Universiteit Maastricht werkt aan beschikbaar maken veilige it-omgeving
Lessen aan de Universiteit Maastricht gaan morgen weer van start, maar medewerkers zijn nog steeds bezig met het beschikbaar maken van een veilige werkomgeving. Het gaat onder andere om e-mail en de fileservers. Dat meldt de universiteit in een update over het ransomware-incident waar het de dag voor kerstmis mee te maken kreeg. Later vandaag komt de universiteit met een overzicht van alle systemen die morgen operationeel zullen zijn.
In aanloop naar de lessen van morgen had de universiteit van alle studenten en medewerkers het wachtwoord gerest en gevraagd voor 6 januari een nieuw wachtwoord in te stellen. Van de 19.000 studenten en 4500 medewerkers die de universiteit telt hebben er 15.000 hun wachtwoord gewijzigd. Studenten en medewerkers zijn wel gewaarschuwd. Op sommige apparaten, waaronder iPhone en iPad worden in de wachtwoordvakken geen hoofdletters getoond. Deze worden echter wel geregistreerd. "Eventueel kun je je wachtwoord op een ander apparaat wijzigen om verwarring te voorkomen", zo laat de universiteit weten.
Voor studenten en medewerkers die met vragen zaten had de universiteit speciale hulplijnen geopend. De afgelopen dagen kwamen daarop meer dan driehonderd vragen binnen, die allemaal konden worden afgehandeld. Voor studenten die door de gevolgen van de ransomware-infectie aantoonbaar studievertraging hebben opgelopen komt de universiteit met een procedure. Informatie hierover wordt later bekendgemaakt.
Reacties (30)
05-01-2020, 14:17 door
Ron625
medewerkers zijn nog steeds bezig met het beschikbaar maken van een veilige werkomgeving.
Daar zijn ze dan ruim een maand te laat mee.............De vraag is hoe lang het veilig(er) blijft. Met een gecompromitteerd systeem weet je na een overhaul nooit,
hoe veilig het over de hele breedte is en blijft.
J.O.
hoe veilig het over de hele breedte is en blijft.
J.O.
"...Op sommige apparaten, waaronder iPhone en iPad worden in de wachtwoordvakken geen hoofdletters getoond. Deze worden echter wel geregistreerd..." wat voor systeem hebben ze daar in gebruik genomen? De letters worden toch lokaal geëcho-ed?
Ik ben dus heel benieuwd wat de Uni nu heeft gedaan om een vervolg te voorkomen.
Dat lijkt me een goed verhaal voor de rest van de uni's als 'lessons learned'.
Dat lijkt me een goed verhaal voor de rest van de uni's als 'lessons learned'.
Ik vernam dat zowel studenten als medewerkers een password van minimaal 20 tekens moeten instellen. Ondanks dat het passphrases inderdaad belangrijk zijn krijg ik het gevoel dat ze de security policy shotgun hebben gepakt en de consultants/vendors de grote winnaars zijn van deze hack. Zal je zien dat zero-trust net weer iets te irritant is :P
05-01-2020, 16:49 door
The FOSS
Door Anoniem: De vraag is hoe lang het veilig(er) blijft. Met een gecompromitteerd systeem weet je na een overhaul nooit,
hoe veilig het over de hele breedte is en blijft.
J.O.
hoe veilig het over de hele breedte is en blijft.
J.O.
Er kan altijd ergens, diep verstopt, een hidden backdoor zijn aangebracht. Weet die maar eens te vinden als je niet voor een volledig opnieuw vanaf de grond af opbouwen bent gegaan (bijvoorbeeld omdat je losgeld hebt betaald en je je bestanden terug hebt).
Door Ron625:
medewerkers zijn nog steeds bezig met het beschikbaar maken van een veilige werkomgeving.
Daar zijn ze dan ruim een maand te laat mee.............5 jaar zou ik zeggen.
Door Anoniem: Ik vernam dat zowel studenten als medewerkers een password van minimaal 20 tekens moeten instellen. Ondanks dat het passphrases inderdaad belangrijk zijn krijg ik het gevoel dat ze de security policy shotgun hebben gepakt en de consultants/vendors de grote winnaars zijn van deze hack. Zal je zien dat zero-trust net weer iets te irritant is :P
15 karakters.
Door Ron625:
medewerkers zijn nog steeds bezig met het beschikbaar maken van een veilige werkomgeving.
Daar zijn ze dan ruim een maand te laat mee.............Geef het goede voorbeeld. Solliciteer als verantwoordelijke ICT security expert bij SURFnet, Fox-IT of de AIVD, zodat de jongste ]eerlingen, puberende scholieren en wereldverbeteraars in ons goed toegankelijke Nederlands onderwijssysteem van een onbezorgde schooltijd, goede vakopleiding en enerverende studie kunnen blijven genieten
Op sommige apparaten, waaronder iPhone en iPad worden in de wachtwoordvakken geen hoofdletters getoond.
Wees blij dat er überhaupt iets getoond wordt. Veel Android programma's laten helemaal geen tekens zien#, wat een ramp is bij zo'n klein touchscreentje. Het gebeurd mij regelmatig bij dat soort apps dat ik een wachtwoord meermaals moet intikken voordat het geaccepteerd wordt. En meestal zijn het wachtwoorden van >25 random tekens.
# Je ziet ze alleen een kort moment, maar bij lange wachtwoorden, waar je ook steeds van invoerscherm moet wisselen voor de leestekens, wil je het toch in alle rust kunnen nakijken.
Passwords van 15+ characters, alle uniek en geen systematiek. Dat schreeuwt om een password manager. Ik denk dat ik maar aandelen Keepass en LastPass ga kopen. :)
Door Anoniem:Geef het goede voorbeeld.
Solliciteer als verantwoordelijke ICT security expert bij SURFnet, Fox-IT of de AIVD
ik geniet liever van mijn pensioen....Solliciteer als verantwoordelijke ICT security expert bij SURFnet, Fox-IT of de AIVD
Door Anoniem: Geef het goede voorbeeld. Solliciteer als verantwoordelijke ICT security expert bij SURFnet, Fox-IT of de AIVD,
Al gedaan, wilden niet.Door Ron625: ik geniet liever van mijn pensioen....
Dat kun jij nog wel.Door Ron625:
Zou ik ook wel willen, maar de babyboomers hebben er een puinhoop van gemaakt waardoor ik langer mag doorgaan.Door Anoniem:Geef het goede voorbeeld.
Solliciteer als verantwoordelijke ICT security expert bij SURFnet, Fox-IT of de AIVD
ik geniet liever van mijn pensioen....Solliciteer als verantwoordelijke ICT security expert bij SURFnet, Fox-IT of de AIVD
06-01-2020, 08:19 door
Bitje-scheef
Door souplost:
Door Ron625:
Zou ik ook wel willen, maar de babyboomers hebben er een puinhoop van gemaakt waardoor ik langer mag doorgaan.Door Anoniem:Geef het goede voorbeeld.
Solliciteer als verantwoordelijke ICT security expert bij SURFnet, Fox-IT of de AIVD
ik geniet liever van mijn pensioen....Solliciteer als verantwoordelijke ICT security expert bij SURFnet, Fox-IT of de AIVD
Ben geen babyboomer, maar de standaard veiligheid was toen makkelijker dan nu. Er zijn nu zoveel raakvlakken met os, apps, apparatuur en vooral internet/connectie dat het bijhouden en ontwerp van ogenschijnlijk simpele zaken al een hele uitdaging kan zijn. (In de toekomst nog veel erger).
Dus de gemaakte puinhoop valt best mee, alleen zijn de huidige eisen door een snel veranderende omgeving, grotendeels debet aan de gatenkaas.
Uit het bericht:
De volgende systemen zijn weer beschikbaar:
- SDA/VDI Clients
- netwerkschijven
- SAP/ERP
- rond roostering (alleen inzage)
- studiematerialen (Blackboard)
- UM Student Portal
- UM library services
Hierbij is wel sprake van beperkte functionaliteit.
verder met:
De volgende systemen zijn nog niet beschikbaar:
- Exchange (email en agenda)
- Printer services
Zodra een systeem weer beschikbaar is, zal dit direct worden gecommuniceerd.
wifi
De UM-wifi werkt weer, zij het beperkt. Je kunt de wifi gebruiken om in te loggen in die UM-systemen die weer online zijn. Dit is inclusief toegang tot de online bibliotheek en alle fulltext bronnen op het web. Deze bronnen zijn ook toegankelijk via een externe internetverbinding, dus buiten het UM-netwerk.
De netwerkschijven zijn niet bereikbaar via wifi, alleen via een bekabelde netwerkverbinding.
De werkplekken:
Voor zover nu bekend was de cyberattack een gerichte aanval op de servers en zijn de individuele werkplekken niet getroffen. Er wordt actief gemonitord op geïnfecteerde machines; na detectie worden deze geïsoleerd en kun je niet verder werken. Neem in dat geval contact op via het mailadres van je eigen eenheid (zie kader).
Dat betekent dat er iets op servers dan wel gericht op personen gebeurd moet zijn. Ze melden dit niet zomaar.
De volgende systemen zijn weer beschikbaar:
- SDA/VDI Clients
- netwerkschijven
- SAP/ERP
- rond roostering (alleen inzage)
- studiematerialen (Blackboard)
- UM Student Portal
- UM library services
Hierbij is wel sprake van beperkte functionaliteit.
verder met:
De volgende systemen zijn nog niet beschikbaar:
- Exchange (email en agenda)
- Printer services
Zodra een systeem weer beschikbaar is, zal dit direct worden gecommuniceerd.
wifi
De UM-wifi werkt weer, zij het beperkt. Je kunt de wifi gebruiken om in te loggen in die UM-systemen die weer online zijn. Dit is inclusief toegang tot de online bibliotheek en alle fulltext bronnen op het web. Deze bronnen zijn ook toegankelijk via een externe internetverbinding, dus buiten het UM-netwerk.
De netwerkschijven zijn niet bereikbaar via wifi, alleen via een bekabelde netwerkverbinding.
De werkplekken:
Voor zover nu bekend was de cyberattack een gerichte aanval op de servers en zijn de individuele werkplekken niet getroffen. Er wordt actief gemonitord op geïnfecteerde machines; na detectie worden deze geïsoleerd en kun je niet verder werken. Neem in dat geval contact op via het mailadres van je eigen eenheid (zie kader).
Dat betekent dat er iets op servers dan wel gericht op personen gebeurd moet zijn. Ze melden dit niet zomaar.
Waardeloos dat er betaald is. Fijn dat daardoor de data terug is, maar het ik raad elk volgend Nederlands slachtoffer aan om
De uni een (figuurlijk) bosje bloemen te sturen
De uni een (figuurlijk) bosje bloemen te sturen
06-01-2020, 10:21 door
karma4
Door Anoniem: Waardeloos dat er betaald is. Fijn dat daardoor de data terug is, maar het ik raad elk volgend Nederlands slachtoffer aan om
De uni een (figuurlijk) bosje bloemen te sturen
Nog steeds geen bewijs gezien dat er betaald is. Alleen een veronderstelling van horen zeggen van.De uni een (figuurlijk) bosje bloemen te sturen
De lijst met ontplooide activiteiten en wat er langzaam aan vrij gegeven wordt duid op een herinrichting van machines en het terugzetten van backups. Dat wordt heel miniteus uitgevoerd. De SDA/VDI (remote desktop windows) omgeving is beschikbaar maar ze laten het updaten van bestanden nog niet toe. Daarvoor is er de instructie het op de eigen machine met een usb opslag te doen. Dat mag enkel voor bepaalde soort gegevens, de studenten zullen er mee uit de voeten kunnen.
Nog niets gehoord dat werkstations besmet zijn, ze noemen een gerichte aanval op servers.
............De afgelopen dagen kwamen daarop meer dan driehonderd vragen binnen, die allemaal konden worden afgehandeld...........
Er was zeker geen enkele vraag over de Exchange servers en email binnengekomen?
Die dingen zijn immers duidelijk niet afgehandeld.
Dat afgehandeld staat vast voor de helpdesk-variant van afgehandeld.
Er was zeker geen enkele vraag over de Exchange servers en email binnengekomen?
Die dingen zijn immers duidelijk niet afgehandeld.
Dat afgehandeld staat vast voor de helpdesk-variant van afgehandeld.
Door Anoniem: Waardeloos dat er betaald is.
Dat er betaald zou zijn , dat is niet meer dan een gerucht. Daarover heeft de Universiteit Maastricht in het belang van het onderzoek geen mededelingen gedaan. De enige bron die dat meldde, is het universiteitsblad Observant. Het officiële beleid voor instellingen en semi-overheden, waaronder universiteiten en hogescholen, is dat betalen geen optie is.
Door Ron625: ik geniet liever van mijn pensioen....
Dat kun jij nog wel.Tsja, helaas kun je het als ICT Beheer nooit goed doen. Ik heb wel met ze doen met ze daar in Maastricht. Er zullen altijd stupide gebruikers zijn die op vage links klikken en meuk als Clop binnenhalen. Daarna mag je de hele zooi weer in de lucht zien te brengen en krijg je stank voor dank omdat jij de beveiliging niet op orde zou hebben.
Door Anoniem: ............De afgelopen dagen kwamen daarop meer dan driehonderd vragen binnen, die allemaal konden worden afgehandeld...........
Er was zeker geen enkele vraag over de Exchange servers en email binnengekomen?
Die dingen zijn immers duidelijk niet afgehandeld.
Dat afgehandeld staat vast voor de helpdesk-variant van afgehandeld.
Er was zeker geen enkele vraag over de Exchange servers en email binnengekomen?
Die dingen zijn immers duidelijk niet afgehandeld.
Dat afgehandeld staat vast voor de helpdesk-variant van afgehandeld.
V: Kan ik mijn mail weer gebruiken?
A: Nee, Exchange werkt nog niet dus uw mail ook niet.
De vraag is daarmee afgehandeld, het probleem is echter niet opgelost.
Door souplost:
Door Ron625:
Zou ik ook wel willen, maar de babyboomers hebben er een puinhoop van gemaakt waardoor ik langer mag doorgaan.Door Anoniem:Geef het goede voorbeeld.
Solliciteer als verantwoordelijke ICT security expert bij SURFnet, Fox-IT of de AIVD
ik geniet liever van mijn pensioen....Solliciteer als verantwoordelijke ICT security expert bij SURFnet, Fox-IT of de AIVD
"Baby boomer is a term used to describe a person who was born between 1946 and 1964." Daar ben jij er ook een van, nee?
06-01-2020, 15:01 door
The FOSS
Door Anoniem: Tsja, helaas kun je het als ICT Beheer nooit goed doen. Ik heb wel met ze doen met ze daar in Maastricht. Er zullen altijd stupide gebruikers zijn die op vage links klikken en meuk als Clop binnenhalen. Daarna mag je de hele zooi weer in de lucht zien te brengen en krijg je stank voor dank omdat jij de beveiliging niet op orde zou hebben.
Tja, zeg nou zelf: vind je het normaal dat je hele netwerk down gaat omdat een gebruiker ergens verkeerd op klikt? Dat er een user account of een werkstation down gaat in zo'n geval, daar kan ik me nog iets bij voorstellen. Maar je netwerk moet ertegen bestand zijn, tegen dit soort dingen.
06-01-2020, 15:12 door
Tintin and Milou
Door The FOSS:
Tja, zeg nou zelf: vind je het normaal dat je hele netwerk down gaat omdat een gebruiker ergens verkeerd op klikt? Dat er een user account of een werkstation down gaat in zo'n geval, daar kan ik me nog iets bij voorstellen. Maar je netwerk moet ertegen bestand zijn, tegen dit soort dingen.
Indien goed geconfigureerd, dan zal dit ook niet gebeuren. Configureer je het niet goed... Dan moet je op de blaren zitten.Door Anoniem: Tsja, helaas kun je het als ICT Beheer nooit goed doen. Ik heb wel met ze doen met ze daar in Maastricht. Er zullen altijd stupide gebruikers zijn die op vage links klikken en meuk als Clop binnenhalen. Daarna mag je de hele zooi weer in de lucht zien te brengen en krijg je stank voor dank omdat jij de beveiliging niet op orde zou hebben.
Tja, zeg nou zelf: vind je het normaal dat je hele netwerk down gaat omdat een gebruiker ergens verkeerd op klikt? Dat er een user account of een werkstation down gaat in zo'n geval, daar kan ik me nog iets bij voorstellen. Maar je netwerk moet ertegen bestand zijn, tegen dit soort dingen.
Door Anoniem: Tsja, helaas kun je het als ICT Beheer nooit goed doen. Ik heb wel met ze doen met ze daar in Maastricht. Er zullen altijd stupide gebruikers zijn die op vage links klikken en meuk als Clop binnenhalen. Daarna mag je de hele zooi weer in de lucht zien te brengen en krijg je stank voor dank omdat jij de beveiliging niet op orde zou hebben.
Spijker/Kop.
En de beste stuurlui hier roepen ook dat de Uni faalde...de helden die het altijd beter weten.
Door Anoniem:
Spijker/Kop.
En de beste stuurlui hier roepen ook dat de Uni faalde...de helden die het altijd beter weten.
Door Anoniem: Tsja, helaas kun je het als ICT Beheer nooit goed doen. Ik heb wel met ze doen met ze daar in Maastricht. Er zullen altijd stupide gebruikers zijn die op vage links klikken en meuk als Clop binnenhalen. Daarna mag je de hele zooi weer in de lucht zien te brengen en krijg je stank voor dank omdat jij de beveiliging niet op orde zou hebben.
Spijker/Kop.
En de beste stuurlui hier roepen ook dat de Uni faalde...de helden die het altijd beter weten.
Nou, ik ben het wel met FOSS eens dat e e n enkele gebruiker (goed of zelfs kwaadwillend ...) niet in staat zou moeten zijn om je hele infra onderuit te halen. Stel dat ik inderdaad zo'n kwaadwillende zou zijn dan lijkt het me dus een fluitje van een cent om een heel bedrijf naar de klote te helpen. Kwestie vanaf een protonmail account een ransomware link naar je uni/bedrijfsmail te sturen en aanklikken.
Bij Kopspijkers sloegen ze ook vaker mis dan raak. ;)
Ik vraag me af of de Uni van Maastricht gebruik maakt van de File System Resource Manager (FSRM) in Windows Server. Best een krachtige tool, al helemaal als je gebruik maakt van het script van fsrm.experiant.ca (website). Je kan het zo inrichten dat de lijst met bekende ransomware extensies automatisch wordt bijgewerkt. Huidige .clop extensie staat al in de lijst. De meeste Ransomware krijgt zo geen kans ook maar iets te wijzigen. Daarnaast zouden ze via FSRM wat honeypot shares kunnen maken (moet eigenlijk ieder groot bedrijf/organisatie doen..). Er zijn op internet genoeg goed werkende voorbeelden te vinden. Je kunt via een powershell script regelen dat wanneer een gebruiker ook maar iets in de honeypot aanpast, hij gelijk wordt gedisconnect van alle shares (en geblockt blijft).
Het uitschakelen van VSSAdmin.exe is trouwens ook een goed idee. De meeste Ransomware gebruikt dit proces om de shadow copies te verwijderen (Ik weet niet of Clop Ransomware ook zo werkt). Als VSSAdmin is uitgeschakeld behoud je dus je herstel bestanden. Die moet je dan wel handmatig (via powershell) om de zoveel tijd aanmaken.
Het uitschakelen van VSSAdmin.exe is trouwens ook een goed idee. De meeste Ransomware gebruikt dit proces om de shadow copies te verwijderen (Ik weet niet of Clop Ransomware ook zo werkt). Als VSSAdmin is uitgeschakeld behoud je dus je herstel bestanden. Die moet je dan wel handmatig (via powershell) om de zoveel tijd aanmaken.
Door Sjef van Heesch:
Nou, ik ben het wel met FOSS eens dat e e n enkele gebruiker (goed of zelfs kwaadwillend ...) niet in staat zou moeten zijn om je hele infra onderuit te halen. Stel dat ik inderdaad zo'n kwaadwillende zou zijn dan lijkt het me dus een fluitje van een cent om een heel bedrijf naar de klote te helpen. Kwestie vanaf een protonmail account een ransomware link naar je uni/bedrijfsmail te sturen en aanklikken.
Bij Kopspijkers sloegen ze ook vaker mis dan raak. ;)
Door Anoniem:
Spijker/Kop.
En de beste stuurlui hier roepen ook dat de Uni faalde...de helden die het altijd beter weten.
Door Anoniem: Tsja, helaas kun je het als ICT Beheer nooit goed doen. Ik heb wel met ze doen met ze daar in Maastricht. Er zullen altijd stupide gebruikers zijn die op vage links klikken en meuk als Clop binnenhalen. Daarna mag je de hele zooi weer in de lucht zien te brengen en krijg je stank voor dank omdat jij de beveiliging niet op orde zou hebben.
Spijker/Kop.
En de beste stuurlui hier roepen ook dat de Uni faalde...de helden die het altijd beter weten.
Nou, ik ben het wel met FOSS eens dat e e n enkele gebruiker (goed of zelfs kwaadwillend ...) niet in staat zou moeten zijn om je hele infra onderuit te halen. Stel dat ik inderdaad zo'n kwaadwillende zou zijn dan lijkt het me dus een fluitje van een cent om een heel bedrijf naar de klote te helpen. Kwestie vanaf een protonmail account een ransomware link naar je uni/bedrijfsmail te sturen en aanklikken.
Bij Kopspijkers sloegen ze ook vaker mis dan raak. ;)
Niemand blijkbaar gehoord van Spear-Phishing.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
