image

Universiteit Maastricht in gesprek met criminelen achter ransomware

vrijdag 27 december 2019, 07:27 door Redactie, 85 reacties

De Universiteit Maastricht is in gesprek met de criminelen die de universiteitssystemen met ransomware infecteerden en bestanden versleutelden. Of er ook losgeld zal worden betaald om weer toegang tot gegevens te krijgen wil een woordvoerder van de universiteit niet aan 1Limburg laten weten. Ook is het onduidelijk wanneer alle systemen weer zijn hersteld, wat voor zorgen onder studenten zorgt, die geen toegang tot data en e-mail hebben.

Afgelopen dinsdag raakten systemen van de universiteit met de Clop-ransomware geïnfecteerd. Meerdere websites en mailsystemen werken niet meer en de universiteit heeft geen toegang tot veel wetenschappelijke data. Op servers opgeslagen lesdocumenten zijn ook niet meer toegankelijk. "Ik moet een lesboek hebben dat op de server staat voor een toets in januari en daar kan ik dus niet bij. Daarnaast moet ik voor een paper onderzoek doen en ook dat staat online. Ik kan nu helemaal niks", zo laat een student tegenover 1Limburg weten.

"Buiten een berichtje op de Facebookpagina van de UM krijgen we niks te horen. We hebben geen idee wat we moeten", zo stelt een andere student, die over twintig dagen een thesis moet inleveren en geen toegang tot zijn materiaal heeft. "De website van de bibliotheek, waar alles staat wat ik nodig heb, ligt eruit." Op Twitter klagen ook meerdere studenten dat ze toegang tot hun e-mail nodig hebben. De universiteit heeft inmiddels aangifte bij de politie gedaan.

Image

Reacties (85)
27-12-2019, 08:43 door karma4 - Bijgewerkt: 27-12-2019, 08:44
Dat snap ik niet dat een bibliotheek functie en gekoppeld is aan de end-point omgeving (segmentatie?) en dat er geen alternatief voor een bibliotheek functie is. Alsof openbare informatie achter iets afgesloten zitten. Elsevier is er blij mee. Het lijkt om een eigen intern beheerde diens ICTS met een eigen interne datacenter faciliteit te gaan.
27-12-2019, 09:01 door Anoniem
Het zijn toch wel sukkels daar he!
27-12-2019, 09:15 door The FOSS
Door Anoniem: Het zijn toch wel sukkels daar he!

De beste stuurlui staan altijd aan wal.
27-12-2019, 09:44 door Anoniem
Natuurlijk willen de hackers van de universiteit onderhandelen met hun slachtoffer. Het blijven immers social engineers.
27-12-2019, 09:54 door Anoniem
Door Onze Predikant:
Door Anoniem: Het zijn toch wel sukkels daar he!

De beste stuurlui staan altijd aan wal.

ik durf te wedden dat ik 99.9% van alle instanties te grazen zou kunnen nemen als ik daar een weekje moeite in zou willen stoppen. verbaas me dat het niet eerder gebeurt is. waarom een plofkraak doen en een audi moeten zoeken als je een semi overheidsbibstantie kunt gijzelen die toch wel betalen. ze kunnen het immers niet permiteren om om te vallen. en zullen ook geholpen worden met overheidssteun en private steun indien. nodig. in de digitale jungle kun je je geen groter bullseye wensen.
dit soort omgevingen kun je niet meer aan prutsers overlaten.
27-12-2019, 10:00 door [Account Verwijderd]
Het is een businessmodel, ransomware. Er zitten gewoon hele professionele organisaties achter die alleen uit zijn op geld, niet op roem of het toebregen van schade. Het nadeel van betalen is dat je je systeem nooit meer kunt vertrouwen tenzij je na, betaling, de zaak weer draaiende hebt meteen gaat beginnen met een nieuwe infra neer te zetten.

Voor nu, je verlies nemen, betalen, uithuilen en opnieuw beginnen.
27-12-2019, 10:04 door [Account Verwijderd] - Bijgewerkt: 27-12-2019, 10:48
Door karma4: Dat snap ik niet dat een bibliotheek functie en gekoppeld is aan de end-point omgeving (segmentatie?) en dat er geen alternatief voor een bibliotheek functie is. Alsof openbare informatie achter iets afgesloten zitten. Elsevier is er blij mee. Het lijkt om een eigen intern beheerde diens ICTS met een eigen interne datacenter faciliteit te gaan.

Ach, daar is ie dan toch,<buzzword alert> segmentatie. Een paar maanden geleden noemde je in ieder posting nog governance en iso 27001.
27-12-2019, 10:06 door Anoniem
Geen off-site/off-line Backups?
27-12-2019, 10:15 door The FOSS - Bijgewerkt: 27-12-2019, 10:16
Door Anoniem:
Door Onze Predikant:
Door Anoniem: Het zijn toch wel sukkels daar he!

De beste stuurlui staan altijd aan wal.

ik durf te wedden dat ik 99.9% van alle instanties te grazen zou kunnen nemen als ik daar een weekje moeite in zou willen stoppen. verbaas me dat het niet eerder gebeurt [sic] is.

Iets kapot maken is altijd gemakkelijker dan het (op)bouwen.

Door Anoniem: waarom een plofkraak doen en een audi moeten zoeken als je een semi overheidsbibstantie kunt gijzelen die toch wel betalen. ze kunnen het immers niet permiteren [sic] om om te vallen. en zullen ook geholpen worden met overheidssteun en private steun indien. nodig. in de digitale jungle kun je je geen groter bullseye wensen.
dit soort omgevingen kun je niet meer aan prutsers overlaten.

Ik vind het laf om dergelijke instanties (onderwijs, ziekenhuizen, etc.) aan te vallen.

Door Anoniem: Geen off-site/off-line Backups?

Ook versleuteld?
27-12-2019, 10:15 door Ron625
Door De Predikant:
Voor nu, je verlies nemen, betalen, uithuilen en opnieuw beginnen.
Dat is ook uit te leggen als mee werken aan een criminele organisatie.
Daarnaast gaan deze criminelen er stug mee door, omdat het geld oplevert.
Beter zou het zijn, om de tegenslag te incasseren, en een backup terug te zetten.
Studenten zullen ook een backup (horen te) hebben van hun eigen data.

Helaas zal dit niet mogelijk zijn, er is (te veel?) tijd voor nodig en het zal ook veel meer kosten.
27-12-2019, 10:28 door [Account Verwijderd] - Bijgewerkt: 27-12-2019, 10:42
Door Ron625:
Door De Predikant:
Voor nu, je verlies nemen, betalen, uithuilen en opnieuw beginnen.
Dat is ook uit te leggen als mee werken aan een criminele organisatie.

Klopt, emotioneel zou je dat helemaal niet willen, rationeel waarschijnlijk de beste keuze als alle andere mogelijkheden uitgesloten zijn. (Backup's restoren, PC's opnieuw inspoolen)


Daarnaast gaan deze criminelen er stug mee door, omdat het geld oplevert.
Beter zou het zijn, om de tegenslag te incasseren, en een backup terug te zetten.
Studenten zullen ook een backup (horen te) hebben van hun eigen data.

De uni moet ook een backup hebben en een backup is pas een backup als je ook kunt restoren. Het is al jaren bekend dat criminelen ook backup's aanvallen daar had men dus ook maatregelen voor kunnen treffen.


Helaas zal dit niet mogelijk zijn, er is (te veel?) tijd voor nodig en het zal ook veel meer kosten.

Vandaar, betalen, verlies nemen en uithuilen.

Hopelijk leren andere instanties hier iets van en nemen die NU meteen afdoende maatregelen.
27-12-2019, 10:31 door karma4 - Bijgewerkt: 27-12-2019, 10:43
Door De Predikant:
Ach, daar is ie dan toch,<buzzword alert> segmentatie. Een paar maanden geleden noemde je in ieder posting nog gouvernance en iso 27001.
Je laat merken dat je de inhoud niet kent. ISO 27001 is de management betrokkenheid (strategie) de 27002 de tactische aandachtspunten het gaat mis zodra de vloer uitvoerenden wat moeten doen.
Segmentatie, monitoring, beheer en ontwerp privileged accounts zijn aparte onderwerpen in die richtlijnen.
Dat is naast de DR (offline alle scenarios) dan wel een acceptabel overbrugbaar alternatief.
Ik kan je de garantie geven dat in ieder geval het niveau strategie bij het de betreffende uni bekend is.

Predikanten verstoren de boel. Je zou ze medeschuldig moeten verklaren aan dit soort situaties.
Tja je hebt gelijk:
- "Iets kapot maken is altijd gemakkelijker dan het (op)bouwen."
- "Ik vind het laf om dergelijke instanties (onderwijs, ziekenhuizen, etc.) aan te vallen."
Voor dat laatste, criminelen hebben een gebrek bij het EQ en empathie, het interesseert ze niets.
27-12-2019, 10:40 door The FOSS
Door karma4: Predikanten verstoren de boel. Je zou ze medeschuldig moeten verklaren aan dit soort situaties.
Tja je hebt gelijk:
- "Iets kapot maken is altijd gemakkelijker dan het (op)bouwen."
- "Ik vind het laf om dergelijke instanties (onderwijs, ziekenhuizen, etc.) aan te vallen."
Voor dat laatste, criminelen hebben een gebrek bij het EQ en empathie, het interesseert ze niets.

Ik heb ondertussen gekozen voor De Evangelist om De Predikant niet te veel in de wielen te rijden. Hoezo zouden 'predikanten' (of 'evangelisten') de boel verstoren en medeschuldig verklaard moeten worden? Ik denk eerder dat papieren tijgers met <buzzwords> de zaak hebben verstoord.
27-12-2019, 10:41 door [Account Verwijderd] - Bijgewerkt: 27-12-2019, 10:51
Door karma4:
Door De Predikant:
Ach, daar is ie dan toch,<buzzword alert> segmentatie. Een paar maanden geleden noemde je in ieder posting nog gouvernance en iso 27001.
Je laat merken dat je de inhoud niet kent. ISO 27001 is de management betrokkenheid (strategie) de 27002 de tactische aandachtspunten het gaat mis zodra de vloer uitvoerenden wat moeten doen.

Jij laat keer op keer merken van bepaalde zaken geen kennis te hebben maar wel stellig vol blijven houden dat je gelijk hebt. Een beetje de Rian van Rijbroek van dit forum.
En als je er dan niet meer onderuit kunt zwijg je als het graf of ontwijk je vragen door totaal zinloze opmerkingen te plaatsen.

Komt kom maar weer met een zinloze opmerking, op naar de 10.000.
27-12-2019, 10:54 door Anoniem
We kennen dit soort cybercriminaliteit al ettelijke jaren en het is inmiddels een grote wereldwijde plaag aan het worden,
dat vooral de economie heel veel geld kost.

In 2015 tijdens een conferentie met de zogenaamde Weense "untouchables", die elk bonnetje moeten verantwoorden om hen niet kwetsbaar te doen zijn voor cybercrime, hoorde ik reeds over de enorme proporties, die ransomware op den duur zou gaan aannemen. En het is wel bewaarheid.

Kijk nu eens waar we zijn aangeland met pappen en nathouden. Ik verwijt het juist de decion makers, die eerder gaan voor het snelle geld dan iets te spenderen aan wat ze beschouwen als sluitpost op de begroting, namelijk de veiligheid van de eindgebruikers/participanten.

Alles voor de stakeholder en de risico's afwentelen op het gemeen, meestal aangeduid als de gewone burger, de sinaasappel, die er nog wel weer verder voor kan worden uitgeknepen. Global Big Tech keek ernaar en zag dat het goed was. Het is immers hun core-business met alle gevolgen van dien. Maar was het dat?

Is het dan geen tijd om internationale verdragen te sluiten, een internationale task force op te zetten om deze zeer kwalijke cybercriminelen op te kunnen pakken, maar ook de fasciliteurs streng te straffen (neerhalen diegene, die gelegenheid biedt).

Het lijkt verdorie wel of bepaalde partijen er op uit zijn om het Internet zo snel mogelijk aan z'n eind te brengen. Trouwens datzelfde idee is me al eens door het hoofd geschoten als ik weer eens mijmer over de onvoorstelbare houtjes-touwtjes manier waarmee de infrastructuur op Interwebz aan elkaar geknoopt zit en met soms wat voor onvoorstelbare te compromitteren kwetsbaarheden. Je vraagt je soms echt af. Hoe houden ze het nog in de lucht met drie ballen en drie hoepels tegelijk (iron.) In wat voor circus leven we eigenlijk met z'n allen?

#sockpuppet
27-12-2019, 11:11 door Briolet
Door FlipTheBird4Karma: Het is een businessmodel, ransomware.

En een goed werkend model omdat er vaak genoeg betaald wordt. Zeker bij grote organisaties kun je het veroorloven om er veel tijd in te stoppen. Bij 1 btalende klant per jaar, ben je al uit de kosten. De rest van de betalers is pure winst; belastingvrij. (-:
27-12-2019, 11:18 door [Account Verwijderd]
Door Briolet:
Door FlipTheBird4Karma: Het is een businessmodel, ransomware.

En een goed werkend model omdat er vaak genoeg betaald wordt. Zeker bij grote organisaties kun je het veroorloven om er veel tijd in te stoppen. Bij 1 btalende klant per jaar, ben je al uit de kosten. De rest van de betalers is pure winst; belastingvrij. (-:

Ze hoeven er niet veel tijd in te stoppen, ze gebruiken keer op keer de zelfde technieken en gaan structureel de wereld rond.
De zwakke plek is bekend en daar richten ze de aanval op, je ziet telkens het zelfde patroon.

Het probleem is omvangrijker dan wat je in de media leest, veel bedrijven willen vooral niet in het nieuws komen met een ransomware besmetting.
27-12-2019, 11:30 door Anoniem
De universiteit zal zeker een backup hebben, maar als je "point of entrance" niet bekend is, zet je deze misschien ook weer terug met een backup. Deze ransomware staat vaker al langer op netwerk voordat deze actief wordt en zodoende zit die dan ook in de badkuip. Ik denk dat dergelijke problemen vaak niet komen door het ontbreken van een goede beveiliging, goede infrastructuur of goede procedures, echter door een kleine slordigheid of vergissing van iemand met iets meer rechten dan anderen. En hoeveel gebruikers heeft een universiteit?
Dit wordt dan ook weer geholpen door de tweestrijd die altijd geldt in de IT: veiligheid en gebruiksgemak, deze gaan vaak niet hand in hand. Bijvoorbeeld het feit dat je met 1 account overal aan moet kunnen, probleem is ook dat juist als je dat ene account gehackt is de hacker overal aankomt.
Het is een spel van Giganten, de universiteit zal goed bezig zijn, maar hackers zijn net zo slim en daarnaast hoeven hackers niet duizenden gebruikers tevreden te houden. Lijkt me dat een organisatie met gebruikers hoe dan ook in de nadeel staat ten opzichte van hackers.
27-12-2019, 11:31 door karma4 - Bijgewerkt: 27-12-2019, 11:34
Door De Evangelist: ....
Hoezo zouden 'predikanten' (of 'evangelisten') de boel verstoren en medeschuldig verklaard moeten worden? Ik denk eerder dat papieren tijgers met <buzzwords> de zaak hebben verstoord.
Het zijn deze figuren die de betreffende richtlijnen waar een gegronde reden voor bestaat met hun geloofsovertuiging in OS flaming moedwillig saboteren. Een beetje zoals een beheerder die op zijn voormalige werkgever wraak neemt door in te breken. Er is een duidelijk gebrek een ethisch besef naar de algehele belangen.

Zie hier een die het bewijs van dat gedrag gartis en voor niets levert.:
Door FlipTheBird4Karma: [
… Ze hoeven er niet veel tijd in te stoppen, ze gebruiken keer op keer de zelfde technieken en gaan structureel de wereld rond. De zwakke plek is bekend en daar richten ze de aanval op, je ziet telkens het zelfde patroon.
… .
Het terugkerende patroon zie je aan de terugkerende adviezen, die zijn: .
- Monitoring logging ofwel weten wat er gebeurt
- segmentatie ofwel inperken van de gevolgen als er iets mis gaat.
- privileged identitiy management ofwel de te ruim opgesteld rechten, vooral de admin (root - domain admin)
- het op tijd reageren bij een alarmerende situatie
Al het andere over met een OS flaming en "mijn installatie" is gewoon bullshit.

Heeft iemand enig idee van de omvang van het aantal "applicaties" en welke dat dan zijn?
Zonder enig inzicht is het meeste commentaar hier gewoon niet ter zake.

Ik ben benieuwd wat ze uiteindelijk naar buiten zullen brengen.
27-12-2019, 11:39 door Anoniem
Ik denk dat die cybercriminelen een beetje vergeten dat het (kennelijk) tegenwoordig helemaal geen probleem meer
is om iemand te laten omleggen. Ik denk dat het niet lang duurt voor we gaan meemaken dat het slachtoffer van een
liquidatie geen drugscrimineel maar een cybercrimineel blijkt te zijn!
27-12-2019, 12:22 door [Account Verwijderd] - Bijgewerkt: 27-12-2019, 12:25
Door karma4:
Heeft iemand enig idee van de omvang van het aantal "applicaties" en welke dat dan zijn?

Als je OS versleuteld is zijn dat alle applicaties.

Maar volgens de berichten:
Alle Windows dhcp-servers, Exchange-servers, domeincontrollers en Windows netwerkschijven.

Alle wetenschappelijke data staat wel veilig opgeslagen.
27-12-2019, 12:38 door Anoniem
Door karma4:
Het terugkerende patroon zie je aan de terugkerende adviezen, die zijn: .
- Monitoring logging ofwel weten wat er gebeurt
- segmentatie ofwel inperken van de gevolgen als er iets mis gaat.
- privileged identitiy management ofwel de te ruim opgesteld rechten, vooral de admin (root - domain admin)
- het op tijd reageren bij een alarmerende situatie

Je vergeet er nog één, gebruik een veiliger OS. Dat is ook altijd een advies wat voorbij komt.

De zwakste schakel is de mens, daarna zwakheden in het meest gebruikte systeem waardoor de kans van slagen en financieel profijt het hoogste is.
27-12-2019, 12:39 door The FOSS - Bijgewerkt: 27-12-2019, 12:52
Door karma4: Ik ben benieuwd wat ze uiteindelijk naar buiten zullen brengen.

De Universiteit Maastricht heeft reeds zelf expliciet Windows systemen in haar persberichten genoemd. Dat jij het beter denkt te weten dan zij, ja dat is een bekend patroon.
27-12-2019, 12:55 door karma4
Door De Evangelist: ….
De Universiteit Maastricht heeft zelf expliciet Windows systemen in hun persberichten genoemd. Dat jij het beter denkt te weten dan zij, ja dat is een bekend patroon.
Dat zijn de endpoints waar de gebruikers direct mee te maken hebben. Nogal voor de hand liggend wat daar gebruikt wordt.
Wat er uit lig is de achterkant, als je wat meer je licht op zou steken dan komt het scala van al het mogelijke IT systemen daar voorbij. En nee niet alle wetenschappelijke data staat veilig opgeslagen. Lees het redactie artikel, men kan nergens meer bij.

Het bekende patroon van de evangelist:
1- gaan voor de os flaming
2- niet in staat tot echt onderzoek of achtergronden na te lopen.
27-12-2019, 12:56 door Anoniem
@karma4 & the others,

Maar met een houding van dit en dit doen en dan op naar het volgende incident komen we er ook niet.

Laten we nu eens kijken naar een klein deelaspect van de algehele connectie-veiligheid i.h.a.
De hele lage implementatiegraad van CSP bijvoorbeeld en de fouten die daarbij nog gemaakt worden in de configuratie.
(rood voor hoog risico) (geel voor middelmatig risico), dit in verhouding met gebruikte kwetsbare technieken (JSON bijv.).

Dan zie ik bij validering een heel groot grijs gebied, waar de meeste websites, die het nodig zouden kunnen hebben, nog niets hebben gedaan (net als met pre-loading). Veel configuraties met fouten (kijk naar de Nederlandse dagbladen, die CSP ingesteld hebben als voorbeeld).

Het is allemaal net zoals in het algemeen in de beveiligheidswereld "too little too late" en te versnipperd. En nu richt ik me alleen op iets waar ik na twaalf jaar in zitten een beetje verstand van pretendeer te hebben (cold recon 3rd party website security en foutenjagen). De rest van de problematiek laat ik aan anderen over. Ik richt me hier op dit deel van de problematische olifant, die doorheen het Internet dendert als door de spreekwoordelijke porceleinkast.

Ga eens voor de gein de CSP validator extensie installeren in je bladeraar en kijk eens wat je tegenkomt en analyseer tevens even de drop-down-menuutjes van de onveiligheden. De schrik slaat je meteen om het hart. Ik wordt hier niet vrolijk van en met beveiliging tegen ransomware zal het ook wel zo gesteld zijn of zelfs nog erger. Monitoring en logging zonder opvolging door de autoriteiten helpt slecht 1 partij en niet ons allemaal.

Je blijft je na een security analyse te pletter schrikken, steeds weer. Doe dan iets, beste beleidsmakers, stakeholders, toezichthouders, schragers van het Internet. Vraag om een bewijs van digitale vaardigheid voor website inrichters (Word Press, Magenta 2, Joomla, PHP-wrochters etc.) en web server onderhouders. Vraag minimaal veiligheid-bewustzijn, maar doe ook iets aan de kant van de client. Iedere idioot mag tegenwoordig het Internet onveilig maken en houden.

Het zijn juist de "ik klik alles weg wat ik online zie" gebruikers, die een iets veiliger Interwebz in de weg zitten. En daar zijn er miljarden van. Het digitale analfabetisme is erger dan het analfabetisme van de Middeleeuwen. In de tijd van Stalin werd hoog ingezet op de bestrijding hiervan. Melkvrouwtjes moesten melkregisters kunnen invullen. Ieder moest het abc leren.

Nu is de twee-duimpjes-op-een-schermpje-generatie het al weer aan het verliezen. Begrijpend lezen zonder emoticonnetjes een groot probleem. Je ziet het bij toetsen. Gevoel voor subtiele humor ontbreekt ten gevolge van AI-rechtlijnigheid, ja ook bij Google en facebook. Een regelrechte ramp voor de wereld. Dit is een grotere dan alle andere bedreigingen. We worden langzaam dommer in plaats van wijzer en zo hebben de machthebbers het graag. Valt beter en gemakkelijker aan te verdienen aan die "slappe handel" van een onbenul & Co.

Maar zo het nu gaat houdt men Jip en Janneke en de in digitale onbewustheid levende decisionmakers van bedrijven niet lang veilig. Beleidsmakers willen wel meer surveillance en meer data, maar of ze een iets veiliger boeltje nastreven?
Ik heb zo mijn twijfels. Toch een fijn en digitaal voorspoedig 2020 gewenst van je toegewijde,

luntrus
27-12-2019, 13:05 door Anoniem
en daar gaan we weer.. windows / linux os flaming. hoe vaak is nu al gezegd dat jullie vervelend worden?

Daarnaast:

caps intended

EEN UNIVERSITEIT WERKT MET STUDENTEN !!!!! die zijn local admin op hun machine, kunnen een mac book binnenfietsen (of debian/unbutu whatever) , heb je GEEN enkele invloed op het patch niveau en kan je niets aangeven over een malware-antiransomware tooling. succes met je security beleid....


Eminus
27-12-2019, 13:16 door The FOSS - Bijgewerkt: 27-12-2019, 13:25
Door karma4:
Door De Evangelist: ….
De Universiteit Maastricht heeft zelf expliciet Windows systemen in hun persberichten genoemd. Dat jij het beter denkt te weten dan zij, ja dat is een bekend patroon.
Dat zijn de endpoints waar de gebruikers direct mee te maken hebben.

Oh ja? Alleen de 'endpoints'? Weet je dat echt heel zeker karma4? Gaat het niet (ook) om alle dhcp-servers, Exchange-servers, domeincontrollers en netwerkschijven? De beste stuurlui staan altijd aan wal.

Jouw antwoord geeft eens te meer aan dat je gewoon niet in staat bent tot (logisch) nadenken. Talloze keren ben je daarop gewezen, door meerdere mensen, maar je blijft gewoon stug doorvervuilen.
27-12-2019, 14:31 door Anoniem
Aan alle studenten:

Maak van al je documenten a.u.b. een kopie en sla die ergens veilig extern op waar niemand verder bij kan (doe ik ook)
Mocht het universiteitssysteem eruit liggen (zoals in Maastricht) dan kun je toch je thesis of je toets maken c.q. voorbereiden.

Hoe meer kopieën je maakt, hoe beter.
27-12-2019, 14:35 door The FOSS - Bijgewerkt: 27-12-2019, 14:38
Door Anoniem: EEN UNIVERSITEIT WERKT MET STUDENTEN !!!!! die zijn local admin op hun machine, kunnen een mac book binnenfietsen (of debian/unbutu whatever) , heb je GEEN enkele invloed op het patch niveau en kan je niets aangeven over een malware-antiransomware tooling. succes met je security beleid....

Eminus

Zeker in deze tijd van BYOD moet een netwerk er tegen bestand zijn dat onveilige apparatuur wordt aangesloten. Anders zit je in een variant van het kansloze 'je mag daar niet op klikken' scenario.
27-12-2019, 14:38 door [Account Verwijderd]
Door karma4:
Door De Evangelist: ….
De Universiteit Maastricht heeft zelf expliciet Windows systemen in hun persberichten genoemd. Dat jij het beter denkt te weten dan zij, ja dat is een bekend patroon.
Dat zijn de endpoints waar de gebruikers direct mee te maken hebben. Nogal voor de hand liggend wat daar gebruikt wordt.
Wat er uit lig is de achterkant, als je wat meer je licht op zou steken dan komt het scala van al het mogelijke IT systemen daar voorbij. En nee niet alle wetenschappelijke data staat veilig opgeslagen. Lees het redactie artikel, men kan nergens meer bij.

Nee Karma4, in de posting BOVEN die waar jij op reageert wordt al aangegeven dat het niet om endpoints gaat maar Windows servers/services.

Je bent te laf om daar op te reageren.
27-12-2019, 15:53 door Anoniem
Het is al jaren mogelijk om compliance af te dwingen voordat je het netwerk op komt, Fortinet, Cisco, VMWare, Aruba, Pulse, Extreme enz hebben allemaal NAC oplossingen.
Geen updates? geen access. Geen virusscanner op Windows? Geen access. Niet de laatste LTS? geen access, Geen Catalina? Geen access.

Zo moeilijk is het niet, wel vervelend als je luie mensen hebt.
"ik moet kunnen werken' gaat dan hetzelfde worden als 'ik heb geen ebola, ik hoest alleen bloed, laat mij binnen op de kraamafdeling'....
27-12-2019, 15:53 door Anoniem
Als ze nu dagelijks backups zouden maken dan hoeven ze nu niet te betalen. Door te betalen houden ze het systeem in stand. Mijn mening: backup herstellen en niks betalen. Maarja... als ze geen backups maken..?
27-12-2019, 16:19 door Anoniem
Alles hangt er van af hoe men de systemen is binnengeraakt. Het is erg het te moeten zeggen - maar niemand is onkwetsbaar tegen dat soort aanvallen. De aanvallers hebben het voordeel van de tijd en ze kiezen hun tijdstip vakkundig uit.
Je kan beveiligen zoveel je wil - een foutje kan al fataal zijn.
Wacht tot het onderzoek afgelopen is, en geef dan commentaar.
Een Universiteit heeft het bijkomende nadeel dat daar zowel onderwijs, onderzoek als administratie samen komen - met alle mogelijke statuten en spin-offs die je je maar kan bedenken. Dus het is eenvoudig om kritiek te spuien.
Zo'n universiteit moet je vergelijken met een multinational, maar met veel meer zelfstandige aanhangels dan een bedrijf kent.
Je kan daar niet zomaar bedrijfsprincipes qua beveiliging op toepassen. Want dan stopt dat met draaien.
27-12-2019, 17:34 door Anoniem
Door karma4: Dat snap ik niet dat een bibliotheek functie en gekoppeld is aan de end-point omgeving (segmentatie?) en dat er geen alternatief voor een bibliotheek functie is.
Misschien vanwege de authenticatie welke gekoppeld as aan AD?
Servers die afhankelijkheden hadden van DNS?

Mogelijkheden genoeg te bedenken waarom dit ook niet meer werkt.

Door FlipTheBird4Karma:
Door karma4: Dat snap ik niet dat een bibliotheek functie en gekoppeld is aan de end-point omgeving (segmentatie?) en dat er geen alternatief voor een bibliotheek functie is. Alsof openbare informatie achter iets afgesloten zitten. Elsevier is er blij mee. Het lijkt om een eigen intern beheerde diens ICTS met een eigen interne datacenter faciliteit te gaan.

Ach, daar is ie dan toch,<buzzword alert> segmentatie. Een paar maanden geleden noemde je in ieder posting nog governance en iso 27001.
Je mag het wel een buzzword noemen. Maar er is wel een heel hoop over te zeggen.
Juist met segmentatie hadden heel veel problemen voorkomen worden. Jij kunt het een buzzword noemen, maar valt wel onder governance en iso 27001. Blijkbaar snap je toch wat basis begrippen niet.
Waarom was de DHCP server toegankelijk? Daar hoeft niemand zomaar bij te kunnen. File share, RDP toegang hoeft voor niemand toegankelijk te zijn. Beheer kun je op afstand doen.
Domain controllers die geïnfecteerd zijn? Daarvoor zijn tiering modellen gedacht. Of er is een high privileged account ergens verkeerd gebruikt, of de laatste patches zijn niet goed geïnstalleerd.
Hoe kan een Exchange server besmet raken? Voor clients zijn maar bepaalde poorten noodzakelijk en kunnen vrij goed afgeschermd worden.

Er zitten basis security flaws in het design wat daar actief is. Jij noemt het buzzworden (is trouwens ook een buzzword, misschien jou je eens buzzword bingo moeten gaan spelen), maar het zijn wel feiten waar het fout is gegaan.
27-12-2019, 17:36 door Anoniem
Door FlipTheBird4Karma:
Door karma4:
Door De Evangelist: ….
De Universiteit Maastricht heeft zelf expliciet Windows systemen in hun persberichten genoemd. Dat jij het beter denkt te weten dan zij, ja dat is een bekend patroon.
Dat zijn de endpoints waar de gebruikers direct mee te maken hebben. Nogal voor de hand liggend wat daar gebruikt wordt.
Wat er uit lig is de achterkant, als je wat meer je licht op zou steken dan komt het scala van al het mogelijke IT systemen daar voorbij. En nee niet alle wetenschappelijke data staat veilig opgeslagen. Lees het redactie artikel, men kan nergens meer bij.

Nee Karma4, in de posting BOVEN die waar jij op reageert wordt al aangegeven dat het niet om endpoints gaat maar Windows servers/services.

Je bent te laf om daar op te reageren.
Adem in adem uit. Adem in adem uit. Adem in adem uit. Adem in adem uit.
Denk aan je bloedruk....

De complete windows omgeving ligt plat. Backend/endpoints maakt daarbij niet uit. Zodra je een domain controller kan platleggen met je malware, dan is het tijd om je AD recovery uit te voeren, inclusief alle Windows machines.
27-12-2019, 17:46 door karma4
Door FlipTheBird4Karma:
Nee Karma4, in de posting BOVEN die waar jij op reageert wordt al aangegeven dat het niet om endpoints gaat maar Windows servers/services.

Je bent te laf om daar op te reageren.
Ik zal je helpen leren lezen als heeft zoiets bij evangelisten en extremisten weinig nut omdat ze naar de bevestiging van de eigen opvatting zoeken. Slechte eigenschap voor informatieveiligheid aan beide zijden.

https://nos.nl/artikel/2316373-cyberaanval-universiteit-maastricht-duurt-mogelijk-tot-na-kerstvakantie.html
- "Een aantal websites is uit de lucht."
- "Ik moet een lesboek hebben dat op de server staat voor een toets in januari en daar kan ik dus niet bij"-
- "Daarnaast moet ik voor een paper onderzoek doen en ook dat staat online. Ik kan nu helemaal niks."
- "Onder andere de bibliotheek en het Student Portal zijn offline."
Ga nu eens met dat gegeven googlen en kijken wat je vindt.

Wat kreten:
- "Het principe is hier BYOD (Bring Your Own Device): je kunt er studeren met je eigen laptop/tablet, smartphone en boeken. Alle locaties hebben ruime openingstijden."
- "Dankzij de nieuwe student portal vinden studenten sneller wat ze zoeken en kosten taken minder clicks. De app is gebaseerd op de mobile-first gedachte."
Het zijn geen managed devices het gaat om byod. Ze kunnen wel software downloaden.
- "Een gedeelte van de software is beschikbaar via https://software.maastrichtuniversity.nl/ en Microsoft Office kan gedownload worden via onze Office 365 pagina …"
Je hoort ze niet over dat deel van de gedownloade software. Die byod's zitten niet in het AD netwerk.

Als je VM of Citrix virtual windows machine gebruikt zijn het voor mij nog steeds endpoints.
. Eens dat byods ofwel al die laptops niet geraakt zijn?
. Eens dat een windows interface (wegens dat AD gebeuren) weg is?
. Eens dat het studentenportal en de biblitoheek weg is (web-services)
Hierboven expliciet "de website ligt er uit"
27-12-2019, 18:04 door Anoniem
"voor niemand toegankelijk te zijn. Beheer kun je op afstand doen. Domain controllers die geïnfecteerd zijn? Daarvoor zijn tiering modellen gedacht. Of er is een high privileged account ergens verkeerd gebruikt, of de laatste patches zijn niet goed geïnstalleerd"

de malware werd door hackers die toegang tot het netwerk hebben weten te verschaffen geinstalleerd, zoals vermeld werd in de pers.

als eenmaal een windows PC die aan de AD hangt gepowned is (een reverse shell heeft bijv) en een admin typt per ongeluk eens zijn admin ww in, of het OS heeft een nog niet gepatche local root exploit, dan is het vaak niet zo een issue om de dhcp server te pownen. waarschijnlijk draait ook alles nog op een endelzefde VM omgeving ook want VMs are ze bees knees toch?
27-12-2019, 18:10 door [Account Verwijderd]
Door Anoniem:
Je mag het wel een buzzword noemen. Maar er is wel een heel hoop over te zeggen.
Juist met segmentatie hadden heel veel problemen voorkomen worden. Jij kunt het een buzzword noemen, maar valt wel onder governance en iso 27001. Blijkbaar snap je toch wat basis begrippen niet.

Ik snap het belang van goede netwerk segmentatie, geloof me. Maar netwerksegmentatie is niet de heilige graal, net zo min als iso 27001. Het is een combinatie van een flink aantal zaken wat een netwerk veilig maakt of juist niet en daar valt zeker ook het gebruikte OS onder en dat willen sommigen niet onder ogen zien.
27-12-2019, 18:13 door [Account Verwijderd] - Bijgewerkt: 27-12-2019, 18:17
Door karma4:

Exchange is geen endpoint, eens of niet?
AD is geen endpoint, eens of niet?
DHCP is geen endpoint, eens of niet?
Fileservers zijn geen endpoint eens of niet?
Web servers zijn geen endpoint, eens of niet?
Alleen Windows is de klos, eens of niet?
27-12-2019, 18:44 door The FOSS - Bijgewerkt: 27-12-2019, 18:47
Door karma4:
Door FlipTheBird4Karma:
Nee Karma4, in de posting BOVEN die waar jij op reageert wordt al aangegeven dat het niet om endpoints gaat maar Windows servers/services.

Je bent te laf om daar op te reageren.
Ik zal je helpen leren lezen als heeft zoiets bij evangelisten en extremisten weinig nut omdat ze naar de bevestiging van de eigen opvatting zoeken. Slechte eigenschap voor informatieveiligheid aan beide zijden.

https://nos.nl/artikel/2316373-cyberaanval-universiteit-maastricht-duurt-mogelijk-tot-na-kerstvakantie.html
- "Een aantal websites is uit de lucht."
- "Ik moet een lesboek hebben dat op de server staat voor een toets in januari en daar kan ik dus niet bij"-
- "Daarnaast moet ik voor een paper onderzoek doen en ook dat staat online. Ik kan nu helemaal niks."
- "Onder andere de bibliotheek en het Student Portal zijn offline."
Ga nu eens met dat gegeven googlen en kijken wat je vindt.

Dat is nog steeds niet wat bedoeld wordt met wetenschappelijke data. Die lijken gelukkig buiten bereik van het Windows cyberrealm te zijn gebleven. Hoewel nu tijdelijk onbereikbaar is het voordeel daarvan dat ze - waarschijnlijk - ook voor de ransomware onbereikbaar waren.
27-12-2019, 19:48 door Anoniem
Door Anoniem: Als ze nu dagelijks backups zouden maken dan hoeven ze nu niet te betalen. Door te betalen houden ze het systeem in stand. Mijn mening: backup herstellen en niks betalen. Maarja... als ze geen backups maken..?

Of als het niet een aanval van dit moment is, maar die aanvallers zijn al een tijdje binnen... dan hebben ze wellicht
al een aantal recente backups verziekt en moet je ondanks dat je iedere dag een backup gemaakt hebt toch een of
meer maanden terug. Dat is niet zo fijn natuurlijk.
27-12-2019, 20:16 door Anoniem
Heb een keer, zijdelings, meegemaakt dat een bedrijf letterlijk tot de grond toe afbrandde, net op een moment dat hun off-side storage lokaal stond om de boel snel gesynchroniseerd te krijgen. Het enkele wat overbleef waren OST en OneDrive files op laptops die op het moment van de brand buiten het bedrijf waren. Met heel veel elleboogvet en veel assistentie van derde partijen (license keys, herinstallaties, verzekeringen, gehuurde hardware, veel overwerk, enzovoorts) zijn ze er weer bovenop gekomen. Het belangrijkste wat ze hebben geleerd is dat je financiele buffer om kosten te kunnen blijven dragen gedurende de tijd van herstel, de sleutel is om als een Phoenix te herrijzen uit het as.
Daarnaast zijn ze extra alert geworden op off-side Disaster Recovery mogelijkheden, maar wel nuchter genoeg om vast te stellen dat het voor hun goedkoper is om eens in de zoveel jaren volledig af te branden, dan te investeren in verregaande Disaster Recovery oplossingen. Want ja, er zijn hele mooie oplossingen om, na een alles verwoestende brand, weer aan de slag te gaan binnen uren of dagen, desnoods via de WiFi van thuis of McDonalds, maar dat kost een beetje veel.
Je moet niet enkel kijken naar wat technisch kan, maar wat organisatorisch, en bestuurlijk, tot de in stand te houden mogelijkheden behoort.
Met creativiteit en elleboogvet kun je heel ver komen, mits je voldoende financiele reserves hebt.
27-12-2019, 22:28 door Anoniem
Door Anoniem:
Daarnaast zijn ze extra alert geworden op off-side Disaster Recovery mogelijkheden, maar wel nuchter genoeg om vast te stellen dat het voor hun goedkoper is om eens in de zoveel jaren volledig af te branden, dan te investeren in verregaande Disaster Recovery oplossingen. Want ja, er zijn hele mooie oplossingen om, na een alles verwoestende brand, weer aan de slag te gaan binnen uren of dagen, desnoods via de WiFi van thuis of McDonalds, maar dat kost een beetje veel.
Je moet niet enkel kijken naar wat technisch kan, maar wat organisatorisch, en bestuurlijk, tot de in stand te houden mogelijkheden behoort.

Precies, dat is iets wat veel posters op dit forum, die immers geen praktische ervaring hebben met de inzet van hun
wijsheden in een echt bedrijf of instelling, zich niet realiseren. Het is erg gemakkelijk om dingen te roepen die je geleerd
hebt op school of gelezen op het internet van een of andere aanbieder, net zoals het heel gemakkelijk is om steeds maar
te herhalen dat je geen windows moet gebruiken of dat je geen internetverbinding moet hebben voor je medewerkers,
maar de praktijk is anders dan wat die zolderkamerdeskundigen denken.

Alles grondig dichttimmeren en beveiligen is gewoon niet altijd haalbaar, zowel financieel als organisatorisch. Daarom
moet er vergaand ingezet worden op het uitroeien van de misdadigers die dit soort zaken op hun geweten hebben,
want DIE zijn het probleem. Net zoals dat je gewoon glas in je huis moet kunnen hebben ipv in een bunker wonen,
moet het ook in een ICT omgeving voldoende zijn om "normaal gebruikelijke" beveiliging en revovery te hebben en
niet alles bank of leger graded te hoeven opzetten.
28-12-2019, 10:17 door Anoniem
Door Anoniem:

Alles grondig dichttimmeren en beveiligen is gewoon niet altijd haalbaar, zowel financieel als organisatorisch. Daarom
moet er vergaand ingezet worden op het uitroeien van de misdadigers die dit soort zaken op hun geweten hebben,
want DIE zijn het probleem. Net zoals dat je gewoon glas in je huis moet kunnen hebben ipv in een bunker wonen,
moet het ook in een ICT omgeving voldoende zijn om "normaal gebruikelijke" beveiliging en revovery te hebben en
niet alles bank of leger graded te hoeven opzetten.

Natuurlijk zijn de misdadigers het probleem, maar misdadigers bestaan al zo lang er mensen zijn (aanname) en je moet je daartegen wapenen.

Wie heeft toegang nodig?
Wat heeft toegang nodig?
Wanneer is die toegang nodig?
Waar is die toegang nodig?
Waarom moet die toegang verkregen worden?
Hoe moet die toegang tot stand komen?

Pas als je dat in kaart hebt gebracht ben je in staat om je afdoende te beschermen tegen misdadigers. Dus als je niet instaat bent om de zaak grondig dicht te timmeren loop je een risico en kan het nog meer geld gaan kosten dan wanneer je wel afdoende maatregelen getroffen had.

Daarnaast moet je een goed disaster recovery plan hebben dat wanneer het fout gaat je weet wat je moet doen, zo'n DR draaiboek moet klaar liggen en periodiek getoetst en getest (nee, niet in je productie omgeving).

Tot slot moet je de risico's mitigeren, als je weet dat een onderdeel in je infrastructuur zwakheden vertoont moet je die, waar mogelijk, verbeteren of vervangen. Je zou kunnen denken aan micro-segmentatie maar ook aan het vervangen van het gebruikte operating system.

Ja, het kost geld maar dat kost een hack of data exfiltration naar een concurrent ook.
28-12-2019, 10:25 door The FOSS
Door Anoniem:
Door Anoniem: ...

Precies, dat is iets wat veel posters op dit forum, die immers geen praktische ervaring hebben met de inzet van hun
wijsheden in een echt bedrijf of instelling, zich niet realiseren. Het is erg gemakkelijk om dingen te roepen die je geleerd
hebt op school of gelezen op het internet van een of andere aanbieder, net zoals het heel gemakkelijk is om steeds maar
te herhalen dat je geen windows moet gebruiken of dat je geen internetverbinding moet hebben voor je medewerkers,
maar de praktijk is anders dan wat die zolderkamerdeskundigen denken.

Je hebt op zich een punt met die praktijkervaring maar zoiets moet geen excuus worden om alles maar bij het oude te laten, alles mainstream 'de klant wil het zelf' te doen en dientengevolge keer op keer in dezelfde valkuilen terecht te komen. Want met closed source heb je hoe dan ook meer vendor lock-in dan met open source, en je hebt geen enkel zicht op wat er onder de motorkap allemaal gebeurt.
28-12-2019, 10:52 door karma4
Door The FOSS:
Dat is nog steeds niet wat bedoeld wordt met wetenschappelijke data. Die lijken gelukkig buiten bereik van het Windows cyberrealm te zijn gebleven. Hoewel nu tijdelijk onbereikbaar is het voordeel daarvan dat ze - waarschijnlijk - ook voor de ransomware onbereikbaar waren.
Na dan maar weer verder helpen.
Voor de bibliotheek is de naam "navigator"gevallen. Kijk dan eens verder, deze wordt bij meerdere universiteiten gebruikt.
Je komt direct bij Wolters Kluwer terecht. Dat kost dus geld en mag niet open gezet worden. Met een SSO implementatie vermoedelijk met behulp van SAML/OAUTH een externe koppeling daarheen. Hoef je geen eigen bibliotheek op te bouwen maar je hebt het aan de commerciële externe partij overhandigd. Of je de nu als een voordeel moet zien..

Kijk je naar het studentenregistratiesysteem dan kom je SAP slm (student life cycle) tegen. Kijk naar wat meer hits in die hoek en je ziet een completere reeks van producten. Vrij gangbare aanpak een SAP-nummer waar iemand zijn persoonsnummer wordt.

Keuzes met vragen:
- Als je zo'n externe SSO legt dan vraag ik me af waarom het aan het directe VDI systeem moet. Een vertraging met enig tijd via een MFT naar een geïsoleerde machine kan goed genoeg zijn en geeft een ontkoppeling in afhankelijkheden.
Het nadeel is die extra te beheren autorisatie, Het is niet handig om passwords leesbaar te verwerken.
De monitoring en logging zal de contractuele auteursrechten in de externe overeenkomst betreffen.
- Als je een gevoelige registratie systeem voert, waarom koppel je het dan direckt door naar die meer open VDI omgeving voor de studenten.
- Die VDI omgeving voor studenten is niet zwaar dicht getimmerd. Ik hoor de overweging gisteren op tv. Het belang van gemak voor de studenten met de nodige vrijheid was belangrijker dan een echt veilige omgeving.
In ieder geval zou je met die keuze er rekening mee moeten houden dat die hele vdi nergens naar doorwerkt en snel van scratch af op te bouwen moet zijn (DR).

Van de bekende reeks kunnen we al aan aanvinken:
1- gebrek aan segmentatie
2- risico klassificaties met een impact analyse lijken te ontbreken.
3- De alom bekende DR strategie lijk er niet te zijn dan wel werkt niet.
Ik verwacht nog wel iets rond:
- admins die veel te veel rechten hebben (makkelijk dagelijks beheer)
- privileged accounts als algemeen bij onwerp.
- niet bijgewerkte software
- remote beheer - vpn
etc.

Het is geen echte ramp als inleverdata en tentamens verschoven moeten worden. Het geeft ongemak en de reputatie wordt er niet beter op. Voor een UNI is het doel zoveel mogelijk studenten als product af leveren tegen zo laag mogelijke kosten. Het aantal promoties levert ook goed geld op. Zo duidelijk als een product met "student life cycle" had ik nog niet gezien. Het is minder verhullend dan het "opbrengst gericht werken".
28-12-2019, 10:58 door Anoniem
Dan is mijn vraag vervolgens: "Wat zijn de opsporingsinstanties dan van plan? Hoe ga je eraan werken,
dat de ransomeware criminelen de wereld uit geholpen worden
of hen tenminste de ijdele moed zal vergaan om het zelfs maar te gaan proberen?".

Mafia werd ingezet bij Gladio exercities destijds. Wie is deze cyber-mafia? Wie stuurt het aan en gedoogt het?

Als men er al overal zowat onder lijdt, moet daar toch consensus over te krijgen zijn?
Anders, hoe veel jaar zou dat nog moeten duren?

Hoe gaan staten en drie- en vierletterdiensten, Europol en Interpol en weet ik wie nog meer allemaal,
dit probleem de wereld uithelpen? Of de volgende vraag, die op mijn lippen brandt.
"Willen ze dit helemaal niet of willen ze het eigenlijk wel?".

Vormt het onderdeel van een wereldwijd woedende cyberwar?
In de oppositie USA-Oekraine versus Russische Federatie verwant met de Maersk ransomware exercitie?
Het recentelijk gebruik van clop ransomeware, waarvan de naam klop = bedwants zeker uit het Russisch stamt.

Zijn het Russen of zijn het Amerikanen, die Russen de schuld in de schoenen willen schuiven?
Is het een nieuw soort "koude cyberoorlog", die al aan het opwarmen is via ransomware aanvallen?

Uni van Maastricht haalt nu het main news, maar de achtergronden, daar doet men geheimzinnig over.
Is er sprake van staatscriminelen of aan een staat gelieerde criminelen, statelijke acteurs dus?

De Rian van R. oplossingen zullen niet aanslaan.

Het is beklend dat het tot op zekere hoogte gedoogd wordt als men de eigen shop maar niet aanvalt.
Doch het kan zo uit de klauwen gaan lopen dat men het internationaal wel een halt zal moeten gaan toeroepen.
Dan is de vraag: "Wil men dat wel onder de huidige omstandigheden
of blijft men de meute voorlopig nog eventjes sprookjes vertellen?".

Wat zijn jullie denkbeelden hierover? Wat gaan Grapperhaus en consorten doen?
Hoe wordt de Abwehr geregeld?

#sockpuppet
28-12-2019, 11:07 door karma4
Door [Account Verwijderd]:
Door karma4:
Exchange is geen endpoint, eens of niet?
AD is geen endpoint, eens of niet?
DHCP is geen endpoint, eens of niet?
Fileservers zijn geen endpoint eens of niet?
Web servers zijn geen endpoint, eens of niet?
Alleen Windows is de klos, eens of niet?
Aha ik zie dat je weinig ICT begrijpt.
- Een VDI is een endpoint (Citrix VMWare) en deze wordt via Servers aangeboden. Het gaat om terugbrengen van de hardware welke in bezit is door de resources te delen.
- DHCP is dan wel een server maar zijn enige doel is IP-nummers uit te delen aan de apparatuur ofwel endpoints. Servers met wisselende ip-nummers is gewoonlijk niet echt handig.
- De file-servers in windows begrippen geven toegang zoals een NAS naar de windows desktops endpoints zodat daar een gedeelde toegang mogelijk is. Het is iets wat in Unix/Linux ontbreekt, daar komt dat berucht SMB om de hoek. Zou je server based zoals op een mainframe werken dan krijg je een ander verhaal. Een SAN is weer wat anders.
- Web servers zijn wel degelijk het endpoint in een mobile first strategy. De aflevering vind als webpagina plaats, daar stopt de verantwoordelijkheid.
- Studentvolgsysteem en de bibliotheek zijn al genoemd, niet zo maar Windows. Er moeten nog veel meer niet genoemde systemen zijn. Dat je zo op het os richt is een teken dat je de hele keten mist.
28-12-2019, 11:18 door The FOSS
Door karma4: - DHCP is dan wel een server maar zijn enige doel is IP-nummers uit te delen aan de apparatuur ofwel endpoints. Servers met wisselende ip-nummers is gewoonlijk niet echt handig.

Begrijp je wel dat je jezelf in één zin tegenspreekt?
28-12-2019, 12:06 door Anoniem
@ The FOSS,

De malcreanten hebben zo veel voordelen t.o.v. de verdedigende partij. Ze hebben aan een algemene vrij onbeveiligde inlog genoeg om zich via escalatie omhoog te kunnen wurmen om de aanval te kunnen uitvoeren. Het belangrijkste is de sporen uit te wissen. Doen ze dat niet goed zijn ze soms alsnog het haasje en wacht er in de United States of Ameriki een straf van soms 96 jaar in de "slammer", maar als de landenvan oorsprong ze dan onder zulke condities niet wensen uit te leveren, komen ze soms na voorarrest al vrij of als ze over voldoende middelen (bitcoin) beschikken kopen ze hun in vrijheidsstelling bij de autoriteiten van de corrupte/verziekte natie van verblijf.

Trouwens is het een circus van kameleons. Bij een misbruik melding of een na een neerhalen verzet men zich niet (is uiterst meewerkend/dociel), maar verplaatst het circus zich naar elders op het wereld wijde web. Het gaat dus voornamelijk hier om de gelegenheidsgevers. Men zou kunnen beginnen door bulletproof servers te gaan verbieden of uit de lucht te halen.
Tegen de cybercriminelen begin je niet veel, de betrokken infrastructuur neerhalen biedt meer kansen.

De afkoppeling van Russia-net was in dit opzicht al een leuke oefening in die zin. Compartimentalisatie en fragmentatie geven waarschijnlijk hier mogelijkheden. Willen de "witte boorden bazen van Interwebz" niet, kunnen ze gedwongen worden de boel wat veiliger in te richten, dan maar wat minder giga profijt. Zo kan het echt niet veel langer.

luntrus
28-12-2019, 13:13 door Anoniem
Door karma4:
- DHCP is dan wel een server maar zijn enige doel is IP-nummers uit te delen aan de apparatuur ofwel endpoints. Servers met wisselende ip-nummers is gewoonlijk niet echt handig.

Als je een DHCP server hebt die niet zo wrakkig is als die in Windows dan is het vaak best wel handig om "alles via DHCP"
te doen (behalve die server zelf natuurlijk) omdat je dan allerlei IP parameters centraal kunt beheren en eventuele
omnummeringen en herindelingen veel gemakkelijker zijn.
Dan moeten je systemen natuurlijk wel een redelijk aantal instellingen daadwerkelijk via DHCP opvragen ipv ze elders
in configuratie te zetten, iets waarin Windows ook niet echt in uitblinkt. Dus in Windows omgevingen zoals jij kent wordt
dit alles niet zo vaak gedaan.

(en uiteraard moet je wel je netwerk fatsoenlijk indelen, je weet wel dat segmenteren waar jij het altijd over hebt, om te
voorkomen dat servers het slachtoffer kunnen worden van rogue DHCP servers die gebruikers aan het netwerk hangen)
28-12-2019, 13:17 door karma4
Door The FOSS: [Begrijp je wel dat je jezelf in één zin tegenspreekt?
Ik begrijp de functionaliteit en de ketenafhankelijkheden. Dat is wat anders dan een woordje gebruiken.
Wat je doet is de hogere wiskunde met lichamen en hun symbolen afdoen als een optelsommetje.
Heb jij servers met wisselende ip-nummers via een DHCP?
28-12-2019, 13:27 door The FOSS - Bijgewerkt: 28-12-2019, 13:36
Door karma4:
Door The FOSS: [Begrijp je wel dat je jezelf in één zin tegenspreekt?
Ik begrijp de functionaliteit en de ketenafhankelijkheden. Dat is wat anders dan een woordje gebruiken.
Wat je doet is de hogere wiskunde met lichamen en hun symbolen afdoen als een optelsommetje.
Heb jij servers met wisselende ip-nummers via een DHCP?

Ik heb mijn studieboeken erop geraadpleegd! De hogere wiskunde met lichamen en hun symbolen achter de DHCP was inderdaad weggezakt. Ik ga nu in mijn boeken duiken en ik kom z.s.m. erop terug. Bedankt voor de terugkoppeling.
28-12-2019, 14:07 door Anoniem
"
Wie heeft toegang nodig?
Wat heeft toegang nodig?
Wanneer is die toegang nodig?
Waar is die toegang nodig?
Waarom moet die toegang verkregen worden?
Hoe moet die toegang tot stand komen?

"

heb je dat allemaal gedaan, dan blijkt dat een IT beheerder met een beetje socail enginering een hacker toegang te verschaffen zoder dat ie het door heeft want hij krijgt een mail met een 'verborgen' linkje in zijn outlook en automatisch een reverse shell / malware binnen haalt.

het heeft geen nut een poortwachter met een strenge checklist te hebben als de achterdeur ongemerkt steeds open blijkt te staan.
28-12-2019, 14:09 door Anoniem
Hadden ze DHCP snooping wel ingesteld?
Anders dan ben je wel gezien bij een DORA aanval met "Yersinia" bijvoorbeeld.

Lees: https://www.certprepare.com/dhcp-snooping

###########
# ifdown wan
; ifup wan switch#
switch# configure terminal
switch(config)# show dhcp-snooping
ddns-updates off;
ddns-update-style interim;
ddns-update-style interim;
Index: dhcp.c
--- a/dhcp.c
+++ b/dhcp.c
########### etc. etc.
###############
switch(config)# dhcp-snooping
switch(config)# dhcp-snooping authorized-server 192.XXX.X.X.
switch(config)# dhcp-snooping authorized-server 192.XXX.X.X
switch(config)# dhcp-snooping trust B21-B22
switch(config)# no dhcp-snooping option 82
switch(config)# dhcp-snooping vlan 10-11
etc. etc. #############

luntrus
28-12-2019, 14:23 door Anoniem
Door karma4:
Aha ik zie dat je weinig ICT begrijpt.
- Een VDI is een endpoint (Citrix VMWare) en deze wordt via Servers aangeboden. Het gaat om terugbrengen van de hardware welke in bezit is door de resources te delen.
- DHCP is dan wel een server maar zijn enige doel is IP-nummers uit te delen aan de apparatuur ofwel endpoints. Servers met wisselende ip-nummers is gewoonlijk niet echt handig.
- De file-servers in windows begrippen geven toegang zoals een NAS naar de windows desktops endpoints zodat daar een gedeelde toegang mogelijk is.

Aha, alweer geen antwoord zie ik. Jij begon over endpoints waar gebruikers mee te maken hebben, dat hebben ze niet direct met Exchange, dhcp, AD of webservers. Wat heeft in godsnaam de werking van DHCP te maken met het al dan niet versleuteld zijn door ransomware? Wat heeft de werking van een file server te maken met het al dan niet versleuteld zijn door ransomware?

Feit (met de huidige berichtgeving door de UM): Het zijn alleen Windows systemen (de op e e n na zwakste schakel in de keten) die naar de klote zijn.
28-12-2019, 15:21 door The FOSS - Bijgewerkt: 28-12-2019, 16:02
Door The FOSS:
Door karma4:
Door The FOSS: [Begrijp je wel dat je jezelf in één zin tegenspreekt?
Ik begrijp de functionaliteit en de ketenafhankelijkheden. Dat is wat anders dan een woordje gebruiken.
Wat je doet is de hogere wiskunde met lichamen en hun symbolen afdoen als een optelsommetje.
Heb jij servers met wisselende ip-nummers via een DHCP?

Ik heb mijn studieboeken erop geraadpleegd! De hogere wiskunde met lichamen en hun symbolen achter de DHCP was inderdaad weggezakt. Ik ga nu in mijn boeken duiken en ik kom z.s.m. erop terug. Bedankt voor de terugkoppeling.

Onderstaand paper verduidelijkt inderdaad veel. Werk aan netwerken van KGB en CERN ligt er blijkbaar aan ten grondslag.

Towards the Synthesis of DHCP
G. MICHEAL1,K.M.AZARAFFALI2
...
Continuing with this rationale, we concentrate our efforts on disconfirming that von Neumann machines and B-trees are entirely incompatible.
...
Many hardware modifications were required to measure our application. We ran a software simulation on the KGB’s network to prove the mutually autonomous behavior of partitioned configurations. We removed some 150MHz Intel 386s from our system. We removed more FPUs from CERN’s network to consider modalities.


https://acadpubl.eu/hub/2018-119-12/articles/4/932.pdf

(Dat van die von Neumann machines en B-trees wist ik niet. Nooit te oud om te leren blijkt maar weer eens).
28-12-2019, 15:46 door Anoniem
Door Anoniem:

Alles grondig dichttimmeren en beveiligen is gewoon niet altijd haalbaar, zowel financieel als organisatorisch. Daarom
moet er vergaand ingezet worden op het uitroeien van de misdadigers die dit soort zaken op hun geweten hebben,
want DIE zijn het probleem. Net zoals dat je gewoon glas in je huis moet kunnen hebben ipv in een bunker wonen,
moet het ook in een ICT omgeving voldoende zijn om "normaal gebruikelijke" beveiliging en revovery te hebben en
niet alles bank of leger graded te hoeven opzetten.
Klopt. Maar er zijn hier wel een maar basis security issues. Heel weel is vrij gemakkelijk op te lossen.
Het Tiering model van Microsoft hiervoor heeft gedacht, had al een heel hoop issues opgelost.
Een Tier 1 / 2 admin account, heeft nooit rechten op bijvoorbeeld een domain controller.
Maar een Tier 0 account kan nooit op een gewone server inloggen. Je hebt voor hiervoor ook een dedicated steppingstone machine.
Een Tier 2 account kan ook alleen maar desktop beheer uitvoeren, maar nooit met admin rechten naar een server verbinding maken.

Waarom zou ook je DHCP server met SMB / RPC traffic toegankelijk moeten zijn voor je clients? Hij hoeft alleen maar DHCP requests te doen. Het zelfde kun je zeggen voor Exchange.....
Readonly domain controllers voor eventueel BYOD of onvertrouwde netwerk segmenten.

Segmentatie of Tiering zijn hier de basis bouw blokken voor een goede security.

We hebben het hier niet over mega complexe infrastructurele aanpassingen, maar hadden wel een heel hoop ellende voorkomen. Er was nog steeds een hoop shit geweest, een de backend infrastructuur was dan nog beschikbaar kan en je sneller beginnen met je recovery.

Dit soort aanpassingen komen ook altijd uit Microsoft Audits naar voren, als high security issues die aangepakt moeten worden.

Maar als je domain controllers Geïnfecteerd kunnen worden, dan gaat er in de basis iets heel erg verkeerd.
28-12-2019, 16:15 door souplost - Bijgewerkt: 28-12-2019, 16:22
Door karma4:
Het is geen echte ramp als inleverdata en tentamens verschoven moeten worden. Het geeft ongemak en de reputatie wordt er niet beter op. Voor een UNI is het doel zoveel mogelijk studenten als product af leveren tegen zo laag mogelijke kosten. Het aantal promoties levert ook goed geld op. Zo duidelijk als een product met "student life cycle" had ik nog niet gezien. Het is minder verhullend dan het "opbrengst gericht werken".
Vreselijk veel gekker moet het niet worden.
Als ze maar niet mijn centen gaan gebruiken om die achterlijke windowsproblemen op te lossen,, anders laat ik ook een doos los. IK heb veel bedrijven van binnen gezien en ze zijn allemaal al een leer gehackt. Het wordt tijd dat dat eens boven water komt. Aan de andere kant als men hier in blijft volharden zijn mijn Linuxsystemen nop wel een tijd veilig.
Trouwens waarom werkt https://www.maastrichtuniversity.nl/ nog wel :)
Is MS damage control al ingevlogen?
28-12-2019, 16:38 door karma4
Door souplost:
Vreselijk veel gekker moet het niet worden.
Als ze maar niet mijn centen gaan gebruiken om die achterlijke windowsproblemen op te lossen,, anders laat ik ook een doos los. IK heb veel bedrijven van binnen gezien en ze zijn allemaal al een leer gehackt. Het wordt tijd dat dat eens boven water komt. Aan de andere kant als men hier in blijft volharden zijn mijn Linuxsystemen nop wel een tijd veilig.
Trouwens waarom werkt https://www.maastrichtuniversity.nl/ nog wel :)
Is MS damage control al ingevlogen?
Ik verdenk eerder jou en je vriendjes dat je dat soort acties als onderuit halen van dat andere os zelf bezigt.
Nee je Linux zijn niet veilig het zijn eerder de grootste broeinesten van slechte gevaarlijke software. Je hoeft enkel maar naar IOT te kijken. De S van security in IOT is er niet. SQL injection op de LAMP stack als jaren de top in de datalek oorzaak..
28-12-2019, 16:43 door The FOSS - Bijgewerkt: 28-12-2019, 16:45
Door souplost: Trouwens waarom werkt https://www.maastrichtuniversity.nl/ nog wel :)

Alleen de Microsoft Windows systemen liggen plat [1].

1] Almost all Windows systems have been affected and it is particularly difficult to use e-mail services.
https://www.maastrichtuniversity.nl/news/cyber-attack-against-um
28-12-2019, 16:49 door karma4 - Bijgewerkt: 28-12-2019, 16:59
Door Anoniem: ...
Feit (met de huidige berichtgeving door de UM): Het zijn alleen Windows systemen (de op e e n na zwakste schakel in de keten) die naar de klote zijn.
Na dan maar een link naar de basis waavoor DHCP voor bedoeld is. Eggens onbegrijpelijk dat je die basis mist. https://nl.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol Endpoints hebben een nummertje nodig in het open source internetprotocol. De goedkoopste werkwijze hiervoor is een dhcp.
Erg duidelijk je os bashing met je gebrek aan inzicht in het geheel van de ketens. Je zou eens naar meer volwassen security mensen moeten kijken. Ze zitten bijvoorbeeld bij het ncsc.
https://nos.nl/artikel/2316423-hackaanval-universiteit-maastricht-schot-hagel-dat-te-voorkomen-was.html


Door The FOSS:
Door souplost: Trouwens waarom werkt https://www.maastrichtuniversity.nl/ nog wel :)
https://www.maastrichtuniversity.nl/news/cyber-attack-against-um
Drupal en PHP een apart front end dat geen SSO koppeling heeft.
Die twee andere zijn systemen waar studenten over klagen zijn zo te zien een cloud service (kluwer) en SAP (gewoonlijk Linux) omgeving. Dat je dat soort systemen (er zijn 600 systemen) niet herkent is op zich al opvallend.
28-12-2019, 17:25 door Anoniem
Wat verzorgt daar de e-mail? Juist surf dot nl ...de vernieuwingsaanjager in het onderwijs...

Hier kan ik niet op testen: https://www.zonemaster.net/domain_check Test #991054 - www.surf.nl
Gevonden kwestbaar - https://www.surf.nl/files/js/js_9glzuN3EJXixsmKB3MHj1xWZIzEK38s8kwLdsX_oS_k.js

DOM-XSS sources en sinks gescanned - resultaten van het scanner van de URL: https://www.surf.nl/files/js/js_9glzuN3EJXixsmKB3MHj1xWZIzEK38s8kwLdsX_oS_k.js
Aantal sources aangetroffen: 46
Aantal sinks aangetroffen: 29

Kijk verder even naar samples blob/master/ransomware voila...
en windows 10: https://www.joesandbox.com/analysis/289173

#sockpuppet
28-12-2019, 17:41 door The FOSS - Bijgewerkt: 28-12-2019, 17:56
@karma4 nee hoor, het is eenvoudige wiskunde (een syllogisme; ssst, niks zeggen):

1. Alle Microsoft Window systemen liggen plat
2. https://www.maastrichtuniversity.nl/ ligt niet plat
Ergo https://www.maastrichtuniversity.nl/ is geen Microsoft Windows systeem

Dat je dat - met de door jou gesuggereerde opleiding en ervaring - niet beseft is op zich al opvallend.
28-12-2019, 17:43 door Anoniem
Kijk hier naar de tracker kwetsbaarheden voor InnoCraft dat draait bij surf dot net:
https://www.shodan.io/host/185.31.40.198

Willekeurige code af te spelen. De malcranten gaan langzaam het hele rijtje af om te zien waar de gaatjes zitten.
Maar waarschijnlijk hier niet kwetsbaar:
https://www.virustotal.com/gui/ip-address/185.31.40.198/relations

luntrus
28-12-2019, 17:47 door Anoniem
Zolang de Betas te weinig aandacht krijgen bij de Alfas blijft het zo misgaan
28-12-2019, 17:57 door Anoniem
Door karma4:
Door Anoniem: ...
Feit (met de huidige berichtgeving door de UM): Het zijn alleen Windows systemen (de op e e n na zwakste schakel in de keten) die naar de klote zijn.
Na dan maar een link naar de basis waavoor DHCP voor bedoeld is. Eggens onbegrijpelijk dat je die basis mist. https://nl.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol Endpoints hebben een nummertje nodig in het open source internetprotocol. De goedkoopste werkwijze hiervoor is een dhcp.
Erg duidelijk je os bashing met je gebrek aan inzicht in het geheel van de ketens. Je zou eens naar meer volwassen security mensen moeten kijken. Ze zitten bijvoorbeeld bij het ncsc.
https://nos.nl/artikel/2316423-hackaanval-universiteit-maastricht-schot-hagel-dat-te-voorkomen-was.html

In deze link staat niets over het NCSC.

Door The FOSS:
Door souplost: Trouwens waarom werkt https://www.maastrichtuniversity.nl/ nog wel :)
https://www.maastrichtuniversity.nl/news/cyber-attack-against-um
Drupal en PHP een apart front end dat geen SSO koppeling heeft.
Die twee andere zijn systemen waar studenten over klagen zijn zo te zien een cloud service (kluwer) en SAP (gewoonlijk Linux) omgeving. Dat je dat soort systemen (er zijn 600 systemen) niet herkent is op zich al opvallend.

Singel Sign On ... daar is de balans gemak/veiligheid te ver richting "gemak" doorgeslagen.
En waaruit blijkt dat de studenten klagen over de SAP (gewoonlijk Linux) omgeving ??
Het lijkt er op dat je in een (non) antwoord over een DHCP server via SAP bij "studenten klagen over Linux" uitkomt?
28-12-2019, 18:50 door Anoniem
Door The FOSS: @karma4 nee hoor, het is eenvoudige wiskunde (een syllogisme; ssst, niks zeggen):

1. Alle Microsoft Window systemen liggen plat
2. https://www.maastrichtuniversity.nl/ ligt niet plat
Ergo https://www.maastrichtuniversity.nl/ is geen Microsoft Windows systeem

Dat je dat - met de door jou gesuggereerde opleiding en ervaring - niet beseft is op zich al opvallend.
Wel alle variabelen mee nemen....

Misschien ergens anders gehost op een aparte infrastructuur? Web servers wil je niet zomaar in het zelfde netwerk hebben draaien. Iets met segmentatie.....

Conclusies trekken, zonder alle informatie te hebben, inclusief mogelijke uitzonderingen, is gevaarlijk. Je gebruikt nu je huidige gelimiteerde variabelen en kennis, om een conclusie te trekken, die precies in je gewenste straatje passen.
#Gezakt.

Gelukkig snappen ze dat wel op een universiteit.
28-12-2019, 19:55 door The FOSS
Wat? Nederlands?
28-12-2019, 22:09 door Anoniem
Door [Account Verwijderd]:
Door karma4: Dat snap ik niet dat een bibliotheek functie en gekoppeld is aan de end-point omgeving (segmentatie?) en dat er geen alternatief voor een bibliotheek functie is. Alsof openbare informatie achter iets afgesloten zitten. Elsevier is er blij mee. Het lijkt om een eigen intern beheerde diens ICTS met een eigen interne datacenter faciliteit te gaan.

Ach, daar is ie dan toch,<buzzword alert> segmentatie. Een paar maanden geleden noemde je in ieder posting nog governance en iso 27001.

In dit geval toch een prima buzzword. En management dat niet heeft geluisterd naar de franse collega's. Governance dus. Heeft ie aardig opgelet. :-)
29-12-2019, 07:52 door The FOSS
Door Anoniem:
Door [Account Verwijderd]:
Door karma4: Dat snap ik niet dat een bibliotheek functie en gekoppeld is aan de end-point omgeving (segmentatie?) en dat er geen alternatief voor een bibliotheek functie is. Alsof openbare informatie achter iets afgesloten zitten. Elsevier is er blij mee. Het lijkt om een eigen intern beheerde diens ICTS met een eigen interne datacenter faciliteit te gaan.

Ach, daar is ie dan toch,<buzzword alert> segmentatie. Een paar maanden geleden noemde je in ieder posting nog governance en iso 27001.

In dit geval toch een prima buzzword. En management dat niet heeft geluisterd naar de franse collega's. Governance dus. Heeft ie aardig opgelet. :-)

In algemene zin kan je altijd segmentatie roepen en 'gelijk' krijgen. Naar heb je gecontroleerd of het ergens op slaat, wat hij hier suggereert?
29-12-2019, 09:52 door karma4
Door Anoniem:
Singel Sign On ... daar is de balans gemak/veiligheid te ver richting "gemak" doorgeslagen.
En waaruit blijkt dat de studenten klagen over de SAP (gewoonlijk Linux) omgeving ??
Het lijkt er op dat je in een (non) antwoord over een DHCP server via SAP bij "studenten klagen over Linux" uitkomt?
Je kunt hopelijk de artikelen lezen waar het studentenportal genoemd is dat weg is.
Dan hoef je nog alleen een beetje te googlen. Veel van dat soort beslissingen is gewoon openbaar te vinden.
29-12-2019, 16:30 door Anoniem
Door karma4:
Door Anoniem:
Single Sign On ... daar is de balans gemak/veiligheid te ver richting "gemak" doorgeslagen.
En waaruit blijkt dat de studenten klagen over de SAP (gewoonlijk Linux) omgeving ??
Het lijkt er op dat je in een (non) antwoord over een DHCP server via SAP bij "studenten klagen over Linux" uitkomt?
Je kunt hopelijk de artikelen lezen waar het studentenportal genoemd is dat weg is.
Dan hoef je nog alleen een beetje te googlen. Veel van dat soort beslissingen is gewoon openbaar te vinden.

...“Veel van dat soort beslissingen is gewoon openbaar te vinden”

Waar is dat nu een antwoord op? Wat bedoelje met “dat soort”?
Ja,ik kan Googlen, maar via welke zoektermen kom jij bij welke artikelen terecht, en welke conclusies trek je daar uit??

En jouw opmerking “… is gewoon openbaar te vinden” is in ieder geval niet geldig voor de “closed source” broncode van “black-box” oftewel proprietaire software.

Ik laat je mijn resultaat zien (zoekterm: “CLOP malware”):

https://tweakers.net/nieuws/161538/deel-diensten-universiteit-maastricht-offline-door-clop-ransomware.html?mode=nested&niv=0&order=desc&orderBy=rating&page=1#reacties
(2019-12-24 15:55)
“… De Universiteit van Maastricht heeft te kampen met een ransomwareaanval. Daardoor zijn 'bijna alle Windows-systemen' offline en is het 'bijzonder moeilijk' om de e-maildiensten van de Uni te gebruiken. De wetenschappelijke databanken blijven mogelijk nog buiten schot. (…) Alle dhcp-servers, Exchange-servers, domeincontrollers en netwerkschijven zouden versleuteld zijn. (…) Een woordvoerder van de universiteit bevestigt dat het om de Clop-ransomware gaat.”

https://www.bleepingcomputer.com/news/security/cryptomix-clop-ransomware-says-its-targeting-networks-not-computers/
(2019-03-05 04:30)
“… In an analysis by security researcher Vitali Kremez, when started this variant will first stop numerous Windows services and processes in order to disable antivirus software and close all files so that they are ready for encryption. Examples of processes that are shutdown include Microsoft Exchange, Microsoft SQL Server, MySQL, BackupExec, and more.
… (Clop ransomware) will create a batch file named clearnetworkdns_11-22-33.bat that will be executed soon after the ransomware is launched. This batch file will disable Windows's automatic startup repair, remove shadow volume copies, and then resize them in order to clear orphaned shadow volume copies.”

https://www.bleepingcomputer.com/news/security/ransomware-hits-maastricht-university-all-systems-taken-down/
(2019-12-27 12:00)
“… In an update published today, UM says that all the university's systems have been taken down as a precautionary measure during investigations.”

Dus Karma4, je kan nu wel suggereren dat er ook een Linux-systeem (de student-portal) niet functioneert, maar het CLOP virus kan geen Linux systemen gijzelen. Dat de Student Portal niet benaderbaar is, is veel eerder mogelijk doordat “ all the university's systems have been taken down as a precautionary measure during investigations”.
Want de oorzaak van alle ellende in Maastricht is een CLOP virus, Windows-only. Dat is een feit. Karma4: (h)erken je dit ook? Pas na een goede diagnose kan je gaan werken aan herstel.
29-12-2019, 17:36 door Anoniem
Door Anoniem:
Dus Karma4, je kan nu wel suggereren dat er ook een Linux-systeem (de student-portal) niet functioneert, maar het CLOP virus kan geen Linux systemen gijzelen. Dat de Student Portal niet benaderbaar is, is veel eerder mogelijk doordat “ all the university's systems have been taken down as a precautionary measure during investigations”.
Want de oorzaak van alle ellende in Maastricht is een CLOP virus, Windows-only. Dat is een feit. Karma4: (h)erken je dit ook? Pas na een goede diagnose kan je gaan werken aan herstel.

AD (Windows) ligt eruit, dan snap ik dat authenticatie lastig gaat worden en de portal niet functioneert.
29-12-2019, 23:22 door Anoniem
Door Anoniem:
Dus Karma4, je kan nu wel suggereren dat er ook een Linux-systeem (de student-portal) niet functioneert, maar het CLOP virus kan geen Linux systemen gijzelen.
...
Want de oorzaak van alle ellende in Maastricht is een CLOP virus, Windows-only. Dat is een feit. Karma4: (h)erken je dit ook? Pas na een goede diagnose kan je gaan werken aan herstel.
Dit is niet helemaal correct. CLOP kan wel degenlijk de data op een linux file share encrypten als de gebruiker lees/schrijf rechten heeft op dat file systeem en deze locatie gemount is op het geïnfecteerde systeem.
Het virus kan alleen niet uitgevoerd worden op een Linux systeem, dat klopt wel. Maar de data kan zeker gegijzeld worden op een Linux systeem.

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/clop-ransomware/
For each network share that the malware discovers, it will prepare to enumerate more shares and crypt files.
.....
The second thread created has the task of enumerating all network shares and crypts files in them if the malware has access to them.
.....
For each network share that the malware discovers, it will prepare to enumerate more shares and crypt files.
30-12-2019, 08:43 door The FOSS - Bijgewerkt: 30-12-2019, 08:44
Door Anoniem:
Door Anoniem: Want de oorzaak van alle ellende in Maastricht is een CLOP virus, Windows-only. Dat is een feit. Karma4: (h)erken je dit ook? Pas na een goede diagnose kan je gaan werken aan herstel.
Dit is niet helemaal correct. CLOP kan wel degenlijk de data op een linux file share encrypten als de gebruiker lees/schrijf rechten heeft op dat file systeem en deze locatie gemount is op het geïnfecteerde systeem.
Het virus kan alleen niet uitgevoerd worden op een Linux systeem, dat klopt wel. Maar de data kan zeker gegijzeld worden op een Linux systeem.

Dat is hetzelfde als het papier aansprakelijk stellen voor wat erop geschreven wordt. En Anoniem had het over de oorzaak. Het is echter nog niet duidelijk of je in dit geval de oorzaak helemaal aan Windows kan toeschrijven. Want ik lees berichten over een gehackte server en handmatig door hackers geïnstalleerde of uitgevoerde ransomware. Dat klinkt als een iets ander scenario dan een medewerker die op een link in een e-mail klikt en Windows ransomware activeert.
30-12-2019, 09:18 door Anoniem
Door Anoniem:
Dit is niet helemaal correct. CLOP kan wel degenlijk de data op een linux file share encrypten als de gebruiker lees/schrijf rechten heeft op dat file systeem en deze locatie gemount is op het geïnfecteerde systeem.

Nogal wiedus, als Windows er kan schrijven kan het ook encrypted schrijven. Of dat filesysteem nu door een Linux doos, Netapp filer, 3PAR (onder de hood ook weer Linux) of wat dan ook gehost wordt.
30-12-2019, 10:46 door The FOSS - Bijgewerkt: 30-12-2019, 10:48
Door The FOSS:
Door Anoniem:
Door Anoniem: Want de oorzaak van alle ellende in Maastricht is een CLOP virus, Windows-only. Dat is een feit. Karma4: (h)erken je dit ook? Pas na een goede diagnose kan je gaan werken aan herstel.
Dit is niet helemaal correct. CLOP kan wel degenlijk de data op een linux file share encrypten als de gebruiker lees/schrijf rechten heeft op dat file systeem en deze locatie gemount is op het geïnfecteerde systeem.
Het virus kan alleen niet uitgevoerd worden op een Linux systeem, dat klopt wel. Maar de data kan zeker gegijzeld worden op een Linux systeem.

Dat is hetzelfde als het papier aansprakelijk stellen voor wat erop geschreven wordt. En Anoniem had het over de oorzaak. Het is echter nog niet duidelijk of je in dit geval de oorzaak helemaal aan Windows kan toeschrijven. Want ik lees berichten over een gehackte server en handmatig door hackers geïnstalleerde of uitgevoerde ransomware. Dat klinkt als een iets ander scenario dan een medewerker die op een link in een e-mail klikt en Windows ransomware activeert.

Of misschien is het toch weer wel een pure Microsoft Windows ellende hack! Niks handmatig gehackte systemen, gewoon iemand die op iets verkeerds klikt (...).

TA505 verspreidt, aldus Kremez, gijzelsoftware zoals Clop voor diverse groepen. De software dringt binnen via phishingmails en verspreidt zich langzaam door het hele systeem, aldus Kremez. Onderdeel is ook het aantasten van de back-ups. Vervolgens komen er pop-ups op de computerschermen, met daarin mailadressen waarmee gecommuniceerd kan worden. - https://www.ed.nl/tech/spoor-cyberhack-universiteit-maastricht-leidt-naar-rusland-br~af19b289/

Het zoveelste voorbeeld van Microsoft Windows hack + ransomware? De berichten hierover vliegen je werkelijk om de oren! Microsoft Windows, het zou verbóden moeten worden!
30-12-2019, 12:02 door Anoniem
Hier kun je meer informatie vinden over o.a. TA505: https://tdm.socprime.com/login/

Deze cultuur is voortgekomen uit het illegale versies draaien van Microsoft en via de komst van de bitcoin versneld.

Waar het veelkoppig monster zit is niet bekend. Soms in Moskou, soms bij een hostertje in de Peel, soms in de Bronx.

Onderzoek richt zich dus op configuraties van gebruikte servers en software.

Microsoft en Fox-IT hebben nog geen fix-it gelanceerd voor gijzelingssoftware.

Hoe nu verder, dweilen met de kraan open, tot ook dat niet langer gaat?

luntrus
30-12-2019, 12:07 door souplost - Bijgewerkt: 30-12-2019, 12:08
Door The FOSS:
Door The FOSS:
Door Anoniem:
Door Anoniem: Want de oorzaak van alle ellende in Maastricht is een CLOP virus, Windows-only. Dat is een feit. Karma4: (h)erken je dit ook? Pas na een goede diagnose kan je gaan werken aan herstel.
Dit is niet helemaal correct. CLOP kan wel degenlijk de data op een linux file share encrypten als de gebruiker lees/schrijf rechten heeft op dat file systeem en deze locatie gemount is op het geïnfecteerde systeem.
Het virus kan alleen niet uitgevoerd worden op een Linux systeem, dat klopt wel. Maar de data kan zeker gegijzeld worden op een Linux systeem.

Dat is hetzelfde als het papier aansprakelijk stellen voor wat erop geschreven wordt. En Anoniem had het over de oorzaak. Het is echter nog niet duidelijk of je in dit geval de oorzaak helemaal aan Windows kan toeschrijven. Want ik lees berichten over een gehackte server en handmatig door hackers geïnstalleerde of uitgevoerde ransomware. Dat klinkt als een iets ander scenario dan een medewerker die op een link in een e-mail klikt en Windows ransomware activeert.

Of misschien is het toch weer wel een pure Microsoft Windows ellende hack! Niks handmatig gehackte systemen, gewoon iemand die op iets verkeerds klikt (...).

TA505 verspreidt, aldus Kremez, gijzelsoftware zoals Clop voor diverse groepen. De software dringt binnen via phishingmails en verspreidt zich langzaam door het hele systeem, aldus Kremez. Onderdeel is ook het aantasten van de back-ups. Vervolgens komen er pop-ups op de computerschermen, met daarin mailadressen waarmee gecommuniceerd kan worden. - https://www.ed.nl/tech/spoor-cyberhack-universiteit-maastricht-leidt-naar-rusland-br~af19b289/

Het zoveelste voorbeeld van Microsoft Windows hack + ransomware? De berichten hierover vliegen je werkelijk om de oren! Microsoft Windows, het zou verbóden moeten worden!
Het is net als met een rookverslaving. Er zijn te veel mensen die aan die ellende verdienen.
30-12-2019, 12:10 door Anoniem
Iemand al iets vermeld over dit soort oplossingen?

https://cybersecurity-excellence-awards.com/candidates/temasoft-ranstop/

J.O.
30-12-2019, 16:39 door [Account Verwijderd]
Door souplost: Er zijn te veel mensen die aan die ellende verdienen.

Begrafenisondernemers, verzekeraars, humanitaire hulp, de volledige oorlogsindustrie, etc. etc. etc.
30-12-2019, 17:12 door karma4
Door The FOSS:
Of misschien is het toch weer wel een pure Microsoft Windows ellende hack! Niks handmatig gehackte systemen, gewoon iemand die op iets verkeerds klikt (...).

TA505 verspreidt, aldus Kremez, gijzelsoftware zoals Clop voor diverse groepen. De software dringt binnen via phishingmails en verspreidt zich langzaam door het hele systeem, aldus Kremez. Onderdeel is ook het aantasten van de back-ups. Vervolgens komen er pop-ups op de computerschermen, met daarin mailadressen waarmee gecommuniceerd kan worden. - https://www.ed.nl/tech/spoor-cyberhack-universiteit-maastricht-leidt-naar-rusland-br~af19b289/

Het zoveelste voorbeeld van Microsoft Windows hack + ransomware? De berichten hierover vliegen je werkelijk om de oren! Microsoft Windows, het zou verbóden moeten worden!
Het blinde os flaming van evangelisten is een kern oorzaak. Misschien moest hun geloofsbelijdenis maar eens verboden worden. Met IOT gaat het al die kant op, nu nog de rest.
30-12-2019, 17:32 door souplost
Door karma4:
Door The FOSS:
Of misschien is het toch weer wel een pure Microsoft Windows ellende hack! Niks handmatig gehackte systemen, gewoon iemand die op iets verkeerds klikt (...).

TA505 verspreidt, aldus Kremez, gijzelsoftware zoals Clop voor diverse groepen. De software dringt binnen via phishingmails en verspreidt zich langzaam door het hele systeem, aldus Kremez. Onderdeel is ook het aantasten van de back-ups. Vervolgens komen er pop-ups op de computerschermen, met daarin mailadressen waarmee gecommuniceerd kan worden. - https://www.ed.nl/tech/spoor-cyberhack-universiteit-maastricht-leidt-naar-rusland-br~af19b289/

Het zoveelste voorbeeld van Microsoft Windows hack + ransomware? De berichten hierover vliegen je werkelijk om de oren! Microsoft Windows, het zou verbóden moeten worden!
Het blinde os flaming van evangelisten is een kern oorzaak. Misschien moest hun geloofsbelijdenis maar eens verboden worden. Met IOT gaat het al die kant op, nu nog de rest.
Microsoft Windows hack + ransomware incidenten vliegen je om de oren en volgens Karma4 komt dat (kern oorzaak) door blinde os flaming van evangelisten. Alleen een evangelist is in staat zo'n stelling te verzinnen en vol te houden!
31-12-2019, 09:04 door The FOSS
Door souplost: Microsoft Windows hack + ransomware incidenten vliegen je om de oren en volgens Karma4 komt dat (kern oorzaak) door blinde os flaming van evangelisten. Alleen een evangelist is in staat zo'n stelling te verzinnen en vol te houden!

Hij projecteert zijn eigen mindset op zijn tegenstanders.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.