'Ransomware infecteerde ook back-upserver van Universiteit Maastricht'

De Universiteit Maastricht heeft volgens de Volkskrant tussen 200.000 en 300.000 euro losgeld betaald om zijn systemen te ontgrendelen, mede omdat ook de back-upservers van het bedrijf door ransomware gegijzeld waren.

De back-up stond op universiteitsservers en was voor de criminelen achter de ransomware-infectie te bereiken, schrijft de Volkskrant op basis van informatie van bronnen. Op de back-up stonden onderzoeksgegevens en de gegevens van studenten en medewerkers van tientallen jaren. Als organisaties niet meer bij hun back-up kunnen om systemen te herstellen, kunnen de gijzelnemers meer losgeld vragen. De bronnen van de Volkskrant spreken over een losgeldbedrag van tussen de twee en drie ton. Dat is in lijn met wat eerdere bronnen al zeiden tegen universiteitsblad Observant.

Volgens de krant was er al maanden geleden toegang verkregen tot het netwerk van de universiteit. Mogelijk gebeurde dat na een aanval met phishingberichten. Via deze toegang zou ransomwaregroepering TA505 binnengedrongen zijn om de systemen over te nemen. Dit zou al voor december gebeurd zijn.

De Universiteit Maastricht houdt op 5 februari een symposium waarbij de organisatie meer details zal vrijgeven over de ransomware-aanval en wat de universiteit daarvan geleerd heeft. De universiteit werd eind 2019, vlak voor kerst, getroffen door ransomware, waardoor een groot deel van zijn systemen onbruikbaar werd.

Reacties (218)

m3gA 24 januari 2020 12:41

Als de reactie op dit artikel mag geloven waren er niet veel backups om te encrypten

https://www.observantonli...huis-in-tijden-van-crises

Want, waar waren die backups dan? Precies, die waren er niet.

onkl @m3gA • 24 januari 2020 21:16

Dit klinkt niet als een expert die vertelt dat er geen back-up systemen zijn. Wel als een eindgebruiker die merkt dat er klaarblijkelijk geen back-up kan worden teruggezet. En die het nuanceverschil tussen "geen back-up" en "besmette back-up" niet ziet.

Ik zou hier dus zeker niet de conclusie uit trekken dat er geen back-up systemen zijn, zelfs niet wanneer de reactie niet anoniem is/wel van een betrouwbare bron komt. Voor een eindgebruiker is het verschil tussen deze situaties simpelweg niet te zien (en dus ook niet relevant).

JAHRASTAFARI @m3gA • 24 januari 2020 16:43

Altijd weer mooi hoe directie en bestuur het weer zo draait alsof er iets positiefs is gebeurd.

Het begint en eindigt bij gebrek aan toereikende middelen, tijd en gekwalificeerd personeel.

De overheid/lagere overheden snappen het belang van IT/ICT/informatiemanagement veelal niet en benaderen het als een facilitair iets, waar vooral op kosten (lees: lage kosten) wordt gestuurd. Gevolg: te weinig mensen voor teveel werk. En veel goed opgeleide mensen zijn niet te vangen voor de schaal 8, 9 of 10 van veel IT/ICT/informatiemanagement jobs binnen de overheid.

nst6ldr @JAHRASTAFARI • 24 januari 2020 18:15

De overheid/lagere overheden snappen het belang van IT/ICT/informatiemanagement veelal niet en benaderen het als een facilitair iets, waar vooral op kosten (lees: lage kosten) wordt gestuurd. Gevolg: te weinig mensen voor teveel werk. En veel goed opgeleide mensen zijn niet te vangen voor de schaal 8, 9 of 10 van veel IT/ICT/informatiemanagement jobs binnen de overheid.

Het hangt er maar net van af welk deel, en de succesverhalen hoor je nooit. Defensie had bijvoorbeeld geen last van de recente Citrix problematiek, dat is nergens terug te lezen. Scholen en universiteiten zijn daarentegen consistent een puinbende als het op bureaucratie en faciliteiten aankomt, evenals ziekenhuizen. Gemeenten zijn afwisselend van goed naar slecht (formaat blijkt hier veelal geen meespelende factor). Enzovoort.

Het is net alsof ze organisatorisch gezien als bedrijven zijn ingericht en op dezelfde wijze moeilijkheden kunnen ondervinden.

Cerberus_tm

@nst6ldr • 25 januari 2020 02:58

Ook omdat de universiteiten sinds twintig jaar geleden of zo ca. 33% minder budget per student beschikbaar hebben, plus nog talloze andere bezuinigingen. Ze moeten de hele tijd bezuinigen. Ze moeten dan kiezen tussen de ene en de andere vreselijk destructieve bezuiniging.

Wim-Bart @JAHRASTAFARI • 24 januari 2020 20:20

Ik weet niet waar jij je informatie vandaal haalt maar niet iedere schaal binnen de overheid is het zelfde. En ik ken een heleboel ict'ers bij de overheid die verstand van zaken hebben en alles goed op orde hebben binnen hun domein. En er zijn weinig bedrijven waar een IT'er van midden 30 rond de 70K per jaar verdiend met een 36 uurige werkweek. Ok niet ieder departement is het zelfde, maar slecht betaald is het niet.

En ja, ik heb ze gezien die managers die even snel willen scoren met een oplossing en daarna struikelen over het platgaan met data verlies van systemen. Maar dat houdt je overal. (iemand even een NAS cluster afbreken omdat ie een hobbybob backup oplossing in een datacenter wil neerzetten).

HoeZoWie @Wim-Bart • 26 januari 2020 12:16

In het onderwijs, wat overheid is, zijn salaris schalen, binnen CAO, relatief laag, dat is geen rocket science, en us overal vrij gepubliceerd op internet. Zoek maar naar CAO Schaal 9, 10 en 11, die voor ICT in onderwijs gehanteerd wordt.

Ik weet niet waar jij je informatie vandaal haalt maar niet iedere schaal binnen de overheid is het zelfde. En ik ken een heleboel ict'ers bij de overheid die verstand van zaken hebben en alles goed op orde hebben binnen hun domein. En er zijn weinig bedrijven waar een IT'er van midden 30 rond de 70K per jaar verdiend met een 36 uurige werkweek. Ok niet ieder departement is het zelfde, maar slecht betaald is het niet.

En ja, ik heb ze gezien die managers die even snel willen scoren met een oplossing en daarna struikelen over het platgaan met data verlies van systemen. Maar dat houdt je overal. (iemand even een NAS cluster afbreken omdat ie een hobbybob backup oplossing in een datacenter wil neerzetten).

De overheid ICT waar jij het over hebt is geen onderwijs. En daar hebben we het hier wel over: Universiteit Maastricht.

Wim-Bart @HoeZoWie • 26 januari 2020 14:30

Ik reageer op de reactie en daar staat OVERHEID en niet specifiek Uni Maastricht. Aan de andere kant, ik ken de schalen van de Universiteiten en ik weet hoe slecht het betaald, zelfs met een functie als Infra Architect zou ik met dat salaris een 24 uurige werkweek moeten hebben om dat lage salaris te verantwoorden.

Maar ik zeg maar altijd, if you pay peanuts, you get monkeys.

HoeZoWie @Wim-Bart • 27 januari 2020 18:57

..., if you pay peanuts, you get monkeys.

100% waar!

smitae

@Wim-Bart • 26 januari 2020 14:39

Je zou juist veel meer moeten kijken naar de taken, een beheerder is niet hetzelfde als een Solution Architect of BA. Mag ook hopen dat er ergens een security specialist meekijkt? Het is gewoon nooit een volledige IT ding.
Het gaat ook om je organisatie model, governance, intern controles, audit, etc. Als je dat niet op orde hebt, tja.... En centjes versus risk blijft altijd een dingetje.

Over de Maastricht case; Snap niet waarom b.v. tientallen jaren data niet ergens op een off-line backup staat en 100% read only is? Dat zou helemaal niet besmet moeten kunnen raken in een goed ontworpen systeem. En als ik het stukje nu lees lijkt dat soort data volledige live aan de backup-servers te hangen?
Ik snap dat 100% security nooit zal gaan lukken, kijk b.v. naar de Citrix bug, kun je als bedrijf denken dat je goede tooling hebt, maar je hebt nooit zelf alles 100% onder controle.

Maar laat aub het design werk doen door de mensen die het snappen, en het beheer de mensen die weten hoe ze moeten beheren. Maar ga geen rollen mixen. Doe het samen, met duidelijke rol scheiding :-)

Wim-Bart @smitae • 26 januari 2020 15:03

Helemaal met je eens. En ik vraag me ook af waarom belangrijke data niet in een read only archief op tape staat (hardwarematige read-only). Het is namelijk niet de eerste keer dat backup's beschadigd raken door een virus of malware. Softwarematige read-only is namelijk net zo onveilig als een standaard ACL/ACE/SD/… en kan met de juiste kennis van exploits altijd omzeild worden.

Sinds ik bedrijven failiet heb zien gaan doordat een hacker alles kapot had gemaakt, inclusief de offsite (via netwerk te benaderen) online read-only backups heb ik geen enkele vertrouwen meer in Softwarematige bescherming. Ongeacht procedures en rollen et cetera.

Gaitie @m3gA • 24 januari 2020 12:49

Wel heftig verhaal! En ook het eerlijke verhaal, dit zou het artikel moeten zijn ipv de reactie

m3gA @Gaitie • 24 januari 2020 12:54

Het is lastig dit te beoordelen op waarheid.

TijsZonderH Nieuwscoördinator @Gaitie • 24 januari 2020 15:16

Het is een anonieme comment, daar kunnen we helaas niet over schrijven zonder verder bewijs. Het staat uiteraard wel op de planning om er tijdens het symposium naar te vragen.

Anoniem: 217535 @TijsZonderH • 25 januari 2020 23:51

Wat voor bewijs heb je dan nodig? Als je backups had gehad, had je kunnen restoren en was je weer up en running geweest met misschien een paar dagen verloren werkbestanden.

Of mis ik iets? Is het mogelijk om bestanden te encrypten zonder dat de 'gebruiker' dit door heeft?

mjz2cool @Anoniem: 217535 • 27 januari 2020 16:04

Er waren ook backups, voor tientallen jaren wat in het artikel al te lezen is. Als die ook besmet raken/encrypted worden heb je hier alleen niet zoveel aan.
Volgens mij kan zulke malware ook steeds de bestanden encrypten en weer decrypten als bestanden gebruikt worden om niet opgemerkt te worden, en hier dan mee stoppen als alles encrypted is.

Hansie9999 @m3gA • 24 januari 2020 13:19

haha,

dat laatste is wel goed

"Wat het verspillen van gemeenschapsgeld betreft denk ik dat een paar ton voor een werkende IT oplossing die op tijd wordt opgeleverd een unicum is voor de UM

"

Sad, because its thru

scsirob 24 januari 2020 12:42

Vandaar de gouden 3-2-1 regel. Drie kopieën van je data (één productie, twee backups), op twee verschillende media, waarvan één off-site/off-line/immutable.

walteij @scsirob • 24 januari 2020 12:46

Ik ben het volledig met je eens, maar heb wel wat kanttekeningen.
Maar hoeveel waarde heeft die offline backup als die ouder is dan een maand. Vooral als het om onderzoeksdata gaat.

En als de ransomware inderdaad zo slim is geweest om de backup server te infecteren, waarmee de backups alvast encrypted werden (want laten we eerlijk zijn, welk bedrijf voert eens per maand een restore test uit), en de productie data pas te encrypten nadat de retentie van de backups is verlopen, heb je gewoon niets aan de backups, ook niet die off-site liggen, want ook die zijn encrypted.

[Reactie gewijzigd door walteij op 26 juli 2024 10:31]

scsirob @walteij • 24 januari 2020 12:52

Die waarde is in gevallen als deze heel groot. Dat iets immutable is wil niet zeggen dat het niet up-to-date is. Full disclosure, ik werk voor Veeam, onze software regelt de implementatie van deze gouden regel automatisch. Je kunt bijvoorbeeld gebruik maken van S3 Object Lock technologie, waarmee je een kopie van je backup onaantastbaar maakt voor een door jou in te stellen periode. Zelfs als iemand AWS credentials steelt dan nog kunnen die gegevens niet gewist of aangetast worden.

Mocht je hele backup server corrupt geraakt zijn (zoals hier wordt gesuggereerd), dan bouw je een nieuwe schoon op, je wijst naar je immutable S3 bucket en je begint met restores van de laatste backup.

Vlak overigens ook tape als 'last line of defence' niet uit. Voor veel bedrijven is dat een prima optie. LTO-8 tapes bieden je 12TB native per tape, als je een goed rotatieschema opzet kan je heel grote organisaties efficient beschermen tegen ransomware.

walteij @scsirob • 24 januari 2020 13:01

Klinkt inderdaad als een goede oplossing.
Heb wel wat ervaring met Veeam, maar dat is alweer enige jaren geleden. Naast Amazon S3 buckets toevallig ook Azure?

Je kunt bijvoorbeeld gebruik maken van S3 Object Lock technologie, waarmee je een kopie van je backup onaantastbaar maakt voor een door jou in te stellen periode.

Maar als de backup (of de data die in de backup zit), zodra deze gemaakt wordt al encrypted is, heb je alsnog niets aan de backup zelf. Hoe immutable deze backup dan ook moge zijn.

Ransomware begon heel basic, gewoon de bestaande bestanden encrypten. Daarna werden shadow copies eerst verwijderd, vervolgens werden backups geinfecteerd.
Hoe moeilijk zou het zijn om shadow copies (iets dat ieder backup programma feitelijk gebruikt voor file-based backups op Microsoft OS-en) bij het maken van de copy direct te encrypten. Daarmee maak je iedere backup die gemaakt wordt simpelweg onbruikbaar.
Vervolgens uitzoeken hoe lang de retentietijd van de backups is, countdown instellen, waarmee je dus je ransomware op de live data afvuurt zodra de retentietijd van de laatste goede (lees: niet encrypted) backup is verlopen.

Anoniem: 1322 @walteij • 24 januari 2020 13:19

Ransomware begon heel basic, gewoon de bestaande bestanden encrypten. Daarna werden shadow copies eerst verwijderd, vervolgens werden backups geinfecteerd.

Ransomware is gewoon malware met een andere payload dus om te zeggen dat het basic begon is niet helemaal correct. 15 jaar terug zag ik al virussen die Admin credentials stalen en exploits gebruikten om zich daarmee intern in een netwerk te verspreiden. Nu plakt men daar gewoon een verdien model tegenaan.. al bestaan cryptolockers ook al sinds 2013.

Het nieuwswaardige hier is dat men geen off-site / third copy had waar de malware geen toegang tot had. Je ziet het veel tegenwoordig, systeembeheerders installeren Veeam op een server die in hetzelfde vlan en authenticatie netwerk zitten als de rest. Backups zijn dan gewoon onderdeel van de data encryptie slag en worden niet eens specifiek aangevallen..

Vooral dommigheid dus..

anboni @Anoniem: 1322 • 24 januari 2020 18:03

Het nieuwswaardige hier is dat men geen off-site / third copy had waar de malware geen toegang tot had.

Je gaat volgens mij nog steeds voorbij aan de stelling/aanname dat de data al maanden geleden encrypt is geraakt en daarmee dus al die offsite backups waardeloos zijn, ookal had de malware daar geen directe toegang toe. Als die criminelen de ransom melding pas activeren nadat de laatste niet encrypte backup is geaged, heb je dus inderdaad in essentie helemaal niets meer.

Anoniem: 1322 @anboni • 24 januari 2020 20:36

Encrypt = encrypt. Je kunt niet een bestand op een netwerk versleutelen en alle computers rondom een sleutel geven om deze ook te kunnen ontsleutelen. Zo complex zijn deze zaken (nog) niet.

scsirob @walteij • 24 januari 2020 13:09

..Maar als de backup (of de data die in de backup zit), zodra deze gemaakt wordt al encrypted is, heb je alsnog niets aan de backup zelf. Hoe immutable deze backup dan ook moge zijn

Zonder een advertorial voor Veeam te starten... ook daar zijn oplossingen voor. Randsomware activiteit is te detecteren met VeeamONE monitoring, daarmee wordt je gewaarschuwd als je disks en/of CPU meer dan normaal actief zijn. Da's typisch voor een ransomware attack. Ook is je backup change rate (de incrementals van dag tot dag) groter dan normaal, dus ook een 'trage' aanval kan je detecteren. Je kunt dan vroegtijdig ingrijpen.

Als de infectie al geschied is: Met Secure en Staged Restore kan je je backup eerst in een sandbox terugzetten, dan je virusscanner met de meest recente signatures er op loslaten, en dan pas terugzetten naar productie.

Enniewee, ik laat het hier even bij. Wie meer wil weten kan me dm'en.

Oh wacht, je vroeg Azure.. Nee, nog niet. Azure ondersteunt wel locks, maar dat gaat op de hele blob en niet op objected. Nadruk op *nog*

[Reactie gewijzigd door scsirob op 26 juli 2024 10:31]

Wim-Bart @walteij • 26 januari 2020 14:33

En als het echt low cost moet, koop een LTO-8 library met twee drives en installeer Microsoft Data Protector (Zit standaard in de meeste contracten) en integreert met Azure Backup.

zenlord @scsirob • 24 januari 2020 13:17

Je kunt bijvoorbeeld gebruik maken van S3 Object Lock technologie, waarmee je een kopie van je backup onaantastbaar maakt voor een door jou in te stellen periode. Zelfs als iemand AWS credentials steelt dan nog kunnen die gegevens niet gewist of aangetast worden.

Ik gebruik Borg Backup als software, en die heeft een optie 'append only', wat dus gelijkaardig is aan die 'Object Lock' technologie, of de immutability flag. Alles is encrypted, zowel in transit als on disk. Op die manier is een backup effectief beschermd tegen malware en hackers.

YoMarK @zenlord • 24 januari 2020 14:42

Lijkt me niet dat dat gelijkwaardig is, het staat toch steeds nog gewoon op een online disk? En met root togang tot het OS, kan je het gewoon weggooien of encrypten.
Alles wat online staat, en RW op OS-niveau is niet veilig tegen cryptolockers.

zenlord @YoMarK • 24 januari 2020 19:36

Ik vergeleek die 'append only' functie met de 'S3 Object Lock' technologie, niet met een offline backup... Uiteraard is root access door een hacker te vermijden

Ik moet er inderdaad op vertrouwen dat de service provider (dedicated borg backup services) zijn beveiliging goed op orde heeft. Maar ik ben, dankzij Borg Backup, wel zeker dat een succesvolle ransomware aanval op mijn systeem niet automatisch zal resulteren in niet-functionele backups op die remote server (of vice versa). Meer kan je nooit verwachten van online backups.

ejabberd @zenlord • 25 januari 2020 07:22

Vertrouw nooit volledig op een andere partij of op technologie als het om back-ups gaat.

Verkopers/medewerkers beloven dat ze alles kunnen en doen wat je wilt, maar dat is vaak niet de realiteit.

Doe de cruciale zaken dus zelf. Pas wanneer je zelf regelmatig een back-up op een tape ofzo maakt, die zelf goed test en die zelf in een kluis legt, kun je echt gerust slapen.

zenlord @ejabberd • 28 januari 2020 10:22

Vertrouw nooit volledig op een andere partij of op technologie als het om back-ups gaat.

Uiteraard niet - ik schreef erboven toch al dat ik zowel een lokale als een remote backup maak?

Doe de cruciale zaken dus zelf. Pas wanneer je zelf regelmatig een back-up op een tape ofzo maakt, die zelf goed test en die zelf in een kluis legt, kun je echt gerust slapen.

... en vertrouw nooit op mensen om dagelijks de vorige backup-tape uit de kluis te halen, de nieuwe backup-tape uit de tapedrive te halen, de vorige tape in de drive te stoppen en de huidige tape in de kluis te leggen...

Juist: "there are no solutions, only trade-offs". Elk van beide oplossingen heeft z'n eigen gebreken.

fastbikkel @scsirob • 24 januari 2020 14:01

Veeam is nog steeds het beste jongetje van de klas vind ik. Ik heb met zoveel pakketten gewerkt, maar Veeam springt er elke keer weer bovenuit.
Ik was zo enthousiast dat ik er certificering voor heb gehaald.

Ik hoop dat Veeam ooit linux proxies zal ondersteunen, want dit is soms een breekpunt voor bedrijven bij de keuze voor Veeam of iets anders. Mischien bestaat dit al inmiddels, ik volg niet elke update op de voet.
Nu blijf ik uitleggen dat het werk met Veeam veel tijd en geld bespaart, toch kijken bedrijven veelal naar initiele aanschafkosten e.d.

Ronnerd @fastbikkel • 24 januari 2020 14:36

Ik ken Veeam's producten niet, maar wat is er mis met een situatie waarbij alleen de backup servers kunnen connecten naar de servers waar de data op staat waarvan een backup gemaakt moet worden, en dat met een hourly, daily, weekly, monthly rotation naar gelang de behoefte? Dat is simpel te realiseren met rsnapshot bijvoorbeeld. In hoeverre is een "duur" product als Veeam dan beter?

borft @Ronnerd • 24 januari 2020 15:01

rotation impliceert dat je data gaat weggooien. je backup servers trekken dan dus de versleutelde bestanden binnen, en na verloop van tijd zal alle originele data verdwenen zijn.

Ronnerd @borft • 24 januari 2020 18:21

Als hetgene waarvan een backup gemaakt wordt versleuteld is door ransomware, dan zal je inderdaad ook backups maken versleutelde data. En afhankelijk van de ingestelde retentie is het maar de vraag of je totaal geen backup meer hebt van de originele data. Maar ik verwacht niet dat services zoals Veeam je backups tot in de eeuwigheid bewaard. Daar zal ook vast rotations gebruikt worden met een bepaalde retentie.

ejabberd @Ronnerd • 25 januari 2020 07:49

Yup, het lijkt hier wel een promotiekanaal voor Veeam

Wat is er mis met rdiff-backup, al dan niet in combinatie met backupninja? Spartaanse eenvoudigheid zonder toeters en bellen.

fastbikkel @Ronnerd • 24 januari 2020 14:54

Veeam vind ik beter op t vlak van beheer en daarmee het aanbieden van backups/restores voor de klant.
Ik merk dat Veeam zeer betrouwbaar is en heel eenvoudig is te doorgronden, niet alleen voor mij maar ook voor bijvoorbeeld een service desk.

Het is iets persoonlijks he, maar ik merk dat Veeam, zodra het het hoofd backuppakket is, mensen binnen een bedrijf altijd blij zijn ermee.
En er is inderdaad niets mis met je stelling waarbij alleen de backupservers kunnen connecten.

Ik werk nu met Veeam, EMC networker, HP dataprotector en Commvault.
Van al die pakketten hoeven we bij Veeam bijna nooit in te grijpen, er gebeurt gewoon bijna nooit iets.
En ik heb met Veeam in meerdere bedrijven gewerkt van verschillende groottes.
Met EMC networker heb ik t meest slechte ervaring op dit moment, GUI's die niet reageren, services die zomaar weer eens hangen.
Op papier doen ze allemaal mooie dingen, maar in de praktijk vind ik Veeam simpelweg het best, ook met de nadelen die erin zitten.

YoMarK @fastbikkel • 24 januari 2020 14:43

Veeam 10 gaat Linux proxies ondersteunen.

fastbikkel @YoMarK • 24 januari 2020 14:58

Man, ik zie mooie tijden voor Veeam.
Nu is het nog vaak een licentie kwestie als ik een proxy wil inzetten op een windows bak.
Dat hoeft dan straks niet meer, heerlijk.

We doen bijvoorbeeld beheer op ESXi clusters van klanten en dan wil ik daar een proxy neerzetten voor Veeam. Dit moet nu windows zijn en dan komt de vraag "wie gaat de windows licentie betalen? "
Ander punt is dat het ook clustergerelateerd kan zijn. Als het cluster alleen voor linux is bedoeld en je zet er een windows VM op, dan krijg je wellicht ook te maken met je licentie voor het gehele cluster.

YoMarK @fastbikkel • 24 januari 2020 15:20

Dat + dat ik benieuwd ben of ze deze proxy(later) kunnen integreren met(goedkope) NAS storages.
Een beetje ReadyNAS of Synology heeft een (low-end) Xeon, en volgens mij is dat(wat betreft performance) nog helemaal niet zo verkeerd als goedkope en simpele 2e offsite backup.

fastbikkel @YoMarK • 24 januari 2020 15:28

Daar had ik nog niet bij stilgestaan, maar inderdaad een alternatief dat het waard kan zijn.

goarilla @YoMarK • 24 januari 2020 19:58

Wat bedoelen jullie eigenlijk met Linux proxies ?

scsirob @goarilla • 24 januari 2020 23:18

Veeam bestaat grofweg uit drie hoofd services.
1. Server => Doet alle job en resource beheer. De server voert de regie
2. Proxies => Zorgen voor het data transport. Leest van disks, snapshots, NAS (soon), schrijft naar..
3. Repository => Disk ruimte voor opslag van de backups. Kan DAS, NAS of Dedupe appliances zijn.

De server draait onder Windows. De proxy nu ook nog, maar in V10 wordt ook Linux ondersteund. Dat geldt ook voor de repository.

Je kunt repositories bundelen tot een Scale-out repository, en uitbreiden met een object/blob storage voor extra capaciteit.

GoBieN-Be @scsirob • 25 januari 2020 00:00

In een kleine omgeving kan je gerust 1 Windows machine hebben die alle 3 de rollen vervult.

Maar in grote omgevingen zijn er meestal meerdere machines die rol 2 vervullen om zo sneller te kunnen back-uppen. Rol 3 kan, zeker met Scale-Out repo's (niet in Standard of Community) , ook verspreid worden om meer en sneller data te back-uppen. En als je ReFS gebruikt, met alle Block Cloning goodness dan heb je naar gelang het aantal TB's (bijvoorbeeld honderd+) een uit de kluiten gewassen Repository server nodig.

Ik ben al enkele jaren Veeam enthousiast, en op het werk (KMO/MKB consultancy) gebruiken we het ook bij de meeste van onze klanten.

Wij hebben trouwens een policy geïmplementeerd die, simpel gezegd, inhoudt dat de back-up server niet in het Windows Domein mag zitten, met een aparte gebruiker en moeilijk wachtwoord beveiligd wordt en we meestal de back-up data via iSSCI (met CHAP authenticatie) op een alweer goed beveiligde NAS zetten, eventueel met een volledig gescheiden netwerk/VLAN.

PS: Er is een gratis Veeam B&R Community editie (max. 10 VM's) voor niet-commercieel gebruik. En voor back-uppen van fysieke computers zijn er Veeam Agents (ook in gratis smaken) die goed integreren met Veeam B&R.

[Reactie gewijzigd door GoBieN-Be op 26 juli 2024 10:31]

goarilla @GoBieN-Be • 25 januari 2020 01:24

Is er een verschil tussen backup van VM's en fysieke machines met veeam ? Eg kan ik data uit een VM snapshot restoren naar een fysieke machine. Mag ik ervan uit gaan dat beide VM's en fysieke machines snapshotten gaat door middel van technologie steunend op Microsoft Vss ?

GoBieN-Be @goarilla • 26 januari 2020 17:02

Veeam B&R (Backup & Replication) is enkel voor virtualisatie op VMWare en Hyper-V. Opgepast voor VMWare mag het niet de gratis ESXi zijn, dat is een limitatie van de storage API door VMWare.

Het back-uppen van de VM's (alle guest OS'en) gebeurt op de hypervisor laag, d.m.v. een VM snapshot.

Alsook hebben ze voor Windows en Linux guest OS'en Application Aware processing, wat toelaat om AD, SQL, Exchange, Oracle te back-uppen zonder dat het enkel crash consistent is. Hiervoor gebruiken ze op Windows guest OS'en VSS (Volume Shadow Services) d.m.v. een helper proces dat net voor de back-up opgeladen en gestart wordt. Zo kun je dus ook item-level en/of transaction recovery doen van AD, Exchange, SQL, Oracle.

Voor fysieke machines (Windows en Linux) hebben ze Veeam Agent software die je moet installeren op het toestel. Daarmee kan je een back-up doen naar een externe schijf, netwerklocatie, cloud opslag maar ook naar een bestaande B&R server met 1 of meer repositories. Via de Veeam Agent software kun je vanuit die back-up items gaan restoren. Wil je hier ook AD, SQL, Exchange item restore ondersteuning dan moet je de (betalende) server variant van de Veeam Agent hebben.

Verder kan je wel een bare metal back-up van een fysieke machine (met Veeam Agent dus) gaan restoren naar een Virtuele Machine maar niet omgekeerd.

In de volgende maand uitkomende nieuwe versie hebben ze nu ook incremental back-up jobs voor NAS en/of FileShares.

YoMarK @goarilla • 28 januari 2020 11:21

Je kan data altijd restoren waar je maar wil. Je gebruikt daarvoor de Management Console, je hebt geen software nodig op de VM's zelf - al deployed Veeam standaard wel VSS helpers die ook lokale logfiles genereren. Als je VSS niet wenst te gebruiken, dan kan het ook zonder, maar dan heb je dus niet de voordelen van VSS(en kan je dus ook geen transactielogs truncaten bij b.v. SQL server of exchange).
Een hele fysieke machine restoren als een VM is ook goed te doen, andersom zal je daar wat truukjes voor moeten uithalen ivm ondersteuning storage vanuit Windows(SCSI / SAS adapter) .

Anoniem: 623295 @fastbikkel • 24 januari 2020 15:11

Veeam is nog steeds het beste jongetje van de klas vind ik. Ik heb met zoveel pakketten gewerkt, maar Veeam springt er elke keer weer bovenuit.

Veeam is toch maar een basispakket hoor. Zal wss voor veel bedrijven voldoende zijn, maar is helemaal niet geschikt voor de Enterprise scène. Daarvoor moet je toch echt richting een Commvault, NetBackup, NetWorker, etc. gaan kijken.

fastbikkel @Anoniem: 623295 • 24 januari 2020 15:16

Ik herken wat je bedoelt, maar ook in enterprise scene heb ik met succes Veeam ingezet.
Al is daar wel wat werk te verzetten nog voor Veeam omdat Veeam oorspronkelijk hier niet voor was opgezet.
Met niet al teveel moeite is het prima werkend te krijgen.

[Reactie gewijzigd door fastbikkel op 26 juli 2024 10:31]

Q @scsirob • 24 januari 2020 13:09

Leuk dat je tape backup aanstipt. Veel mensen hebben deze techniek afgeschreven als ouderwets en onpraktisch.

Maar ze onderschatten de capaciteit en performance van een tape library. Van entry level 8 tapes (x12 is al 96 TB) tot de grote machines met meerdere tape drives en honderden tape slots.

Super makkelijk te vervoeren naar externe storage door een derde partij (tapes zijn versleuteld) en je hebt een hele goede manier van off line en off site backups.

In het geval van de universiteit had het een hoop ellende voorkomen.

Als je tapes offsite bewaard om tegen brand te beschermen moet je wel voorbereid zijn: je moet snel aan een nieuwe tape library komen of een DR deal hebben met een externe partij.

Anoniem: 1322 @Q • 24 januari 2020 14:53

Veel mensen hebben deze techniek afgeschreven als ouderwets en onpraktisch.
Het argument ouderwets is natuurlijk onzin maar onpraktisch is het zeker. Alles wat een fysieke handeling betreft in een proces dat geautomatiseerd moet zijn is onpraktisch. Het falen is hier ook vaak menselijk (te oude tapes gebruiken, vergeten te wisselen). Daarnaast zijn tapes zeker complexer (rotatie schema's en lifecycle management) dan een disk-based oplossing.

Ik wil tapes zeker niet afschrijven maar disk of cloud-based oplossing zijn in de meeste gevallen een betere oplossing doordat ze verder geautomatiseerd kunnen worden. En nee, tape- libraries en robot's veranderen dat niet.

Helaas faalt de implementatie van backup software nog steeds even hard als vroeger dus zullen we altijd backup gerelateerde problemen houden.

Wim-Bart @Anoniem: 1322 • 26 januari 2020 14:40

Tapes sla je extern op en heb je totaal geen omkijken naar. Daarvoor laat je gewoon een externe partij komen die het dagelijks of wekelijks doet. En het maakt niets uit of je library in NLDC, Equinix, Telecity is. Er zijn bedrijven die gewoon een heel DC in een dag doen. Heb laatste 10 jaar geen bedrijf meer gezien die het zelf doet, allemaal laten ze het doen en tapes worden dan netjes op een beveiligde, brandveilige locatie opgeslagen. Overigens encrypted wij onze tapes tijdens de backup maar dat is niet eens altijd nodig.

Daarnaast restoren we iedere week twee complete servers om te zien of alles goed is gegaan, en iedere week zijn dat twee andere servers om alle restore scenarios te testen, inclusief domein controllers.

Anoniem: 1322 @Wim-Bart • 26 januari 2020 15:27

Dat je het werk uitbesteed bevestigd alleen maar het argument dat het onpraktisch is.

Daarnaast restoren we iedere week twee complete servers om te zien of alles goed is gegaan
Laat je die mensen dan ook langskomen om de tape(s) te brengen? Anders is het natuurlijk ook geen goede test.. Daarnaast valt zo'n regeling natuurlijk ver buiten het budget van menig bedrijf. Ook is het niet altijd mogelijk om dit uit te besteden vanwege mogelijk risico. Ik noem maar patiëntgegevens of burger informatie.

Wim-Bart @Anoniem: 1322 • 26 januari 2020 16:03

Nee niet nodig, de tapes zitten gewoon nog in de library en de restore wordt uitgevoerd na de backup. Zodra dit goed is gegaan is de set klaar om opgehaald te worden. Eigenlijk totaal geen omkijken naar.

Dat is ook 1 van de voordelen om alles in een datacenter te hebben en niet meer op locatie. Daar heb je gewoon diensten die door de massaliteit economisch zeer voordelig zijn. Gewoon een externe partij die het voor je doet, die er gespecialiseerd in zijn, heb je zelf geen omkijken naar.

En heb je een tape nodig (wanneer het oude data betreft), 1 telefoontje en een uur later zit de juiste tape in de library.

En uitbesteden kan altijd. Wij slaan de data versleuteld op, omdat we moeten voldoen aan regels en er geen GDPR gevoelige data op straat mag komen. De kopie van het Certificaat waarmee versleuteld wordt ligt in een safe op een veilige locatie.

Om de tapes te kraken dient men het volgende te doen. 1. Transport onderscheppen. 2. De juiste koffer zoeken. 3. Daarna een zwaar beveiligd datacenter binnendringen. 4. Server opzoeken tussen een paar 1000 racks (waar geen bedrijfsnamen op staan). 5. Server meenemen. 6. Ook nog even op zoek naar een kluis om de Bitlocker recovery key te zoeken. 7. Server Hacken om OS in te kunnen. 8. Data restoren.

Maar op het moment dat de Server down gaat staan er al een paar beveiligers om je heen omdat we direct zien dat de server down gaat. 24/7.

blinchik @scsirob • 24 januari 2020 13:59

Ik gebruik ook Veeam en ben erg te spreken over die feature, 1 backup lokaal, 1 backup in ons datacenter en S3 bucket encrypted in de cloud en op immutable zetten, zo ben je echt tegen alles beschermd (zelfs tegen jezelf, je kan dit zelf niet meer deleten, tenzij je natuurlijk AWS admin bent maar die rol kan je dan aan iemand anders geven).

Jammer genoeg begint de pricing van Veeam echt wel de spuigaten uit te lopen, constant verhogingen en die zijn niet te min t.o.v. concurrentie, waardoor ik bij onze volgende renewal toch eens naar de concurrentie zal kijken.

GoBieN-Be @blinchik • 25 januari 2020 00:08

Ze pushen naar het subscription based model, door daarvan de prijs stabiel te houden en de socket licenties duurder te maken (ook in renewal).
Ze halen het argument aan van meer cores per socket en dus minder sockets tegenover vroeger voor dezelfde workload, want niet onwaar is.

[Reactie gewijzigd door GoBieN-Be op 26 juli 2024 10:31]

ejabberd @blinchik • 25 januari 2020 08:07

Is die lokale backup een offline backup? Dus enkel elektronisch toegankelijk wanneer een mens het backupmedium manueel in een lees/schrijfapparaat steekt?

Zo nee, dan zijn je backups niet 100% waterdicht.

blinchik @ejabberd • 25 januari 2020 19:24

Nee, dat is om snel dingen terug te kunnen zetten en dus niet offline. De backups naar de immutable backup in de cloud kan je als offline beschouwen (write once en je kan niet verwijderen).

In hoeverre is het dan niet waterdicht?

ejabberd @blinchik • 26 januari 2020 00:30

Er kunnen altijd lekken zijn in de hardware (denk aan de vele kritische CPU-bugs de afgelopen jaren). Als je backupmedium fysiek is afgesloten van alle kabels en apparatuur, dan zal men er vanop afstand nooit iets mee kunnen doen tenzij je gelooft in telekinese

blinchik @ejabberd • 26 januari 2020 20:09

Vind ik flauw. Ik zit op een volledig andere plaats, volledig andere hardware. Als er lekken in de hardware zitten, kan dat evengoed in een back-up medium zoals tape zitten (en de kans dat een tape defect gaat is zelfs nog groter dan dat en mijn remote backup, en mijn immutable cloud backup kapot gaat)

ejabberd @blinchik • 26 januari 2020 23:25

Ik zit op een volledig andere plaats, volledig andere hardware. Als er lekken in de hardware zitten, kan dat evengoed in een back-up medium zoals tape zitten

Hoezo? Hoe kan bijvoorbeeld een Noord-Koreaan de tape die in je kast ligt om zeep helpen? Jou backupservers hangen allemaal aan het internet. Een backup die niet verbonden is met een netwerk (en liefst ook niet met het stroomnet (blikseminslag)) zal veiliger zijn want die vergt steeds een fysieke handeling van iemand ter plaatse.

(en de kans dat een tape defect gaat is zelfs nog groter dan dat en mijn remote backup, en mijn immutable cloud backup kapot gaat)

Vandaar dat je best combineert en werkt met meerdere tapes die je natuurlijk moet testen.

(ik gebruik overigens geen tape maar goedkope ouderwetse harde schijven die ik roteer)

blinchik @ejabberd • 27 januari 2020 18:16

Hoezo? Hoe kan bijvoorbeeld een Noord-Koreaan de tape die in je kast ligt om zeep helpen? Jou backupservers hangen allemaal aan het internet.

Maar die backups staan op volledig andere netwerken. Dan zou de Noord-Koreaan mijn intern bedrijfsnetwerk al moeten aanvallen, mijn offsite-locatie, *en* dan zou hij ook nog eens Amazon moeten hacken (want die S3 bucket kan ik zelf niet meer verwijderen, tenzij ik via het admin paswoord met 2FA mijn amazon instantie zou verwijderen). Hij moet dus echt ook nog eens het AWS netwerk binnendringen en daar een fout in de beveiliging vinden.

Het scenario dat dit zou gebeuren tegenover een goedkope ouderwetse harde schijf (of tape) die defect gaat (waarbij je al moet nadenken over fulls en incrementals, want niemand kan waarschijnlijk op 1 tape of harde schijf een full maken, en kan dat al zeker niet qua tijd elke nacht doen), lijkt me driehonderd-duizend quingentiljoen groter dan dat de Noord Koreaan op de 3 locaties binnen geraakt en die daar dan de backups verwijdert.

Vandaar dat je best combineert en werkt met meerdere tapes die je natuurlijk moet testen.

Nee dus, in het verleden genoeg troep gehad met falende tapes die je zelfs na een verify niet meer kon lezen. Immutable s3 buckets zijn hiervoor een veel betere oplossing.

rob12424 @scsirob • 25 januari 2020 19:12

Ik denk alleen dat dat ook duurder is dan 3 ton. (3 ton valt nog mee overigens)

scsirob @scsirob • 27 januari 2020 16:29

Wellicht ten overvloede.. Het gebruik van Immutable object storage is nog geen GA functionaliteit, dit is een aangekondigde V10 feature. Zie https://go.veeam.com/v10

batjes @walteij • 24 januari 2020 12:48

Maar hoeveel waarde heeft die offline backup als die ouder is dan een maand.

Gezien ze data van onderzoeken kwijt zijn die tientallen jaren terug gaan, heeft dat genoeg waarde om ergens offline een jaarlijkse backup neer te leggen.

ejabberd @batjes • 25 januari 2020 08:15

Dat kun je ook regelmatig doen. Bv. elke ochtend rdiff-backup gebruiken om de belangrijkste data op een afgekoppelde externe harde schijf te zetten.

Ra5a @walteij • 24 januari 2020 12:59

Zie het als een brug: Actief>Backup brug> Backup archief offline. (Data moet van brug naar archief manueel/offline/statisch verplaatst worden.

niek_nijmegen @walteij • 24 januari 2020 15:58

Het gaat om een universiteit, ik neem toch aan dat die onderzoeksdata willen hebben die teruggaan tot aan de oprichting? Dat is zèlfs in het geval van Maastricht iets langer dan een maand.

Wim-Bart @walteij • 24 januari 2020 20:25

Je hebt een backup en archief. Van archief is een backup. En bij een goed beleid is de tape backup nooit ouder dan een week en worden je online backups iedere dag op tape gezet. Dus maximaal een week data kwijt. Maar wanneer het goed is, zal een backup op tape ook redelijk veilig zijn. Het grootste issue is als disk mountbare backup data.

migjes @scsirob • 24 januari 2020 12:51

wees dan ook zo slim om de : opa, vader, zoon regeling toe te passen.

opa 1x per maand, vader 1x per week, zoon elke dag. (of een variant daar op, zijn meer systemen voor te verzinnen. gebruik je verstand voor jouw specifieke situatie.)

stel dat je dan de backup draait, en er is al een besmetting, dan backup je de besmetting ook en overschrijf je de goede file's en is je backup waardeloos. (met ransomware kan dit snel gebeuren)
met boven staand systeem heb je nog een mogelijkheid om een week terug of als het moet een maand.
beter een maand terug moeten als niks hebben.

dit werkt ook erg tof tegen slijtage (wat je vroeger wel eens had met tape backup).
de maand tape (opa) word zo minder vaak gebruikt en gaat langer mee.

(geleerd met de harde leerschool.

)

[Reactie gewijzigd door migjes op 26 juli 2024 10:31]

Droefsnoet @migjes • 24 januari 2020 13:09

Maar je hebt niks aan een backup per maand als er al maanden voordat de ransomware werd geactiveerd, je systeem al besmet is. Als hackers een beetje slim zijn doen ze dit standaard, eerst het systeem besmetten, dit laten opnemen in de backups en dan pas toeslaan.

GORby @Droefsnoet • 24 januari 2020 13:35

Afhankelijk van je backup-software kan je instellen dat je gewaarschuwd wordt wanneer er teveel wijzigingen/deletes/toevoegingen zijn aan je backup set, zodat je sneller kan detecteren dat er wat misloopt. Als je backup dan ook versiebeheer toepast, kan je gewoon teruggaan naar de laatste niet besmette versie nadat je je geinfecteerde systemen hersteld hebt.

Ik heb dat geregeld door mijn computers te laten synchroniseren met mijn NAS. De NAS houdt als eerste verdediging snapshots bij (frequentie en aantal in functie van het belang van de share). Vervolgens wordt er een offsite backup gemaakt (Synology C2 cloud), waarbij er per backup set versiebeheer en retentie ingesteld is er er bovendien alarmen zijn wanneer er teveel data ineens wijzigt, of er veel bestanden gewist worden. Verder wordt er ook melding gemaakt onverwacht grote groei tussen backups, waardoor een infectie snel gedetecteerd kan worden en er naar een vorige versie teruggegrepen kan worden.

migjes @Droefsnoet • 24 januari 2020 13:14

jep, maar dat probleem heb je ook als je een jaar back-up maakt.
etc etc...
maar zoals elke back-up systeem, kun je het risico alleen maar kleiner maken, nooit helemaal elimineren.
hackers worden elke keer slimmer, en die wapen wedloop win je nooit.
je kunt de slag winnen, en de oorlog verliezen, zeg ik dan.

Droefsnoet @migjes • 24 januari 2020 13:20

Een jaar is nog al een verschil met een maand. Er wordt in het artikel aangegeven dat de hackers al maanden toegang hadden. Dat het dan slim is om maandelijkse > wekelijkse > dagelijkse backups te maken, vind ik dan een eh... bijzondere tip.

migjes @Droefsnoet • 24 januari 2020 14:33

dan weet je nog niet hoe dit soort hackers te werk gaan.

dat hackers maanden/jaren/dagen of wat dan ook al toegang hebben, betekend nog niet dat ze iets doen.
ze zijn dan binnen op een OS, maar doen dan nog niks met de data.
backup, dat doe je op de data (het OS dat kan ook, maar hoeft niet altijd te gebeuren is optioneel).
pas als ze de data gaan encripten, merk je het.
is de reactie er op dan niet snel genoeg dan kan het ook je backup vernagelen.

een incremental systeem voor de backup (of opa,vader,zoon maar dat is een iets wat ouderwetse manier van een incremental systeem) kan je uit de brand helpen.

Jouke74 @Droefsnoet • 24 januari 2020 13:15

Als de ransomware op je backup staat, maar nog niet actief is, ben je dan in staat om deze te verwijderen zonder dat het actief wordt?

fastbikkel @Jouke74 • 24 januari 2020 14:06

Nou ik probeer ook context hiervoor te bedenken.
Data die stilstaat doet niets.
Ik heb zelf ervaring met cryptovirussen en daar was het altijd een executable die de encryptie deed. Bij het stoppen van deze executable stopte het ook direct.
Dus dan zou het wel zo kunnen zijn dat ergens in je backup iets verstopt zit, het kan niet zomaar activeren.

Ik zie (nog) niet hoe je backup in gevaar is zolang de data niet encrypted is. Tenzij de data daar dus al encrypted is, maar dat zou je dan wel eerdere moeten kunnen ontdekken.

KeesAlderlieste @Jouke74 • 24 januari 2020 14:01

lijkt me wel, zolang na de restore de ransomware niet gestart wordt blijft de data na restore ongewijzigd. Dus restoren op een clean systeem en dan door de virus/malware scanner halen

migjes @Jouke74 • 24 januari 2020 15:35

hangt er van af naar welk gedeelte je de ransomware indeelt?
en welke manier van aanvallen van de ransomware die je hebt gebruikt.

(de variant die ik nu 2x heb gezien, en niet echt blij van werd.)
het programma wat de encriptie doet, of de encripte data files zelf.
(waar deel jij de ransomware op in?, in dit geval word je afgeperst op de encripte data, niet op het programma.
dus persoonlijk hoe je dit wil zien, maakt mij persoonlijk niet uit.)

bij dit soort aanvallen krijg je dus eigenlijk eerst een soort van virus op de computers.
wat zich zelf vast maar aan een programma of ergens in je OS.
en dat kun je in theorie wel weer verwijderen met een anti virus programma of een totale schone setup etc etc.
(theorie en praktijk kan wel een verschil zijn, mij nog niet gelukt om het te verwijderen met antivirus programma toen ik er last van had.)

maar de encripte data files , daar zit het programma niet meer in.
die kun je dan weer vrij veilig mee doen wat je wil.
maar om die weer vrij te krijgen moet je dan weer betalen, en zeker als je ze niet meer uit een backup kunt halen omdat ze daar al overschreven zijn.

[Reactie gewijzigd door migjes op 26 juli 2024 10:31]

ejabberd @migjes • 25 januari 2020 08:30

maar de encripte data files , daar zit het programma niet meer in.
die kun je dan weer vrij veilig mee doen wat je wil.

Daar zou ik niet blind op vertrouwen. Een crimineel zou ook daar een virus in kunnen verstoppen ter controle. Stel dat jij er in slaagt om te decrypten zonder te betalen, dan kan dat virus nadien de aanvaller een seintje geven en hem opnieuw toegang verschaffen tot je systeem. Zo kan de crimineel leren hoe de aanval in de toekomst beter kan en je opnieuw aanvallen.

Wim-Bart @Droefsnoet • 24 januari 2020 20:27

Totaal irrelevant. Zodra je namelijk data gaar restoren zal de geïnfecteerde data er netjes uit gepikt worden door je scanner. Ik zie zelf hoe dat bij ons gaat, Cylance haalt alles er gewoon uit. Zelfs bij server migraties en consolidaties.

Luwie69 @migjes • 24 januari 2020 13:57

Mijn opa doet het nog elke week hoor!

Zenomyscus @scsirob • 24 januari 2020 12:53

Het nadeel is dat veel partijen daar niet voor willen betalen. Die regel is leuk, de meeste weten hoe het werkt, maar zodra er geen geld voor beschikbaar komt houdt het op.

YangWenli @Zenomyscus • 24 januari 2020 13:46

Ik vrees dat uiteindelijk het risico nemen en losgeld betalen als het mis gaat goedkoper is. Als de criminelen geen belachelijk hoge prijs vragen en doen wat ze beloven denk ik dat veel bedrijven niet eens de politie gaan inschakelen.

PcDealer @YangWenli • 24 januari 2020 15:22

Dan zullen ze de kosten volledig uit eigen zak moeten betalen want de eventuele verzekering keert niet uit.

svennd @YangWenli • 24 januari 2020 15:59

200-300.000 eenmalig is nog steeds goedkoper dan een paar 100TB data in de cloud zetten...

Wim-Bart @svennd • 24 januari 2020 20:29

Totdat je raid set kapot gaat en je niks hebt om te decrypten. En hoe voer je een change uit wanneer je geen backup hebt. Geen backup is geen operationele werkzaamheden.

Justin0017 @scsirob • 24 januari 2020 12:54

Zoals Microsoft dit beschrijft: Een Primary site, een replica-site en een (externe) extended-replica site.

Ruuddie @scsirob • 24 januari 2020 13:16

Zoals hiervoor al geopperd; in hoeverre is het hebben van backups voldoende als ze een tijdbom plaatsen die pas na 3 maanden afgaat? Dan kan je dus, als ik het goed begrijp, enkel restoren naar een moment vóór de tijdbom. Een restore van maanden geleden schiet natuurlijk niet zo veel op.

Is het niet mogelijk om files te scannen op modificaties? Door AI een baseline vaststellen van hoeveel modificaties er normaal per dag zijn. Als er op een dag het dubbele hiervan aan modificaties zijn geweest, dan de backup niet door laten gaan. Dan kan je ervoor zorgen dat de corrupte files niet eens in je backup terechtkomen, en word je meteen op de hoogte gebracht van een mogelijke ransomware uitbraak.

GORby @Ruuddie • 24 januari 2020 13:37

Zoals ik hierboven beschrijf, kan je ook gewoon de backup wel laten doorgaan (soms wijzigen er nu eenmaal eens meer bestanden dan verwacht zonder kwaad opzet) en daarna een melding geven van deze afwijking. Natuurlijk kan dit enkel wanneer er meerdere versies van de gebackupte bestanden bijgehouden worden, want andes ben je gekloot.

Wim-Bart @Ruuddie • 24 januari 2020 20:32

Bij een restore wordt de data gescanned en inmiddels is de variant bekend en zal de software het er gewoon uit pikken en de geïnfecteerde spullen in quarantaine zetten. Geen iets om zorgen over te maken. Mits je maar iets als Cylance of andere software hebt die je helpt.

mr_evil08 @scsirob • 24 januari 2020 14:07

Ja en ook regelmatig een backup testen of het daadwerkelijk goed is gegaan, vroeger op mijn stageplek werden wel leuk backups gedraait op een tapestreamer maar nooit naar omgekeken, en dan komt de dag "pats" "boem" data weg, och pak wel even de tape en blijkt de data niet toegankelijk te zijn / corrupt...

tdlaccount @scsirob • 24 januari 2020 13:29

Vraag me af hoe dat bij Azure of aws zou zijn. Stel hackers zouden dit kunnen hacken, dan ben je toch echt de Sjaak? Hoe gaan dit soort bedrijven als AWS en Azure daarmee om.

Power2All @scsirob • 24 januari 2020 16:38

Nog makkelijker, en net zo veilig:

1) Backup maken van data naar locale omgeving zodat je makkelijk data kan terug zetten.
2) Op de locale backup server, een PUSH actie doen naar een externe locatie, wat alleen schrijf rechten heeft, en geen data kan wijzigen (zodoende kan een virus ook niet die backup server onbruikbaar maken).
3) Op externe backup locatie ook weer een backup maken naar een 2de backup locatie.

Klaar !
Zo heb je op 3 plekken een backup staan, waar de laatste externe locaties desgewenst een lange houdbaarheids datum kan hebben.
Offline backups is zoooo niet handig tegenwoordig meer.

ejabberd @Power2All • 25 januari 2020 09:01

Bij puntje 3 zou ik wel degelijk regelmatig een offline backup maken van ten minste de cruciale onderzoeksdata hoor. Stel bv. dat er een serieus lek is in de CPU-architectuur dat ontdekt wordt in Noord-Korea. Dan bestaat de kans dat al je online backuplocaties tegelijkertijd gegijzeld worden...

Power2All @ejabberd • 25 januari 2020 11:12

Ligt eraan om wat voor bedrijf of data het gaat.
Als het idd om onderzoeksdata gaat, dan is dat voor groot belang in de toekomst (soms).
De vraag dan is om welk soort offline backup storage het gaat.

SuperDre @scsirob • 25 januari 2020 17:57

Waar je alleen geen zak aan hebt als het degelijke ransomware is die dus al langer op je systeem draait en daarmee dus de backups al lang geinfecteerd hebben.. En oude backups heb je vaak niets meer aan omdat de data ondertussen al lang verouderd is.

M0N0 24 januari 2020 12:47

Laat deze situatie dan ook een les wezen aan andere bedrijven en organisaties: maak offline, off-site backups. Alles iedere maand naar een tape dumpen, en die tape bv. in een gehuurde kluis in de bank droppen, kost maar een paar honderd Euro per jaar. Niet over het netwerk benaderbaar zijn is een feature, geen bug, voor backups.

Abom @M0N0 • 24 januari 2020 12:54

En nog belangrijker, voer disaster recovery tests uit. Leuk wanneer je peta-bytes aan data hebt, maar wanneer het je alsnog maanden kost om het allemaal goed te herstellen, betaal je alsnog het losgeld.

In mijn 20 jaar als IT'er heb ik echter maar één bedrijf gezien waar ze dat ook daadwerkelijk deden.

01--Rolf--01 @Abom • 24 januari 2020 13:18

In mijn oude tijd elke 6 maanden alle nodes. Yes we did

HoppyF @Abom • 24 januari 2020 13:25

Nou, dan vraag ik me toch af bij welke IT bedrijven je gewerkt hebt.
Juist dit soort testen horen hoog op de agenda te staan.
Procedures en werkinstructie moeten hiervoor al geschreven zijn.

dez11de @HoppyF • 24 januari 2020 13:38

Een disaster recovery test is best ingrijpend. Het is wat anders dan tape verifiëren.

HoppyF @dez11de • 24 januari 2020 13:39

Klopt, maar dat is nog geen reden om het niet te doen.
Backups maken en testen lijkt overbodig en tijdrovend maar we weten allemaal hoe belangrijk dit kan zijn.

dez11de @HoppyF • 24 januari 2020 13:43

Dat is de nummer één reden om het niet te doen.

Abom @HoppyF • 24 januari 2020 14:11

Alleen een backup restoren is geen disaster recovery test.

Wat gebeurt er wanneer je hoofdvestiging/datacenter affikt? Veel bedrijven maken backups op één lokatie en verschepen de tapes naar een andere lokatie, ze hebben dus maar op één lokatie tape-units. Je hebt niets aan je tapes wanneer je geen tape-units meer hebt? Heb je voldoende ijzer op de andere lokatie?
Heb je voldoende kantoorruimte wanneer je hoofdkantoor weg is?

Hoe snel heb je de basis functionaliteiten operationeel, het ERP systeem en alle benodigde systemen daarvoor? En hoe lang duurt het voordat je de overige diensten online hebt?

Weinig bedrijven die dat echt weten/testen.

[Reactie gewijzigd door Abom op 26 juli 2024 10:31]

HoppyF @Abom • 24 januari 2020 16:51

De offsite locatie bevat niet alleen maar de backup tapes maar ook de drives en andere benodigde apparatuur om de backup in geval van nood, vanaf niets weer op te bouwen.
Dit principe is niet nieuw en bestaat al jaren.

01--Rolf--01 @Abom • 24 januari 2020 21:18

Ja ook gedaan de bedoeling was 80% recovery in 24 uur. Alleen technisch gedeelte. De procedure was mega. Bij the way iedereen had toen al laptop dus mensen kunnen overal werken. Als er maar Internet is.....

Aanvulling voor de locale apparatuur was een vrachtwagen geregeld met dito apparatuur daar naast zetten we een portacabin met LAN verbinding. Ploegendienst er tegenaan met techneuten. 100 hotel overnachtingen in de buurt. Mooie tijden. Yes we did

[Reactie gewijzigd door 01--Rolf--01 op 26 juli 2024 10:31]

ejabberd @01--Rolf--01 • 25 januari 2020 09:14

Bij the way iedereen had toen al laptop dus mensen kunnen overal werken. Als er maar Internet is.....

Bij Maersk hadden ze zelfs dat niet....een stukje uit wat een filmscript voor een thriller zou kunnen zijn:

All computer equipment used by Maersk from before NotPetya’s outbreak had been confiscated, for fear that it might infect new systems, and signs were posted threatening disciplinary action against anyone who used it. Instead, staffers had gone into every available electronics store in Maidenhead and bought up piles of new laptops and prepaid Wi-Fi hot spots. Jensen, like hundreds of other Maersk IT staffers, was given one of those fresh laptops and told to do his job. “It was very much just ‘Find your corner, get to work, do whatever needs to be done,’ ” he says.

01--Rolf--01 @ejabberd • 25 januari 2020 18:20

De telecom appartuur stond toen stand-alone te draaien. Zelfs zonder internet draait het door. Glas verbindingen die op de getroffen locatie uitkwam werdt verderop uitgegraven uit eerste manhole. Daarna met altijd klaar liggende fiber aangelast naar vervangende vrachtwagen gebracht. Dus aansluitingen altijd voor handen. Geloof me geld speelde geen rol in deze....... tijd is belangrijker....En succes dat je procedure klopte....

Abom @HoppyF • 24 januari 2020 13:53

Onder anderen de grotere, waarvan de een het beter deed dan de ander. Ik heb het overigens niet over IT-bedrijven, alle bedrijven van overheid, semi-overheid, MKB tot multinationals.

[Reactie gewijzigd door Abom op 26 juli 2024 10:31]

01--Rolf--01 @HoppyF • 24 januari 2020 21:06

Iets waar mensen nu niet meer zonder kunnen nee geen water, nee geen stroom... Juist telecom. ....Vroeger ja reload-tested-dump en ja bewaard op andere locatie...... andere nodes jumpte door Nederland ik bedoel jouw database stond op 2 locaties jumpent door NL Yes we did. Telecom apparatuur alles redundant binnen het gebouw. 1 kaart kapot switch naar andere kant. Nu nog steeds. yes we can.

inversions @M0N0 • 24 januari 2020 13:04

Enig idee om hoeveel dataobjecten het gaat bij een Universiteit? Data staat op allerlei onderzoekssystemen, verschillende storage systemen, sommige zijn niet eens bekend bij de IT omdat de afdeling dat allemaal zelf regelt.. Het 'eventjes' op tape zetten van al je data gaat zomaar even.

twmichel 24 januari 2020 12:45

Tijd voor een wet die verbiedt om losgeld te betalen aan criminelen met belastinggeld.

Abom @twmichel • 24 januari 2020 12:52

En dan? De Universiteit maar sluiten? Studenten mogen opnieuw beginnen met een studie in een andere stad?

Er kan beter een wet komen die organisaties verplicht zijn om hun IT op orde te hebben/houden. In veel organisaties, met name in de top, wordt IT nog steeds als kostenpost gezien, dat moet echt veranderen in de huidige tijd.

DigitalExorcist @Abom • 24 januari 2020 13:10

Stel dat ze 3 ton hadden betaald en de gijzelnemers zoiets hadden van "hey bedankt voor het geld, toedeledokie!" en je hoort er nooit meer wat van.

Je stort 3 ton geld, ongeacht waar vandaan, in de hóóp dat er éérlijke criminelen zijn die zich vervolgens aan hun woord houden.

.... lees dat zinnetje nog even langzaam voor jezelf door.

Je kunt béter als universiteit 5 ton uitloven voor diegenen die de daders met volledige NAW-gegevens openbaar op internet zetten. Dan verdient degene die hen verlinkt er méér aan.

[Reactie gewijzigd door DigitalExorcist op 26 juli 2024 10:31]

rob079 @DigitalExorcist • 24 januari 2020 13:20

Als de gijzelnemers dat doen werken ze hun "verdienmodel" om zeep, want dan betaald er nooit meer iemand iets natuurlijk...

Tacoos @rob079 • 24 januari 2020 14:43

Dat klinkt plausibel, maar hoe weet je nu dat je definitief verlost bent van het probleem? Zit er niet ergens een 'sleeper' die over een jaar de boel weer op slot gooit?

ajolla @rob079 • 24 januari 2020 14:46

Precies wat we moeten hebben. Tijd dat de NSA ingrijpt door zich als die hackersgroepen voor te doen, her en der wat systemen met vergelijkbare ransomware te encrypten, uit naam van de echte groepen betaling te eisen en dan niet te decrypten.
Iedereen denkt dan dat die groepen toch niet woord houden en betaalt niet meer.
Zomaar een hersenspinsel hoor, geen serieus voorstel.
Maar 't zou denk ik wel werken.

Darksequence @ajolla • 24 januari 2020 20:05

Wie zegt dat de hackers niet vd NSA zijn? Beetje bijklussen voor uncle Sam

Ze kunnen het wel gebruiken gezien de status vd staatsschuld

ajolla @Darksequence • 25 januari 2020 00:05

Anders misschien de CIA om hun black ops te financieren?

DigitalExorcist @rob079 • 24 januari 2020 13:42

Of wel, in de hóóp dat er criminelen zijn die ze vervolgens uit de brand helpen

als je eenmaal geld gecashed hebt hoef je geen dienst meer te verlenen als crimineel zijnde, toch?

Koffiebarbaar @DigitalExorcist • 24 januari 2020 14:56

Als je dit exploitatiemodel in stand wil houden moet je wel leveren ja.
Er wordt best vaak losgeld betaald. Als je gaat verzaken na losgeld betaling gaat niemand meer losgeld betalen.
Ik zou het ontzettend dom vinden om dat nu nog lucratieve model om te leggen. Die criminelen hebben verder geen baat bij het versleuteld houden van die data, wel bij de instandhouding van de "zekerheid" dat je je data terug krijgt na losgeld betaling.

DigitalExorcist @Koffiebarbaar • 24 januari 2020 15:03

Ligt er natuurlijk aan wát voor data het is. Als het baanbrekend onderzoek is geweest waar op 'de markt' miljoenen voor te vangen zijn ga je éérst het losgeld cashen, en kun je desnoods de decryptiekey wel of niet leveren, én de data die je al dan niet gestolen hebt/gekopieerd hebt verkopen aan de hoogste bieder.

En kom op, het is niet zo alsof je een groep criminelen niet meer zult vertrouwen en dat ze dan nooit meer betaald worden. Je hernoemd je groepje van groep x naar groep y, je noemt jezelf Pietje in plaats van Klaasje en niemand kent je voorgeschiedenis.

Koffiebarbaar @DigitalExorcist • 24 januari 2020 15:11

En kom op, het is niet zo alsof je een groep criminelen niet meer zult vertrouwen en dat ze dan nooit meer betaald worden. Je hernoemd je groepje van groep x naar groep y, je noemt jezelf Pietje in plaats van Klaasje en niemand kent je voorgeschiedenis.

Dat hele crypto-hijacking voor losgeld is een soort proces. En als dat door iemand geëxploiteerd wordt die vervolgens niet daadwerkelijk decryptie sleutels afgeeft heeft dat gevolgen voor de hele "sector".
Pietje gaat echt niet denken "oh dit is groep y, die is wel/niet te vertrouwen". Pietje weet dat niet. Pietje hoort alleen maar dat een universiteit 3 ton aan bitcoin ergens naartoe gepompt heeft zonder resultaat en gaat dus ook maar zelf niet die bitcoin overmaken.
Denk ergens zelfs dat dat onderling wel gevaarlijk is, als je als één crimineel de broodwinning voor andere criminel gaat lopen saboteren. Daar krijg je liquidaties van.
Die drie ton incasseren en daadwerkelijk de boel "netjes achterlaten" lijkt me een veel beter langer termijn plan.

Verder zijn die crypto jagers alleenmaar geinteresseerd in snel geld. Dat blijkt wel uit dat hele proces.
Zo'n achterlijk grote bak data extraheren uit zo'n universiteit is ook geen 1,2,3 tje. Je hebt echt niet zomaar de infra om die wellicht vele terabytes aan onderzoeksdata ergens ongezien naartoe te schuiven (ik zou dat echt wel in mijn firewall zien) en dat moet je ook nog kunnen verkopen.

[Reactie gewijzigd door Koffiebarbaar op 26 juli 2024 10:31]

nst6ldr @Koffiebarbaar • 24 januari 2020 19:33

Jouw stelling is gebaseerd op een aantal aannames:

1) De slachtoffers hebben onderlinge communicatie en kunnen dan blijkbaar instaan voor de betrouwbaarheid van de criminelen.
2) De criminelen hebben een lange termijn visie ondanks de vele haken en ogen die bij ransomware komen kijken.
3) (conflicterend met 2) De criminelen gaan niet een backdoor achterlaten om over een jaar nog eens een collecte bij alle voorgaande slachtoffers te doen.

nst6ldr @rob079 • 24 januari 2020 19:26

Beetje onzin om dit te stellen, want dit gebeurd gewoon. Er zijn gevallen geweest waar de key niet werd gecommuniceerd naar een C&C server of iets dergelijks omdat dit gewoon niet was geprogrammeerd. Het is vooral een goedkope manier is om geld af te persen aangezien het je een hoop infrastructuur scheelt (en in het geval van ransomware is die infra niet eenvoudig aangezien het niet herleidbaar mag zijn).

ejabberd @rob079 • 25 januari 2020 09:27

Bij NotPetya en de centrifugeaanval in Iran bijvoorbeeld was het verdienmodel er niet of was dat toch onbelangrijk...dat was digitale oorlogsvoering.

Als het doel is om zoveel mogelijk schade te maken, dan laat je de slachtoffers betalen en doe je verder niets.

HoppyF @DigitalExorcist • 24 januari 2020 13:23

Inderdaad.
De hackers kunnen uit “goodwill” en als bewijs wel een paar kleine decrypted als bewijs dat ze de echte sleutel in handen hebben maar dat zegt nog niets over het feit dat ze tegen betaling alle bestanden laten decrypten door de sleutel te geven.
Betalen is slecht omdat je daarmee nu eenmaal een signaal geeft dat misdaad loont.
Het motiveert criminelen ook om nòg betere ransomware software te ontwikkelen want voor een paar ton moet dat wel lukken.

NovapaX @DigitalExorcist • 24 januari 2020 13:31

Het is natuurlijk wel in het belang van de criminelen om de data daadwerkelijk weer terug te geven.
Nu kunnen ze het trucje nog een keer uithalen en heeft het volgende slachtoffer een bepaald vertrouwen in de 'reputatie' van de criminelen waardoor de keuze om maar gewoon het losgeld te betalen 'en er direct van af te zijn' veel makkelijker wordt.

croiky @NovapaX • 24 januari 2020 13:50

Verbeter me maar ervanuitgaande dat betaling altijd in BTC gebeurt blijven daders anoniem. Reputatie is daardoor niet aan de orde. Enige wat ik daarop kan bedenken is dat je door de Ransomware te analyseren kan zien welke dader(s) er mogelijk achter zit.

Zoals DigitalExoricist zegt enorme, bedenkelijke doch voor mij begrijpelijke gok. Ze zouden na betaling zomaar kunnen zeggen van joh doe er nog even twee ton bij.

fastbikkel @NovapaX • 24 januari 2020 14:11

Ik vind dat belang niet zo natuurlijk.
Dat ze het trucje kunnen herhalen is niet zo effectief denk ik want bij t volgende slachtoffer is het gewoon weer "nieuw" voor dat slachtoffer. Die herhaling is er alleen voor de dader, tenzij ze dezelfde pakken.
En als het zelfde slachtoffer het al herkend als dezelfde dader en ze betalen niet, dan gaat de dader naar de volgende, no sweat.
En al zou deze zelfde dader het niet meer voor elkaar krijgen, dan komt er wel weer een andere dader.

segil @DigitalExorcist • 24 januari 2020 13:48

en het gevolg is dat je alle data kwijt bent. Jarenlange onderzoeksresultaten en andere belangrijke data.

Lees dat zinnetje nog even langzaam voor jezelf door

DigitalExorcist @segil • 24 januari 2020 14:22

Maar je hebt nu óók 0,0 garantie dat je iets terugkrijgt. Je kan 3 ton voor jan doedel storten, óf iets meer uitgeven en die criminelen het leven zuur maken.

segil @DigitalExorcist • 24 januari 2020 14:45

Deels... wat je kunt doen, is een kleine aanbetaling overmaken en een gedeelte decrypted terug krijgen. Op die manier bouw je vertrouwen op en wordt de kans groter dat de decryptie zal plaatsvinden.

Het is zeker niet ideaal, maar als je geen backups hebt en het is een feit dat de data anders definitief verloren gaat, dan kan je niet veel anders dan betalen. Of zie jij een andere manier?

OxWax @DigitalExorcist • 24 januari 2020 19:25

iets meer? Gevallen waar niets werd betaald waren de kosten enkele miljoenen en had met nog steeds geen data terug, terug van nul ...
Die hackerts zitten veilig en ontraceerbaar véééér weg hiervandaan .

resma @segil • 24 januari 2020 14:55

en het gevolg is dat je alle data kwijt bent. Jarenlange onderzoeksresultaten en andere belangrijke data.

Lees dat zinnetje nog even langzaam voor jezelf door

Dus die jarenlange onderzoeksresultaten waren onvoldoende gewaarborgd en redundant opgeslagen, want dat was te duur/complex...

Lees dat zinnetje...

segil @resma • 24 januari 2020 15:08

Dat zal wel, maar hoe helpt die conclusie in het terug halen van je data?

resma @segil • 24 januari 2020 15:17

Niet, maar het helpt uitstekend als je de verantwoordelijke bestuurders tot verantwoording wilt roepen...

twmichel @Abom • 24 januari 2020 13:02

Ja. Ik ben het eens dat het dan heel pijnlijk wordt voor de universiteit en zijn studenten, maar:

A: Op een gegeven moment hebben criminelen door dat ze niet bij de nederlandse belastingbetaler terecht kunnen.
B: Andere organisaties zullen ervan leren en wel goede voorbereidingen nemen. (Al zal hier wel hulp en dwang van de overheid voor nodig zijn)

Nu kunnen ze hun winst investeren in het hacken van de volgende slachtoffer.

[Reactie gewijzigd door twmichel op 26 juli 2024 10:31]

Edgarz @twmichel • 24 januari 2020 13:49

Daarmee heeft een instelling zijn waardevolle data nog niet terug. De belastingbetaler slaat zich trots op de borst "Wij betalen niet voor afpersing!".
Dat verlies zullen belastingbetalers Anita en Johnnie niet merken, die hebben namelijk geen idee van de waarde van wetenschappelijke data. De wetenschap en de iets meer onderwezen burger wel, dus zal het geld uit andere bronnen gaan komen.

Dat kunnen burgers zijn (belastingbetalers) maar ook bedrijven, voor wie het onderzoek ook belangrijk is. Die zullen er dan wel wat voor terug willen hebben....De burger krijgt dat ook, maar indirect in de samenleving. Zonder dat ze het door hebben dat aan de basis van vooruitgang en ontwikkeling op eenieder vlak wetenschappelijk onderzoek ten grondslag ligt.

Oftwel, wetenschappelijk onderzoek is voor de gehele samenleving van belang, ook al zie je dat zelf niet in. Dus het is helemaal niet zo raar dat ook dit soort bedrijfsongevallen uit die pot komen.
En je kunt natuurlijk altijd een verwijt maken dat de beveiliging niet goed was, of de backup strategie niet goed genoeg. Achteraf kun je altijd een koe in de kont kijken. Want ook jij, ik en alle anderen hier maken weleens een fout. Meerdere malen. Niemand is foutloos dus geen enkel systeem is perfect.

resma @Edgarz • 24 januari 2020 15:02

Daarmee heeft een instelling zijn waardevolle data nog niet terug.

Jammer dat de waarde van die data pas achteraf zo hoog wordt ingeschaald.

Want ook jij, ik en alle anderen hier maken weleens een fout. Meerdere malen. Niemand is foutloos dus geen enkel systeem is perfect.

Alleen wordt 'Jan met de Pet' steevast afgerekend op zijn/haar fouten, terwijl de gemiddelde bestuurder zelden serieus op de uitvoering van zijn/haar verantwoordelijkheid wordt beoordeeld. Da's wel een beetje jammer vind ik.

[Reactie gewijzigd door resma op 26 juli 2024 10:31]

Edgarz @resma • 24 januari 2020 15:18

[...]

Jammer dat de waarde van die data pas achteraf zo hoog wordt ingeschaald.

[...]

Die waarde werd ook voor het incident hoog ingeschat. Het is zo flauw om dat bij alles wat fout gaat te roepen. Zou je zelf ook leuk vinden als er bij je ingebroken wordt: "Nou dan vond je je eigendommen zeker niet belangrijk genoeg om goed te beveiligen". Beetje nietszeggend.

Alleen wordt 'Jan met de Pet' steevast afgerekend op zijn/haar fouten, terwijl de gemiddelde bestuurder zelden serieus op de uitvoering van zijn/haar verantwoordelijkheid wordt beoordeeld. Da's wel een beetje jammer vind ik.

Ik zie toch echt de ene na de andere minister vertrekken omdat ondergeschikten er, zelfs in compleet andere regeerperiodes, forse fouten maakten. Of heb je dat gemist.

En gelukkig hebben we voor Jannen met petten een ontslagrecht dat een disfunctionerings periode/dossier van zo'n twee jaar vereist. Behalve bij grove nalatigheid, opzet en daaropvolgend ontslag op staande voet. Dus zo zwart wit als je het stelt is de werkelijkheid niet.

Misschien zijn hogere bestuurders wel gewoon wat slimmer. Maar dat een instelling of bedrijf dat gehackt wordt direct en zonder twijfel verwijtbaar is aan bestuurders is onzin. Dat maakt particulieren die gehackt of opgelicht namelijk ook volledig verwijtbaar. Dus geen schadevergoeding of vervolging van de oplichters meer, hadden ze namelijk zelf maar beter moeten opletten. Dat zou toch wat zijn!

resma @Edgarz • 24 januari 2020 15:33

Ik zie toch echt de ene na de andere minister vertrekken omdat ondergeschikten er, zelfs in compleet andere regeerperiodes, forse fouten maakten. Of heb je dat gemist.

Die prachtige symboolpolitiek heb ik zeker niet gemist. Daarmee wordt echter zelden of nooit de benodigde verbetering op een ministerie/departement bewerkstelligd, want de top-ambtenaren gaan onder een nieuwe minister gewoon op dezelfde voet verder. Ook de slachtoffers (soms letterlijk) van het gevoerde beleid worden nooit beter van het opstappen of de tranen van een minister(president). Politiek

Ik snap heel goed dat er geld betaald is voor het terugkrijgen van de data, maar zeker daar het gemeenschapsgeld betreft lijkt het me nu wel tijd voor het volgende:
1) de verantwoordelijk bestuurders van de UM moeten hun verantwoordelijkheid nemen.
2) er moet een verdomd goede data waarborg voor de toekomst komen met voldoende budget om dat te realiseren.
3) openbaarheid over wat is mis gegaan en hoe dat in de toekomst gewaarborgd is.

Edgarz @resma • 24 januari 2020 16:11

[...]

Die prachtige symboolpolitiek heb ik zeker niet gemist. Daarmee wordt echter zelden of nooit de benodigde verbetering op een ministerie/departement bewerkstelligd, want de top-ambtenaren gaan onder een nieuwe minister gewoon op dezelfde voet verder. Ook de slachtoffers (soms letterlijk) van het gevoerde beleid worden nooit beter van het opstappen of de tranen van een minister(president). Politiek

En dat werkt bij bestuurders net zo...

Ik snap heel goed dat er geld betaald is voor het terugkrijgen van de data, maar zeker daar het gemeenschapsgeld betreft lijkt het me nu wel tijd voor het volgende:
1) de verantwoordelijk bestuurders van de UM moeten hun verantwoordelijkheid nemen.
2) er moet een verdomd goede data waarborg voor de toekomst komen met voldoende budget om dat te realiseren.
3) openbaarheid over wat is mis gegaan en hoe dat in de toekomst gewaarborgd is.

De openheid is er al en wordt gegeven. En wie er ook die phishing l ik nk geklikt heeft maakt echt niet uit. Voor zo iemand 10 anderen die hetzelfde zouden doen.

De "verantwoordelijke bestuurder"... Wie is dat? Hoofd ICT, teamlead ICT, Hoofd Functioneel beheer, de functioneel beheerder zelf? Of degene die het budget toekent, de groep die beleidskeuzes maakt (wat wel, wat niet, wanneer), de Raad van Bestuur, de professoren? Of een combinatie van dit alles?

Je doet het voorkomen alsof het allemaal zo simpel en een-dimensionaal is en eenvoudig. Bedrijven, de politiek, instellingen, voetbalclubs... Verrek, de hele globale samenleving... zijn gewoon complex en dingen komen tot stand vanuit enorm veel factoren. Keuzes en prioriteiten worden gemaakt en gezet. En achteraf kun je altijd en voor alles zeggen: Tja, had men maar.

Achteraf kun je een koe in de kont kijken.

Pietervs @Abom • 24 januari 2020 13:44

Er kan beter een wet komen die organisaties verplicht zijn om hun IT op orde te hebben/houden.
Er zijn wetten die het door rood rijden verbieden. Toch gebeurt dat dagelijks.
Sympathiek idee, zo'n wet, maar het zal de gedachtegang van een directie die de IT als kostenpost ziet niet veranderen.

@DigitalExorcist Je kunt béter als universiteit 5 ton uitloven voor diegenen die de daders met volledige NAW-gegevens openbaar op internet zetten.
Eigen rechter spelen is gelukkig nog steeds verboden.
Bovendien: wat heeft de universiteit aan de gegevens van wat criminelen die in Bulgarije, Iran, China of Rusland blijken te wonen?

fastbikkel @Pietervs • 24 januari 2020 14:13

Eigen rechter spelen is toch niet hetzelfde als iemand proberen bloot te leggen?
Het wordt inderdaad wat anders als ze ook zelf gaan straffen.

Pietervs @fastbikkel • 24 januari 2020 18:17

Door adressen van mogelijke misdadigers te publiceren roep je feitelijk op tot het spelen van eigen rechter.
Welk ander nut heeft het publiceren van privégegevens?

fastbikkel @Pietervs • 29 januari 2020 10:29

Ik ben geen expert in deze materie, maar ik meen te herinneren (uit media) dat bedrijven wel eens dit soort gegevens hebben gepubliceerd en daar niet voor gestraft zijn.

Pietervs @fastbikkel • 29 januari 2020 18:56

Zeker met zaken als de AVG is het zeer de vraag of je er nog mee weg komt.
Ik zou het er niet op wagen, in ieder geval

Anoniem: 310408 @Abom • 24 januari 2020 16:57

Er kan beter een wet komen die organisaties verplicht zijn om hun IT op orde te hebben/houden.

Een wet die het onmogelijk moet maken dat er hacks en dergelijke komen. Wat kan er fout gaan?

Begin jij vast even met de eisen waar elke organisatie aan moet voldoen?

Abom @Anoniem: 310408 • 24 januari 2020 17:41

Zo hebben we ook GDPR. Die voorkomt ook niet dat er data wordt gelekt, maar wel dat een bedrijf verantwoordelijk wordt gehouden voor de fouten die worden gemaakt, waardoor data wordt gelekt.

inversions @twmichel • 24 januari 2020 12:58

Eerder tijd voor een internationale wet die minimaal levenslang oplegt voor het verspreiden van ransomware.

Waarom heb je een slot op je deur? Niet omdat je bang bent dat je zelf weg loopt maar omdat er criminelen zijn die met hun handen niet van jouw spullen kunnen afblijven.

Hadden ze dan maar de data moeten verwijderen en helemaal opnieuw moeten beginnen? Blijkbaar hebben de maatregelen die ze genomen hebben niet geholpen als ook de backup besmet raakt. Malware aanval is niet iets wat je zomaar even test.

fastbikkel @inversions • 24 januari 2020 14:14

Ook levenslang helpt niet. Zie de VS, daar zitten veel mensen levenslang vast voor bv moord. Toch vinden moorden nog elke dag plaats.
De mensheid probeert al eeuwen misdaad op te lossen, maar dit lukt niet, is inherent aan mensheid.

Anoniem: 310408 @inversions • 24 januari 2020 17:00

Eerder tijd voor een internationale wet die minimaal levenslang oplegt voor het verspreiden van ransomware.

Minimaal levenslang? Dus levenslang met dwangarbeid en doodstraf als alternatief? Internationale wet met minimale straffen? Jij leeft echt in je eigen wereld he?

En denk je nu echt dat de criminelen die zich meestal Rusland etc bevinden zich daar iets van aan zouden trekken?

denkster @inversions • 25 januari 2020 00:44

Alleen de pakkans verhogen helpt.. Strenger straffen helpt niet dat is al zo vaak aangetoond.

Lanfear89 @twmichel • 24 januari 2020 13:01

Dat is te kort door te bocht, eerder een wet die verplicht goeie (geverifieerde) back-ups te hebben. En zelfs dat lijkt me nog onmogelijk af te dwingen. Want als criminelen als maanden in je systeem zitten te rommelen en dan pas toeslaan, dan moet je kwa backups zover terug, dan ben je als instelling alsnog de nek om gedraaid

Ralph58 @twmichel • 24 januari 2020 13:09

Dan moet de overheid wel opdraaien voor de schade.

OxWax @twmichel • 24 januari 2020 13:55

om dan miljoenen ipv tonnen te kunnen betalen en alle data kwijt te zijn ...

joepsel 24 januari 2020 13:28

Weet er iemand meer over dat symposium dat ze op 5 februari zouden houden? Lijkt me wel de moeite waard.
Kan online echter nergens iets vinden over dit symposium...

TijsZonderH Nieuwscoördinator @joepsel • 24 januari 2020 14:33

Het is besloten, weet alleen niet precies voor wie. Tweakers is in ieder geval uitgenodigd. Ik heb op GoT een toppic aangemaakt ter voorbereiding.

OxWax @joepsel • 24 januari 2020 13:51

Zou dat een van de 'experience days' kunnen zijn die die dag plaatsvinden?

https://www.maastrichtuni...ype/study-information-104

Ben ook wel benieuwd
https://www.maastrichtuni...iversity.nl/nl/over-de-um

[Reactie gewijzigd door OxWax op 26 juli 2024 10:31]

jurroen @joepsel • 24 januari 2020 14:33

Tweakers is erbij. Als je vragen hebt, stel ze. Als het meezit kan Tijs de vraag namens jou stellen!

Willemvv23 24 januari 2020 13:15

Hoe voorkom je gegarandeerd ransomware? Overstappen op Google Cloud met Chrome OS devices. Kunnen 99% van de gebruikers mee uit de voeten. En voor 1% stel je virtuele Windows PC's ter beschikking.

Novacitus @Willemvv23 • 24 januari 2020 13:27

Hoe voorkom je dat gegevens JOU gegevens blijven en niet door worden verkocht of verkregen? Nooit aan google beginnen.

Willemvv23 @Novacitus • 24 januari 2020 13:45

Er zijn meer dan 5 miljoen bedrijven die met Google Cloud werken, waaronder Airbus, PWC, Lufthansa, Randstad etc. Google heeft zeer expliciet aangegeven de data van organisaties niet te gebruiken. Als ze dat toch zouden doen zullen ze miljarden aan schadevergoedingen moeten betalen. Dat Google data van zakelijke klanten verkoopt is een 100% broodje aap verhaal.

YoMarK @Willemvv23 • 24 januari 2020 15:29

Misschien een beetje flauw, maar het bedrijf waarvoor ik werk staat ook vaak op die lijstjes van andere bedrijven "dit zijn onze klanten", terwijl het laatste contact in 1986 was (een kerstkaart).
Kortom: dit zegt allemaal helemaal niets. Airbus zal b.v. best wel wat met de Google Cloud doen, maar ik geloof er niets van dat ze hun gevoelige bedrijfsvoering regelen in de Google Cloud.

Willemvv23 @YoMarK • 24 januari 2020 15:31

Airbus CIO: We dumped Microsoft Office not over cost but because Google G Suite looks sweet
https://www.theregister.c.../15/airbus_cio_interview/

Anoniem: 310408 @Willemvv23 • 24 januari 2020 17:09

Dat is voor een goed deel al weer afgeblazen....

Willemvv23 @Novacitus • 24 januari 2020 15:21

Graag voorbeelden waarbij Google gegevens van zakelijke klanten heeft verkocht of gebruikt. Google heeft de beschikking over NHS data, maar alleen omdat de NHS hier expliciet toegang voor gegeven heeft: https://www.digitalhealth...reements-with-nhs-trusts/ Met deze data kunnen waarschijnlijk levens worden gered, naar dat terzijde.

Kan je ook voorbeelden geven van data van zakelijke klanten van Google die door externen verwijderd en/of encrypted zijn? Het enige voorbeeld wat bij mij bekend is als Drive gesynced wordt met locale encrypte bestanden op Windows PC's. Deze functionaliteit kan door de beheerder van G suite worden uitgeschakeld.

Hoor graag van je.

Anoniem: 310408 @Novacitus • 24 januari 2020 17:08

Als jij je er zo in verdiept heb kan je vast ook wel voorbeelden geven van misbruik van bedrijfsdata of het verkopen van direct aan personen of organisatie relateerbare data. Of bel Google eens en vraag of je data kan kopen!

Met excuses El Nova, je begrijpt werkelijk niet goed hoe Google geld verdient. Dat ze fouten hebben gemaakt doet daar niet veel aan af. Die fouten hebben werkelijk niets te maken met misbruik van data in Google Cloud. Ik denk gewoon dat je je vergist.

dez11de @Novacitus • 24 januari 2020 14:32

Google heeft boetes gekregen voor het misbruiken van hun monopolie en voor onduidelijke gebruiksvoorwaarden richting consumenten.

dez11de @Novacitus • 24 januari 2020 14:55

Het enige waar ik volgens mij niet op reageer is je opmerking dat er lekken zijn geweest, want dat leek me niet relevant. Getuige het artikel kleven zulke risico’s ook aan het zelf runnen van je infra.
Ik denk dat je vooral meeloopt met de Google-slecht kudde.

dez11de @Novacitus • 24 januari 2020 13:41

Heeft Google wel eens gegevens verkocht?

Novacitus @dez11de • 24 januari 2020 14:01

Is dit een serieuze vraag of?

dez11de @Novacitus • 24 januari 2020 14:30

Ja geef eens een voorbeeld waarbij Google bestanden van klanten heeft verkocht.

xorpd @dez11de • 24 januari 2020 14:44

Google is een front voor de NSA, nee dus

Bellamy @Novacitus • 24 januari 2020 17:08

Helemaal mee eens. Net als dropbox (is al een keer gehacked) gewoon je eigen cloud maken of offline backup (heeft mijn voorkeur) ik gebruik zelf 2 usb sticks (1 voor redundancy)

OxWax @Novacitus • 24 januari 2020 19:20

"jouw" ...

BCGraaf @Novacitus • 24 januari 2020 22:27

Volgens mij is het verdien model van Google juist om jou gegevens zo goed mogelijk te beschermen voor andere partijen, zodat zij jou profiel (Man 28, houdt van rode auto’s met grote koplampen en vierkante wielen) kunnen doorverkopen.

LA-384 24 januari 2020 12:52

Lees ik het goed dat de aanvallers zelf komen vertellen wat ze gedaan hebben en de vraag stellen wat de uni gaat doen om het in de toekomst te voorkomen?

Is dat niet een beetje raar?

dez11de @LA-384 • 24 januari 2020 13:41

Ik denk niet dat je dat goed leest.

OxWax @LA-384 • 24 januari 2020 19:22

Lees ik het goed dat de aanvallers zelf komen vertellen wat ze gedaan hebben en de vraag stellen wat de uni gaat doen om het in de toekomst te voorkomen?

Is dat niet een beetje raar?

Waar leest u dat exact (buiten uw fantasie?

)

LA-384 @OxWax • 24 januari 2020 19:41

Ik viel over het woord "organisatie" na de zin met het woord "ransomwaregroepering". Ergens legde ik een link

Zenomyscus 24 januari 2020 12:48

MijnHostingPartner had vorig jaar exact hetzelfde. Zij hebben echter geen losgeld betaalt en de klanten waren de pineut, want 'overmacht'. Verder werd er gezegd: had je zelf maar backups moeten hebben. Hoewel ze daar gelijk in hebben, blijft het naar dat hun eigen backups ook verpest waren. Ik hoop dat ze hun les geleerd hebben en dit niet nog eens gebeurd.

Sluuut 24 januari 2020 12:49

Ik ben erg benieuwd welke backup oplossing ze dan hadden draaien.

B-Real 24 januari 2020 13:59

Wat ik mij, als niet-IT'er, afvraag is het kwaad ook echt geschied na betalen?

Men is geholpen door de daders, heeft de universiteit dan alles weer terug? Is het lek gedicht en alle ransomware ook daadwerkelijk verwijderd?

En ja, ik snap dat men in dit geval weinig keuze had anders dan betalen en hopen dat ze geholpen werden maar een antwoord op bovenstaand heb ik nog niet (letterlijk) gelezen.

n9iels

@B-Real • 24 januari 2020 16:06

Gezien de uni nu weer redelijk operationeel is denk ik dat ze de data ook weer netjes terug hebben. Een ransomware campagne heeft, hoe stom het ook klinkt, enorm veel baat bij een goede klanten service. Als na het betalen de bestanden niet ontsleuteld worden gaat niemand dat doen, dus in veel gevallen houden ze zich wat dat betreft een hun woord.

Of het lek daarna is gedicht kan niemand van buitenaf zeggen. Maar het is te hopen dat ze voordat alles weer online kwam even hebben uitgezocht waar het exact fout is gegaan.

OxWax @B-Real • 24 januari 2020 19:19

Wat ik mij, als niet-IT'er, afvraag is het kwaad ook echt geschied na betalen?

Het 'kwaad is geschied' VOOR de betaling, anders hoefde men toch nergens voor te betalen?

Op dit item kan niet meer gereageerd worden.

'Ransomware infecteerde ook back-upserver van Universiteit Maastricht'

Lees meer

Reacties (218)

Sorteer op:

Weergave: