanleiding van de topic. Beveiliging is een dingetje dat af en toe aandacht moet krijgen, dat is nu het geval. Ik denk dat men in sommige ziekenhuizen de procedure en vooral de communicatie rond dit thema toch nog eens gaat herbekijken en dat is exact wat nodig is. Bij VTM leren we dat Sam Gooris een elektrische schok krijgt in zijn huurwagen. Goed gedaan VRT dus!

Modbreak:
Topics in maatschappelijke discussies die ouder zijn dan 2 maanden worden voortaan gesloten