image

Universiteit Maastricht reset wachtwoorden van studenten

dinsdag 31 december 2019, 08:25 door Redactie, 12 reacties

De Universiteit Maastricht heeft vanwege de ransomware-infectie waar het vorige week mee te maken kreeg de wachtwoorden van alle studentenaccounts gereset. Dat meldt de universiteit op de eigen website. Op 6 januari zullen de lessen aan de universiteit weer van start gaan.

Verschillende belangrijke systemen, zoals informatiesystemen voor studenten om hun rooster te bekijken, studiematerialen (Blackboard/ELEUM) en het UM Student Portal zijn vanaf 2 januari weer online. "Hierbij is wel sprake van beperktere functionaliteit. Studenten zullen bovendien vanaf een externe locatie, dus buiten het UM WiFi netwerk, al hun wachtwoorden moeten wijzigen", aldus de universiteit.

Tevens zullen alle herkansingen in de week van 6 januari gewoon plaatsvinden. De universiteit erkent dat studenten door het niet beschikbaar zijn van studiemateriaal zich niet optimaal hebben kunnen voorbereiden. Er is dan ook besloten om een extra herkansingsmogelijkheid in te lassen. Ook wordt er gewerkt aan een 'coulance-regeling' voor studenten die door de ransomware-infectie aantoonbaar benadeeld zijn.

Reacties (12)
31-12-2019, 16:13 door souplost
Wat hebben ze nu gedaan? Ik lees niks over backups teruggezet, want dan moeten ze communiceren wat er verloren is gegaan. Het lijkt er dus op dat ze losgeld hebben betaald.
31-12-2019, 17:09 door [Account Verwijderd] - Bijgewerkt: 31-12-2019, 17:11
Door souplost: Wat hebben ze nu gedaan? Ik lees niks over backups teruggezet, want dan moeten ze communiceren wat er verloren is gegaan. Het lijkt er dus op dat ze losgeld hebben betaald.

Of er waren goede backup's die terug gezet zijn, aan de desktops hebben ze kennelijk nog niks gedaan daar moet iedereen nog vanaf blijven. Als ze losgeld betaald zouden hebben hoeven ze niet zo panisch te doen, alles is immers dan te 'herstellen'.
31-12-2019, 17:36 door Tintin and Milou
Door souplost: Wat hebben ze nu gedaan? Ik lees niks over backups teruggezet, want dan moeten ze communiceren wat er verloren is gegaan. Het lijkt er dus op dat ze losgeld hebben betaald.
Waarom zouden ze dat in details communiceren? Dit is een logische stap in de recovery en staat los van eventuele overige data (verlies). AD is bijna altijd de authenticatie provider voor alle systemen intern. Het zal 1 van de eerste systemen zijn die je goed in de lucht moet hebben, voordat je echt de rest kunt herstellen.

Ongeacht wat je doet... Wachtwoorden resetten in dit soort recoveries is altijd een goede. Bij een AD recovery in dit soort situaties kan dit een hele logische stap zijn, om gewoon alle wachtwoorden te resetten van alle user accounts. Dat weet je zeker dat de wachtwoorden veilig zijn en de accounts niet misbruikt kunnen worden bij de universiteit of daarbuiten.

Goede en doordachte actie vanuit de universiteit.

Door Sjef van Heesch:
Of er waren goede backup's die terug gezet zijn, aan de desktops hebben ze kennelijk nog niks gedaan daar moet iedereen nog vanaf blijven. Als ze losgeld betaald zouden hebben hoeven ze niet zo panisch te doen, alles is immers dan te 'herstellen'.
Als ze loggeld betaald hebben, is het beter om nog steeds de wachtwoorden van alle accounts te resetten. Het is de enige manier om er zeker van te zijn, dat er geen hashed of wachtwoorden van accounts ergens achter blijven.
De domain controllers waren Geïnfecteerd, dat betekend dat al je eigenlijk al je accounts in de AD niet meer kunt vertrouwen, ongeacht of je nu een goede backup hebt, of niet.
31-12-2019, 18:48 door souplost - Bijgewerkt: 31-12-2019, 18:49
Door Tintin and Milou:
Door souplost: Wat hebben ze nu gedaan? Ik lees niks over backups teruggezet, want dan moeten ze communiceren wat er verloren is gegaan. Het lijkt er dus op dat ze losgeld hebben betaald.
Waarom zouden ze dat in details communiceren? Dit is een logische stap in de recovery en staat los van eventuele overige data (verlies). AD is bijna altijd de authenticatie provider voor alle systemen intern. Het zal 1 van de eerste systemen zijn die je goed in de lucht moet hebben, voordat je echt de rest kunt herstellen.

Ongeacht wat je doet... Wachtwoorden resetten in dit soort recoveries is altijd een goede. Bij een AD recovery in dit soort situaties kan dit een hele logische stap zijn, om gewoon alle wachtwoorden te resetten van alle user accounts. Dat weet je zeker dat de wachtwoorden veilig zijn en de accounts niet misbruikt kunnen worden bij de universiteit of daarbuiten.

Goede en doordachte actie vanuit de universiteit.

Door Sjef van Heesch:
Of er waren goede backup's die terug gezet zijn, aan de desktops hebben ze kennelijk nog niks gedaan daar moet iedereen nog vanaf blijven. Als ze losgeld betaald zouden hebben hoeven ze niet zo panisch te doen, alles is immers dan te 'herstellen'.
Als ze loggeld betaald hebben, is het beter om nog steeds de wachtwoorden van alle accounts te resetten. Het is de enige manier om er zeker van te zijn, dat er geen hashed of wachtwoorden van accounts ergens achter blijven.
De domain controllers waren Geïnfecteerd, dat betekend dat al je eigenlijk al je accounts in de AD niet meer kunt vertrouwen, ongeacht of je nu een goede backup hebt, of niet.
Als de domain controller is gehackt is er niets meer te vertrouwen. Authenticatie is niet het enige. DNS draait daar ook op in een windowsomgeving. IP addressen (en certificaten) kunnen dus ook zijn veranderd. Men zal alles opnieuw moeten installeren en data moeten terugzetten vanaf een niet geïnfecteerde backup. Dat kan van een tijd terug zijn. Als ze geen monocultuur hebben gebruiken ze misschien niet windows hypervisors opm snapshots terug te kunnen zetten maar ik verwacht dat niet.
Er is dus altijd data verdwenen na een restore en dat zal je moeten melden aan je gebruikers. Hebben ze nog niet gedaan. Sommige services zijn ook alleen nog maar readonly omdat ze nog steeds bang zijn dta de ransomware actief is.
Het is dus bij lange na niet onder controle en gaat nog veel geld kosten. Dat wachtwoord restten is maar een heel klein onderdeeltje en minst vervelende.
31-12-2019, 19:23 door Anoniem
Door souplost: [
Als de domain controller is gehackt is er niets meer te vertrouwen. Authenticatie is niet het enige. DNS draait daar ook op in een windowsomgeving. IP addressen (en certificaten) kunnen dus ook zijn veranderd. Men zal alles opnieuw moeten installeren en data moeten terugzetten vanaf een niet geïnfecteerde backup. Dat kan van een tijd terug zijn. Als ze geen monocultuur hebben gebruiken ze misschien niet windows hypervisors opm snapshots terug te kunnen zetten maar ik verwacht dat niet.

Als je AD servers gaat terugzetten van een snapshot dan moet je wel heel goed weten waar je mee bezig bent anders
wordt de ramp alleen nog maar groter. AD design gaat heel slecht om met die situatie. Dat is tevens ook een van de
redenen dat er zo vaak geen goede backup van AD is, soms zelfs terwijl te beheerders denken van wel.
31-12-2019, 21:36 door [Account Verwijderd]
Door Tintin and Milou:
Als ze loggeld betaald hebben, is het beter om nog steeds de wachtwoorden van alle accounts te resetten. Het is de enige manier om er zeker van te zijn, dat er geen hashed of wachtwoorden van accounts ergens achter blijven.
De domain controllers waren Geïnfecteerd, dat betekend dat al je eigenlijk al je accounts in de AD niet meer kunt vertrouwen, ongeacht of je nu een goede backup hebt, of niet.

Na een infectie is er feitelijk niks meer te vertrouwen. Het 'panisch' waar ik op doelde sloeg op het "Blijf van alle systemen af", immers alles is te herstellen bij het betalen van het losgeld. Natuurlijk moet je eigenlijk alles van grond af aan op gaan bouwen, ook als er geen losgeld betaald is.
31-12-2019, 22:02 door souplost
Door Anoniem:
Door souplost: [
Als de domain controller is gehackt is er niets meer te vertrouwen. Authenticatie is niet het enige. DNS draait daar ook op in een windowsomgeving. IP addressen (en certificaten) kunnen dus ook zijn veranderd. Men zal alles opnieuw moeten installeren en data moeten terugzetten vanaf een niet geïnfecteerde backup. Dat kan van een tijd terug zijn. Als ze geen monocultuur hebben gebruiken ze misschien niet windows hypervisors opm snapshots terug te kunnen zetten maar ik verwacht dat niet.

Als je AD servers gaat terugzetten van een snapshot dan moet je wel heel goed weten waar je mee bezig bent anders
wordt de ramp alleen nog maar groter. AD design gaat heel slecht om met die situatie. Dat is tevens ook een van de
redenen dat er zo vaak geen goede backup van AD is, soms zelfs terwijl te beheerders denken van wel.
Ik bedoel een snapshot van de hele virtuele machine incl memory. Dat moet kunnen anders zou je niet live kunnen migreren.
31-12-2019, 23:42 door Anoniem
Als ze geen monocultuur hebben gebruiken ze misschien niet windows hypervisors opm snapshots terug te kunnen zetten maar ik verwacht dat niet.
Een snapshot is geen backup, dus die zullen ze (hopelijk) niet periodiek maken, laat staan van alles wat belangrijk is.
01-01-2020, 13:37 door souplost
Door Anoniem:
Als ze geen monocultuur hebben gebruiken ze misschien niet windows hypervisors opm snapshots terug te kunnen zetten maar ik verwacht dat niet.
Een snapshot is geen backup, dus die zullen ze (hopelijk) niet periodiek maken, laat staan van alles wat belangrijk is.
Alleen niet maar wel als onderdeel van een backup of restore. Een paar grote leveranciers hebben uitstekend snapshot management. Er zijn bedrijven die hiermee (continue) repliceren naar de andere kant van de wereld.
01-01-2020, 13:57 door Anoniem
Volgens mij een structureel gevalletje van rechten mis management.
Je zou alleen mogen werken met een Kantoor Automatiserings account zonder enige vorm van beheersrechten. Dan zou je probleem beperkt blijven tot je persoonlijke data.
Verder zijn snapshots op centraal gemanagede productie machines niet nodig, als je je systemen start vanuit een template, aka vdisk. Een herstart is dan voldoende om je OS / KA weer online te brengen.

Meestal is dit soort issues terug te brengen tot beheerders die niet veilig werken, te veel oneigenlijke beheerders en/of management dat niet onderlegd is in automatisering.
02-01-2020, 10:08 door Anoniem
Door Anoniem: Volgens mij een structureel gevalletje van rechten mis management.
Je zou alleen mogen werken met een Kantoor Automatiserings account zonder enige vorm van beheersrechten. Dan zou je probleem beperkt blijven tot je persoonlijke data.

En hoe werken die admins dan?
Wij hebben aparte accounts voor "kantoorwerk" en voor "adminwerk". Maar nog steeds ga ik mijn baas niet garanderen dat het hier niet ook kan gebeuren. In dit soort gevallen zit de aanvaller al maanden in het netwerk. Ze komen binnen op de machine van een normale gebruiker. Daar gaat een keer iets mis en dan komt er een werkbplekbeheerder met zijn beheersaccount. Dat raakt bekend. Vervolgens gaan ze verder en zoeken met dat account naar werkplekken van beheerders met meer rechten. Op die manier werken ze zich langzaam links en rechts door het netwerk en komen dan langzaam steeds dichter bij een beheerder met voldoende rechten om de boel te versleutelen.

En nee, virusscanners detecteren dit vaak niet. De aanvaller schrijft een specifieke versie voor de organisatie die hij op dat moment aanvalt.

Lees je eens in op Clop.

Peter
02-01-2020, 10:25 door Tintin and Milou
Door Anoniem:
Als ze geen monocultuur hebben gebruiken ze misschien niet windows hypervisors opm snapshots terug te kunnen zetten maar ik verwacht dat niet.
Een snapshot is geen backup, dus die zullen ze (hopelijk) niet periodiek maken, laat staan van alles wat belangrijk is.
Een snapshot is weldegelijk een backup, sterker nog, bijna alle grote systemen maken snapshot backups.

Je moet alleen wel heel goed kijken, waarvoor zijn de snapshot backups geschikt. Voor een disaster recovery zijn ze een stukje minder geschikt, maar kunnen ze nog steeds gebruikt worden.
Snapshots kun je bijvoorbeeld naar tape wegschrijven.
Storage snapshots kun je laten repliceren naar een ander SAN op een andere locatie.
Voor file recovery is een (VSS) snapshot ideaal en gemakkelijk te gebruiken.

Een snapshot op je hypervisor is alleen geen DR backup oplossing, maar voor de recovery van je server zeer geschikt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.