Hogeschool van Amsterdam getroffen door virusaanval - update 2

De HvA heeft zijn studenten geadviseerd om het wachtwoord van hun school-account te wijzigen. Aanleiding is een virusaanval waarbij gegevens van studenten kunnen zijn buitgemaakt. Andere onderwijsinstellingen zijn mogelijk ook getroffen.

HvADat meldt de hogeschool in een interne e-mail aan studenten en medewerkers. Hoewel de mededeling spreekt over een aanval op 'minder dan 100 werkplekken', ziet de Hogeschool in de aanval genoeg aanleiding om alle medewerkers en studenten te vragen hun wachtwoord te wijzigen. De geïnfecteerde computers stonden op de HvA-locaties op de Fraijlemaborg en de Wenckebachweg.

Uit onderzoek van Fox-IT bij de HvA blijkt dat bij de aanval wellicht wachtwoorden 'naar buiten zijn gegaan' en dus in de handen van de aanvaller kunnen zijn gekomen. Volgens Surfcert, dat de beveiliging van onderwijssystemen coördineert, kampen ook andere onderwijsinstellingen en bij SURFnet aangesloten organisaties met het probleem. Welke dat zijn, is onbekend.

Het gaat om computers die bijvoorbeeld in de mediatheek en klaslokalen waren opgesteld. De aanval is op zaterdag 11 februari geconstateerd, blijkt uit een melding op het intranet van de HvA. Pas toen een grote hoeveelheid dataverkeer de firewall 'dusdanig belastte' dat er 'nauwelijks verkeer meer mogelijk was', werden een of meer virussen op computers op de Fraijlemaborg ontdekt.

Twee dagen later was er weer een 'grote verkeersstroom' die 'het netwerk bijna volledig stillegde', blijkt uit de post. Dit keer ging het om een of meer virussen op twee desktops op zowel de Fraijlemaborg als de Wenckebachweg. De virussen, onbekend is hoeveel, zouden niet door de McAfee-antivirussoftware van de HvA zijn herkend. Het zou gaan om virussen die 'samenwerkten' maar sterk van elkaar verschilden.

Volgens de HvA is er geen reden om aan te nemen dat de aanval speciaal op de HvA is gericht. Maandag zijn alle actieve desktops van het bedrijf gescand en momenteel worden alle laptops van een nieuwe image voorzien. Ook wordt al het netwerkverkeer gecontroleerd op verdachte patronen.

De Hogeschool van Amsterdam bevestigt de virusaanval. Fox-IT wilde niet bevestigen of het onderzoek bij de HvA heeft uitgevoerd. "Of dat zo is, is aan de organisatie zelf om aan te kondigen", aldus directeur Ronald Prins.

Update, 16:26: Volgens woordvoerder Harold Teunissen van SURFnet is het nog niet duidelijk of er inderdaad andere onderwijsinstellingen zijn getroffen. Hij hoopt daar later vandaag meer duidelijkheid over te kunnen geven.

Update, zaterdag 13:49: Woordvoerder Teunissen van SURFnet laat weten dat er voor zover nu bekend geen andere onderwijsinstellingen zijn getroffen.

Door Joost Schellevis

Redacteur

Feedback • 17-02-2012 15:11 45

17-02-2012 • 15:11

45

Lees meer

'Beveiligde delen UvA en HvA-sites vatbaar voor man-in-the-middle-aanval'
'Beveiligde delen UvA en HvA-sites vatbaar voor man-in-the-middle-aanval' Nieuws van 15 november 2014
Onvrede op HvA en UvA over duur informatiesysteem
Onvrede op HvA en UvA over duur informatiesysteem Nieuws van 30 november 2012
HvA-opleiding stelt laptop met firewire en extra accu verplicht - update
HvA-opleiding stelt laptop met firewire en extra accu verplicht - update Nieuws van 7 juli 2011
Lekken in e-learningsuite BlackBoard laat studenten cijfers aanpassen
Lekken in e-learningsuite BlackBoard laat studenten cijfers aanpassen Nieuws van 30 oktober 2010
Meer producten en artikelen
Privacy Internet Beveiliging Onderwijs

Reacties (45)

-Moderatie-faq
45
42
19
3
0
8
Wijzig sortering
Magnoon 17 februari 2012 16:11
De HvA is zoiezo niet echt content met tegen gaan van virussen. Er is een virus op de locatie leeuwenburg die er minimaal 2 jaar was(op vaste computers waar ik gebruik van maakte) en zich verspreidde via usb sticks. McAfee herkende het virus niet en het was wel degelijk actief. Met een netstat was te zien dat het virus verbinding maakte met chinese servers.

Zie hier de melding van 2008: https://home.informatica....ndex.php/topic,258.0.html
Planck 17 februari 2012 17:19
Een deel van dit soort incidenten wordt ook wel juist door de beveiliging veroorzaakt. Op mijn werk heb ik het ook al meegemaakt. Ik heb daar amper rechten op mijn WinXP bak om iets te doen en draai vanwege bepaalde intranet webapps nog gestandaardizeerd op IE8, samen met McAfee als virusscan. Zowel ik als andere ICT collega's heb nu al een paar keer meegemaakt dat we op het web zijn geïnfecteerd met een virus. Geen dingen gedownload of op gekke dingen geclicked. Werd niet gedecteerd door McAfee, maar in mijn geval wel duidelijk omdat het ging om scareware. Ik kon er alleen niks aan doen. Ik had geen toegang tot de taskmanager, kon geen aanvullende virusscanners binnenhalen, process managers, niks. Uiteindelijk kun je dan niks meer doen totdat support de machine ophaalt en er een image overheen haalt. Als het een stil virus was geweest had ik het nooit kunnen merken.

Thuis heb ik dit nog nooit meegemaakt. Maar de kans is ook niet zo groot. Ik draai in plaats van IE FireFox met no script, adblock plus en ghostery. Heb daarnaast standaard process managers aan staan, een netwerkmeter die me informeert bij gek gedrag, een firewall, het gratis avira (beter dan mcafee in mijn ervaring) en haal zo nu en dan wat antispyware en rootkit tools erover just to be sure. Nog nooit een probleem gehad. Idem voor de mensen waarbij ik een dergelijke setup heb geïnstalleerd.
Unstable_Rat 17 februari 2012 15:17
'nee, ónze virus beveiliger werkt écht goed. ons kan niks gebeuren!' nou wel dus. je ziet de kwetsbaarheid van een school-systeem. vaak zetten dit soort dingen aan tot betere beveiliging, maar meestal denken ze ook 'het zal wel maar 1 keer gebeuren', maar dan moeten we nog maar zien wat er met de school en met het bestuur gebeurt als het nog een keer gebeurt..
Mr_Light @Unstable_Rat17 februari 2012 15:48
'publiek' toegankelijke pc zijn links om of rechts om gewoon niet te vertrouwen dat geld voor internet cafe's, bibliotheken, pc's op congressen en ja ook bij scholen, dit heeft weinig met school of expertise bij een school te maken. Ook heb ik niemand horen roepen dat de virus scanners tegenwoordig voor zouden lopen op de feiten.

beetje gepolariseerde opmerking.

Op de hva site is te lezen(https://intra.hva.nl/dien...-02/16-161109/index.xml):
Zeer recentelijk is geconstateerd dat bij de aanval inloggegevens, die gebruikt zijn op deze werkplekken, mogelijk naar buiten zijn gegaan.
Keylogger iemand?
  • Er is geen reden om aan te nemen dat de aanval speciaal is gericht op de HvA.
  • De virussen zijn op de Fraylemaborg aangetroffen in de mediatheek en de ruimtes 0.044, 0.072, 0.088, 0.092
  • De virussen zijn op de Wenckebachweg aangetroffen in ruimte C1.21.
  • De virussen verschillen enorm van elkaar en werden niet door McAfee herkend.
  • Enkele virussen werken samen met als gevolg dat er een hoge datastroom vanuit het netwerk van de HvA gegenereerd wordt.
  • SURFcert heeft gemeld dat het probleem zich ook heeft voorgedaan bij andere instellingen die aangesloten zijn bij SURFnet.
  • McAfee is ingeschakeld om assistentie en updates te leveren. Gedurende het weekend en de maandag zijn actieve desktops in de hele HvA gescand. Dit had tot effect dat de desktops trager waren dan normaal.
  • FOX-IT heeft onderzoek gedaan waaruit gebleken is dat de inloggegevens die gebruikt zijn op eerder genoemde pc’s, mogelijk naar buiten zijn gegaan.
  • Medewerkers van ITS configureren momenteel alle verdachte desktops en voorzien ze van een nieuw image.
  • Het netwerkverkeer wordt intensief gemonitord om verdachte desktops direct te kunnen isoleren.
wachtwoord veranderen is nooit een slecht idee, dat fox IT er aan werkt is wel bevestigd denk ik. En ja zolang er pc zijn waar iedereen bij kan zal het opnieuw gebeuren..

[Reactie gewijzigd door Mr_Light op 22 juli 2024 23:55]

RavonsDaro 17 februari 2012 15:13
Het blijft steeds meer en meer een voorkomend item te worden in de media, is 't niet? En daarmee bedoel ik dat beveiliging en dergelijke zijn doorbroken en/of omzeild en dat er gevoelige data is buitgemaakt. Dan begin je je af te vragen of je überhaupt nog veilig bent. En of het niet beter is om die data gewoon terug op het oude papier te zetten. :S
Patjebreda @RavonsDaro17 februari 2012 15:15
Data op papier kan ook gewoon gestolen worden toch?
Anoniem: 121241 @Patjebreda17 februari 2012 15:17
Dat kan je in een kluis leggen en toch redelijk snel gebruiken. Blijkbaar is digitale beveiliging moeilijker dan men denkt...
IIsnickerII @Anoniem: 12124117 februari 2012 15:19
nee hoor. digitate data opslaan op een offline medium :)
MClaeys @IIsnickerII17 februari 2012 15:28
Dat gaat lekker werken met mail ;) even een dvdtje gaan halen met mijn nieuwe mails van vandaag 8)7 niet alles kan zomaar offline natuurlijk :) toch niet meer in het huidige tijdperk. Wat ook weer niet wil zeggen dat alle data online beschikbaar moet zijn.
CH4OS @MClaeys18 februari 2012 16:06
Dat gaat lekker werken met mail ;) even een dvdtje gaan halen met mijn nieuwe mails van vandaag 8)7 niet alles kan zomaar offline natuurlijk :) toch niet meer in het huidige tijdperk. Wat ook weer niet wil zeggen dat alle data online beschikbaar moet zijn.
We kunnen natuurlijk geen oude items archiveren, dat kan alleen met e-mail of andere bestanden van vandaag. ;)
highflyer @IIsnickerII17 februari 2012 15:30
Ja dat kan maar dan moet je voor de veiligheid deze wel in een kluis opbergen anders kan deze ook makkelijk gestolen worden :+
Patjebreda @Anoniem: 12124117 februari 2012 15:23
Ik vind zoeken naar een document op een pc toch makkelijker dan te moeten bladeren door een ordner, maar goed dat is mijn persoonlijke mening.
CrackSlet @Patjebreda17 februari 2012 15:35
Op een dossierkast zit geen control+F functie hè ;)
Gert @Anoniem: 12124117 februari 2012 15:26
Met één kluis ben je er niet want niet iedereen mag overal bij.
In het geval van de HvA krijg je honderden kluizen waar meerdere mensen bij moeten kunnen dus duizenden sleutels die beheerd en gedistribueerd moeten worden, je moet logboeken bij houden wie wanneer welke kluis opent. Al die informatie moet weer in een andere kluis bewaard en gearchiveerd worden. Nee, dat is inderdaad echt heel eenvoudig.
Jochem_ @Anoniem: 12124120 februari 2012 11:20
Is het moeilijk, of wordt er te weinig aan gedaan? Of wordt er schijnbaar veel gedaan, maar worden een aantal cruciale punten stelselmatig vergeten?

Het was toevallig (?) de Hogeschool van Amsterdam, waar ik vanaf internet zo langs de firewall in alle openbaarheid afdrukken naar een HP JetDirect poort kon sturen. Een verzoekje 'uitprinten' om mij per email eens te vertellen waar die printers stonden, resulteerde in een aantal studenten die het hilarisch vonden dat dit juist bij hun opleiding informatica uit de in het lokaal opgestelde Laserjet kwam rollen.
BadRespawn @Patjebreda17 februari 2012 18:52
Data op papier kan ook gewoon gestolen worden toch?
Kan wel maar is veel moeilijker, getuige het feit dat er zelden of nooit massaal persoonsgegevens zijn gestolen die op papier stonden.
Uitzonderingen zijn situaties zoals Duitse soldaten die tijdens WO2 bevolkingsregisters buit maakten.
Om dmv hacken digitaal opgeslagen persoonsgegevens te stelen hoef je niet eens de deur uit.
Dannydekr @RavonsDaro17 februari 2012 15:18
Of om de overheid de controle te geven over het gehele internet om de veiligheid te garanderen? :+

Het valt me erg op dat de berichtgeving steeds groter wordt omtrent hacks, en dat verdragen als ACTA continu op de loer liggen. Misschien zie ik spoken, maar wie weet is er een groter verband dan men over het algemeen denkt..
Iblies @Dannydekr17 februari 2012 15:39
En acta is daar een oplossing voor? Software is in principe niets meer of minder dan een stapeltje regels.

Mocht het zo zijn dat de software niet doet wat beloofd is dan is in eerste instantie de leverancier verantwoordelijk. Mocht het juist meer doen dan beloofd, vb een x-aantal poorten standaard open laten staan terwijl verzocht was om een gesloten systeem, dan mag de leverancier wat mij betreft ook aangesproken worden.

Als software een auto is en je word meegedeeld dat er een geavenceerd slot op zit terwijl de achterklep open blijft staan, dan is het eerste wat je doet even naar de dealer gaan. Dat een crimineel strafbaar is doet niks af aan het feit dat de dealer ook laakbaar is.
Anoniem: 345311 17 februari 2012 15:20
Verbaast me niets. 2 jaar geleden lag het netwerk van mijn school ook plat. Het netwerk werd zelfs gebruikt in een botnet voor een aantal week zonder dat iemand wat door had.

Na een security scan o.i.d. bleek dat zelfs de wachtwoorden op servers en routers en allemaal hetzelfde waren en het wachtwoord was zoiets als Testwachtwoord1 ofzo.
Mick1990 17 februari 2012 15:32
Verbaast me niets. Elke keer als ik een usb stick op de HvA heb gebruikt dan zit er minstens één virus op. Raar dat mijn virusscanner het wel ziet en de scanner van de HvA niet. Zegt volgens mij alweer genoeg over de beveiliging.

En zo loopt de HvA nog wel met meer dingen achter of kunnen er veel dingen beter: Sinds vorig jaar pas Office 2007 op de computers geïnstalleerd. Had je een powerpoint in 2007 formaat, dan had je maar pech. Nog steeds is IE 6 (!!) geïnstalleerd. Sinds dit jaar over op een heel nieuw intranet, genaamd DLWO. Super onoverzichtelijk, inschrijven voor een tentamen gaat via een webshop systeem: 'In winkelwagen plaatsen'. Kom op zeg.

Maarja, zolang het werkt zijn nieuwe technieken niet belangrijk...
zonglew00 @Mick199017 februari 2012 15:50
Verbaast me ook niets... ik deed alles wat god had verboden toen (2003) ik op het HvA en HES zat... op IT gebied :P
.Sjoerd @Mick199017 februari 2012 17:56
Maar het werkt niet. Was voor de tentamen week van voor de kerst voor 3 tentamens verkeerd ingeschreven. En dat lag niet aan mij. Echt niet.
tzzz 17 februari 2012 16:01
Leuk, die vacture rechts naast dit artikel voor een Docent System and Network Engineering @ de Hogeschool A'dam :9
Rob Coops
17 februari 2012 16:09
Om even een beeld te schetsen van hoe het IT beleid aldaar werkt. Dit is een hobby clubje van leerlingen (derde jaars ICT studenten) en een klein aantal leraren die samen het netwerk beheren en de images bouwen etc. Het idee is op zich goed de uitvoering is bar en bar slecht.
Op het moment dat iemand met jaren lange ervaring naar de beheerders toeloopt en hen verteld dat over een paar minuten het netwerk er uit zal klappen omdat de router CPU te zwaar belast is dan wordt deze persoon weg gewuifd. Het netwerk klapte er exact 10 minuten later uit en het duurde maar 3 uur om alles weer op orde te krijgen.
Andere voorbeelden zijn de al jaren aanhoudende problemen met leerlingen die keer op keer een eigen OS weten te starten en op die manier alle beveiligingen omzeilen kunnen. Het is zeer normaal om mensen te zien gamen in de klas lokalen en het is geheel niet vreemd om vele GB's aan data uit te wisselen met andere studenten (dat zijn geen proefschriften ;) )

Dat dit gebeurt is is dan ook helemaal niet vreemd het is simpel weg een standaard iets dat eens per jaar gebeurt omdat er nu eenmaal ieder jaar minimaal 1 a twee leerlingen de IT opleiding volgen die wel weten hoe programmeren eigenlijk werkt. En dat wil nog wel eens to leuke situaties leiden, een hier van is dat het plaatsen van materiaal op dan wel het stelen van materiaal van andere computers altijd een leuke truck is om mensen meestal de lesgevende staf in de problemen te laten komen.

Mocht je er op school zitten vertrouw nooit op de systemen van de school gebruik altijd je eigen systemen en probeer ten alle tijden te voorkomen dat data van een van de school systemen op jouw systeem terecht kan komen want als er een netwerk vergeven is van de virussen en andere rommel dan is het wel het HvA netwerk.
Anoniem: 170251 @Rob Coops17 februari 2012 16:26
Het is overigens ook zeer lachwekkend hoeveel van die open source-pakketjes daar nogal belangrijke functies hebben. Er zijn vaak binnen de hele hogeschool maar één of twee mensen die van zo'n systeem iets af weten.

En niet te vergeten SIS, waar de cijfers in staan, dat zo lek is als een mandje.

[Reactie gewijzigd door Anoniem: 170251 op 22 juli 2024 23:55]

Pixeltje 17 februari 2012 15:16
Tja, het verbaasd me niet zoveel. Heb er 4 jaar gestudeerd en de beveiliging van het draadloze en bedrade netwerk was vrij belazerd.

kon toendertijd met mijn windows telefoon een certificaat imiteren en gewoon het netwerk op, kan nu, terwijl ik er al 2 jaar weg ben, nog steeds inloggen op cijferlijst en intranet.
Vinnienerd @Pixeltje17 februari 2012 17:59
Dat vind ik knap, want eduroam gebruikt geen cliëntcertificaten, alleen gebruikersnaam en wachtwoord. Als die niet kloppen kom je het netwerk niet op.
kamerplant 17 februari 2012 15:26
Maar als je een virusscanner installeert is je veiligheid toch gewoon geregeld? Toch niet? Ik snap nu ineens niks meer van beveiliging 8)7
wildhagen
@kamerplant17 februari 2012 15:31
Natuurlijk niet, een virusscanner is geen garantie voor veiligheid, je moet nog echt zelf even opletten. Het is slechts één van de hulpmiddelen die je gebruikt om je PC dicht te timmeren.

Daarnaast, als je virusdefinities niet uptodate zijn, houd het ook al snel op natuurlijk. Je moet hem dus wel uptodate houden.
roboreaper @kamerplant17 februari 2012 15:30
"De virussen, onbekend is hoeveel, zouden niet door de McAfee-antivirussoftware van de HvA zijn herkend. "

werd niet herkend.. maar wie gebruikt er nou McaFee...

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq