HvA en UvA: aanvallers hebben versleutelde wachtwoorden gestolen

De aanvallers die vorige week de Hogeschool en Universiteit van Amsterdam hackten, hebben daarbij versleutelde wachtwoorden gestolen. Hoe de wachtwoorden waren versleuteld, is niet bekend. De instellingen raden leerlingen en medewerkers aan wachtwoorden te veranderen.

Beide onderwijsinstellingen kwamen er dinsdag achter dat de hackers de wachtwoorden hadden gestolen, zegt een HvA-woordvoerder tegen NU.nl. Het is niet duidelijk hoeveel wachtwoorden er zijn buitgemaakt. De honderdduizend studenten en medewerkers van de instellingen worden vanaf dinsdag bericht over de buitgemaakte wachtwoorden. Het versturen van de mail gaat batchgewijs. In die e-mail worden ze aangeraden om hun wachtwoord te veranderen. Hoewel de UvA niet zegt om wat voor versleuteling het gaat, zegt de universiteit wel dat hackers misbruik van de wachtwoorden zouden kunnen maken.

De universiteit en hogeschool maakten vorige week woensdag voor het eerst melding over de cyberaanval. De maandag daarvoor zagen ze voor het eerst verdachte activiteit op de gedeelde computersystemen van de onderwijsinstellingen. Vermoedelijk gaat het om een poging tot een ransomware-aanval, zeggen de instellingen nu. Dit baseert de cyberbeveiligingsafdeling op gevonden sporen, zoals de backdoor die de hackers gebruikten, zegt een woordvoerder van de HvA tegen Tweakers. Om welke backdoor of ransomware het gaat, wil de beveiligingsafdeling nog niet zeggen.

Het onderzoek van de instellingen loopt nog; de onderwijsinstellingen zeggen dat nog niet alle servers zijn doorzocht. De cyberbeveiligingsafdeling wil zolang het onderzoek loopt weinig details geven over de aanval. Wel zei deze eerder dat het om professionele hackers gaat die uit waren op financieel gewin.

De instellingen waarschuwen daarnaast voor criminelen die phishingmails naar studenten en medewerkers sturen. Deze aanvallers, die voor zover bekend los staan van de hackers achter de cyberaanval, zouden misbruik maken van de ransomware-poging. Het onderwijs aan de hogeschool en universiteit gaat door zoals gepland. Studenten kunnen wel hinder ondervinden van systemen die vanwege het onderzoek zijn uitgeschakeld.

Reacties (80)

j129828 23 februari 2021 19:11

Hierbij ook even noteren is dat de huidige wachtwoorden zullen vervallen binnenkort. Wanneer dit exact is komt later meer informatie.

RaymonB @j129828 • 23 februari 2021 19:48

Mail vanuit HvA, UvA;

Waarschijnlijk heb je gelezen dat de HvA en de UvA doelwit zijn van een cyberaanval. Er wordt heel hard gewerkt om de aanval af te slaan. We monitoren alle ict-systemen nauwkeurig en zijn hard bezig deze op te schonen. Uit onderzoek is gebleken dat de hackers de beschikking hebben over de versleutelde wachtwoorden. Ondanks de versleuteling zouden hackers daar misbruik van kunnen maken. Daarom moet iedereen uit voorzorg het UvA/HvA wachtwoord wijzigen. Doe dat zo snel mogelijk. De huidige wachtwoorden vervallen binnenkort. Nadere informatie hierover volgt in de loop van de week.

kodak

Hack
Cybercrime
Beveiliging en antivirus
Ransomware
Hackers

@j129828 • 23 februari 2021 19:42

Dat staat niet in het bericht op de website van de UvA / HvA en ook niet in het nieuws van nu.nl. Waarop baseer je dan dat wachtwoorden binnenkort zullen vervallen?

dylan111111 @kodak • 23 februari 2021 20:47

De wachtwoordregeling van de HvA schrijft voor dat alle studenten en medewerkers jaarlijks hun HvA-ID-wachtwoord wijzigen om veilig digitaal te kunnen werken. Zorg er dus voor dat je vóór donderdag 4 maart 2021 je wachtwoord hebt gewijzigd. Indien je je wachtwoord niet op tijd wijzigt, heb je vanaf donderdag 4 maart 2021 geen toegang meer tot de systemen van de HvA.

Dit staat in een mail die op 21-1-2021 is ontvangen. Dit staat los van deze cyberaanval.

RobbieB @dylan111111 • 23 februari 2021 22:59

Ah ja. Dan gaat iedereen van Uva2020! naar Uva2021!

Wachtwoord periodiek wijzigen is echt niet meer van deze tijd voor gebruikersaccounts. (HPA of PAW accounts is een ander verhaal, maar daar zouden sowieso veel striktere eisen aan moeten zitten).

Enige reden om te wijzigen is bij mogelijke verdenking van een breach, wat nu het geval is, maar dan is het advies weer om dat direct te doen en te forceren.

Het blijft speculeren wat er gebeurd is, maar het komt allemaal erg halfbakken over.. (zie ook mijn reactie verderop: RobbieB in 'nieuws: HvA en UvA: aanvallers hebben versleutelde wachtwoorden g...)

Daoka @RobbieB • 23 februari 2021 23:55

Waarom zou het niet meer van deze tijd zijn? Er zijn nog genoeg redenen te bedenken waarom dit nog wel handig is. Genoeg mensen kunnen hun wachtwoord niet onthouden en schrijven dit op. Dit kan door andere gelezen zijn ondertussen. Apps die de klembord kunnen aflezen waar jij je wachtwoord heb gekopieerd omdat je niet wou typen, keyloggers die een keer je wachtwoord verstuurd heeft. Ja genoeg sites hebben wel een 2fa maar niet iedereen heeft dit aan staan natuurlijk. Ook hebben de meeste mensen in mijn omgeving nig nooit gehoord van pasword manager apps. Die gebruiken overal dezelfde wachtwoord gewoon.

rept @Daoka • 24 februari 2021 01:41

Er werd lang gedacht dat het veiliger is om wachtwoorden geforceerd te laten vervallen. Daar is men intussen al wel even van teruggekomen. Daarom dus: niet meer van deze tijd.

Lees de NIST guidelines er maar op na.

'Remove periodic password change requirements
There have been multiple studies that have shown requiring frequent password changes to actually be counterproductive to good password security, but the industry has doggedly held on to the practice. Hopefully, these new recommendations will change that.'

Meer info:
https://securityboulevard...-periodic-password-reset/

[Reactie gewijzigd door rept op 23 juli 2024 23:21]

MijnKijk @rept • 24 februari 2021 07:16

Dit gaat alleen op als je MFA hebt en zoals in een eerder bericht staat heeft nog niet alles (wereldwijd gezien) MFA.

Slechte zaak? Het is geen gewenste situatie, maar het gaat dus te kort door de bocht om NIST koud te citeren.

Dillex @rept • 24 februari 2021 15:39

Hiervoor zul je naar mijn idee wel eerst een fatsoenlijk password policy in place moet hebben i.c.m. MFA.
Ofwel tenminste 20 karakter passwords met een bepaalde complexiteit (password zinnen), aparte beheeraccounts met een tiering model, zoveel mogelijk SSO etc.

En dan blijft het alsnog tricky naar mijn mening om passwords nooit te laten expiren. Ik kan je uit ervaring vertellen dat men zijn/haar super sterke wachtwoord zin ook gewoon gebruikt voor het shoppen bij de Bijenkorf en als je password daar gekraakt wordt heb je dus al een credential leak. Dan dekt MFA nog heel veel af, maar zelfs dan ken ik gevallen waarbij de gebruiker gewoon op approve klikt op zijn telefoon.

OuweDorper @Daoka • 24 februari 2021 14:52

Mensen schrijven de wachtwoorden op omdat ze ze niet kunnen onthouden. Ze kunnen ze niet onthouden omdat ze elke 4 maanden een nieuw wachtwoord moeten kiezen.
Een betere oplossing is daarom om een enkele keer een sterk wachtwoord te verzinnen, en die dan niet te laten verlopen.

Daoka @OuweDorper • 24 februari 2021 16:56

Daarom moet het wachtwoord ook iets zijn wat ja makkelijk en snel onthoudt maar niet kort. Zoals voor mijn bedrijf toen we overgingen naar een nieuw systeem moest ik de gebruikers aanmaken en de wachtwoorden al invullen. Nu had ik "Fjgt6j@tGo&" bijvoorbeeld kunmen intypen maar ik verzon speciale wachtwoorden. Iemand zei tegen mij van vandaag hebben we een mooie lekkere zon en de ander had het over mooie groene bladeren. Dus voor hun waren de wachtwoord Gelezon7+ en Bladergroen2%(uiteraard zijn dit alleen voorbeelden). En ook al zijn die wachtwoord vervangen ze kenden deze wachtwoorden nog steeds. Dus mensen kunnen het onthouden mits er maar een leuk idee achter zit maar wel op een veilige manier. Dus geen namen van jezelf, familie of huisdieren bijvoorbeeld. Maar kijk naar je hobby bijvoorbeeld en pak daar een woord uit. Heb je iets met auto's dan doe je niet auto zelf of een merknaam maar pak dan bijvoorbeeld rondewielen of autosleutels.Of kies iets wat je dagelijks gebruik. Reis je met de bus dan bijvoorbeeld iets van bushalte. Of iets wat je ziet in je kantoor wat niet zo persoonlijk is, paperclip, pauze1015 (kwart over 10 pauze dus). Of pak een boek die je op je kantoor heb, dan pagina 30 en de eerste lange woord. Dan hoef je niets op te schrijven en kan je het snel terug vinden. Uiteraard wel allemaal met cijfer, hoofdletter en/of leesteken erbij. Ik vermoed dat wachtwoord onthouden dan een stukje makkelijker is.

Of een password manager op de telefoon. Hoeven ze maar 1 wachtwoord te onthouden. En toch is de computer veiliger.

Wel zeg ik dat gebruikers sommige dingen moeten leren en sommige dingen verbieden (waarbij meerdere overtredingen rede is voor ontslag). Dingen als password manager gebruiken. Of opschrijven mag maar dan niet bewaren bij de computer. Doe hem dan bijvoorbeeld bewaren in je binnenzak.

Dus ja ik geloof zeker dat mensen het onveilig maken. Maar gewoon dezelfde wachtwoord blijven gebruiken klinkt mij ook niet veilig. Vooral niet met keyloggers en klembord lezers. En ook niet als de wachtwoord vinger voor vinger getypt wordt en dus simpel meegelezen kan worden. En ja ik ken mensen die 1 vinger gebruiken om te typen.

PageFault @Daoka • 24 februari 2021 00:11

Er zijn meer sites zonder mfa dan met, helaas

zkarsnik @kodak • 23 februari 2021 19:58

Staat in een mail die studenten hebben ontvangen.

Rinzwind @j129828 • 24 februari 2021 04:03

Misschien moeten ze eens naar oplossingen als ActivePasswords kijken om hun wachtwoordbeleid te moderniseren. Geforceerd wachtwoord wijzigen werkt averechts. In dit geval natuurlijk wel nodig.

peize9 24 februari 2021 04:32

Betekent versleuteld niet dat de wachtwoorden dus encrypted waren, en dus niet gehasht, zoals bij Adobe destijds? Dat zal wel erg nalatig zijn...

stuffie123 @peize9 • 25 februari 2021 07:21

Ze zullen wel gehasht bedoelen. Als je wachtwoorden versleuteld opslaat ben je niet slim bezig.

peize9 @stuffie123 • 25 februari 2021 09:00

Als je wachtwoorden versleutelt opslaat dan mag je wat mij betreft direct een gigantische boete hebben... het kan in 2021 niet dat er nog iemand encryption gebruikt... zelfde geld voor SHA1 en md5.

Horatius 23 februari 2021 19:03

"raden aan om de wachtwoorden te veranderen".

Waarom raden aan? Forceer het gewoon om het wachtwoord te resetten, ik weet dat sommige universiteiten al een jaarlijks nieuw wachtwoord vereisen. Dan zou dit ook niet zo lastig moeten zijn.
Als je iets zoals dit wilt van studenten zul je het moeten forceren, met vriendelijk vragen kom je niet ver.

nextware @Horatius • 23 februari 2021 19:07

"Jaarlijks een nieuw wachtwoord vereisen".. Waarom niet gewoon iedere 60 of 90 dagen ? Waarom geen MFA/2FA authenticatie?

Dit lijken mij toch de minst te nemen maatregelen in een poging je IT omgeving veilig te houden.

runi215 @nextware • 23 februari 2021 22:18

Dat gaat niet werken bij de HvA, want je moet kunnen inloggen op een PC van de HvA om je tentamens te maken (althans, dat is zo bij mijn opleiding). Dus je moet een wachtwoord kiezen wat je kan onthouden, want je mag je telefoon niet meenemen de zaal in.

Daoka @runi215 • 24 februari 2021 00:02

Papiertje waar je wachtwoord op staat zou nog een mogelijkheid zijn. Of een beheerder erbij die op dat moment je wachtwoord kan resetten, of dat de wachtwoord voor iedereen op tentamen dag wordt aangepast waar je de wachtwoord daar krijgt om in te loggen. Dan hoef je niets te onthouden.

j129828 @nextware • 23 februari 2021 19:09

Een reden waarom constant een nieuw wachtwoord is dat mensen dan heel vaak variaties op een wachtwoord gaan doen om te voorkomen dat ze steeds een nieuw wachtwoord moeten onthouden:
HalloVeilig123 ---> HalloVeilig321 etc...

nextware @j129828 • 23 februari 2021 19:13

Dus dat is een reden om maar niet je wachtwoord te hoeven wijzigen? Dat is toch een kwestie van bepaalde policies instellen dat (delen van) wachtwoorden niet gebruikt mogen worden in de nieuwe wachtwoorden?

Blokker_1999

Hackers
Ransomware
Hack
Beveiliging en antivirus

@nextware • 23 februari 2021 19:36

Wachtwoorden zijn achterhaald, daar is de security wereld stilaan wel achter. Hoe meer beperkingen je oplegt, hoe minder het de gemiddelde gebruiker interesseert om nog een goed wachtwoord te voeren. Een goed wachtwoord dat niet veranderd wordt vandaag als beter aanzien dan een slecht, voorspelbaar wachtwoord dat elke 2 a 3 maanden moet veranderd worden.

De toekosmt zal evenwel wachtwoordloos zijn. Security devices zullen deze stilaan gaan vervangen. Een app op je telefoon bijvoorbeeld. Dan heb je direct MFA: something you have (je telefoon) en something you know (pincode/pattern) of someone you are (biometrics).

Stromboli @Blokker_1999 • 23 februari 2021 21:23

Wachtwoorden zijn helemaal niet achterhaald, wachtwoorden verzonnen en onthouden door mensen zijn achterhaald.

De meeste niet-digibete serieuze gebruikers hebben al sinds jaar en dag een password manager, daarmee is het probleem opgelost.

Daarnaast wil ik niet per se afhankelijk zijn van een telefoon om ergens in te loggen. En bovendien als ik het dan juist op mijn telefoon wil doen is het 2FA aspect weg. Een fysiek security device lijkt me ook erg onhandig want dat moet je dan altijd bij je hebben als je ergens wilt kunnen inloggen.

Biometrics tenslotte, dat mag nooit als password dienen want dat kun je niet veranderen.

pverrips @Stromboli • 24 februari 2021 06:13

Ik heb het idee dat er iets meer uitleg nodig is bij je post.

Even on topic: als ik wachtwoorden door Firefox laat bedenken, zijn dat wachtwoorden die ik zelf niet makkelijk onthoud. Hoe doe je dat bij een tentamen op HvA of UvA. Ik ga er vanuit dat je passwordmanager bij inlog voor een tentamen ook niet beschikbaar is.

Verder: jouw alinea over de telefoon volg ik niet. Kun je vormen van 2FA noemen die niet afhankelijk zijn van biometrie, een smartphone of een andere fysieke security device?

Stromboli @pverrips • 24 februari 2021 11:09

als ik wachtwoorden door Firefox laat bedenken, zijn dat wachtwoorden die ik zelf niet makkelijk onthoud.

Klopt, dat is ook eigenlijk de bedoeling, wachtwoorden die je zelf kunt onthouden zijn vaak te zwak.

Hoe doe je dat bij een tentamen op HvA of UvA. Ik ga er vanuit dat je passwordmanager bij inlog voor een tentamen ook niet beschikbaar is.

Ah ok, ja dat is wel een uitzonderingssituatie. Ik ben gewend dat je altijd wel je telefoon of laptop bij de hand hebt, want waarop of waarmee zou je anders inloggen.

Er zijn trouwens ook online wachtwoord managers, dus die kun je ook vanaf iedere andere computer gebruiken.

Verder: jouw alinea over de telefoon volg ik niet. Kun je vormen van 2FA noemen die niet afhankelijk zijn van biometrie, een smartphone of een andere fysieke security device?

Een HOTP zoals bijvoorbeeld Google Authenticator (al zou ik een andere client nemen dan die van Google).

Dat is een softwarematig iets dat op ieder apparaat kan. Dus je bent niet afhankelijk van één specifiek security device.

En wat ik soms ook doe (waarmee in theorie een stukje van het veiligheidsvoordeel verloren gaat, maar toch) is in KeePassXC zowel mijn password als HOTP 2FA opslaan. Of TOTP zoals het eigenlijk heet in dat geval, want time based. Dus ik voer het wachtwoord vanuit KeePassXC in en ik genereer de 2FA code ook.

Dat is in zoverre nog steeds veiliger dan alleen een wachtwoord want die 2FA code is maar één keer bruikbaar. Dus de 2FA is dat ik de secret key heb, zonder die te delen of ergens in te vullen of te versturen.

ari @Stromboli • 24 februari 2021 13:49

Er zijn trouwens ook online wachtwoord managers, dus die kun je ook vanaf iedere andere computer gebruiken.

Totdat je in een 'digitale' examenzaal zit waarbij je je telefoon vooraf in een kluis moet doen en de computer in de tafel ingebouwd is met kiosk-modus aan. Je kunt letterlijk alleen je gebruikersnaam en wachtwoord intypen, that's it.

Met die gedachte houd ik twee wachtwoorden (plus dat van m'n wachtwoordmanager) buiten m'n wachtwoordmanager: m'n wachtwoord voor werk en m'n wachtwoord voor persoonlijke e-mail. En buiten de applicaties waarvoor werk 2FA niet toestaat, staat dat netjes overal aan.

Stromboli @ari • 24 februari 2021 22:50

Totdat je in een 'digitale' examenzaal zit waarbij je je telefoon vooraf in een kluis moet doen en de computer in de tafel ingebouwd is met kiosk-modus aan. Je kunt letterlijk alleen je gebruikersnaam en wachtwoord intypen, that's it.

OK, ja dat is ook wel echt een onhandige uitzonderingssituatie. En zwaar kut wat betreft security, want hiermee moedig je mensen bijna aan om slechte ('makkelijke') wachtwoorden te gebruiken.

Maar inderdaad, dan zit er niks anders op dan voor die toepassing toch zelf een wachtwoord te onthouden.

ari @Stromboli • 25 februari 2021 13:50

Het zou natuurlijk nog anders kunnen, dat je je ergens aanmeldt bij een balie voor identificatie en dan een geprint bonnetje krijgt met inlogcodes voor het tentamen. Of dat je je bij de computer aanmeldt met de RFID-chip in de collegekaart, net als bij veel printers in bedrijven/scholen gebruikelijk is. Maar voorlopig is dat nog niet zo, vandaar dat ik bepaalde wachtwoorden buiten de manager houd.

ijdod

@Blokker_1999 • 24 februari 2021 21:17

Lange wachtwoorden die vaak moeten wisselen resulteert in een toename van het gebruik van post-it briefjes

RGAT @nextware • 23 februari 2021 19:24

Dat is een kwestie van een wedstrijdje tussen hoeveel policies de systeembeheerder kan en wil instellen vs hoe creatief de gebruikers zijn.
Zodra je >0 gebruikers hebt zullen ze een manier vinden om gemakkelijker wachtwoorden te onthouden, de slimste methode zou het gebruiken van een wachtwoordmanager zijn maar genoeg gebruikers zullen een manier vinden.
In het slechtste geval heb je een perfecte policy waardoor wachtwoorden uniek, sterk en veilig moeten zijn om na max. 90 dagen bijv. te worden vervangen. Dan zie je vervolgens de meeste gebruikers een zelfklevende post-it op hun scherm plakken met de wachtwoorden...
Dan weer een nieuwe policy daarvoor en dan zetten de gebruikers het in een briefje in de la...
Nieuwe policy tegen wachtwoorden op papier in de la en nu schrijven gebruikers het op in hun telefoon...

Het is wel heel simplistisch om te denken menselijk gedrag buiten spel te kunnen zetten met wat policies

sampoo @RGAT • 23 februari 2021 20:16

Je moet je ook afvragen of met policies een sterk wachtwoord forceren in alle gevallen wel noodzakelijk is. Het gaat er uiteindelijk om hoe belangrijk de data is dat met het wachtwoord wordt beveiligd en wat het risico is voor de gebruiker en het systeem als dat gehackt zou worden. Het veiligheidsbeleid moet niet vervallen in een vorm van fetisjisme.

Ik moest bij een account om een bug te kunnen melden de meest ingewikkelde wachtwoord bedenken en ook een captcha oplossen tijdens het versturen van de bugmelding. Ik zie echt niet in waarom ik in zo'n situatie "Veilig123" niet als wachtwoord had mogen gebruiken. Voor het spammen moet de hacker door de captcha heen en een eigen account aanmaken is makkelijker dan mijn account proberen te hacken. Het enige risico dat ik zou lopen is dat het door mij gebruikte e-mailadres wordt bemachtigd, maar als dat spamhier581@hotmail.com is geweest dan is er niet veel aan de hand.

[Reactie gewijzigd door sampoo op 23 juli 2024 23:21]

j129828 @nextware • 23 februari 2021 19:21

Daarvoor moet je oude wachtwoorden opslaan wat een heel slecht idee is. Het beste wat je kunt doen is het vergelijken met hashes van oude wachtwoorden om te voorkomen dat je die hergebruikt.

Celebithil @nextware • 23 februari 2021 20:08

In mijn tijd op de UvA was er wel een wachtwoordaanpas-policy elk jaar (of zo), maar op de Solaris machines waar ik op werkte werd alleen de eerste 8 tekens van het wachtwoord bekeken. Dus ik veranderde altijd alleen de tekens na de eerste 8: Geen last meer van steeds wat nieuws moeten onthouden :-).

Sendy @j129828 • 23 februari 2021 20:27

Een andere reden is dat er soms het wachtwoord getypt wordt op de plaats van de username. Dan kan dat wachtwoord in de logs terechtkomen. En dan heb je niets aan een supersterk wachtwoord dat je nooit hoeft te veranderen.

CreatiXx @nextware • 23 februari 2021 19:11

Zeer simpel, Microsoft zelf raad aan dit niet meer iedere 60 of 90 dagen te pushen bij je users om een wel vrij goede reden imo.

Wanneer je mensen pushed hiervoor gaat het merendeel gewoon een variant kiezen van zijn voorgaant wachtwoord, okay je hebt opties om dat toch een beetje te voorkomen maar toch zullen mensen dit blijven proberen. Dit zorgt ervoor dat mensen sneller gaan kiezen voor een simpel wachtwoord dan een "complex" wachtwoord.

MS raadt aan je users eventueel ieder jaar een nieuw pasw. te doen verzinnen maar om dan wel in eens de complexiteit te verhogen, je users gaan hier sneller in mee omdat ze dan maar ieder jaar een ander pasw dienen te onthouden.

The Zep Man

Beveiliging en antivirus
Hackers

@nextware • 23 februari 2021 19:12

Waarom niet gewoon iedere 60 of 90 dagen ?

Omdat niet is aangetoond dat regelmatig wachtwoorden wijzigen zorgt voor meer beveiliging. Integendeel, het beïnvloed beschikbaarheid negatief, wat ook een (vaak vergeten) pilaar is van informatiebeveiliging. De nieuwste NIST richtlijnen adviseren zelfs om wachtwoorden niet meer te vernieuwen:

The organization explains the reset periods have proven more detrimental than constructive. As users struggle to drum up countless creative, strong new passwords each month, they end up creating weaker passwords. Password strength should be about quality, not quantity—one excellent password is better than 10 new, mediocre ones.

Ja, ik weet waar die link heen linkt. Het was de makkelijkste samenvatting die ik zo snel even kon vinden.

Een direct citaat uit NIST SP800-63B:

Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.

Dus in dit geval zouden de HvA en UvA dat wel moeten forceren. Normaliter echter niet.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 23:21]

CAPSLOCK2000

Beveiliging en antivirus
Hack
Cybercrime
Ransomware

@The Zep Man • 25 februari 2021 14:37

De nieuwste NIST richtlijnen[/url] adviseren zelfs om wachtwoorden niet meer te vernieuwen:

Dat is een misverstand.

De richtlijn is om mensen niet te dwingen om hun wachtwoord te veranderen.

Het probleem is de dwang, niet het veranderen.
Als mensen zich gedwongen voelen dan gaan ze namelijk tegenwerken, zo primitief zijn we wel.
Als mensen zelf de behoefte voelen om hun wachtwoord te veranderen dan is dat alleen maar goed.

Deze richtlijn kun je ook niet op zichzelf zien. Deze adviezen hangen allemaal samen. Je mag niet de conclusie trekken dat je automatisch beter af bent als je alleen de eisen aan wachtwoorden schrapt en verder alles laat werken zoals het in 1995 was. Zo is tegenwoordig (bijvoorbeeld) de verwachting dat je MFA gebruikt en dat je brute-force aanvallen kan detecteren en blokkeren en dus niet meer volledig afhankelijk bent van een "moeilijk" wachtwoord.

Een mooi voorbeeld is onze pinpas. Het "wachtwoord" is een pincode van 4 cijfers die jarenlang hetzelfde blijft. Dat werkt omdat er ook nog een andere vormen van beveiliging zijn. Zo heb je ook de pinpas nodig en wordt deze automatisch geblokkeerd (of zelfs ingenomen) als je te vaak een verkeerde pincode invoert.

Anoniem: 310408 @nextware • 23 februari 2021 19:17

"Jaarlijks een nieuw wachtwoord vereisen".. Waarom niet gewoon iedere 60 of 90 dagen ?

Beveiliging gaat over het beschermen van de passwords. Als je beveiliging vraagt elke week een nieuw password te kiezen weet ik al dat de beveliging niet op orde is (en dat er heel veel helpdesk medewerkers en boze gebruikers zijn).

kodak

Hack
Cybercrime
Beveiliging en antivirus
Ransomware
Hackers

@Anoniem: 310408 • 23 februari 2021 22:35

Beveiliging gaat over beperken van mogelijke risico's. Je kan daarbij niet zomaar stellen dat als een beveiliging je niet bevalt het dus bij de bedenker niet op orde is. Beveiliging bestaat ook om risico's die anderen veroorzaken.

Veel mensen gebruiken kennelijk op verschillende plaatsen op internet dezelfde wachtwoorden, zonder dat duidelijk is of die wel veilig bewaard worden. Lekt het bij een slecht beveiligde omgeving dan krijg je het daarbij ook niet altijd op tijd te horen (als je het al te weten komt). Je kan er dus maar beter rekening mee houden dat wachtwoorden hoe dan ook vaak uitgeprobeerd worden waar, zelfs als je de wachtwoorden van je gebruikers wel goed tegen lekken beveiligd.

Natuurlijk kan je dan zeggen dat er ook andere manieren van beveiligen zijn, zoals 2FA maar ook dat wil nog niet zeggen dat de bescherming niet op orde is.

GekkePrutser @Horatius • 23 februari 2021 19:16

Inderdaad.. Ik ben tegen het X aantal dagen vervangen maar na een breach is het natuurlijk absoluut noodzakelijk. Immers ligt het huidige wachtwoord op straat dus dat kan je niet blijven gebruiken.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 23:21]

DvanRaai89 @Horatius • 23 februari 2021 19:08

Niet iedereen gebruik een sterk en uniek wachtwoor voor elke website. Aangezien deze wachtwoorden niet willekeurig gesalt zijn zouden accounts op andere websites mogelijk in gevaar komen. Hoe wil jij een wachtwoord reset op een andere website forceren?

Anoniem: 310408 @DvanRaai89 • 23 februari 2021 19:13

Is dat een retorische vraag? Als dat niet het geval is is het een vrij nutteloze vraag omdat iedere tweaker weet dat dat niet kan.

Horatius @DvanRaai89 • 23 februari 2021 19:40

De verantwoordelijkheid van de HvA en UvA ligt bij de HvA en UvA, die andere locaties kunnen hun beveiliging een worst wezen.
Als het wachtwoord op hun platformen worden gewijzigd zijn zij safe.

kodak

Hack
Cybercrime
Beveiliging en antivirus
Ransomware
Hackers

@DvanRaai89 • 23 februari 2021 20:06

De versleutelde wachtwoorden die gestolen zijn gaan over de Universiteit van Amsterdam en Hogeschool van Amsterdam. Daar de wachtwoorden resetten heeft niet zomaar extra risico voor andere diensten als medewerkers of studenten geen unieke wachtwoorden gebruiken. Natuurlijk is het wel een risico dat door een reset eventueel geraden wachtwoorden nog steeds ergens anders uitgeprobeerd kunnen worden, maar dat risico was er hoe dan ook al bij lekken.

nullbyte @Horatius • 24 februari 2021 14:22

Jaarlijks zeg je? Toe maar... toe maar...

keverjeroen 23 februari 2021 19:18

Ben erg benieuwd hoe ze nu precies weten wat er door de hackers 'gestolen' is..

BytePhantomX @keverjeroen • 23 februari 2021 19:50

Mogelijk hebben de hackers een dump gemaakt van de Active Directory database of op een andere manier domain accounts en wachtwoord hashes gedumpt. Die sporen zijn vaak te zien omdat ze ergens een bestand creëeren met alle accounts en hashes.

Zoals bekend zijn AD hashes van 8 karakters redelijk snel te kraken. Helemaal als je rainbow tables gaat gebruiken.

Een wachtwoord reset van iedereen is extra belangrijk omdat elk account mogelijk weer toegang geeft tot het netwerk voor de aanvallers.

RobbieB @BytePhantomX • 23 februari 2021 20:12

Dit, maar ik snap daarom niet dat ze de reset nog niet hebben doorgevoerd. Bij een AD breach telt elke seconde. Kans op re-entry is dan groot, zeker bij grote populaties als op een universiteit.

Juiste response hier was geweest om direct bij detectie van AD breach alle wachtwoorden (incl. AD service accounts, krbtgt, etc. te resetten). Hoe langer je daarmee wacht, hoe groter de kans dat ze met legit credentials opnieuw binnen komen waarbij je detectie een stuk lastiger wordt.

Impact is gigantisch, maar enige manier om in het geval van een dergelijke breach zeker te weten dat ze geen credentials kunnen gebruiken. Want je kunt er donder op zeggen dat er een bult aan wachtwoorden in zitten die eenvoudig te achterhalen zijn bij zo’n populatie.

Edit: en zelfs als het géen AD breach zou zijn (alhoewel dat de standaard tactiek van iedere ransomware groep is), dan nog zouden ze niet van een vrijwillige reset uit moeten gaan. De enige reden waarom ik vermoed dat ze dit doen is omdat ze geen goede manier hebben om de credentials veilig te verstrekken. Maar goed, daar kunnen ze in Duitsland over mee praten: https://www.businessinsid...ny-38000-students-2019-12

[Reactie gewijzigd door RobbieB op 23 juli 2024 23:21]

BytePhantomX @RobbieB • 24 februari 2021 08:23

Je wilt juist niet te snel zijn. Ook al hebben ze toegang tot een account zullen ze nog lateraal moeten bewegen door het netwerk. Als ze dat met dezelfde tools doen, worden ze meteen gezien.

Je wilt het pas resetten als je alles weet en het liefst in 1x alle deurtjes voor de aanvallers kan sluiten. Anders blijf je bezig met een soort 'whack a mike's.

RobbieB @BytePhantomX • 24 februari 2021 09:16

Het feit dat ze toegang hebben tot AD én een dump hebben kunnen maken zegt mij dat hun zichtbaarheid in het netwerk echt waardeloos is. Er zijn nogal wat stappen nodig om zover te komen.

En ze hebben niet toegang tot 'een account', maar de hashed ww van alle medewerkers en studenten (en dus waarschijnlijk ook al het IT personeel, administrator accounts, etc.).

Iedere seconde die je nu wacht met een reset is tijd die ze kunnen gebruiken om opnieuw toegang te verkrijgen. En daar hebben ze (door zaken als 'pass the hash') niet eens de daadwerkelijke wachtwoorden voor nodig.

Blokker_1999

Hackers
Ransomware
Hack
Beveiliging en antivirus

@keverjeroen • 23 februari 2021 19:42

Logfiles. Afhankelijk van waar de wachtwoorden stonden opgeslagen is de kans groot dat er gewoon logfiles aanwezig zijn die de transactie van het dumpen van de details van gebruikersaccounts heeft gelogd.

alionfire @Blokker_1999 • 23 februari 2021 20:21

Dan nog weet je het niet 'precies'? Als hackers bij allerlei bestanden konden komen, dan zouden log files mogelijk ook niet betrouwbaar meer zijn, of er wordt gebruik gemaakt van een externe centrale logserver.

Anoniem: 310408 23 februari 2021 19:11

" Hoe de wachtwoorden waren versleuteld, is niet bekend."

Nee, dat is niet bekend bij de pers, laten we aannemen dat de beheerders dat wel weten.

Om verwarring te vermijden lijkt het me dat een tekst als "Hoe de wachtwoorden waren versleuteld is nog niet meegedeelt".

ecoist @WittiW • 24 februari 2021 12:14

"Hva beetje kennende, hebben ze echt geen idee. Zou best plain text kunnen zijn, met 123 als hash..."

Dit klinkt alsof je aan het speculeren bent.

Ik ken de HvA sinds een aantal maanden goed (niet een beetje). Hiervoor heb ik bij 50+ bedrijven in de IT gewerkt, regelmatig op het vlak van IT security. Ten opzichte van die bedrijven heeft de HvA het bovengemiddeld goed op orde.

Authenticatie is keurig gelaagd opgebouwd: afhankelijk van de BIV/CIA classificatie beschermd met steeds verder oplopende middelen tot aan MFA voor iedere sessie met een zeer betrouwbaar hardware middel. Het compromitteren van één middel is voor mij geen probleem gebleken.

De inbraak lijkt op tijd geconstateerd en het werk gaat gewoon door.

Het bericht om het wachtwoord te wijzigen heeft expliciet geen link naar een pagina om dat te doen, met heldere uitleg waarom. HvA IT waarschuwt medewerkers proactief voor phishing mails die wel links bevatten.

Ik zie de IT afdeling keurig volgens best practices werken.

Dat jij wellicht andere ervaringen hebt bij andere instituten, of misschien bij de HvA in een andere tijd, betekent niet dat "de HvA geen idee heeft". Een iets betere onderbouwing van jouw indruk zou je sieren.

Arfman @WittiW • 24 februari 2021 03:00

De HvA heeft verdachte gedragingen gedecteerd, hulp ingeschakeld en kan redelijk goed in beeld brengen wat er gebeurd is. Ondanks dat men nog steeds doorwerken. Ik kan melden dat het dan qua security, processen en beleid dik in orde is daar.

Blaffeh @WittiW • 23 februari 2021 20:25

Wat een absolute kolder verspreid je hier. Ik ga hier geen info prijsgeven over wat daar precies is gebeurd maar dit soort speculatie dient geen enkel doel.

Risce 23 februari 2021 22:08

Ik hoop dat ze verstandig zijn en die lijst ook mailen naar HaveIbeenPwned and dat soort organisaties, anders zullen hoop oud studenten nog raar opkijken dat hun Spotify opeens Spaanse Gitaarmuziek heeft afgespeeld

Clen 23 februari 2021 19:42

Wanneer komt het quantum internet eens een keer naar Europa? Dan zijn we van al dit gedonder af.....

fastbikkel @Clen • 24 februari 2021 10:02

?
Ik weet niet of je quantom computing of iets anders bedoelt, maar er zijn toch altijd manieren om iets te omzeilen of kraken?

Clen @fastbikkel • 25 februari 2021 03:08

In China schijnen ze al een quantum netwerk tussen verschillende steden te hebben. Quantum internet populair gezegd...En dat is onhackbaar! https://www.iflscience.co...-thousands-of-kilometers/

[Reactie gewijzigd door Clen op 23 juli 2024 23:21]

fastbikkel @Clen • 25 februari 2021 17:43

Zet er een quantom computer op en het kan gekraakt worden, ik durf daar echt wel geld op in te zetten.
Het is gewoon een wedloop, of kat en muisspel, hoe je het ook wilt noemen.
Als er iets wordt bedacht om te beveiligen, dan wordt er ook iets bedacht om dit om zeep te helpen.

Nu ben ik niet de expert, maar ik kan me gewoon niet voorstellen dat een computer van vergelijkbare kracht niet zoiets kan kraken.

orvintax 23 februari 2021 20:51

Dus ze zijn er nog niet achter hoe ze het hebben gedaan, maar willen wel al dat je je wachtwoord gaat veranderen ?

Wh4ck0 @orvintax • 24 februari 2021 09:03

is dat zo raar? je hoeft niet te weten HOE een systeem is binnengekomen, als je in je logs rare commando's langs komt, of een SQL query die je database leegtrekt.

orvintax @Wh4ck0 • 24 februari 2021 12:31

Dan doen ze dat dadelijk toch gewoon weer?

Wh4ck0 @orvintax • 24 februari 2021 13:10

Ohja, zo bedoelde ik het niet. Maar vind het niet vreemd dat ze alvast het wachtwoord laten veranderen terwijl ze nog niet weten hoer er precies is binnengedrongen. Maar dan heb je wel gelijk, dan zouden ze weer de nieuwe wachtwoorden hebben.

rob12424 23 februari 2021 21:49

Wat ik mij dus afvraag of dit dezelfde aanvallers zijn als van het NWO. Zou mij niet verbazen als dit zo is.

pverrips 24 februari 2021 06:21

In het artikel staat dat onbekend is hoe de wachtwoorden zijn versleuteld. Ik ga er vanuit dat men bedoeld dat niet is bekend gemaakt hoe.... Bij een stevige versleuteling lijkt mij het stelen van wachtwoorden technisch geen groot probleem.
Moet ik bij zo'n alarmerend bericht dan veronderstellen dat de versleuteling toch niet zo goed is?

Op dit item kan niet meer gereageerd worden.

HvA en UvA: aanvallers hebben versleutelde wachtwoorden gestolen

Lees meer

Reacties (80)

Sorteer op:

Weergave: