Vraag me dan wel af waarom ze niet willen zeggen.

Applaus voor jezelf!

Omdat hacken een misdrijf is en er dus een justitie onderzoek loopt. Er wordt nooit iets bekend gemaakt zolang een justitieonderzoek nog loopt.

Ik ben blij dat security.nl niet 'heterdaad' in de titel heeft gezet, zoals andere websites dat wel deden, wat ik nogal clickbait-achtig vind.
Tevens kan ik ook nergens vinden vinden wat die heterdaad dan daadwerkelijk betreft. Zien ze iemand SSH wachtwoorden bruteforcen? Dat is heterdaad. Was er iemand op de universiteit aanwezig die een malafide USB-stick in een computer stak? Dat is heterdaad.

Dat is met goede monitoring wel te zien toch? Als er in het weekend allerlei tools gedetecteerd worden die een gemiddelde systeembeheerder ook zou kunnen gebruiken. Of verdergaande tools zoals bijv. Mimikatz.

Het kan zijn dat er met spoed wat zero-days gepatched moeten worden voordat de script-kiddies los barsten...
Het is heel normaal dat er een embargo op informatie is totdat het lek werkelijk gedicht kan zijn.

De beveiliging heeft helemaal niet goed breekt. Ze zijn binnengekomen en eigenlijk moet alles opnieuw geïnstalleerd worden waar men admin rechten had.

"Uit de eerste fase van het interne onderzoek naar de cyberaanval, van de TU/e samen met externe experts, blijkt dat detectie en respons goed hebben gewerkt."

=

"We kwamen erachter dat een hacker een verouderd systeem heeft gevonden waarmee een weg naar binnen is gevonden, maar gelukkig zagen we het op tijd"

Volgens de Nederlandse wet is heterdaad een situatie wanneer het strafbare feit ontdekt wordt, terwijl het wordt begaan of terstond nadat het begaan is. Met andere woorden: een persoon moet de strafbare handeling zien gebeuren.

Of dit situatie echt is opgetreden, kan ik ook niet zeggen aangezien de mededelingen door de universiteit tot nu toe vaag zijn. Een heterdaad zal moeten blijken uit de informatie die later wordt gepubliceerd.

De prioriteit ligt nu bij het herstellen van de dienstverlening. Een rapport schrijven over wat er precies gebeurd kan later nog.

Wat een hoop negatieve en cynische opmerkingen. Niet alleen in deze post maar bij het hele verhaal van de TU/e.

Even voor de duidelijkheid:
Nee, niemand krijgt een netwerk 100% beveiligd! (Dat kan alleen door er geen gebruikers op te laten inloggen ;-) )
De TU/e, of welke TU dan ook, heeft een groot aantal variërende gebruikers met allerlei apparatuur en een redelijk open beleid (wat ik ooit gelezen heb) zodat de security de doelen van een TU zo min mogelijk in de weg staan.
TU’s zijn interessant voor hackers. Dus als er vaker geschoten wordt, is de kans dat het een keer raak is ook groter.
Detectie is een onderdeel van de beveiliging. A.k.a assume breach.
Nee in dit stadium gaat niemand openheid van zaken geven. Ze zitten nu in een forensisch onderzoek. En mitigatie traject.

De beste stuurlui staan aan wal en kunnen makkelijk allerlei opmerkingen maken over hoe zij het veiliger kunnen doen. Ik vermoed dat vaak deze mensen niet meer hoeven te beveiligen dan hun eigen PC en telefoon en nog nooit een omgeving met meer dan 50 gebruikers hebben hoeven te beveiligen, laat staan een met duizenden.

Nee ik werk zelf niet voor een TU, maar ben wel verantwoordelijk voor de beveiliging van een bedrijf met 3000+ medewerkers wereldwijd, dus ik weet uit eerste hand wat er komt kijken bij beveiliging van een echt grote omgeving.

Dames en heren van de TUe, succes met deze inbraak en de gevolgen ervan.

De hackers die afgelopen zondag de computersystemen van de Technische Universiteit Eindhoven aanvielen, zijn "op heterdaad betrapt". Dat zegt de universiteit op basis van de eerste onderzoeksresultaten naar de cyberaanval. De hack werd door het beveiligingssysteem van de universiteit herkend. Hierop haalde de onderwijsinstelling de servers offline. "Er is erger voorkomen door het kordate ingrijpen van onze ICT-experts", zegt vicevoorzitter Patrick Groothuis.

https://nos.nl/artikel/2551952-hackers-tu-eindhoven-op-heterdaad-betrapt-onderwijs-maandag-hervat

Tenzij het doel van de hackers was om de TUe voor een week uit de running te halen.
De lessen te verstoren. De tentamens uit te stellen. etc.
Dan zijn de hackers succesvol geweest.

Dit is niet negatief bedoeld, alleen een observatie vanuit een ander perspectief.

Ik sluit me hier volledig bij aan.

Een andere mogelijkheid is dat deze mislukte 'hack' de aandacht moest afleiden van een geheel ander doelwit...

Namens alle LIS (Library and Information Services) collega's bij de TUe, dank je wel!

Helemaal mee eens!
Het 'heterdaad' zal via een SIEM-tool door een SOC gezien zijn waarna iemand met 'stekkermandaat' een besluit genomen heeft. Inderdaad, goed gedaan en NERGENS te voorkomen dat dit niet een keer kan gebeuren.
Zoals gebruikelijk zijn de meeste reageerders weer zeer negatief en geven eigenlijk aan dat ze alleen maar weten hoe ze hun eigen PC kunnen beveiligen en weten niet hoe het in 'de grote mensenwereld' werkt.

En nee, ook ik werk niet voor/ bij de TU/e.

Meerdere redenen. Als eerste omdat het een misdaad is en er dus een justitieel onderzoek loopt. Daarnaast kan het zijn dat er iemand een fout heeft gemaakt door op een linkje te klikken waar diegene niet op had moeten klikken of was het een foute (voormalig) medewerker van wie het account nog toegankelijk was of.. er zijn zoveel redenen waarom je dit niet direct naar buiten wilt brengen, het heeft ook 0 toegevoegde waarde.

Helemaal mee eens. De reacties hier doen allerlei aannames en er worden dingen gezegd die je helemaal niet kunt weten zonder dat je rechtstreeks betrokken bent bij het incident. En zeggen dat de security gefaald heeft omdat er iemand binnengekomen is is zeggen dat je beveiliging gefaald heeft omdat je bij een inbraak in je huis gewaarschuwd werkt door het alarm...

Ik ben benieuwd naar de uitleg over een week of wat.

Frappant dat er in een tijdsbestek van zo'n 10 dagen alweer onderwijsinstellingen doelwit zijn. Je zou fantaseren dat hier een of meerdere onderwijsgefrustreerde types aan het werk zijn of statelijke actoren die duistere digitale praktijken aan het testen zijn.

Gisteren (woensdag) lag Fontys in Tilburg in de vuurlinie en nu (vandaag, 16 januari) zijn weer andere scholen in het zuiden van Nederland het doelwit. Nu met een ddos aanval.

https://nos.nl/artikel/2551999-internetverbinding-onderwijsinstellingen-zuid-nederland-ontregeld-door-ddos-aanval

Leuk, een digital heterdaad.. dat gebeurd vaker.. de eerste digitale heterdaad in Nederland was in 1997.. Ik was daarbij betrokken...

Verschillende onderwijsinstellingen hebben te maken met trage of geen internetverbinding door een ddos-aanval, dat laat netwerkbedrijf SURF weten. Meerdere onderwijs- en onderzoeksinstellingen door het land ondervinden problemen omdat ze via SURF een gemeenschappelijk ICT-netwerk delen.

https://nos.nl/artikel/2551999-internetverbinding-onderwijsinstellingen-ontregeld-door-ddos-aanval

TU/e lijkt een serieuze hack-(poging) te zijn .
Dat is andere orde dan kutpubers die hun tentamen uitstellen met een 'booter' .

Ik zie daar geen relatie tussen.

Iedereen wil gelijk alles weten, veel van de informatie kun en mag je gewoon nog niet delen omdat het onderzoek nog bezig is.

Weet in elk geval dat alle instellingen aangesloten zijn bij SURF en er binnen SURF meer informatie gedeeld (zoals IOC's) wordt zodat andere instellingen gelijk checks kunnen uitvoeren of dingen kunnen aanpassen. De juiste personen binnen andere instellingen weten wel ongeveer hoe het gegaan is en hoe ze binnen zijn gekomen en wat er gedaan is.

Dit delen we uiteraard niet op security.nl en de TU/e ook niet. Tenzij ze het zo ver hebben, en dan zal er geheid (zoals er ook op de website van TU/e vermeldt wordt) een uitgebreid rapport komen.

Dus hou aub op met alle aannames en geroep toeter.

Dat bedoel ik. Minstens een week uit de lucht, heel veel mensen die uren maken en inhuur van externen. Dan kan je niet spreken van een succesvolle beveiliging. Succesvol is meer als ze bij de poort automatisch worden tegengehouden.

Als je bent gehackt hoor je eigenlijk alles opnieuw te installeren. Als je dat niet doet kan je niet beweren voor 100% weer in control te zijn. De hackers zouden ergens een basis hebben kunnen installeren. Dit gaat nog vele uren kosten om de firewalls te monitoren.

Wat een domme opmerking dat jij meent te kunnen beweren dat de meeste reageerders hier alleen hun eigen PC kunnen beveiligen. Names de grote mensenwereld veel sterkte met je nepnieuws.

Ik snap dat je als MS fan altijd opnieuw het wiel uit moet vinden. Voortborduren op ervaringen van anderen heeft meer dan 0 toegevoegde waarde

Volgens mij moet je dit soort dingen overlaten aan de mensen die erover gaan, je weet maar 1 kant van het verhaal en trekt nu al conclussie's, iets van "de beste stuurlui staan aan wal"

Als iemand in je huis is ingebroken heeft je slot duidelijk niet gewerkt en de beveiliging dus gefaald.

De uitleg over een week zal zijn dat de ICT mensen het fantastisch hebben gedaan en erger wisten te voorkomen.
Dat er iemand binnen is geweest met adminrechten gaan ze je niet vertellen want dan zouden alle systemen opnieuw geïnstalleerd moeten worden om te kunnen garanderen dat men weer in control is.

Dat kunnen jullie zelf bewerkstelligen door iets meer te vertellen dan niets (heterdaad voegt niets toe). Hadden ze admin rechten. Op welk soort systeem is het geconstateerd? protocol? Dat deed de Universiteit van Maastricht een heel stuk transparanter en dus beter. Nu zijn die technische universiteiten ook vast veel meer macho en rechtser.

Een gemiddelde persoon gaat dit soort dingen niks aan. Via een samenwerkingsverband binnen de universiteiten worden deze dingen echt wel gedeelt. openbaar making van aanvallen, technieken en de manier waarop deze aanval plaats gevonden hebben, levert voor de aanvallen veel informatie op. Jullie hebben echt geen kaas gegeten wat security is, he ? Security is het niet delen van informatie met derden zoals hier. Snap dat nu eens !

Wat een domme opmerking dat jij meent te kunnen beweren dat de meeste reageerders hier alleen hun eigen PC kunnen beveiligen. Names de grote mensenwereld veel sterkte met je nepnieuws.[/quote]
Iedereen die zelf serieus werkt in IT/security ziet meteen aan een reactie als die van een hobby-nerd zonder werk/schaal ervaring komt.
En ja - dat zijn verreweg de meeste reacties.

Geen idee in welke "grote mensenwereld" jij jezelf waant, maar als je werkelijk hier de meerderheid van de reacties inschat als "afkomstig van professionals " is dat echt nog steeds de ballenbak.

*betrouwbaar*
Admin accounts zijn op darkweb terecht gekomen. Er wordt nog onderzocht hoe deze zijn gecomprimeerd. Hackers hebben deze accounts gevonden en gebruikt. Via VPN binnen gekomen, zonder mfa. Op domein controllers is verdachte activiteit geconstateerd. Waarop netwerk direct offline is gehaald. Na onderzoek bleek dat het net op tijd was.

Doe niet zo uit de hoogte. Het is geen feestboek hier. Zie opmerking 15:44 door Anoniem hieronder. Dat levert echt geen hint op voor aanvallers hoor en gebruik van RDP protocol ook niet via VPN etc. Omdat men aan een drama is ontsnapt, wilt het nog niet zeggen dat je niets hoeft te delen hoor, onder het mom van hackers niets wijsmaken. Die hackers weten wel waar de gaten zitten hoor. Daar hebben ze het rapport van TUe niet voor nodig. IN jouw argumentatie kunnen ze beter patch dinsdag niet meer van commentaar voorzien en CVE's afschermen. Leer eens wat van de open source wereld. Daar wordt alles gedeeld!

Ik bewijfel soms dat de meeste uberhaubtdie iets zeggen iets begrijpen van operationele zaken. Het gaat om de opdrachtgever (TU Eindhoven) als auditor en dat zijn wij niet. De redactie (en nee niet security.nl redactie) is vast en zeker druk met het controleren van alle bevindingen van de onderzoekers om tot een gedetaileerd plaatje te komen alsmede de executive summary + aanbevelingen.

Dit kan nog weken duren en zo hoort dat ook te gaan. Je hebt overleggen met legal je hebt overleggen met de aangestelde politie medewerker(s) (meestal HTC) En omdat dit publieke sector is krijg je ook nog eens de bemoeienissen van ambtenaren namens ministers, kamerleden die allemaal dit willen spinnen als politieke munitie.

Ik kan niet oordelen over hoe goed er gewerkt is hoe goed de beveiliging was ik heb de data niet ik hoef die data niet ik heb al genoeg sht te doen. Enige dat ik daar over kan zeggen is dat het een wonder te noemen is dat ze het in actie hebben waargenomen hoe vaak je wel niet pas na maanden later hoort van je partners, leveranciers etc dat er iets geweest is in de trent van een datalek dat is helaas een beetje de standaard geworden.

Nieuwsgierigheid heeft een plaats en een tijd en men doet er goed aan te leren dat geduld noodzakelijk is in in dit vak alsmede respecteren dat veel informatie niet voor jou bestemd is en nooit zal worden. Kan mij niet wijsmaken namelijk dat de gene hier ook werkelijk de lasten willen dragen die hierbij namelijk komen kijken ik ken niemand die zich verheugt om uren te spenderen aan log anaylse, debriefings alsmede domme vragen beantwoorden van bevoegden die geen jota van de situatie op een technisch vlak snappen.

Sterkte aan alle betrokkenen want dit zijn geen leuke tijden niemand verantwoordelijk hiervoor ziet dit als sensatie en die sterkte wens gaat ook richting de onderwijzers die boze niet begripvolle ouders in toom mogen houden en enige kwetsbare studenten die mogelijk in paniek zitten vol met stress om hun tentamens en hard gestudeerd hebben ervoor en nu hun originele plannen voor na de oorspronkelijke tentamen dagen mogelijk in duigen zien vallen.

Ik wil me verder niet mengen in de wel/niet professional discussie. Toch vind ik het interessant om in het kader van die laatste opmerking te wijzen op het Kerckhoffs principe. Zoek het eens op!

Dit schijnt te kloppen!

Wie zegt dat mensen dingen moeten delen ? Ik doe niet uit hoogte, ik erger me aan het gedacht dat anderen zoal jij die ik niet eens kent blijkbaar wil dat een deel of alles gedeelt wordt. Wie ben jij om dat te bepalen ? Er is geen wet die zegt dat alles gedeelt moet worden, iets dat je wel vrijwel eist. Hoezo ik uit hoogte ?

Natuurlijk moet er gedeeld worden. Het is geen private bedrijf! Als iemand overvallen is zeg je ook dat er iemand vermoord is als dat zo is. Men had gelijk kunnen zeggen dat de indringer admin rechten heeft gehad. Via VPN binnen gekomen, zonder mfa. Op domein controllers is verdachte activiteit geconstateerd. Of belangrijke windows servers gehackt maar activiteit op tijd waargenomen en servers uitgezet (niet het netwerk zoals aan de pers is medegedeeld) voor analyse.