Nieuws
image

Tienduizenden studenten en medewerkers UvA en HvA wijzigen wachtwoord

vrijdag 26 februari 2021, 10:16 door Redactie, 8 reacties

Tienduizenden studenten en medewerkers van de Universiteit van Amsterdam (UvA) en Hogeschool van Amsterdam (HvA) hebben vanwege de recente aanval op de systemen van de onderwijsinstellingen hun wachtwoord gewijzigd. Dat hebben de UvA en HvA in een update over het incident bekendgemaakt. Bij de aanval wisten aanvallers versleutelde wachtwoorden van zowel studenten als medewerkers in handen te krijgen.

"Inmiddels hebben alle studenten en medewerkers bericht gekregen dat ze hun wachtwoord moeten wijzigen. Hier wordt goed gehoor aan gegeven", aldus de onderwijsinstellingen. Alle medewerkers en studenten die hun wachtwoord nog niet hebben gewijzigd worden opgeroepen dit zo snel mogelijk te doen. "Gebruik je hetzelfde wachtwoord ook voor andere accounts, zoals je privé e-mail, LinkedIn of DigiD? Wijzig dan ook direct het wachtwoord van deze accounts. Zorg dat elke dienst een uniek wachtwoord heeft", zo wordt geadviseerd.

Om wat voor soort aanval het precies gaat is nog altijd onbekend. Volgens de UvA en HvA is er geen verband met de ransomware-aanval op de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO). Het onderzoek naar de aanval is nog gaande en volgens de onderwijsinstellingen in een vergevorderd stadium. Alle systemen zijn online en door studenten en medewerkers te gebruiken. De hinder voor onderwijs en onderzoek wordt als "beperkt" omschreven.

Reacties (8)
26-02-2021, 12:30 door Anoniem
in de FAQ staat: Waaruit blijkt dat het gaat om professionele hackers? met als antwoord
De aanvallers hebben sporen achtergelaten waar dat uit blijkt.

Je zou zeggen dat de UvA en HvA dan nog professionele zijn om dat te kunnen bepalen.
Vervolgens als dat zo is, waarom konden ze de hack dan niet voorkomen?
26-02-2021, 12:38 door Anoniem
redactioneel artikel: Bij de aanval wisten aanvallers versleutelde wachtwoorden van zowel studenten als medewerkers in handen te krijgen.
Dus de wachtwoorden waren wel gehashed opgeslagen, maar de blackhat die al in de systemen is doorgedrongen kan dan als MITM (man in the middle) de hash invullen als om het wachtwoord wordt gevraagd?
Of moet toch eerst het originele wachtwoord worden herleid door een bruteforce aanval? Het voordeel voor de blackhat zou dan zijn dat het bestand met de gehashde wachtwoorden na export door de blackhat kan worden gekraakt op een eigen blackhat systeem, zodat de sensoren van de UvA en HvA die een brute force moeten detecteren niet afgaan.

Dit lijkt mij een aandachtspunt voor Z-CERT en SURF-CERT zodat alle aangesloten instellingen zich (beter) tegen dit soort aanvallen kan beschermen. Hopelijk volgt er ook een toelichting zoals de Universiteit van Maastricht die heeft georganiseerd na de Clop-ransomware aanval, daar kan iedereen zijn voordeel mee doen.
26-02-2021, 13:42 door Anoniem
Door Anoniem: in de FAQ staat: Waaruit blijkt dat het gaat om professionele hackers? met als antwoord
De aanvallers hebben sporen achtergelaten waar dat uit blijkt.

Je zou zeggen dat de UvA en HvA dan nog professionele zijn om dat te kunnen bepalen.
Vervolgens als dat zo is, waarom konden ze de hack dan niet voorkomen?

Waarom voorkomt een professionele keeper niet altijd dat een professionele spits scoort ?
26-02-2021, 14:28 door Anoniem
Een 'redelijk' aantal .

Even snel gezocht : UvA 31,000 HvA 43,000 .

Dus 'enkele tienduizenden' - ik denk >20.000 en <30.000 . Dus iets van 25.30% van de accounts zijn inmiddels gereset.

Best behoorlijk, maar het zal wel een hele tijd zijn voordat dat ze laatste procenten geduwd hebben naar een pw reset.

Je hoopt/verwacht dat ze accounts met meer dan normale privileges speciaal behandelen en heel direct benaderen.
(dat lijkt me nog best lastig om die te vinden - IT staf en admins zal wel lukken - maar hoe makkelijk herken je als IT/Cert officer dat een account iets of veel mag in een HR/Finance systeem ? Er hangt de een of andere groep aan, misschien, maar welke groep zich vertaalt naar welke applicatie hoeft niet altijd duidelijk te zijn voor de IT staf ).
26-02-2021, 15:22 door Erik van Straten
Door Anoniem: Dus de wachtwoorden waren wel gehashed opgeslagen, maar de blackhat die al in de systemen is doorgedrongen kan dan als MITM (man in the middle) de hash invullen als om het wachtwoord wordt gevraagd?
Indien er om een wachtwoord wordt gevraagd kun je natuurlijk een hash invullen, maar in de meeste gevallen heeft dat geen zin.

Het probleem is dat mensen niet bij elke handeling via het netwerk een wachtwoord willen invullen en er, van oudsher, veel van "stateless" (of "connectionless") systemen gebruik gemaakt werd en wordt (de "Cloud" heeft het er niet beter op gemaakt).

Omdat ooit iemand zei dat het niet verstandig is om plain-text wachtwoorden op devices te bewaren, maar toch SSO (Single Sign-On) mogelijk te maken, zijn we onszelf voor de gek gaan houden met wachtwoord-alternatieven zoals session cookies, session tokens, session tickets en wachtwoordhashes. Als een aanvaller die te pakken krijgt kan hij/zij (zolang zo'n alternatief geldig is) alsnog namens de gebruiker (waar de aanvaller het wachtwoord niet van kent) inloggen. In het geval van wachtwoordhashes noemen we dit een PtH (Pass-the-Hash) login, iets dat het remote systeem moet ondersteunen (met een speciaal daarvoor gemaakte functie).

Mogelijkheden zat, zie bijv. https://www.n00py.io/2020/12/alternative-ways-to-pass-the-hash-pth/.

Daarnaast kan de aanvaller, meestal via lijsten met veelgebruikte passwords, vaak een deel van de wachtwoordhashes "kraken" (dat is het dan natuurlijk niet echt), d.w.z. de bijbehorende wachtwoorden achterhalen.
26-02-2021, 16:55 door Anoniem
Bij een bewezen datalek wacht je na veiligstellen van de audit informatie niet tot de eindgebruiker een wachtwoord reset verricht je forceert dit op database niveau voor alle getroffene inclusief personeel.

Instrueer je gebruikers om gebruik te maken van het wachtwoord vergeten functie en geef tekst en uitleg waarom het wachtwoord niet meer werkt.

De uitspraken van de UvA en HvA zijn dom en gevaarlijk. Zolang een onderzoek loopt zijn de feiten er niet en kan je niks uitsluiten. Daarnaast gaat het om bewezen gestolen wachtwoord informatie waardoor het onmogelijk te zeggen is of de aanvaller de data al niet gedeeltelijk heeft ontsleutelt en faciliteert de UvA en HvA voor de aanvaller meer tijd om schade te veroorzaken.
27-02-2021, 09:45 door Anoniem
ha ha ha

'"Zorg dat elke dienst een uniek wachtwoord heeft", zo wordt geadviseerd.'

maar zelf wel dwangmatig vanuit de bestuurslagen weer drammen op single-sign-on en allerlij science collaboration zones...

https://wiki.surfnet.nl/display/sram

althans zo gaat dat hier bij de uni waar ik zit! gepaard met een ww teken ruimte uit de oudheid waarbij het sterke vermoeden is dat die [door legacy systemen die niet met tekentjes om kan gaan] ook nog eens clear text opgeslagen wordt.

wel de rest van de IT aan de uni pesten en het vingertje wijzen natuurlijk...
27-02-2021, 11:39 door Anoniem
Door Anoniem: in de FAQ staat: Waaruit blijkt dat het gaat om professionele hackers? met als antwoord
De aanvallers hebben sporen achtergelaten waar dat uit blijkt.

Je zou zeggen dat de UvA en HvA dan nog professionele zijn om dat te kunnen bepalen.
Vervolgens als dat zo is, waarom konden ze de hack dan niet voorkomen?
De faculteiten kunnen in de praktijk veiligheidsmaatregelen tegenhouden als ze onderzoek of onderwijs raken, monitoring merken ze weinig tot niets van dus daar klagen ze niet over bij het bestuur.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure