Wat wil je weten over de cyberaanval bij de Uni Maastricht? - Privacy en beveiliging

donderdag 23 januari 2020 15:08

Acties:

+8 Henk 'm!

Nieuwscoördinator

Topicstarter

Ik durf er even vanuit te gaan dat jullie inmiddels wel hebben gehoord over de ransomwareaanval op de Universiteit Maastricht, anders hier nog even een tl;dr.

Nu is er over 2 weken daar een bijeenkomst waarin ze gaan vertellen wat ze hebben geleerd, en Tweakers is daar ook bij uitgenodigd. We mogen daar ook vragen stellen over de toedracht.

Vandaar dat ik ook even bij jullie uit kom: ik wil weten wat jullie willen weten. Met name vanuit een technisch perspectief ben ik benieuwd wat de juiste vragen zijn om dan te stellen.

De meest voordehandliggende vragen heb ik uiteraard al klaar en ik verwacht dat ze die zelf wel gaan beantwoorden: hoe kwam het virus binnen, hebben ze het losgeld betaald (en hoe veel), wat gaan ze doen etc. Maar zijn er daarnaast dingen die je wil weten? Bijvoorbeeld welke vorm van netwerksegmentatie ze gebruikten, zulke dingen? Let me know, dan kan ik die vragen hopelijk 5 februari stellen!

Deze handtekening kan worden opgenomen voor trainingsdoeleinden.

donderdag 23 januari 2020 15:24

Acties:

0 Henk 'm!

Verwijderd

In hoeverre er ook data gestolen is.

donderdag 23 januari 2020 15:28

Acties:

+2 Henk 'm!

Malantur

Misschien iets rond hun toekomstige backup strategie:
Hoe zorg je ervoor dat je backup niet mee geïnfecteerd kan worden?
Hoeveel TB of PB kritische data hebben ze staan?
Hoe vaak maak je dan wel een backup? (Want op die moment is je backup kwetsbaar)
Hoe lang laat je je backup in quarantaine? (Want je kan een infectie hebben die zit te wachten op het juiste moment)

[ Voor 7% gewijzigd door Malantur op 23-01-2020 15:29 ]

'Let's eat Grandma!' or, 'Let's eat, Grandma!'. Punctuation saves lives.

donderdag 23 januari 2020 15:42

Acties:

+5 Henk 'm!

pacificocean

Welke tijd heeft er gezeten tussen besmetting en ontdekking.

donderdag 23 januari 2020 15:45

Acties:

+1 Henk 'm!

Kaaswagen

Welke antivir ze op hun computers hadden staan en waarom deze niet(?) heeft ingegrepen bij zoveel data-activiteit (encryptie). Waarom was de back-up strategie niet afdoende?

It's a figure of speech, Morty. They're bureaucrats, I don't respect them.

donderdag 23 januari 2020 15:46

Acties:

+1 Henk 'm!

DJMaze

Liever inkijk of de kosten daadwerkelijk niet het ingecalculeerde budget heeft overschreden.
Want als bedrijf heb je een risico analyse op de kast liggen waarin een raming is gemaakt over kosten en baten.
En daarin staat of beveiligen meer/minder geld kost dan die ene inbraak...

Maak je niet druk, dat doet de compressor maar

donderdag 23 januari 2020 15:48

Acties:

0 Henk 'm!

armageddon_2k1

DJMaze schreef op donderdag 23 januari 2020 @ 15:46:
Liever inkijk of de kosten daadwerkelijk niet het ingecalculeerde budget heeft overschreden.
Want als bedrijf heb je een risico analyse op de kast liggen waarin een raming is gemaakt over kosten en baten.
En daarin staat of beveiligen meer/minder geld kost dan die ene inbraak...

Klopt, net zo inzichtelijk als de kosten- baten analyses van vliegtuigmaatschappijen op onderhoud en schadevergoedingen voor slachtoffers. Economisme ten top. Ethisch wat minder.

Engineering is like Tetris. Succes disappears and errors accumulate.

donderdag 23 januari 2020 15:49

Acties:

0 Henk 'm!

muppet99

Wat hebben ze uit deze ervaring geleerd?
Komt er meer aandacht bij de uni voor cyber security?
Hoe had dit voorkomen kunnen worden, in hun ogen?
Hoe kunnen we een SIEM leren om dit soort aanvallen te herkennen?

Carpe Diem

donderdag 23 januari 2020 15:52

Acties:

+1 Henk 'm!

DJMaze

armageddon_2k1 schreef op donderdag 23 januari 2020 @ 15:48:
Klopt, net zo inzichtelijk als de kosten- baten analyses van vliegtuigmaatschappijen op onderhoud en schadevergoedingen voor slachtoffers. Economisme ten top. Ethisch wat minder.

We praten hier niet over de 737 Max (daar is de analyse in de prullenbak), maar over een universiteit...

[ Voor 4% gewijzigd door DJMaze op 23-01-2020 15:53 ]

Maak je niet druk, dat doet de compressor maar

donderdag 23 januari 2020 15:56

Acties:

0 Henk 'm!

pacificocean

DJMaze schreef op donderdag 23 januari 2020 @ 15:52:
[...]

We praten hier niet over de 737 Max (daar is de analyse in de prullenbak), maar over een universiteit...

Maar de gedachte lijkt hetzelfde. Focus op kosten en de risico's uit het oog verliezen.

donderdag 23 januari 2020 17:26

Acties:

+1 Henk 'm!

n9iels

Hoe lang zat de ransomware al in het systeem?

Zijn er aanwijzingen dat de uni specifiek getarget is?

Is er ook data gesloten bij dit incident?

[ Voor 24% gewijzigd door n9iels op 23-01-2020 17:27 ]

donderdag 23 januari 2020 21:22

Acties:

0 Henk 'm!

Onbekend

...

Een paar vragen:

Waren de "criminelen" alleen uit op losgeld, of ook uit op informatie?

Hebben ze alle systemen kunnen herstellen, of verwachten ze dat nog te kunnen doen?
Of zijn er systemen onherstelbaar beschadigd? Zo ja, hoe en waarom?

Als ze over 4 maanden door een andere cyberaanval worden getroffen, zou deze ook nog veel schade kunnen veroorzaken?

Met de kennis van nu, had deze aanval voor 100% zekerheid voorkomen kunnen worden? Zo ja, hoeveel tijd zou hier voor nodig zijn geweest?

Heeft de ransomware zelfstandig (of door de criminelen) de gebruikersrechten verhoogt van gebruikers om zo meer toegang te krijgen op de systemen?

Speel ook Balls Connect en Repeat

vrijdag 24 januari 2020 00:23

Acties:

+2 Henk 'm!

Brahiewahiewa

boelkloedig

CH4OS schreef op donderdag 23 januari 2020 @ 15:41:
[...]
Sorry dat ik misschien iets te kritisch ben.

Denk het niet; ik vind het ook een beetje een zwaktebod van tweakers

Verder vind ik het van de universiteit op z'n zachtst gezegd merkwaardig gedrag om slechts aan een select gezelschap tekst en uitleg te geven. Waarom staat de analyse niet gewoon open en bloot op het internet?
Heeft een universiteit tegenwoordig ook iets te verbergen?

Ik bedoel: van een commercieel bedrijf wat getroffen is door ransomware kun je je nog voorstellen dat ze geen full disclosure willen geven, want hun automatiseringsomgeving is onderdeel van hun productieproces en ze willen de concurentie geen voordeel geven. Maar een universiteit?
[/rant]

QnJhaGlld2FoaWV3YQ==

vrijdag 24 januari 2020 00:29

Acties:

+1 Henk 'm!

Gropah

Admin Softe Goederen

Oompa-Loompa 💩

Wat open doelen, maar ook die moeten gescoord worden:

Hoe is het binnen gekomen?
Is de universiteit getarget of was het een toevalstreffer?
Welke lessen zijn er uit getrokken?

vrijdag 24 januari 2020 00:30

Acties:

0 Henk 'm!

Freeaqingme

Ik ben wel benieuwd wat de analyse vooraf was van de universiteit op risico's als deze, en hoe deze - kennelijk - tekort geschoten is.

No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.

vrijdag 24 januari 2020 09:50

Acties:

0 Henk 'm!

sh4d0wman

Attack | Exploit | Pwn

Hier is inmiddels meer info: https://www.security.nl/p...niversiteit+Maastricht%22

Iemand heeft controle gekregen over een intern device (d.m.v. phishing) en deze toegang verkocht (zoals de RAT documentaire hier bijvoorbeeld liet zien). Een APT heeft dit aangeschaft en vervolgens het netwerk compleet weten te compromiteren. De backup met data van 10-tallen jaren stond gewoon online op een (interne?) server en kon dus met de juiste rechten benaderd en versleuteld worden.

Als dit alles klopt dan zal er nooit een degelijke risico analyse plaats gevonden hebben. Kom op, anno 2020 jaren werk kwijt zijn omdat er geen offline backup & rotatie aanwezig zijn....

Ze mogen blij zijn dat het ransomware was en geen brand. Nu hebben ze het in ieder geval terug voor een paar centen,

Zolang wij geen forse financiele prikkel of wellicht celstraf zetten op mismanagement zoals hier boven (of het uitbrengen van de zoveelste gatenkaas IoT oplossing) dan zit je met een carriere als ransomware maker/verspreider nog wel goed. Het is droevig...

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

vrijdag 24 januari 2020 15:06

Acties:

+1 Henk 'm!

TijsZonderH

Nieuwscoördinator

Topicstarter

Dank voor alle vragen allemaal! Blijf ze vooral posten!

CH4OS schreef op donderdag 23 januari 2020 @ 15:41:
[...]
... ik vraag mij aan de andere kant wel af of de redactie zelf niet wat meer (specifieke) vragen heeft kunnen bedenken dan dit. Als dat niet zo is, vraag ik mij serieus af hoe het gesteld is met de kwaliteit van de redactie en of het dan wel zinvol is om er een te gaan (het komt op mij nu in elk geval over dat jullie er heen gaan omdat jullie een uitnodiging ontvingen, gaan om het kunnen gaan dus). Sorry dat ik misschien iets te kritisch ben.

Dat is wel erg cynisch

Natuurlijk heb ik wel gedetailleerdere vragen dan dit over hun netwerkopbouw, en ik probeer ook te regelen dat we na het symposium een soort reconstructie kunnen maken waarin ik ook met sysadmins kan praten over dat soort dingen. Maar door de community te vragen om input kan ik een beter beeld krijgen van welke kant ik op moet denken, en dat is misschien een kant die ik zelf niet meteen zou kiezen maar waar blijkbaar wel vraag naar is.

DJMaze schreef op donderdag 23 januari 2020 @ 15:46:
Liever inkijk of de kosten daadwerkelijk niet het ingecalculeerde budget heeft overschreden.
Want als bedrijf heb je een risico analyse op de kast liggen waarin een raming is gemaakt over kosten en baten.
En daarin staat of beveiligen meer/minder geld kost dan die ene inbraak...

Dit vind ik zeker interessant. Ik wilde sowieso al weten welke afwegingen er financieel aan vooraf gingen voor ze betaalden, en hoe het zat met hun verzekering op dit gebied.

Onbekend schreef op donderdag 23 januari 2020 @ 21:22:
Met de kennis van nu, had deze aanval voor 100% zekerheid voorkomen kunnen worden? Zo ja, hoeveel tijd zou hier voor nodig zijn geweest?

Vind ik een goede!

Freeaqingme schreef op vrijdag 24 januari 2020 @ 00:30:
Ik ben wel benieuwd wat de analyse vooraf was van de universiteit op risico's als deze, en hoe deze - kennelijk - tekort geschoten is.

Ik wil inderdaad ook graag weten wat ze vooraf dachten ja, wat hun threatmodel was en zo.

Deze handtekening kan worden opgenomen voor trainingsdoeleinden.

vrijdag 24 januari 2020 15:31

Acties:

0 Henk 'm!

Darklance

In het artikel van de volkskrant staat dat er mogelijk via phising toegang is verkregen voor inloggegevens tot een werkplek. Werd er dan geen gebruik gemaakt van MFA voor toegang van buitenaf?

vrijdag 24 januari 2020 15:35

Acties:

0 Henk 'm!

Montaner

Ik zie enkel vragen over het achteraf en wat zaken over backups. Maar welke security strategie had dit moeten voorkomen? Hoe specifiek staat een ransomware scenario benoemd in deze strategie? En wat was er voor in place?

En dan het achteraf... wat in deze strategie heeft gefaald?

vrijdag 24 januari 2020 15:39

Acties:

+2 Henk 'm!

defiant

Moderator General Chat

In hoeverre is UNIMAAS onderhevig aan certificering omtrent IT en informatiebeveiliging.
Zo ja, bevatten die certificeringen eisen wat betreft het implementeren, controleren en auditten (door een externe partij) van een offsite backup strategie.
Zo nee, zouden instituties zoals Universiteiten hier niet toe verplicht moeten worden ?

"When I am weaker than you I ask you for freedom because that is according to your principles; when I am stronger than you I take away your freedom because that is according to my principles"- Frank Herbert

vrijdag 24 januari 2020 15:59

Acties:

0 Henk 'm!

CH4OS

It's a kind of magic

TijsZonderH schreef op vrijdag 24 januari 2020 @ 15:06:
Dat is wel erg cynisch Natuurlijk heb ik wel gedetailleerdere vragen dan dit over hun netwerkopbouw, en ik probeer ook te regelen dat we na het symposium een soort reconstructie kunnen maken waarin ik ook met sysadmins kan praten over dat soort dingen.

Maar dat stond niet in de TS, waardoor ik (en anderen met mij) een iets ander beeld kregen bij jouw vraag. Van andere communityleden wordt ook bij vragen inzet verwacht en zoveel mogelijk informatie, dan lijkt het mij ook logisch, als je info wilt voor een artikel, dat je zelf dan ook aangeeft wat je zelf al in gedachten hebt om te achterhalen.

Dat werkt dus beiden kanten op, imo.

Maar door de community te vragen om input kan ik een beter beeld krijgen van welke kant ik op moet denken, en dat is misschien een kant die ik zelf niet meteen zou kiezen maar waar blijkbaar wel vraag naar is.

Dat snap ik, vandaar dat ik ook aangeef dat het initiatief goed en tof is, maar doordat het vrij karig was qua inhoud, ik ook vraagtekens zet(te).

vrijdag 24 januari 2020 19:28

Acties:

0 Henk 'm!

HKLM_

Ik ben wel benieuwd of hoe ze binnen zijn gekomen als ze bijvoorbeeld aangeven dat er via RDP extern is ingelogd dan ben ik wel benieuwd waarom deze naar buiten open staat.

[ Voor 35% gewijzigd door HKLM_ op 24-01-2020 19:29 ]

Cloud ☁️

vrijdag 24 januari 2020 20:20

Acties:

+1 Henk 'm!

GlowMouse

De eerste toegang tot het netwerk is verkregen via een phishingaanval. Het is algemeen bekend dat SURFnet, die de universiteiten op internet aansluit, de metadata van alle netwerktraffic bijhoudt dmv NetFlow (zie bv. hier), en daar achteraf analyses op loslaat. Toen nu.nl enige tijd malware verspreidde (14 maart 2012) was elke geïnfecteerde pc daarom direct in beeld. Waarom was de phishingaanval waarmee een springplank binnen het netwerk was gecreëerd niet via deze methode onderzocht?

Met toegang tot een enkele pc op het netwerk ben je als hacker nog nergens. De hacker heeft vervolgens toegang gekregen tot belangrijke servers. Was de springplank cruciaal bij deze hack, of kon dit ook gebeuren door een student die in de collegezaal via Wi-Fi is ingelogd?

vrijdag 24 januari 2020 20:25

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

1. Wat is de belangrijkste maatregel die er achteraf had moeten zijn om het te voorkomen?

2. Wat is de inschatting van wat nu de grootste dreiging is die nog kan komen? (En wat wordt er tegen gedaan)

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 24 januari 2020 20:34

Acties:

0 Henk 'm!

brokenp

Ik ben ook we benieuwd naar dingen na het incident:
- is er contact geweest met aanvallers? Of gewoon betaald met bitcoins? Contact via mail/chat? Hoe liep dat? Nog kunnen onderhandelen?
- in 1 x betalen of in stapjes
- hoe kregen ze korte termijn een groot bedrag in bitcoins beschikbaar?

vrijdag 24 januari 2020 21:04

Acties:

0 Henk 'm!

SanderBos

Oeh, dat van hoe kwamen ze aan een grote hvh bitcoins uit vorige comment vind ik ook interessant.

- Malantur vraagt al uitgebreid naar de toekomstige backup strategie. Maar je zou ze ook moeten proberen te verleiden om ze een omschrijving te laten geven van hun oude backup strategie ("yolo?").

- Hebben ze nu alle gecompromiteerde servers volledig vanaf scratch opnieuw geinstalleerd?

- Hoe hebben ze vastgesteld welke machines (ook niet server machines) wel en welke 'zeker' niet gecompromitteerd waren?

- Ik heb er veel over geprobeerd te lezen. Ik heb zelf nu het idee dat de meeste tijd van het overwerk tijdens de kerst heeft gezeten in het opnieuw installeren van servers, en het volledig anders inrichten van de netwerk infrastructuur, klopt dat?
(Want waarschijnlijk werkte alles na het betalen van losgeld en ontvangen en doorvoeren van de unlock code in principe weer 100%, dus ze hadden op dat moment een volledig werkend systeem, wat ze niet konden vertrouwen maar het wel helemaal deed).

- Wat zien ze nu zelf achteraf als de allergrootste fout die ze hebben gemaakt? (ik zou zeggen: geen offline backup)

- Even negerende dat ze niet hebben erkend dat ze losgeld hebben betaald, en misschien ook niet gaan doen, gewoon vragen: Zijn zij het eens met de stelling dat betaling van losgeld bij ransomware meer ransomware activiteiten uitlokt?

- Mochten ze later wel iets toegeven van het betalen van losgeld, kloppen dan de geruchten dat er deadlines aan gekoppeld waren (van hoger wordend bedrag, of deadline waarna unlock keys werden vernietigd).

[ Voor 7% gewijzigd door SanderBos op 24-01-2020 21:05 ]

zaterdag 25 januari 2020 12:24

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Ik ben wel geïnteresseerd in wat ze hebben gedaan nadat ze ontdekte dat er iets mis was en wat ze a
nders of beter hadden kunnen doen.

- Waren er op dat moment nog dingen die ze hadden kunnen doen om het probleem groter of kleiner te maken.
- Hadden ze direct de stekker uit de backupserver of de internet-router moeten trekken (of juist niet)?
- Was het inschakelen van externe hulp nuttig, of juist niet?
- Had iemand gebeld moeten worden die niet tijdig geinformeerd was, of is de zaak juist te snel in de publiciteit gekomen?
- Verliep de interne communicatie en besluitvorming soepel of wist de linkerhand niet wat de rechter deed?
- Hoe zijn ze begonnen met het herstelwerk vanuit een situatie waarin je niks meer kan vertrouwen?
- Hebben ze nieuwe computers uit de doos gehaald en vers geinstalleerd om zeker te weten dat ze schoon zijn, of was dat te moeilijk, te duur of te langzaam?
- Hebben ze nog vertrouwen in hun backups of moet alle oude data voorgoed als verdacht worden aangemerkt?

* CAPSLOCK2000 is van plan om ook naar die bijeenkomst te gaan

This post is warranted for the full amount you paid me for it.

zaterdag 25 januari 2020 12:26

Acties:

0 Henk 'm!

FreshMaker

Verwijderd schreef op donderdag 23 januari 2020 @ 15:24:
In hoeverre er ook data gestolen is.

is het nu wel gestolen ?
Want in de Brein / Torrent / downloadtopics wordt er nooit gestolen ....

zaterdag 25 januari 2020 16:29

Acties:

0 Henk 'm!

Pabz

Waar ik persoonlijk wel benieuwd naar ben is hoe zij denken dat publieke instellingen (universiteiten, ziekenhuizen) adequaat ICT personeel kunnen aantrekken met de beperkte financiële middelen die ze vaak hebben. Ik stel me namelijk voor dat mensen die echt verstand van zaken er niet primair voor kiezen om voor een (relatief tov commercieel) matig loon in een publieke CAO te gaan werken.

zaterdag 25 januari 2020 16:34

Acties:

0 Henk 'm!

Berlinetta

Pabz schreef op zaterdag 25 januari 2020 @ 16:29:
Waar ik persoonlijk wel benieuwd naar ben is hoe zij denken dat publieke instellingen (universiteiten, ziekenhuizen) adequaat ICT personeel kunnen aantrekken met de beperkte financiële middelen die ze vaak hebben. Ik stel me namelijk voor dat mensen die echt verstand van zaken er niet primair voor kiezen om voor een (relatief tov commercieel) matig loon in een publieke CAO te gaan werken.

Ik ben hier ook wel benieuwd naar, maar wat is adequaat personeel? (Serieuze vraag)

Iedereen heeft beperken financiële middelen.

zaterdag 25 januari 2020 16:39

Acties:

0 Henk 'm!

SgtElPotato

Hoe kunnen ze verzekeren dat er geen data is weg gehaald?

Zucht...

zaterdag 25 januari 2020 16:43

Acties:

0 Henk 'm!

c-nan

Om wat voor systemen gaat het, ik ben dan voornamelijk benieuwd maar Windows of Linux.

Zijn ze (bijvoorbeeld) ISO27001 gecertificeerd? Zo nee, zijn ze dit van plan? Een ander Informatieveiligheidscertificaat ook goed.

EU DNS: 86.54.11.100

zaterdag 25 januari 2020 16:53

Acties:

0 Henk 'm!

naitsoezn

Nait Soez'n!

TijsZonderH schreef op donderdag 23 januari 2020 @ 15:08:
...

Members only:

Alleen zichtbaar voor ingelogde gebruikers. Inloggen

Hoe bang is de uni dat een dergelijk scenario zich nu gaat voordoen, hoe denken ze dit te voorkomen, en merken ze al op eniger wijze dat er iets dergelijks aan de hand is? Dat medewerkers zelf controle over hun eigen data in handen nemen, met alle risico's van dien?

't Het nog nooit, nog nooit zo donker west, of 't wer altied wel weer licht

zaterdag 25 januari 2020 20:09

Acties:

0 Henk 'm!

Pabz

Berlinetta schreef op zaterdag 25 januari 2020 @ 16:34:
[...]

Ik ben hier ook wel benieuwd naar, maar wat is adequaat personeel? (Serieuze vraag)

Iedereen heeft beperken financiële middelen.

Ik zit zelf helemaal niet in de ICT, maar ik stel me voor dat er net zoals in iedere andere business er wel een manier is om te toetsen of personeel adequaat is of niet.

Ik vraag me ook af of publieke instellingen wellicht niet hun hele ICT zouden moeten outsourcen met een cloud-based platform of zoiets. Dan heb je een partij wiens core-business het is en kan je de hele eigen ICT afdeling grotendeels opdoeken. Een ziekenhuis of universiteit heeft ICT namelijk niet als core-business en zal waarschijnlijk ook niet de juiste investeringen in zijn personeel/systemen doen om dit bij te houden.

Echter, is het waarschijnlijk de ICT afdeling zelf die zal zag zeggen dat dit geen goed idee is

.

Als het overigens echt geen goed idee is, dan hoor ik dat ook graag

.

zaterdag 25 januari 2020 20:41

Acties:

0 Henk 'm!

Trommelrem

1. Ik ben heel benieuwd waarom de Microsoft backups ook niet goed waren. Microsoft maakt zelf namelijk ook backups van Exchange Online en SharePoint Online, die je op verzoek ook kunt laten terugzetten, voor als je eigen backups hebben gefaald. Was de besmetting al door de retentie van de Microsoft backups heen?
2. Ben daarnaast ook benieuwd wat Microsoft in de Azure monitoring en logging heeft kunnen vinden.
3. Was er een specifieke medewerker gesocialnetworkengineered om toegang te krijgen of ging de toegang via een technische fout, zoals een ingeschakelde SMB1.0 of missing patch? Wat was de specifieke patch die ontbrak of wat was de specifieke handeling die de medewerker heeft verricht en door wie is de medewerker gesocialnetworkengineerd.

[ Voor 12% gewijzigd door Trommelrem op 25-01-2020 20:45 ]

zaterdag 25 januari 2020 21:27

Acties:

0 Henk 'm!

Berlinetta

Pabz schreef op zaterdag 25 januari 2020 @ 20:09:
[...]

Ik zit zelf helemaal niet in de ICT, maar ik stel me voor dat er net zoals in iedere andere business er wel een manier is om te toetsen of personeel adequaat is of niet.

Ik vraag me ook af of publieke instellingen wellicht niet hun hele ICT zouden moeten outsourcen met een cloud-based platform of zoiets. Dan heb je een partij wiens core-business het is en kan je de hele eigen ICT afdeling grotendeels opdoeken. Een ziekenhuis of universiteit heeft ICT namelijk niet als core-business en zal waarschijnlijk ook niet de juiste investeringen in zijn personeel/systemen doen om dit bij te houden.

Echter, is het waarschijnlijk de ICT afdeling zelf die zal zag zeggen dat dit geen goed idee is .

Als het overigens echt geen goed idee is, dan hoor ik dat ook graag .

Ik zit wel in de ICT (Werk nu niet.)
Maar toetsen of iemand adequaat is, is een valkuil opzich.
Ik verwacht binnen redelijk termijn Windows 10 computers van bepaalde bedrijven, maar ik zie dat er nog steeds Windows 7 wordt gedraaid. Ik, (laag geschoolde IT'er) zou dit kunnen oplossen door Windows 10 "automatisch" te installeren en kan dat ook. Het punt is, dat ik laag geschoolde ben. Dus dan houdt het op.

Met outsourcen, verplaats je het "probleem" naar mensen die ook andere bedrijven bedienen, hierbij staat een ander probleem dat het "geoutsourcede" (Is dat Nederlands? Je weet wat ik bedoel.) bedrijf niet alles weet van jou bedrijf. Hiermee heb je dus een probleem dat niet alles onder controle is. Als systeembeheerder wil ik juist controle zodat ik alles in bedienen zoals men dat wil anders beheer ik het systeem niet, maar iemand anders. Maar dat ben ik. Ik heb weinig gewerkt in het echte bedrijfsleven, maar ik ben iemand die alles onder beheer wil hebben van A tot en met Z.

Stel je voor dat ik een website met hotels ga beginnen en ik zeg dat ze op mijn website het goedkoopst zijn. Stel dat er ook een review site is die ik onder controle heb. Uit eindelijk bepaald ik wat goed of slecht is. Ik gooi de slechte reacties eruit en laat de goede staan.

Ik heb controle of goed of fout is.

[ Voor 7% gewijzigd door Berlinetta op 25-01-2020 21:54 ]

zaterdag 25 januari 2020 23:12

Acties:

0 Henk 'm!

DJMaze

Pabz schreef op zaterdag 25 januari 2020 @ 20:09:
Echter, is het waarschijnlijk de ICT afdeling zelf die zal zag zeggen dat dit geen goed idee is

Nee, het gaat om up-time.
Lokaal draait hier alles 24/7. Als internet stuk is kan je gewoon werken hier.
Bij cloud kan dat niet, en is er ook nog de kans dat de cloud stuk is (lees eens het nieuws over de downtime van office365).

Je maakt als ziekenhuis de afweging of je klanten kan opereren als internet "stuk" is of niet. IT zegt ja, budget manager nee.

Maak je niet druk, dat doet de compressor maar

zondag 26 januari 2020 09:43

Acties:

+1 Henk 'm!

ejabberd

1. Had men de schade kunnen herstellen als men te maken had gehad met digitale oorlogsvoering en zoniet; is men daar nu wel toe in staat? Ik denk dan bv. aan NotPetya waarbij de aanvallers tot doel hadden zoveel mogelijk schade aan te richten en waarbij betalen niet hielp.

2. Zullen de geleerde lessen beschikbaar worden gesteld van de maatschappij of blijft dit beperkt tot de persconferentie van vandaag? Ik denk dan aan een cursus of een document met best practices waarbij antwoord wordt geboden op vragen als "hoe wapen je het best tegen zo'n aanval", "welke stappen moet je ondernemen om zo snel mogelijk je systemen veilig te herstellen", "ethische vragen bij het betalen bij gijzelsoftware",...

maandag 27 januari 2020 12:20

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Welke stappen heeft men ondernomen om de infectie op te lossen en wat is er vastgelegd voor de toekomst? Heeft men bv een stappenplan geschreven en hoe ziet dit er uit?

Wat zijn valkuilen en eye openers geweest?

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

maandag 27 januari 2020 12:23

Acties:

0 Henk 'm!

3DDude

I void warranty's

Welke maatregelen zijn er inmiddels getroffen.
Hoe weten ze zeker dat ze nu 'schoon' zijn ? --> en er niet ergens een backdoor ronddwaalt.

Waarom is er geen 3-2-1 regel gebruikt met de backup?

Word er wel is ge-pentest door externe partij?
Om de IT te auditten en te verbeteren op security gebied.

[ Voor 21% gewijzigd door 3DDude op 27-01-2020 12:24 ]

Be nice, You Assholes :)

maandag 27 januari 2020 12:32

Acties:

0 Henk 'm!

bert pit

asdasd

Vaak wordt de malware getriggerd door gebruikers gedrag. Wat gaan ze er aan doen om het gedrag van gebruikers zo aan te passen dat dit de kans op een aanval verkleint?

Tijdens het lezen van deze zin, wordt wereldwijd circa 1.000.000 liter olie verstookt. Dus niet 2X lezen hè.

maandag 27 januari 2020 16:22

Acties:

0 Henk 'm!

TijsZonderH

Nieuwscoördinator

Topicstarter

Goede vragen (en inzichten) allemaal, bedankt! Ik hoop dat ze ook echt willen meewerken aan een technische reconstructie en niet het niet teveel aan de oppervlakte blijft...

Deze handtekening kan worden opgenomen voor trainingsdoeleinden.

maandag 27 januari 2020 16:26

Acties:

0 Henk 'm!

pacificocean

Misschien nog wat te vroeg maar zou je ook aan de hand van een analyse van de incident melding van de supportdesk eventueel in combinatie met performance metingen kunnen zien of er wat met je systeem aan de hand is?

maandag 27 januari 2020 16:27

Acties:

0 Henk 'm!

Chocovla

Ben zelf wel benieuwd hoe het de medewerkers heeft geraakt. Zij hebben waarschijnlijk vanaf 24/7 moeten werken om alles weer op poten te krijgen. Hoe is de begeleiding van de beheerders, ciso, security mensen verlopen tijdens en na deze hack?

Daarnaast ben ik wel nieuwsgierig naar de manier waarop hun crisis escalatie uiteindelijk is verlopen. Kan me voorstellen dat er meldingen binnen kwamen van diensten die ineens niet benaderbaar waren, en toen? Hoe snel wist men de omvang van de hack in kaart te krijgen, hoe verliep het escalatie traject, wanneer is bijvoorbeeld besloten om een externe partij (Fox-IT) in te schakelen. En waarom?

"Better ask questions before you shoot"

maandag 27 januari 2020 21:17

Acties:

0 Henk 'm!

HKLM_

c-nan schreef op zaterdag 25 januari 2020 @ 16:43:
Om wat voor systemen gaat het, ik ben dan voornamelijk benieuwd maar Windows of Linux.

Zijn ze (bijvoorbeeld) ISO27001 gecertificeerd? Zo nee, zijn ze dit van plan? Een ander Informatieveiligheidscertificaat ook goed.

Want een ISO27001 certificaat geeft je een bepaalde zekerheid? ISO27001 stelt niet extreem veel voor en ik zie niet hoe dit een probleem als dit zou kunnen verkomen. En ja ik ben bekent met de 27001 certificering.

Cloud ☁️

maandag 27 januari 2020 21:34

Acties:

0 Henk 'm!

c-nan

HKLM_ schreef op maandag 27 januari 2020 @ 21:17:
[...]

Want een ISO27001 certificaat geeft je een bepaalde zekerheid? ISO27001 stelt niet extreem veel voor en ik zie niet hoe dit een probleem als dit zou kunnen verkomen. En ja ik ben bekent met de 27001 certificering.

Het is geen garantie, maar het geeft zeker tot op bepaalde hoogte zekerheid. Uiteraard speelt beleid een belangrijke rol.

Het zal een probleem als dit mogelijk niet direct voorkomen, maar zal wel helpen het risico te beperken.

EU DNS: 86.54.11.100

dinsdag 28 januari 2020 10:35

Acties:

0 Henk 'm!

Verwijderd

Brahiewahiewa schreef op vrijdag 24 januari 2020 @ 00:23:
[...]

Denk het niet; ik vind het ook een beetje een zwaktebod van tweakers

Verder vind ik het van de universiteit op z'n zachtst gezegd merkwaardig gedrag om slechts aan een select gezelschap tekst en uitleg te geven. Waarom staat de analyse niet gewoon open en bloot op het internet?
Heeft een universiteit tegenwoordig ook iets te verbergen?

Ik bedoel: van een commercieel bedrijf wat getroffen is door ransomware kun je je nog voorstellen dat ze geen full disclosure willen geven, want hun automatiseringsomgeving is onderdeel van hun productieproces en ze willen de concurentie geen voordeel geven. Maar een universiteit?
[/rant]

Aannames, aannames het valt in dit topic gelukkig nog mee met de aannames, maar ook hier kom je ze tegen......je kunt ook de UM website even nalezen.

"Symposium voor genodigden; livestream beschikbaar
De voorbereidingen voor het symposium op 5 februari zijn in volle gang. De bijeenkomst is bedoeld om de recente ervaringen van de UM te delen en om in het verlengde hiervan een publieke discussie te starten over de spanning die in de universitaire sector bestaat tussen de openheid en toegankelijkheid die de academie vraagt en de geslotenheid die de bescherming tegen cybercrime veronderstelt. Deelname geschiedt op uitnodiging. In de zaal is plaats voor vooral inhoudelijk betrokken partijen en vertegenwoordigers van de media. Wel zal er een livestream verbinding zijn, zodat iedere geïnteresseerde de bijeenkomst kan volgen. Het adres van deze livestream wordt tzt gecommuniceerd."

zaterdag 1 februari 2020 21:59

Acties:

0 Henk 'm!

kodak

FP ProMod

TijsZonderH schreef op maandag 27 januari 2020 @ 16:22:
Goede vragen (en inzichten) allemaal, bedankt! Ik hoop dat ze ook echt willen meewerken aan een technische reconstructie en niet het niet teveel aan de oppervlakte blijft...

Als ze op de oppervlakte blijven kan je vragen waarom ze je dan hebben laten komen. Een universiteit is er toch om hoogwaardige kennis te delen?

Wees ook beducht voor mogelijk bagatelliseren of meningen: vraag altijd door waarom iemand standpunten in neemt.

dinsdag 4 februari 2020 08:38

Acties:

+2 Henk 'm!

snarf63

In veel berichten wordt 'gewezen' naar ICT die het niet goed gedaan zou hebben.

Ik ben nieuwsgierig of 'ICT' adviezen gegeven heeft in het verleden voor verbeteringen/oplossingen die door hoger management zijn afgewezen en wat dan de reden van afwijzing was.

dinsdag 4 februari 2020 09:42

Acties:

0 Henk 'm!

jurroen

Security en privacy geek

snarf63 schreef op dinsdag 4 februari 2020 @ 08:38:
In veel berichten wordt 'gewezen' naar ICT die het niet goed gedaan zou hebben.

Ik ben nieuwsgierig of 'ICT' adviezen gegeven heeft in het verleden voor verbeteringen/oplossingen die door hoger management zijn afgewezen en wat dan de reden van afwijzing was.

Ik weet niet of je ook de mening van de anonieme ICT medewerker hebt gelezen? Zie hier (in de reacties).

Dat geeft weer de indruk dat er veel mis was bij management en dat ICT het moest doen met een beperkt budget waarmee zaken als backups en dergelijken een probleem werden.

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

dinsdag 4 februari 2020 16:28

Acties:

0 Henk 'm!

snarf63

jurroen schreef op dinsdag 4 februari 2020 @ 09:42:
[...]

Ik weet niet of je ook de mening van de anonieme ICT medewerker hebt gelezen? Zie hier (in de reacties).

Deze had ik gezien.
Is inderdaad anoniem. (hoeft niet minder waar te zijn hierdoor).
Zelf ben ik benieuwd naar het verhaal vanuit de UNI op mijn gestelde vraag.

Het is natuurlijk de vraag hoe 'open/oprecht/compleet' het verhaal morgen wordt.

dinsdag 4 februari 2020 18:03

Acties:

0 Henk 'm!

SanderBos

snarf63 schreef op dinsdag 4 februari 2020 @ 16:28:
[...]

Zelf ben ik benieuwd naar het verhaal vanuit de UNI op mijn gestelde vraag.

Het is natuurlijk de vraag hoe 'open/oprecht/compleet' het verhaal morgen wordt.

spoiler: Spoiler alert:

Nee, niet open/ oprecht/ compleet

spoiler: (Heeft tweakers trouwens een spoiler tag?:)

Ja hebben ze, [spoiler]Snape kills Harry[/spoiler]

Ik keek trouwens nu even of er op de MaastrichtUni website al informatie was verschenen, nee, maar blijkbaar kun je morgen wel live meekijken vanaf 2 uur:
https://www.maastrichtuni...sium-%E2%80%93-livestream

dinsdag 4 februari 2020 18:17

Acties:

0 Henk 'm!

HenkEisDS

SanderBos schreef op vrijdag 24 januari 2020 @ 21:04:
- Hebben ze nu alle gecompromiteerde servers volledig vanaf scratch opnieuw geinstalleerd?

En zo ja, hoe hebben ze ervoor gezorgd dat er geen malware is achtergebleven in de vorm van bijvoorbeeld firmware rootkits?

woensdag 5 februari 2020 09:31

Acties:

0 Henk 'm!

bert pit

asdasd

jurroen schreef op dinsdag 4 februari 2020 @ 09:42:
[...]

Ik weet niet of je ook de mening van de anonieme ICT medewerker hebt gelezen? Zie hier (in de reacties).

Dat geeft weer de indruk dat er veel mis was bij management en dat ICT het moest doen met een beperkt budget waarmee zaken als backups en dergelijken een probleem werden.

Wat stond daar dan in? De link is helaas niet meer beschikbaar.

Tijdens het lezen van deze zin, wordt wereldwijd circa 1.000.000 liter olie verstookt. Dus niet 2X lezen hè.

woensdag 5 februari 2020 10:28

Acties:

0 Henk 'm!

stuffer

Ondertietel

bert pit schreef op woensdag 5 februari 2020 @ 09:31:
[...]

Wat stond daar dan in? De link is helaas niet meer beschikbaar.

Vreemd. Bij mij doet ie het wel.

Schaamteloze verkoop van:
http://tweakers.net/aanbod/user/311422/
*** NIKS ***

woensdag 5 februari 2020 10:38

Acties:

+2 Henk 'm!

Bas170

Sir Miss-a-Lot

bert pit schreef op woensdag 5 februari 2020 @ 09:31:
[...]

Wat stond daar dan in? De link is helaas niet meer beschikbaar.

Werkt hier gewoon.

Maar hierbij de reactie van een anonieme medewerker:

2020-01-07: Anoniem
"Gemeenschapszin"? Serieus? Speelt Martin Paul nu hier van de domme of is hij nodig aan zijn pensioen toe? Als je aan de top staat neig je al gauw naar een vertekend beeld van de realiteit. Je ziet wat je wilt zien. Het CvB heeft ernstig gefaald en probeert dit nu goed te praten door verbondenheid te benadrukken. Zelfs in moeilijke tijden staan we schouder aan schouder. Zo'n bullshit. Haar eigen disfunctioneren wordt in de doofpot gegooid.

De gemeenschapszin waar hij naar verwijst komt echter door een timer die op de ransomware zit. Had de UM niet op tijd betaald, dan werden de bestanden definitief vernietigd. Daarnaast werd de ransom, het bedrag dat de UM moest betalen, telkens duurder. Hoe langer je wacht, des te duurder het werd. En je loopt het risico dat je bestanden worden vernietigd. Het was een race tegen de klok. Dus nee Martien, geen gemeenschapszin maar noodzaak en het hebben van geen alternatief. Want, waar waren die backups dan? Precies, die waren er niet. Daarom heb je de criminelen betaald! Nou, Martin, probeer in die situatie maar eens "nee" tegen je leidinggevende te zeggen, wanneer deze je in aanloop naar de kerst belt en vraagt "Ik heb je dringend nodig". Zeg je nee, dan sta je zo op straat. Het was de angst om onze banen te verliezen, om onze kinderen geen kerstcadeaus te kunnen geven, om het nieuwe jaar zonder baan in te gaan. We hadden geen andere keuze! We waren er vanwege grote angst.

Gevolg: de hele kerstvakantie naar de kloten door dit falend CvB en thuis flinke spanningen. Hier hoor je Martin juist niet over praten. Blijkbaar is dit niet meer relevant als je aan de top staat.

Daarna ook nog honderdduizenden euro's aan criminelen betalen terwijl je eigen IT-personeel al jaren op een tweedehands houtje moet bijten. Betaal de IT-ers bij de UM dan ook fatsoenlijk en geef ze op dat gebied erkenning. Jarenlang is het onderwijsondersteunend personeel in de CAO de lul. Werken voor de universiteit is voor ons niet rendabel. In plaats daarvan is hij met marketing bezig om zichzelf een schouderklopje te geven. De arrogantie.

En studenten en medewerkers? Studenten zijn betrokken omdat er begin januari herkansingen waren. Die willen dolgraag hun diploma. Zo las ik een verhaal van een student die haar scriptie op tijd moest inleveren maar nu niet aan haar scriptie kon werken. Hoe lullig is dat? Medewerkers proberen hun publicatie er zo snel mogelijk door te krijgen, want geen toegang tot e-mail vertraagt dat alleen maar. We zijn allemaal betrokken omdat wij niet de dupe van dit falend beleid willen worden. Het gaat ons allemaal aan. We hebben allemaal onze eigen belangen die we niet willen schaden. Maar daar gaat het CvB niet op in. En bovendien zijn we allemaal slachtoffer door dit CvB geworden: publieksgeld dat voor onderwijs is bestemd krijgt een andere bestemming. We lijden er allemaal door.

@Observant, het exacte bedrag dat het CvB aan die oplichters heeft betaald blijft onbekend. Neem eens de journalistieke verantwoordelijkheid om die stukken te publiceren. Het gaat hier om gemeenschapsgeld. Het gaat ons allen aan. Maak eens openbaar hoe het CvB haar tanden aan de criminelen heeft laten zien. De lafbekken. Een ransom van honderdduizenden betalen is geen overwinning maar een diep verlies. Dit is de rug van dit CvB, zo zwak als maar kan! Een soort schoothondje van de criminelen. Hadden ze backups, dan zouden ze niet betalen; gewoon de backup terugzetten en de criminelen een dikke middelvinger geven. Dan pas zouden ze voor de universiteit opkomen. Dan pas laat je de tanden zien. Zo'n CvB hebben we in Maastricht nodig.

-- Anoniem, om mijn baan te behouden.

https://ifuckinghateJira.com
@CodeCaster: Ik kan niet anders dan concluderen dat Bas170 en Maarten van Rossem gelijk hebben

woensdag 5 februari 2020 14:13

Acties:

0 Henk 'm!

Rendiertje

Hier is de link naar de symposium van de UM.
Raar dat het trouwens in het NL is.

De link vergeten

YouTube: Lessons learnt cyberattack UM

[ Voor 42% gewijzigd door Rendiertje op 05-02-2020 14:58 ]

woensdag 5 februari 2020 14:39

Acties:

0 Henk 'm!

pacificocean

pacificocean schreef op donderdag 23 januari 2020 @ 15:42:
Welke tijd heeft er gezeten tussen besmetting en ontdekking.

Bij deze het antwoord.
https://twitter.com/danie...25046980625420288/photo/1

Begrijp ik hier nu uit dat er geen back-ups waren?

Edit: Die waren er wel maar waren ook online beschikbaar.
https://twitter.com/danielverlaan/status/1225052346331336710

[ Voor 25% gewijzigd door pacificocean op 05-02-2020 14:49 ]

woensdag 5 februari 2020 14:49

Acties:

0 Henk 'm!

Brent

snarf63 schreef op dinsdag 4 februari 2020 @ 08:38:
In veel berichten wordt 'gewezen' naar ICT die het niet goed gedaan zou hebben.

Ik ben nieuwsgierig of 'ICT' adviezen gegeven heeft in het verleden voor verbeteringen/oplossingen die door hoger management zijn afgewezen en wat dan de reden van afwijzing was.

Je weet hoe dat gaat vanaf zo'n CvB bureau: ICT is een kostenpost, geen wingewest, dus gaan we er niets in investeren, en nemen we enkel mensen aan die voor nop willen werken (immers, icters zijn uitwisselbaar, toch?). Enkel tijdens rampen is er extra geld (voor het losgeld in dit geval).

Een slimme ICT afdeling had dus zelf deze hack geregeld om aan extra geld te komen voor een betere ICT

Humanist | Kernpower! | Determinist | Verken uw geest | Politiek dakloos

woensdag 5 februari 2020 14:52

Acties:

0 Henk 'm!

pacificocean

snarf63 schreef op dinsdag 4 februari 2020 @ 08:38:
In veel berichten wordt 'gewezen' naar ICT die het niet goed gedaan zou hebben.

Ik ben nieuwsgierig of 'ICT' adviezen gegeven heeft in het verleden voor verbeteringen/oplossingen die door hoger management zijn afgewezen en wat dan de reden van afwijzing was.

De vraag is wie had ICT veiligheid in zijn portefeuille?

woensdag 5 februari 2020 14:58

Acties:

0 Henk 'm!

Bob-B190

Aanzienlijk lager bedrag dam verwacht die 197k

Memento mori

woensdag 5 februari 2020 14:59

Acties:

0 Henk 'm!

Rendiertje

Bob-B190 schreef op woensdag 5 februari 2020 @ 14:58:
Aanzienlijk lager bedrag dam verwacht die 197k

Ja valt mij ook behoorlijk mee.
Geruchten ging dat het meer was, richting de 4 ton dacht ik.

woensdag 5 februari 2020 15:03

Acties:

0 Henk 'm!

SanderBos

Ik ben naar de livestream (https://www.maastrichtuni...sium-%E2%80%93-livestream) aan het kijken.

Ze hebben net toegegeven dat ze losgeld hebben betaald (ze blijven er wel vaag over, maar geven in feite toe dat de schade anders te groot was omdat ze geen backups hadden, ze geven als voorbeeld van een voordeel dat ze nu salarissen op tijd konden uitbetalen?!).
Oh, ik was nu aan het typen en had daardoor blijkbaar niet gehoord dat ze 197.000 euro (30 bitcoin) losgeld hebben betaald.

De medewerker van de universiteit geeft aan dat 1 van de 3 grootste lessen die ze zelf hebben getrokken dat ze offline backups hadden moeten hebben (ik merkte ook wat emotie in zijn stem toen hij daarover vertelde, dus ik had het idee dat hij dat ook dom van zichzelf vond).

Bijzonder: FOX-IT had ook 4 aanbevelingen, maar in hun presentatie viel het woord backup 0 keer...

De hacker(s) had(den) 2 maanden toegang tot het systeem en waren in die tijd vooral rustig aan het rondkijken waren op het netwerk waar ze volledige toegang toe hadden, voordat ze de ransomware opstartten. Heel veel dingen worden vaag omschreven maar ik heb het idee dat ze daarbij ook admin wachtwoorden ('sleutels'?) in plain text hadden gevonden op de servers.
Iets van 236 machines waren geïnfecteerd.

Die phishing mail waarmee het mis ging was echt super amateurisch, gewoon een hele rare link in een korte mail met het verzoek die te openen. Volgens mij is er niet gezegd of die nu door een systeem beheerder is geopend.

woensdag 5 februari 2020 15:06

Acties:

0 Henk 'm!

Rendiertje

SanderBos schreef op woensdag 5 februari 2020 @ 15:03:
...

Bijzonder: FOX-IT had ook 4 aanbevelingen, maar in hun presentatie viel het woord backup 0 keer...

...

Dat is een aanbeveling die Fox-IT waarschijnlijk wel in het rapport zal hebben staan. Maar de aanbevelingen die ze nu gegeven hebben zijn ook exact business onderdelen van Fox-IT.

woensdag 5 februari 2020 15:07

Acties:

0 Henk 'm!

Bob-B190

SanderBos schreef op woensdag 5 februari 2020 @ 15:03:
Ik ben naar de livestream (https://www.maastrichtuni...sium-%E2%80%93-livestream) aan het kijken.

Ze hebben net toegegeven dat ze losgeld hebben betaald (ze blijven er wel vaag over, maar geven in feite toe dat de schade anders te groot was omdat ze geen backups hadden, ze geven als voorbeeld van een voordeel dat ze nu salarissen op tijd konden uitbetalen?!).
Oh, ik was nu aan het typen en had daardoor blijkbaar niet gehoord dat ze 197.000 euro (30 bitcoin) losgeld hebben betaald.

De medewerker van de universiteit geeft aan dat 1 van de 3 grootste lessen die ze zelf hebben getrokken dat ze offline backups hadden moeten hebben (ik merkte ook wat emotie in zijn stem toen hij daarover vertelde, dus ik had het idee dat hij dat ook dom van zichzelf vond).

Bijzonder: FOX-IT had ook 4 aanbevelingen, maar in hun presentatie viel het woord backup 0 keer...

De hacker(s) had(den) 2 maanden toegang tot het systeem en waren in die tijd vooral rustig aan het rondkijken waren op het netwerk waar ze volledige toegang toe hadden, voordat ze de ransomware opstartten. Heel veel dingen worden vaag omschreven maar ik heb het idee dat ze daarbij ook admin wachtwoorden ('sleutels'?) in plain text hadden gevonden op de servers.
Iets van 236 machines waren geïnfecteerd.

Die phishing mail waarmee het mis ging was echt super amateurisch, gewoon een hele rare link in een korte mail met het verzoek die te openen. Volgens mij is er niet gezegd of die nu door een systeem beheerder is geopend.

nog een les krijgen ze dan: geen mail accounts koppelen aan privileged accounts en beheer werkplekken geen internet toegang.

Memento mori

woensdag 5 februari 2020 15:21

Acties:

0 Henk 'm!

SanderBos

Er is nu ook een Tweakers artikel:
nieuws: Universiteit Maastricht betaalde 197.000 euro losgeld voor ransomware...

woensdag 5 februari 2020 16:48

Acties:

0 Henk 'm!

Verwijderd

Weet iemand of het Fox-IT rapport ook openbaar wordt gemaakt of is dat alleen voor een select groepje?

woensdag 5 februari 2020 16:50

Acties:

0 Henk 'm!

Quincy5

Ze zeiden in de livestream van wel, maar dat ze nog niet wisten wanneer omdat er op het laatste moment een storende fout in was gevonden.

PV Output

woensdag 5 februari 2020 18:11

Acties:

0 Henk 'm!

segil

Ik ben ook wel benieuwd naar dat report. Fijn in ieder geval dat het allemaal gedeeld wordt.

woensdag 5 februari 2020 20:36

Acties:

0 Henk 'm!

Verwijderd

jurroen schreef op dinsdag 4 februari 2020 @ 09:42:
[...]

Ik weet niet of je ook de mening van de anonieme ICT medewerker hebt gelezen? Zie hier (in de reacties).

Dat geeft weer de indruk dat er veel mis was bij management en dat ICT het moest doen met een beperkt budget waarmee zaken als backups en dergelijken een probleem werden.

Waar lees jij dat het een ICT medewerker is? En waarom zou de mening/rant van 1 zuur anoniem iemand iets waard zijn?

donderdag 6 februari 2020 00:40

Acties:

+1 Henk 'm!

Son Gohan

Op de website is vanavond op woensdag 5 februari 2020 het rapport van Fox-IT verschenen over de Ransomware aanval op de Universiteit Maastricht.

Webpagina waar het document staat:
https://www.maastrichtuni...-%E2%80%93-lessons-learnt

PDF-document:
https://www.maastrichtuni...universiteitmaastrichtpdf

Ps: waar ik nieuwsgierig naar ben is, hoe zijn deze 30 Bitcoin gekocht(neem aan dat zei de kennis en kunde misschien niet in huis hebben), wie heeft geadviseerd om deze toch te betalen en naar welk BTC adres zijn deze gestuurd..

[ Voor 23% gewijzigd door Son Gohan op 06-02-2020 00:43 ]

donderdag 6 februari 2020 08:41

Acties:

0 Henk 'm!

Mandera

Son Gohan schreef op donderdag 6 februari 2020 @ 00:40:
Ps: waar ik nieuwsgierig naar ben is, hoe zijn deze 30 Bitcoin gekocht(neem aan dat zei de kennis en kunde misschien niet in huis hebben), wie heeft geadviseerd om deze toch te betalen en naar welk BTC adres zijn deze gestuurd..

Wat heb je aan de antwoorden op vraag 1 en 3? Waarom zou je dat willen weten? Heeft echt 0 informatieve waarde IMHO.

Vraag 2 is dan wel weer een interessante. Ik vermoed zelf dat het een "stropdassen" beslissing is geweest zodra duidelijk werd dat niet betalen en greenfield herbouwen veel meer ging kosten. Niet alleen in geld maar vooral in tijd. De reputatieschade zou dan nog groter zijn. Al zou het ze ook wel sieren natuurlijk, maar daar zullen studenten en medewerkers weinig mee kunnen.

donderdag 6 februari 2020 08:42

Acties:

0 Henk 'm!

SanderBos

Son Gohan schreef op donderdag 6 februari 2020 @ 00:40:

Webpagina waar het document staat:
https://www.maastrichtuni...-%E2%80%93-lessons-learnt

PDF-document:
https://www.maastrichtuni...universiteitmaastrichtpdf

Dank je wel!

Raar PDF bestand, het is een low-quality image scan waarin handmatig dingen soms lelijk weggelakt (zie bijvoorbeeld de tabel onderaan pagina 20), maar hij is wel weer netjes full-text geindexeerd.

Laat ik van dit comment gebruik maken om toch nadat ik eerder had gezegd dat er geen enkele openheid zou komen ik toch moet toegeven dat ze behoorlijk open zijn geweest.

(niet helemaal open, ik ben nog steeds nieuwsgierig wat voor functie/ toegangsrechten de patient zero nu precies had, in deze PDF lijkt op pagina 16 en 17 in de nummering van de PDF te worden gezegd dat er meerdere patient zeroes waren heb ik het idee)

donderdag 6 februari 2020 09:12

Acties:

+1 Henk 'm!

sh4d0wman

Attack | Exploit | Pwn

Mandera schreef op donderdag 6 februari 2020 @ 08:41:
[...]

Wat heb je aan de antwoorden op vraag 1 en 3? Waarom zou je dat willen weten? Heeft echt 0 informatieve waarde IMHO.

Het hoe vind ik wel interessant aangezien Bitcoin en cryptocurrency voor de gemiddelde Nederlander nog vrij onbekend is. Tevens is het een vrij groot bedrag en zit je bij exchanges / brokers nog met identificatie eisen.
Heeft bijvoorbeeld Foxit hierbij geholpen? Hebben ze zelf een broker gebeld met de vraag of men even 30 BTC kon kopen? Waren er nog problemen met de bank? Die zitten tegenwoordig bovenop witwassen en ongebruikelijke transacties.

Ik zou trouwens wel met zweethandjes zitten indien het hele bedrag in 1 keer naar een BTC adres geboekt is. Dan kun je maar beter het adres driedubbel controleren want terugboeken is er niet bij...

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

donderdag 6 februari 2020 09:45

Acties:

0 Henk 'm!

segil

sh4d0wman schreef op donderdag 6 februari 2020 @ 09:12:
[...]
Ik zou trouwens wel met zweethandjes zitten indien het hele bedrag in 1 keer naar een BTC adres geboekt is. Dan kun je maar beter het adres driedubbel controleren want terugboeken is er niet bij...

Stond me bij dat ze vertelde eerst een proef transactie gedaan te hebben om te kijken of het werkt.

@SanderBos Bedankt voor het delen van het document, ik ga het zeker lezen.

Ben benieuwd of onze politie nog actief op zoek gaat naar deze criminelen.

donderdag 6 februari 2020 10:00

Acties:

+1 Henk 'm!

TijsZonderH

Nieuwscoördinator

Topicstarter

Jullie hebben inmiddels het artikel gelezen geloof ik, zo niet, hij staat inderdaad hier. Het rapport is inmiddels ook online.

Ik heb zo goed mogelijk geprobeerd de vragen te stellen die jullie hier achterlieten die niet ook tijdens de presentatie zelf werden beantwoord, volgens mij is dat goed gelukt maar zo niet dan kan ik ze alsnog hier wel beantwoorden.

Wat betreft de bitcoin-vragen: in het rapport staat niet naar welk adres ze zijn gestuurd, dat is weggelakt. Ze vertelden wel dat ze aanvankelijk een klein bedrag aan bitcoins hebben overgemaakt om te controleren of de betaling binnen kwam, nadat dat werkte hebben ze de rest betaald. Fox-IT zei niet of ze hadden geholpen met het betalen, al vermoed ik persoonlijk (maar das speculatie) dat ze wel over de schouder hebben meegekeken voor tips. Nogmaals, dat is geen feit.

Zoals in het artikel staat is er niet onderhandeld om de relatie met de hackers niet teveel te verstoren.

Deze handtekening kan worden opgenomen voor trainingsdoeleinden.

donderdag 6 februari 2020 10:12

Acties:

0 Henk 'm!

Verwijderd

-edit- dubbel

[ Voor 97% gewijzigd door Verwijderd op 06-02-2020 10:13 ]

donderdag 6 februari 2020 11:30

Acties:

0 Henk 'm!

RedCellNL

TijsZonderH schreef op donderdag 6 februari 2020 @ 10:00:
Jullie hebben inmiddels het artikel gelezen geloof ik, zo niet, hij staat inderdaad hier. Het rapport is inmiddels ook online.

Ze hebben in de tekst van het rapport wel de servernamen weggelakt maar in de flow op pagina 22 staan die namen gewoon.

Wat ook opvalt is dat er genoeg alarm bellen af zijn gegaan, bijvoorbeeld van Defender die een PowerShell script als HackTool ziet en McAfee die Mimikatz herkend, maar er niets mee gedaan is.
McAfee stond ook op Observer mode voor scripts (dit is blijkbaar de standaard instelling).
Ook is McAfee verwijderd van een server zonder actie van de UM.
Er stond een Windows 2003 R2 server met SMB1 zonder patch open waardoor ze naar binnen zijn gegaan.
Ook het domein Administrator account stond niet disabled en werd gebruikt om in te loggen op servers door de medewerker(s).
Al met al toch wel wat slordigheden.

donderdag 6 februari 2020 12:05

Acties:

0 Henk 'm!

pacificocean

Ik verbaas mij er al over dat blijkbaar in Excel Enable Macros aanstond, terwijl dit default op uit staat. En er wordt vermeld dat het domein Administrator account nog in het geheugen stond van een server. Houdt dit dan in dat dat account zelfs niet uitgelogd was?

En het daadwerkelijke versleutelen heeft blijkbaar maar zo'n half uur geduurd, volgens de tijdlijn op pagina 25.

[ Voor 18% gewijzigd door pacificocean op 06-02-2020 12:17 ]

donderdag 6 februari 2020 13:03

Acties:

0 Henk 'm!

RedCellNL

Het account is wel uitgelogd maar de hash van het password stond nog in het geheugen denk ik.

Wat ik ook jammer vind is dat het rapport niets zegt over hoe ze met de verkregen key de servers weer de-crypt hebben of hoe de afhandeling is verlopen.

donderdag 6 februari 2020 14:08

Acties:

0 Henk 'm!

GlowMouse

maar blijkt uit het onderzoek wel dat ook op 21 november 2019 niet de meest recente Windows patches waren geïnstalleerd. Hierdoor was de server onder andere kwetsbaar voor de EternalBlue exploit.

De patch daarvoor kwam op 12 mei 2017 uit, en een exploit is zo beschikbaar.

Deze hack had elke bezoeker die via Wifi was ingelogd ook kunnen doen.
Ook kwalijk is dat al het netwerkverkeer wordt gelogd en bijna een halfjaar lang wordt bewaard (zie tabel 3), maar schijnbaar nooit wordt geanalyseerd op verdacht verkeer. Als er elke 15 minuten netwerkverkeer wordt gestuurd naar een verdacht ip-adres, had dat opgepikt moeten worden.

donderdag 6 februari 2020 14:35

Acties:

0 Henk 'm!

Heimdallr

Asgard

Zojuist heb ik het rapport ook gelezen en op zich ben ik niet echt verbaasd bij veel andere onderwijsinstellingen zijn dezelfde onvolkomenheden te zien. Vooral bij universiteiten waarbij naast de hoofdkapitein (CvB) elke faculteit ook een kapitein heeft.

Zo zijn er tal van universiteiten waarbij elke faculteit zijn eigen serverpark en IT beleid heeft maar wel weer gebruik maken van diensten van de centrale IT afdelingen bijvoorbeeld print en file services of domain services.

Dit alles maakt de beveiliging ook een stuk complexer dan in een reguliere organisatie.

Lidet er om den mans vrede, som ingen vurder

vrijdag 7 februari 2020 13:23

Acties:

0 Henk 'm!

segil

Ik ben vooral benieuwd of de gebruikers die de oorspronkelijke links hebben geopend, hiervan op de hoogte zijn en of dit nog invloed heeft op hun functioneren. Daar zal toch ook wel een hartig woordje mee gesproken zijn, lijkt mij zo.

Verder leuk om dit document te lezen en te zien hoe de infectie heeft plaatsgevonden. Zeer leerzaam.

vrijdag 7 februari 2020 15:28

Acties:

+1 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Nee, deze persoon is juist beschermd en weggehouden van de media. Mogelijk weet die persoon het zelf niet eens. Deze persoon heeft namelijk geen enorme blunder begaan, maar een klein foutje gemaakt dat dagelijks door duizenden mensen wordt gemaakt.

Boos worden heeft geen zin, dat verandert niks. Heel misschien dat deze persoon dit ene foutje dan nooit meer maakt, maar andere mensen zeker wil.

Wat je niet wil is dat mensen bang worden om fouten en vergissingen te melden.

This post is warranted for the full amount you paid me for it.

zaterdag 8 februari 2020 09:23

Acties:

0 Henk 'm!

segil

CAPSLOCK2000 schreef op vrijdag 7 februari 2020 @ 15:28:
Nee, deze persoon is juist beschermd en weggehouden van de media. Mogelijk weet die persoon het zelf niet eens. Deze persoon heeft namelijk geen enorme blunder begaan, maar een klein foutje gemaakt dat dagelijks door duizenden mensen wordt gemaakt.

Boos worden heeft geen zin, dat verandert niks. Heel misschien dat deze persoon dit ene foutje dan nooit meer maakt, maar andere mensen zeker wil.

Wat je niet wil is dat mensen bang worden om fouten en vergissingen te melden.

Je hebt helemaal gelijk, nu ik er zo over nadenk. Ik kan me wel voorstellen dat, mocht deze persoon het zelf ook weten, je daar behoorlijk van kunt balen.

zaterdag 8 februari 2020 16:09

Acties:

0 Henk 'm!

Verwijderd

GlowMouse schreef op donderdag 6 februari 2020 @ 14:08:
[...]

De patch daarvoor kwam op 12 mei 2017 uit, en een exploit is zo beschikbaar. Deze hack had elke bezoeker die via Wifi was ingelogd ook kunnen doen.
Ook kwalijk is dat al het netwerkverkeer wordt gelogd en bijna een halfjaar lang wordt bewaard (zie tabel 3), maar schijnbaar nooit wordt geanalyseerd op verdacht verkeer. Als er elke 15 minuten netwerkverkeer wordt gestuurd naar een verdacht ip-adres, had dat opgepikt moeten worden.

Die patch kan erop gestaan hebben en later weer niet door verscheidene scenario's. En als je de patch op 1600 andere servers wel hebt staan dan zie je dat 1 zwakke schakel voldoende is. Als ik dan specialisten in het veld spreek dan schijnt 1 tot 5 servers op 1600 die een missing patch hebben nog best goede cijfers te zijn.......

Je spreekt van een verdacht ip adres, maar als dat adres niet als verdacht wordt aangemerkt (en dat schijnt nogal lastig te zijn) wat verwacht je dan? Er wordt wel geanalyseerd op verdacht verkeer, maar niet alles wordt opgepikt. Dit soort uitspraken tonen altijd onwetendheid van de situatie. Als er dingen mis gaan dan gebeurd x, y, z schijnbaar niet. Zo staat het ook in de media en daar is geen enkele security expert het mee eens. Die zaken gebeuren namelijk wel er is hier alleen een opeenstapeling van fouten en omstandigheden geweest.

zaterdag 8 februari 2020 16:37

Acties:

0 Henk 'm!

Heimdallr

Asgard

Het probleem met security patches is ook dat ze soms zaken kapot maken waardoor zelfs de bedrijfsvoering gevaar loopt. Ik heb toch al meerdere malen meegemaakt dat een fabrikant een patch uitbrengt om een security patch te patchen.

1 missende security patch op 1600 servers verbaast me dan ook niet.

Lidet er om den mans vrede, som ingen vurder

zaterdag 8 februari 2020 20:33

Acties:

0 Henk 'm!

kodak

FP ProMod

Heimdallr schreef op zaterdag 8 februari 2020 @ 16:37:
Het probleem met security patches is ook dat ze soms zaken kapot maken waardoor zelfs de bedrijfsvoering gevaar loopt. Ik heb toch al meerdere malen meegemaakt dat een fabrikant een patch uitbrengt om een security patch te patchen.

1 missende security patch op 1600 servers verbaast me dan ook niet.

Dat er een security patch op een systeem kan ontbreken als er zeer veel systemen zijn is wel te begrijpen. Maar daarom is patch management niet alleen patches testen en installeren. Omdat niet patchen een risico is zal dat betekenen dat het ontbreken bekend moeten zijn. En als het bekend is dat er duidelijk is wat voor risico dat met zich mee brengt (EternalBlue = remote code execution, sinds begin 2017). En dat er een beslissing moet worden genomen over andere maatregelen om het risico weg te nemen en tot wanneer dat mag of anders andere maatregelen verplicht zijn. En maatregelen om te controleren of niemand ondertussen het risico misbruikt.

Simpel weg stellen dat je door omstandigheden een patch kan missen is geen beveiliging. Het bijna 2,5 jaar als risico hebben klinkt ook niet als heel goede beheersing van risico's. En dan is nog maar de vraag of men wist dat de updates ontbraken, of welke waar aanwezig zijn.