Hogeschool van Amsterdam getroffen door virusaanval - update 2
De HvA heeft zijn studenten geadviseerd om het wachtwoord van hun school-account te wijzigen. Aanleiding is een virusaanval waarbij gegevens van studenten kunnen zijn buitgemaakt. Andere onderwijsinstellingen zijn mogelijk ook getroffen.
Dat meldt de hogeschool in een interne e-mail aan studenten en medewerkers. Hoewel de mededeling spreekt over een aanval op 'minder dan 100 werkplekken', ziet de Hogeschool in de aanval genoeg aanleiding om alle medewerkers en studenten te vragen hun wachtwoord te wijzigen. De geïnfecteerde computers stonden op de HvA-locaties op de Fraijlemaborg en de Wenckebachweg.
Uit onderzoek van Fox-IT bij de HvA blijkt dat bij de aanval wellicht wachtwoorden 'naar buiten zijn gegaan' en dus in de handen van de aanvaller kunnen zijn gekomen. Volgens Surfcert, dat de beveiliging van onderwijssystemen coördineert, kampen ook andere onderwijsinstellingen en bij SURFnet aangesloten organisaties met het probleem. Welke dat zijn, is onbekend.
Het gaat om computers die bijvoorbeeld in de mediatheek en klaslokalen waren opgesteld. De aanval is op zaterdag 11 februari geconstateerd, blijkt uit een melding op het intranet van de HvA. Pas toen een grote hoeveelheid dataverkeer de firewall 'dusdanig belastte' dat er 'nauwelijks verkeer meer mogelijk was', werden een of meer virussen op computers op de Fraijlemaborg ontdekt.
Twee dagen later was er weer een 'grote verkeersstroom' die 'het netwerk bijna volledig stillegde', blijkt uit de post. Dit keer ging het om een of meer virussen op twee desktops op zowel de Fraijlemaborg als de Wenckebachweg. De virussen, onbekend is hoeveel, zouden niet door de McAfee-antivirussoftware van de HvA zijn herkend. Het zou gaan om virussen die 'samenwerkten' maar sterk van elkaar verschilden.
Volgens de HvA is er geen reden om aan te nemen dat de aanval speciaal op de HvA is gericht. Maandag zijn alle actieve desktops van het bedrijf gescand en momenteel worden alle laptops van een nieuwe image voorzien. Ook wordt al het netwerkverkeer gecontroleerd op verdachte patronen.
De Hogeschool van Amsterdam bevestigt de virusaanval. Fox-IT wilde niet bevestigen of het onderzoek bij de HvA heeft uitgevoerd. "Of dat zo is, is aan de organisatie zelf om aan te kondigen", aldus directeur Ronald Prins.
Update, 16:26: Volgens woordvoerder Harold Teunissen van SURFnet is het nog niet duidelijk of er inderdaad andere onderwijsinstellingen zijn getroffen. Hij hoopt daar later vandaag meer duidelijkheid over te kunnen geven.
Update, zaterdag 13:49: Woordvoerder Teunissen van SURFnet laat weten dat er voor zover nu bekend geen andere onderwijsinstellingen zijn getroffen.
Reacties (45)
even een dvdtje gaan halen met mijn nieuwe mails van vandaag 
niet alles kan zomaar offline natuurlijk toch niet meer in het huidige tijdperk. Wat ook weer niet wil zeggen dat alle data online beschikbaar moet zijn.
We kunnen natuurlijk geen oude items archiveren, dat kan alleen met e-mail of andere bestanden van vandaag.Dat gaat lekker werken met mail
In het geval van de HvA krijg je honderden kluizen waar meerdere mensen bij moeten kunnen dus duizenden sleutels die beheerd en gedistribueerd moeten worden, je moet logboeken bij houden wie wanneer welke kluis opent. Al die informatie moet weer in een andere kluis bewaard en gearchiveerd worden. Nee, dat is inderdaad echt heel eenvoudig.
Het was toevallig (?) de Hogeschool van Amsterdam, waar ik vanaf internet zo langs de firewall in alle openbaarheid afdrukken naar een HP JetDirect poort kon sturen. Een verzoekje 'uitprinten' om mij per email eens te vertellen waar die printers stonden, resulteerde in een aantal studenten die het hilarisch vonden dat dit juist bij hun opleiding informatica uit de in het lokaal opgestelde Laserjet kwam rollen.
Kan wel maar is veel moeilijker, getuige het feit dat er zelden of nooit massaal persoonsgegevens zijn gestolen die op papier stonden.Data op papier kan ook gewoon gestolen worden toch?
Uitzonderingen zijn situaties zoals Duitse soldaten die tijdens WO2 bevolkingsregisters buit maakten.
Om dmv hacken digitaal opgeslagen persoonsgegevens te stelen hoef je niet eens de deur uit.
Het valt me erg op dat de berichtgeving steeds groter wordt omtrent hacks, en dat verdragen als ACTA continu op de loer liggen. Misschien zie ik spoken, maar wie weet is er een groter verband dan men over het algemeen denkt..
Mocht het zo zijn dat de software niet doet wat beloofd is dan is in eerste instantie de leverancier verantwoordelijk. Mocht het juist meer doen dan beloofd, vb een x-aantal poorten standaard open laten staan terwijl verzocht was om een gesloten systeem, dan mag de leverancier wat mij betreft ook aangesproken worden.
Als software een auto is en je word meegedeeld dat er een geavenceerd slot op zit terwijl de achterklep open blijft staan, dan is het eerste wat je doet even naar de dealer gaan. Dat een crimineel strafbaar is doet niks af aan het feit dat de dealer ook laakbaar is.
kon toendertijd met mijn windows telefoon een certificaat imiteren en gewoon het netwerk op, kan nu, terwijl ik er al 2 jaar weg ben, nog steeds inloggen op cijferlijst en intranet.
beetje gepolariseerde opmerking.
Op de hva site is te lezen(https://intra.hva.nl/dien...12-02/16-161109/index.xml):
Keylogger iemand?Zeer recentelijk is geconstateerd dat bij de aanval inloggegevens, die gebruikt zijn op deze werkplekken, mogelijk naar buiten zijn gegaan.
wachtwoord veranderen is nooit een slecht idee, dat fox IT er aan werkt is wel bevestigd denk ik. En ja zolang er pc zijn waar iedereen bij kan zal het opnieuw gebeuren..
- Er is geen reden om aan te nemen dat de aanval speciaal is gericht op de HvA.
- De virussen zijn op de Fraylemaborg aangetroffen in de mediatheek en de ruimtes 0.044, 0.072, 0.088, 0.092
- De virussen zijn op de Wenckebachweg aangetroffen in ruimte C1.21.
- De virussen verschillen enorm van elkaar en werden niet door McAfee herkend.
- Enkele virussen werken samen met als gevolg dat er een hoge datastroom vanuit het netwerk van de HvA gegenereerd wordt.
- SURFcert heeft gemeld dat het probleem zich ook heeft voorgedaan bij andere instellingen die aangesloten zijn bij SURFnet.
- McAfee is ingeschakeld om assistentie en updates te leveren. Gedurende het weekend en de maandag zijn actieve desktops in de hele HvA gescand. Dit had tot effect dat de desktops trager waren dan normaal.
- FOX-IT heeft onderzoek gedaan waaruit gebleken is dat de inloggegevens die gebruikt zijn op eerder genoemde pc’s, mogelijk naar buiten zijn gegaan.
- Medewerkers van ITS configureren momenteel alle verdachte desktops en voorzien ze van een nieuw image.
- Het netwerkverkeer wordt intensief gemonitord om verdachte desktops direct te kunnen isoleren.
[Reactie gewijzigd door Mr_Light op 17 februari 2012 15:50]
Na een security scan o.i.d. bleek dat zelfs de wachtwoorden op servers en routers en allemaal hetzelfde waren en het wachtwoord was zoiets als Testwachtwoord1 ofzo.
werd niet herkend.. maar wie gebruikt er nou McaFee...
Daarnaast, als je virusdefinities niet uptodate zijn, houd het ook al snel op natuurlijk. Je moet hem dus wel uptodate houden.
En zo loopt de HvA nog wel met meer dingen achter of kunnen er veel dingen beter: Sinds vorig jaar pas Office 2007 op de computers geïnstalleerd. Had je een powerpoint in 2007 formaat, dan had je maar pech. Nog steeds is IE 6 (!!) geïnstalleerd. Sinds dit jaar over op een heel nieuw intranet, genaamd DLWO. Super onoverzichtelijk, inschrijven voor een tentamen gaat via een webshop systeem: 'In winkelwagen plaatsen'. Kom op zeg.
Maarja, zolang het werkt zijn nieuwe technieken niet belangrijk...
Jaren geleden in de FXP scene was das dus zwaar het geval en dat zal nu ook nog wel zo zijn !!
Op dit item kan niet meer gereageerd worden.
Onderwerpen
© 1998 - 2013 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl • Hosting door True
