TU Eindhoven: hackers op heterdaad betrapt, geen data gestolen of vergrendeld

De Technische Universiteit Eindhoven zegt dat er bij de recente cyberaanval geen data is gestolen of vergrendeld. De hackers zouden 'op heterdaad' zijn betrapt bij de Nederlandse onderwijsinstelling en ze zouden niet zijn binnengekomen in systemen.

De TU/e weet inmiddels hoe de hackers zijn binnengekomen, maar zegt niet hoe dat gebeurde. In een update op de site schrijft de universiteit dat het onderwijs volgens plan maandag weer van start zal gaan, om zo alles een week te kunnen opschuiven. De TU/e heeft bovendien meer beveiligingsmaatregelen ingesteld om herhaling te voorkomen.

Dat er geen data gestolen is, blijkt uit eerste resultaten van het onderzoek, schrijft de universiteit. "Uit de eerste fase van het interne onderzoek naar de cyberaanval, van de TU/e samen met externe experts, blijkt dat detectie en respons goed hebben gewerkt. Uit het onderzoek ontstaat het beeld dat de hackers afgelopen weekend op heterdaad zijn betrapt, en dat erger is voorkomen door het kordate ingrijpen van onze ICT-experts."

De TU/e werd afgelopen zaterdag getroffen door een cyberaanval. Daardoor werden de netwerken van de universiteit afgesloten en werd het onderwijs een week stilgelegd; de campus en gebouwen van de universiteit zijn nog wel toegankelijk. Om wat voor soort aanval het ging en wie erachter zit, is nog niet duidelijk.

Reacties (88)

W00fer 15 januari 2025 20:19

Misschien een keer een groepje alle beveiliging laten testen van ziekenhuizen of universiteiten? Of is dat te duur?

Een organisatie zoals FoxIT zie ik vaak op de zaak komen, NADAT het kalf verdronken is. Ik snap dat een universiteit honderden pc's heeft en mensen ook nog wel eens een prototype en research project aan het web hangen, maar dan nog.

Wouterie @W00fer • 15 januari 2025 21:25

De instellingen zijn er zelf verantwoordelijk voor om dit soort onderzoeken uit te laten voeren en dat wordt ook gedaan. Het is wel vrij lastig want Universiteiten en ziekenhuizen zijn semipubliek toegankelijk. Er zijn ruimtes waar je natuurlijk niet zomaar binnenkomt, maar de meeste gebouwen loop je zo naar binnen en kun je gaan zitten met je laptopje. Kopje koffie erbij en gaan met die banaan. Je vindt allicht een netwerkaansluiting, een wifi netwerkje, een ruimte die niet op slot zit, een rondslingerende laptop, een presentatie PC, een infoscherm etc wat je kunt misbruiken.
Daarnaast is er het digitale aspect dat Universiteiten wereldwijd samenwerken, contacten hebben, data uitwisselen etc. Dus even al het Russische en/of Chinese internetverkeer blokkeren schiet ook niet op. Het blijkt overigens dat die gasten vrolijk gebruik maken van hosting in Nederland, dus daar schiet je sowieso niets mee op.
Dat het wel eens fout gaat zegt niet dat er dus onvoldoende aandacht voor is en de beveiliging een janboel; ze staan wat betreft toegankelijkheid gewoon al met 1 - 0 achter. Ze hebben razend interessante data en moeten zeer open zijn. Dat is een lastige combinatie.

Vandaag was ook SURF de sjaak. Dat ruikt natuurlijk ook aan onderwijsinstellingen. De laatste jaren zien we steeds meer aanvallen op Universiteiten en andere onderwijs- en onderzoeksinstellingen. Je kunt je afvragen hoe handig het dan is dat juist op hoger onderwijs flink bezuinigd wordt. Het CERT budget komt ook uit dat potje.

ABD @Wouterie • 16 januari 2025 06:43

Als toelichting op "SURF ruikt aan" voor wie geen idee heeft wat SURF is; SURF faciliteert IT diensten voor onderwijsinstellingen en onderzoeksinstituten.

daredevil__2000 @ABD • 16 januari 2025 10:47

Ja en nee. SURF is een coöperatie voor onderwijsinstellingen en de onderzoekswereld. Sommige diensten faciliteert SURF maar veel dingen regelen onderwijsinstellingen zelf. SURF faciliteert in zulke gevallen meer de aanbesteding, tegenwoordig ook DPIA's en pentesten en helpt instellingen op weg met informatie sessies.

SURF CERT en SCIRT zijn hele mooie samenwerkingen binnen de SURF coöperatie.

CPV @Wouterie • 15 januari 2025 21:47

Fout haakje.

[Reactie gewijzigd door CPV op 15 januari 2025 21:48]

laurxp @Wouterie • 16 januari 2025 15:03

Het is wel vrij lastig want Universiteiten en ziekenhuizen zijn semipubliek toegankelijk. Er zijn ruimtes waar je natuurlijk niet zomaar binnenkomt, maar de meeste gebouwen loop je zo naar binnen en kun je gaan zitten met je laptopje

Dat zou geen enkel probleem moeten zijn: behandel simpelweg alles als onbetrouwbaar. Hier is bijvoorbeeld 802.1x voor uitgevonden, en er is ook al een tijd een enorme verplaatsing naar een zero trust model. Leuk dat je ergens zomaar kan binnenlopen, maar als een willekeurige ethernetpoort niks meer geeft dan een reguliere externe internetverbinding heb je er weinig aan.

Mathijs1 @W00fer • 15 januari 2025 20:25

Je kan toch niet 100% uitsluiten dat dit gebeurt en ga er maar vanuit dat dergelijke instellingen regelmatig getest worden. Eigenlijk is dit juist een voorbeeld van hoe het goed kan gaan, snelle detectie & response, alleen de impact is natuurlijk wel erg groot. Of dat direct door de hack kwam of juist een containment-keuze was en of die dan in proportie stond tot de dreiging zullen we vast nooit helemaal achter komen.

J_van_Ekris @Mathijs1 • 15 januari 2025 21:15

Of dat direct door de hack kwam of juist een containment-keuze was en of die dan in proportie stond tot de dreiging zullen we vast nooit helemaal achter komen.

Mijn vermoeden is dat maar ten dele technisch is bepaald en dat hier heel bewust gekozen is om heel veel duidelijkheid naar docenten en studenten te bieden door gewoon een week te claimen, vermoedelijk ook wetende dat je de problemen voor die tijd goed opgelost zal hebben. Liever een goed communiceerbare en hele realistische deadline (want tentamens) dan een bewegend doel op kortere termijn wat veel onzekerheden met zich meebrengt.

[Reactie gewijzigd door J_van_Ekris op 15 januari 2025 21:16]

BytePhantomX @Mathijs1 • 15 januari 2025 20:50

Alhoewel een week offline lang is, ben ik juist onder de indruk van hoe ze het gedaan hebben. Een netwerk van een universiteit is heel lastig goed te beveiligen op een manier dat er nooit iemand binnen kan komen. En blijkbaar ze hebben ze detectie en incident response dermate op orde dat ze hele grote schade hebben kunnen voorkomen. Dit is al een flinke stap beter dan de situatie in Maastricht. Niets gestolen, niets versleuteld en niets betaald.

Ambitie voor een volgende keer: iets minder lang offline zijn.

Hopelijk zijn ze net zo transparant als Maastricht destijds zodat iedereen er van kan leren.

[Reactie gewijzigd door BytePhantomX op 15 januari 2025 20:51]

CasGas @BytePhantomX • 15 januari 2025 20:55

Ambitie voor een volgende keer: iets minder lang offline zijn.

Ik denk dat dat niet te voorkomen is, zo te lezen zijn ze langer bezig geweest om te checken of er echt niks gebeurd is. Aan dat soort checks zit simpelweg veel tijd verbonden..

smartsys @CasGas • 16 januari 2025 10:54

Ik deel deze mening.

Ik werk ook voor een IT dienstverlener en wij krijgen ook soms meldingen van iemand die bijv. op een "foute" link in een mail heeft geklikt. Vaak vangt de security software dingen af, maar ook wel eens niet.
Dan moet je dus echt heel goed zoeken om zekerheid te krijgen dat er niet ergens iets "sluimert". Je wilt een machine niet vrijgeven als je echt goede zekerheid hebt of deze veilig is.

Als het één werkplek betreft zet je die in quarantaine en kun je uitgebreid zoeken. Als je dingen hebt gezien waardoor je niet zeker meer kunt zijn dat het bij die ene werkplek is gebleven moet je echt opschalen. Alle systemen die geraakt zijn vanuit de "bron" zijn niet meer te vertrouwen.
Ik snap dus dat ze bij de Uni preventief de boel uitgezet hebben en stap voor stap zijn gaan onderzoeken.

Ik ben wel heel nieuwsgierig naar de oorzaak van de besmetting en welke oplossingen ze allemaal hebben toegepast om dit zo daadkrachtig te kunnen zien en stoppen.

Frame164 @BytePhantomX • 16 januari 2025 00:10

Ik denk dat die ambitie het minst belangrijke aspect is bij deze situaties. Liever kwaliteit dan snelheid.

Jaymz @W00fer • 15 januari 2025 21:02

"Misschien een keer een groepje alle beveiliging laten testen van ziekenhuizen of universiteiten? Of is dat te duur?"

Dat is 'iets' complexer als je nu doet voorkomen

[Reactie gewijzigd door Jaymz op 15 januari 2025 21:03]

3raser @Jaymz • 16 januari 2025 11:14

Vooral het idee dat beveiliging iets statisch is wat gewoon 100% te testen valt is natuurlijk niet waar. Er zijn iedere dag nieuwe beveiligingslekken en je beveiliging is hooguit zo goed als de kennis die je er op dat moment over hebt. Testen op gaten die je niet kent is bijna onmogelijk.

BasHouse @W00fer • 15 januari 2025 20:36

Zoals de cybersecurity madam al zei; Het is een open netwerk en dat moet het ook zijn, anders ben je niet handig bezig op een universiteit. Met heel veel systemen die elk hun kwetsbaarheden kennen. Maar meer aandacht voor cybersecurity .. Ik zeg ja. Zie m'n profiel..

[Reactie gewijzigd door BasHouse op 16 januari 2025 11:45]

M3m3nt0m0r1 @W00fer • 15 januari 2025 21:19

Hoe wil je een zeroday aanval gaan testen? Precies. Niet.

CPV @W00fer • 15 januari 2025 21:48

Je wordt op je wenken bediend:
nieuws: Europa krijgt Cybersecurity Support Centre voor ziekenhuizen en zorgl...

daredevil__2000 @W00fer • 16 januari 2025 10:51

Misschien een keer een groepje alle beveiliging laten testen van ziekenhuizen of universiteiten? Of is dat te duur?

Een organisatie zoals FoxIT zie ik vaak op de zaak komen, NADAT het kalf verdronken is. Ik snap dat een universiteit honderden pc's heeft en mensen ook nog wel eens een prototype en research project aan het web hangen, maar dan nog.

Voor een buitenstaander lijkt dat misschien zo maar binnen onderwijsland wordt er zeer veel gedaan aan beveiliging, pentesten, GRC, detectie & response enz. Hoe en wat precies wordt uiteraard niet heel breed gecommuniceerd aangezien zulke dingen prijsgeven ook een bijdrage levert aan de veiligheid van je infrastructuur. Wanneer ik iets voor onze instelling publiek communiceer is er altijd genoeg afgewogen wat we wel en niet naar buiten communiceren.

Neem vooral eens een kijken op de websites van SURF of die van MBO digitaal en het zal je verbazen hoeveel er al in onderwijsland wordt georganiseerd. Ik denk dat veel onderwijs instellingen het beter doen dan menig bedrijf.

evandijk70 @W00fer • 16 januari 2025 13:12

Dit gebeurt zeker. Ik heb als werknemer/onderzoeker bij een universiteit en een ziekenhuis gewerkt. Om data beschikbaar te maken moet het bijvoorbeeld geupload worden naar een server.Dit kostte altijd veel moeite omdat IT al het dataverkeer dat niet langs de gebruikelijke kanalen gaat streng in de gaten houdt. Een poort laten openzetten in de firewall kostte altijd een paar weken en een hoop bevestigingsmail, juist omdat de beveiliging zo streng is.

Ook eigen hardware aanschaffen was eigenlijk tegen de regels, maar wel nodig om onderzoek te doen naar nieuwe analyse en/of AI. Ook hier was het vaak een gevecht met de IT-afdeling om dit voor elkaar te krijgen, juist vanwege de strenge regels.

shoombak @W00fer • 15 januari 2025 22:11

Dat bestaat al lang, zie TIBER, ART en ZORRO, maar in het onderwijs is er gewoon geen budget voor, of geen prio

Frame164 @shoombak • 16 januari 2025 00:29

En je moet ook kijken of de mitigatiekosten niet hoger zijn dan de mogelijke kosten als het een keer fout gaat.

MrDaViper @Frame164 • 16 januari 2025 08:28

Die "kosten als het een keer fout gaat" zijn hoger dan je denkt.
Enerzijds heb je de kosten zelf aan manuren, inhuren consultants, inhuren clean materieel, .. om alles terug operationeel te krijgen.
Anderzijds heb je dan nog het gezichtsverlies, schade aan het imago van het bedrijf/instelling, de bestuurders/managers, boetes die door EU opgelegd worden als het aantoonbaar is dat je beveiliging zwak of zwaar ondermaats was (tot 10MEur boete), Zeker nu met NIS2.
Bron: tijd.be https://archive.is/BXBbk (non paywall link)

logix147 @W00fer • 16 januari 2025 16:33

Kalf laten verzuipen is goedkoper tot je bedrijfsnaam op het journaal verschijnt is het motto van de gemiddelde CFO - helaas en beetje PR afdeling mod dat wel binnen een jaar terug naar acceptabel niveau.

minetorpia 15 januari 2025 19:51

Nederlandse onderwijsinstelling en ze zouden niet zijn binnengekomen in systemen.

Vervolgens volgende zin

De TU/e weet inmiddels hoe de hackers zijn binnengekomen, maar zegt niet hoe dat gebeurde.

Wat is het nou?

stuffie123 @minetorpia • 15 januari 2025 19:58

Ik vermoed: wel zijn binnengekomen in het netwerk, maar niet zijn binnengekomen in systemen.

killercow @stuffie123 • 15 januari 2025 20:03

netwerken zijn doorgaans niet benaderbaar vanaf buiten, dus zullen ze toch eerst een systeem gecompromitteerd moeten hebben om vanaf daar het netwerk te kunnen benaderen.
As het netwerk wel van buiten benaderbaar is, is het dan wel hacken? en, hoe competent is je netwerk-architectuur dan?

Mellow Jack @killercow • 15 januari 2025 20:30

Vrijwel alle netwerken zijn van buiten benaderbaar en de zwakste schakel is veelal de mens

FREAKJAM @Mellow Jack • 15 januari 2025 21:56

We moeten eens stoppen met het zeggen dat de mens de zwakste schakel is. Als we security awareness en cultuurverandering willen creeeren, moeten we ook stoppen met het zeggen dat de mens de zwakste schakel is. Wat je zegt heeft impact.

Goed leesvoer:
De mens is niet de zwakste schakel in cybersecurity, maar de sterkste
De mens in cybersecurity: lastpak of oplossing?
Een beveiligingsincident is zelden de schuld van één iemand

Mellow Jack @FREAKJAM • 15 januari 2025 23:47

Ik ben het conceptueel met je eens maar niet in de bewoording.

Ik geloof in een blameless cultuur en zou ook niet willen werken bij een werkgever waar dat anders is. In mijn rol voel ik mezelf (gedeeld) verantwoordelijk voor de infrastructuur van mijn werkgever. Duizenden laptops, pc's, netwerken, datacenters etc. Als je praat over een hack is het relatief simpel. Er is een device geïnfecteerd (laptop, server, accesspoint etc). In het geval van een geïnfecteerde laptop. Misschien heeft een gebruiker op een verkeerde link geklikt of is diegene voor de gek gehouden dmv social engineering. Een geïnfecteerde laptop op zichzelf is geen probleem. Als het kwaad kan overstappen naar andere servers / devices / etc dan heb je echt een groot probleem.

Dit nieuws item gaat over een universiteit. Ik kan me zomaar voorstellen dat je praat over honderden IT medewerkers die gezamenlijk toewerken naar een veilige omgeving (voor zo min mogelijk geld). Die omgeving is relatief groot (technische Universiteit). Ieder heeft zo zijn of haar specialisme. Daarnaast heb je tientallen leveranciers en een groep personen die naar het grote geheel kijken (bijv. Management, security, privacy, architectuur etc).

Dit hele proces zit vol met mensen (gelukkig maar). Iedereen doet zn best maar iedereen heeft ook wel eens een slechte dag. De mens is hierin gewoon de zwakste schakel.

Het belangrijkste is dat iemand een fout kan en mag maken. Ik voel me, vanuit infrastructuur perspectief, verantwoordelijk om ervoor te zorgen dat de zwakste schakels beschermd worden voor zichzelf en voor andere. Waarbij we niet moeten vergeten dat een omgeving pas veilig is als het ook gebruiksvriendelijk is. Anders gaat iedereen eromheen werken.

Maar als het toch fout gaat zal ik naar mezelf en mijn omgeving kijken wat ik anders had kunnen doen. ik hoop dat al mijn collegas hetzelfde doen. Daarna asap de focus op wat je ervan kan leren en welke stappen we moeten ondernemen om geopenbaarde risicos te mitigeren

[Reactie gewijzigd door Mellow Jack op 15 januari 2025 23:48]

uiltje @FREAKJAM • 15 januari 2025 22:30

Zelfs als de mens wel de zwakste schakel is: daar kan je maar beperkt wat aan doen. Systemen moeten redelijk foolproof zijn en zo min mogelijk op de medewerker hoeven te leunen.

FREAKJAM @uiltje • 15 januari 2025 22:41

Gelaagde beveiliging, least privilege, zero trust, separation of duties en zo kan ik nog wel doorgaan. Er zijn meer opties dan men denkt. Daarnaast ben ik van mening dat je wel op de mens moet leunen en ze een sterke schakel maakt in het geheel.

[Reactie gewijzigd door FREAKJAM op 15 januari 2025 22:42]

phoenix2149 @Mellow Jack • 16 januari 2025 09:09

Tja, vind het altijd wel makkelijk om de mens (veelal de eindgebruiker) de schuld te geven...

Uiteindelijk weten we allemaal dat we niet 100% nauwkeurige phishing filters zijn, daar moet beveiliging software op inspelen.

Er zijn veel meer schakels waar het fout kan gaan. Als die beveiligings software dan ook al sinds november misbruik wordt wordt het wel weer moeilijker.

Nieuwe hack technieken die zelfs zonder interactie kwetsbaarheden uitbuiten.

mjtdevries @phoenix2149 • 16 januari 2025 11:04

Tja, vind het altijd wel makkelijk om de mens (veelal de eindgebruiker) de schuld te geven...

Ho ho,... stellen dat de mens de zwakste schakel is, is iets heeeeel anders dan de gebruiker de schuld geven.

Als je erkent dat de mens de zwakste schakel is, dan kun je maatregelen nemen om die mens niet meer de zwakste schakel te maken.
Maar als je niet mag zeggen dat de mens de zwakste schakel is, dan worden die maatregelen ook niet genomen.

Dus begin je bij phishing bv met training en software. Maar omdat we weten dat mensen er niet zo goed in zijn. (of eerder dat mensen heel druk zijn en niet 100% van de tijd oplettend kunnen zijn) moet je zorgen dat het ook makkelijker word voor die mens om phishing mails te herkennen.
Veel bedrijven zorgen dat er [EXT] voor het subject van een mail komt als deze van buiten komt.
Maar als de interne nieuwsbrief ook een [EXT] krijgt omdat de marketing afdeling een leuke tool van buiten gebruikt, dan maak je het weer moeilijker voor je eindgebruiker.
Beseffen dat de mens de zwakste schakel is, betekent dan bv dat je gaat voorkomen dat interne mails een [EXT] krijgen. Zodat de eindgebruiker kan vertrouwen op die pre-fix.

Wouterie @killercow • 15 januari 2025 21:29

Ooit bij een Universiteit geweest? Het hele idee is dat data uitgewisseld kan worden. Goede kans dat je ergens in de stad Eduroam oppikt, goede kans dat je dan op een accesspoint van een onderwijsinstelling zit. Eduroam is dan niet een intern netwerk, maar je zit erin. Die hobbel is dan genomen.

The Zep Man

Beveiliging en antivirus
Nederland

@Wouterie • 15 januari 2025 21:57

Goede kans dat je ergens in de stad Eduroam oppikt, goede kans dat je dan op een accesspoint van een onderwijsinstelling zit. Eduroam is dan niet een intern netwerk, maar je zit erin. Die hobbel is dan genomen.

Eenmaal ingelogd zit je op een apart netwerk dat enkel een internetverbinding aanbiedt. Je bent dan helemaal nergens binnen, tenzij de specifieke instelling diens netwerksegmentering niet op orde heeft.

Wouterie @The Zep Man • 15 januari 2025 22:14

Je zit op de infrastructuur, dat is al meer dan niets. Voorheen is trouwens Eduroam misbruikt om inloggegevens te onderscheppen, maar dat is een ander verhaal. Eduroam vereist een RADIUS server die verbonden is met de LDAP van het instituut.
Ze kunnen ervoor kiezen om alleen internetconnectiviteit aan te bieden, maar in veel gevallen zien we ook licentieservers en andere interne systemen die via Eduroam benaderbaar zijn.

Mellow Jack @Wouterie • 15 januari 2025 23:53

Daarom is iets als " apart netwerk " ook zo lastig voor infra leken. Ja het is een ander virtueel netwerk maar het is wel hetzelfde fysieke netwerk. En inderdaad, zonder licentie servers kom je niet zover met je eduroam

The Zep Man

Beveiliging en antivirus
Nederland

@Mellow Jack • 16 januari 2025 11:50

Daarom is iets als " apart netwerk " ook zo lastig voor infra leken. Ja het is een ander virtueel netwerk maar het is wel hetzelfde fysieke netwerk. En inderdaad, zonder licentie servers kom je niet zover met je eduroam

Fysieke kabels maken niet uit als je je logische scheiding op orde hebt.

Als je servers benaderbaar zijn in hetzelfde virtuele netwerksegment, dan heb je de logische scheiding niet op orde.

[Reactie gewijzigd door The Zep Man op 16 januari 2025 12:39]

MrDaViper @Wouterie • 16 januari 2025 08:33

Als licentieservers en andere interne systemen via eduroam bereikbaar zijn dan heb je je netwerk en beveiliging niet op orde. Dan zit je met een enorme gap in je beveiliging.

cmegens @killercow • 15 januari 2025 20:24

Het TU/e netwerk is wel benaderbaar van buiten. Ieder systeem op het netwerk krijg een van buitenaf benaderbaar ip adres.

Mellow Jack @cmegens • 15 januari 2025 20:31

De gebruikte ip adressen zeggen niet zoveel. Het zijn publieke ranges, veel oudere overheids instanties hebben 1 of meerdere /16 ranges

Alex3 @Mellow Jack • 16 januari 2025 15:10

Dan zouden de adressen wel erg snel op zijn. Een aantal grote Amerikaanse bedrijven heeft wel een /16.

MrDaViper @Alex3 • 16 januari 2025 15:24

grote amerikaanse bedrijven hebben (voor sommige hadden) een /8 (Compaq, IBM, HP, ..)

Mellow Jack @Alex3 • 16 januari 2025 18:39

Mijn vorige werkgever heeft 2 /16 blokken en mijn huidige werkgever ook.

wjwithagen @Alex3 • 16 januari 2025 20:14

# whois 131.155.0.0

role: TUE RIPE contact
address: Technische Universiteit Eindhoven
address: P.O. Box 513
address: NL-5600 MB Eindhoven
address: the Netherlands
nic-hdl: TRC33-RIPE
remarks: For general abuse like spam use the address
remarks: abuse@tue.nl
remarks: For security related contacts use the address
remarks: cert@surfcert.nl
mnt-by: SN-LIR-MNT
created: 2023-05-31T09:59:04Z
last-modified: 2023-05-31T09:59:04Z
source: RIPE # Filtered

% Information related to '131.155.0.0/16AS1161'

route: 131.155.0.0/16
descr: TUENET1
origin: AS1161
mnt-by: AS1103-MNT
created: 2001-10-04T11:50:49Z
last-modified: 2001-10-04T11:50:49Z
source: RIPE

[Reactie gewijzigd door wjwithagen op 16 januari 2025 20:15]

Commendatore

@cmegens • 15 januari 2025 21:07

Ook bijvoorbeeld laptops van studenten die verbinden met het plaatselijke WiFi-netwerk? Dat lijkt me namelijk best link.

Shinji @Commendatore • 15 januari 2025 21:19

Dat valt wel mee, als je geen verkeer van buiten naar binnen toe staat is er niet heel veel anders dan met RFC1918 IP space. Het is alleen ontzettende verspilling van de schaarse publieke ipv4 adressen.

Mellow Jack @Shinji • 15 januari 2025 23:55

Ipv4 is niet zo heel schaars. We hebben in het begin gewoon teveel weggegeven

MrDaViper @Mellow Jack • 16 januari 2025 08:33

We hebben in het begin gewoon teveel weggegeven

en net daarom is het nu schaars geworden

PeterBoss @Commendatore • 15 januari 2025 23:22

Enkel gecertificeerde toestellen met beperkte toegangen zouden zich op dergelijke netwerken mogen.

Gwaihir @minetorpia • 15 januari 2025 19:58

Wel in het netwerk gekomen, maar niet in enig wezenlijk systeem?

Ik heb eerlijk gezegd meer vragen bij

op heterdaad zijn betrapt

Dit zeg je doorgaans wanneer je de mensen ook gelijk in hechtenis hebt kunnen (laten) nemen, maar er is verder geen enkele hint in die richting. Bedoelen ze direct, live, gedetecteerd? D.w.z. ze zagen het, maar hebben nog niet achterhaald wie het zijn?

Oon

@Gwaihir • 15 januari 2025 20:21

Dit klinkt inderdaad meer als 'de monitoring is afgegaan'. Dan betrap je ze technisch gezien ook, maar je hebt er niet zo veel aan..

Hagdos @Oon • 15 januari 2025 20:44

Nou ja, je kunt je netwerk afschermen/platleggen voordat ze verder kunnen komen.

Oon

@Hagdos • 15 januari 2025 21:16

Prima, maar dat is alsnog iets héél anders dan 'op heterdaad betrapt'. Iemand betrappen (zeker 'op heterdaad') impliceert dat je ook ziet wie het doet en er meteen fysiek iets tegen doet, dat is totaal niet hetzelfde als een IP-adres in de firewall zetten omdat ze je netwerk hebben opengebroken

Hagdos @Oon • 15 januari 2025 21:58

Mwah, dat is een (jouw) definitie. Voor mij betekent "op heterdaad betrappen" dat je een misdrijf ontdekt terwijl 'ie gaande is.

In de fysieke wereld impliceert dat inderdaad ook dat je meteen ziet wie dat is, maar ook daar kan het beperkt zijn tot "Ik betrapte de inbrekers op heterdaad, waarna ze vluchten. Het waren twee mannen met een bivakmuts".

Voor mij is dat prima van toepassing op "We betrapten hackers op een poging tot inbreken in ons netwerk terwijl ze er mee bezig waren (en dus niet achteraf toen er data verdwenen/gestolen/versleuteld was). We weten niet precies wie het zijn."

tweaker29789 @Oon • 16 januari 2025 06:52

Dit is pertinent onjuist. Op heterdaad betrappen betekent alleen dat je de daad ziet gebeuren. Het zegt niets over het kunnen identificeren of oppakken van een dader.

In de context van dit artikel betekent het alleen maar men ontdekte dat er een hackpoging aan de gang was.

GeroldM @Oon • 16 januari 2025 04:56

Is wat je aankaart nou net het hele principe achter de 'honey-pot'? Een systeem opzettelijk "zwak" maken (maar niet te zwak), puur om hackers/scriptkiddies en andere minder gure personen te lokken. Dan kun je al gauw achterhalen wie het zijn, de software/hardware-tooling die gebruikt word, de aanvalsmethodes enz.

Je plaatst wat triggers op zo'n honeypot en je bent gelijk op de hoogte wanneer iemand denkt dat hij/zij zich toegang kan verschaffen tot wat er ook voorhanden is op het honey-pot systeem en/of netwerk.

BiLLY_daKid @minetorpia • 15 januari 2025 20:15

Honeypot?

BytePhantomX @BiLLY_daKid • 15 januari 2025 20:45

Als ze alleen op een honeypot terecht zijn gekomen zullen ze niet een week offline gaan.

Shinji @BytePhantomX • 15 januari 2025 21:13

Dat ligt er maar net aan, als dat een honeypot is ergens op een intern segment dan weet je dat ze op je netwerk zitten. Dan kan je uit voorzorg alles afsluiten om uit te zoeken waar ze nog meer zijn binnen gedrongen. Dat onderzoek kan tijdrovend zijn.

Sluuut @minetorpia • 15 januari 2025 20:04

Beetje scheef omschreven, waarschijnlijk hebben ze wél de eerste “layer of defense” doorbroken, dus bijvoorbeeld een mfa token en credentials gebruikt om in te loggen in een systeem, maar geen vervolgacties kunnen uitvoeren.

Detectie & Response ziet afwijkend gedrag en meld dat, waarop een team kan acteren.

Aan de ene kant zijn ze dus wel “binnen gekomen en geweest” maar hebben ze geen lateral/horizontal movement kunnen doen, dus ook geen data kunnen bemachtigen.

TheMak @Sluuut • 15 januari 2025 21:00

Of misschien kreeg een sysadmin een MFA request?

bazchillin @minetorpia • 15 januari 2025 23:41

Never mind.

[Reactie gewijzigd door bazchillin op 16 januari 2025 10:36]

FrostyPeet 15 januari 2025 19:54

Tja, leuk als iemand snel een stekker er uit trekt of op een paniekknop drukt, wie zegt dat de hacker(s) het over een half jaar niet nog eens proberen? Je kan toch niet elke keer de hele boel een week ofzo plat leggen?

killercow @FrostyPeet • 15 januari 2025 20:05

Wie zegt dat ze het een half jaar geleden niet ook hebben gedaan, maar toen niet gesnapt zijn? Een slimme aanvaller maakt geen schade, die steelt alleen data.

GeroldM @killercow • 16 januari 2025 05:06

Een slimme aanvaller gaat vaak heel geduldig aan het werk. Dus over langere periodes, waarbij je eerder eerder aan maanden denkt dan weken, dagen of uren.

Want al die kleine stapjes vallen weg in het geruis dat het normale netwerk verkeer veroorzaakt, dus gaan er ook geen alarmbellen af in het netwerk dat wordt aangevallen.

Dit is de modus operandi voor de hacker met daadwerkelijke motivatie om je data te stelen of te corrumperen. Staatshackers zijn meestal ook erg geduldig.

Skit3000

@FrostyPeet • 15 januari 2025 19:55

Of het ligt nu plat zodat ze maatregelen kunnen nemen om het in de toekomst te voorkomen.

RobVI @FrostyPeet • 15 januari 2025 19:57

"De TU/e heeft bovendien meer beveiligingsmaatregelen ingesteld om herhaling te voorkomen."

Bovendien kunnen ze white hat hackers inhuren voor een pentest om de uitgerolde beveiligingsmaatregelen te toetsen.

Naafkap 15 januari 2025 19:54

Dat zijn goede berichten. Hopelijk kunnen de daders gestraft worden en gaat er een signaalwerking van uit.

RobVI @Naafkap • 15 januari 2025 19:59

De TU/e is interessant voor Chinese staatshackers wegens het onderzoek naar lithografie en samenwerking met ASML. https://www.tue.nl/nieuws...-boost-de-komende-10-jaar

SkyStreaker @RobVI • 15 januari 2025 20:51

Dat zal ongetwijfeld air-gapped zijn. Voor die informatie zal je bijna wel moeten gok ik zo.

Lucb1e

@SkyStreaker • 15 januari 2025 22:30

Een onderzoeker op een universiteit die een airgapped systeem gebruikt? Ik was er natuurlijk niet bij in dit geval, maar in mijn ervaring als security consultant als ook oud-student zou me dat sterk verbazen

Van de andere kant verbaas ik me ook steeds weer over wat ze met zogenaamde air-gapped systemen doen: als je er allerlei data heenstuurt of vandaan moet krijgen, is het niet erg airgapped. Maar we horen/herinneren natuurlijk vooral de ergste gevallen, met name wanneer het misging, dus wellicht zijn er meer plekken waar zoiets wel goed gaat waar we dan niet van horen

SkyStreaker @Lucb1e • 16 januari 2025 13:06

Dan is "zogenaamd" wel heel erg terecht. Extreem gevoelige informatie met ook (helaas) veel politiek en economisch belang. Ik snap door gebrek aan inzicht de beweegredenen niet om het "niet erg air-gapped" te houden. Gemak? Bewust risico?

Lucb1e

@SkyStreaker • 16 januari 2025 20:51

Een computer die niks kan heeft weinig nut; je zult er toch programmacode en data op moeten krijgen. Er zijn niet veel situaties te bedenken waarin het nut heeft om een computer (iig na installatie) totaal niet te laten communiceren met de buitenwereld. Wanneer enige dataoverdracht mogelijk is, worden de mogelijkheden al heel snel veel groter

Dat is denk ik de reden waarom zo'n isolatie wordt verminderd: dat is hoe je praktisch met zo'n systeem kan werken. Echter gebruiken mensen (in wat ik zo lees, wellicht de slechte gevallen) dan vaak iets als een USB-stick, waarbij je het USB-protocol moet spreken, het bestandssysteem wat daarop staat, en tot slot de bestanden die erin staat (waarbij de Verkenner wellicht probeert nog data eruit te parsen zoals voor icoontjes of zelfs previews, waar ook weer wat mis kan gaan zoals we bij Stuxnet zagen). De aandacht voor veiligheid is tegenwoordig groter dan ten tijde van Stuxnet, maar ook nu zou ik dat niet vertrouwen op de hoogste zekerheidsniveau's

Ik vraag me af, als je de middelen hebt om een security team een maand te laten zwoegen op een supersimpel protocol dat bijvoorbeeld vergelijkbaar werkt met een seriële poort of geluidskaart (stroompje in, stroompje uit) en daarbovenop iets bouwt dat de data uitwisselt die je wil uitwisselen, niet meer en niet minder, of het dan wél veilig kan zijn om met zo'n systeem te communiceren

[Reactie gewijzigd door Lucb1e op 16 januari 2025 20:53]

BytePhantomX @RobVI • 15 januari 2025 21:06

Alhoewel je absoluut gelijk hebt, is dat hier denk ik niet het geval. Dergelijke incidenten worden meestal vrij stil gehouden. Daarnaast is er geen risico op ransomware o.i.d. en worden de aanvallers er meestal uitgewerkt terwijl de systemen operationeel blijven. En is er dus ook geen noodzaak om het openbaar te maken.

oef! @Naafkap • 16 januari 2025 01:50

De kans is klein dat iemand hiervoor gepakt wordt. Aanvallen vinden meestal plaats vanuit buitenlandse datacentra of andere gecompromitteerde systemen.

Tenzij je de keten gaat onderzoeken, wat normaal niet gebeurt want veel werk en duur, zul je geen idee hebben waar de oorspronkelijke crimineel zit.

habbekrats 15 januari 2025 21:14

Hier op het werk zijn al hele reeks ip ranges toplevel domeinen geblokkeerd. Ik heb log bestanden gezien wat er alle dagen aan de poort staat te rammelen.
Die lijsten zijn niet zelf bedacht maar staan in de firewall en komen van een IT beveiliging firma.

Natuurlijk is dit niet waterdicht een beetje hacker gaat niet met de eigen pc aan het werk maar een vpn route.
Grootste gevaar is nog steeds mensen die op mailtjes klikken / ingaan.

Wij hebben daar toch geen klanten of inkopen.

Arfman 15 januari 2025 21:44

Chapeau voor hun monitoring en response dan.

winux 15 januari 2025 23:35

Ik ben heel benieuwd naar de lessons learned als dit verder onder controle is.

Afgelopen dagen vielen de toetsenbord ridders en zelf verklaarde cyber experts over elkaar heen om te roepen hoe slecht de beveiliging van TU/e wel niet op orde was, dat dit kon gebeuren (zonder de details te kennen).

Vaak als dit soort nieuws naar buiten komt is het kwaad al geschied en de situatie al in een verder stadium van de hack.

Als blijkt dat de beveiligingssystemen werkelijk in "vroeg" stadium hebben geconstateerd dat er onraad was en de medewerkers hier adequaat op hebben gereageerd, kunnen heel veel organisaties hier bruikbare informatie uit halen.

Zelf volg ik deze berichtgeving met grote interesse en hoop dat TU/e hun ervaringen delen met de buitenwereld.

Frogmen

16 januari 2025 09:41

Ik denk dat het netwerk beveiligen van een TU net zo moeilijk is en te vergelijken met de fysieke beveiliging van het terrein en de gebouwen. Als je dat idee nu voor ogen hebt bedenk dan dat er in die gebouwen gewerkt en onderwijs wordt gegeven. Als je dat waterdicht wilt hebben en zeker wil zijn dat niet iemand zomaar een les kan volgen. Dan besef je ook dat waterdicht en onbetaalbaar is en zodanige impact heeft dat werken en leren niet meer mogelijk is. Kortom het is altijd een compromis en afweging van risico's.
Vermoedelijk is door oplettende monitoring en afwijkend gedrag op het netwerk de hack gesignaleerd en tegengehouden door tijdelijk alles op slot te doen. Prima toch.
Er wordt in het kader van security nog wel eens vergeten dat mensen ook gewoon hun werk willen doen.

SuperDre 15 januari 2025 22:59

Dat verhaal geloof je zelf toch niet, als ze niet zijn binnengekomen, dan had het ook geen dagen hoeven te duren voordat er weer les gegeven kan worden. Ik denk dat er werkelijk wel wat ernstigers is gebeurd maar dat ze dat niet willen vertellen.

gedonie @SuperDre • 16 januari 2025 09:30

Ja en nee. Het zo zeer goed kunnen dat ze op heterdaad betrapt zijn terwijl ze bezig waren en dat de standaard oplossing is het gehele netwerk te sluiten, waardoor er niemand meer bij kan van buiten of binnen.

Daarna kijk je pas hoe en wat je moet aanpassen in je beveiliging om te voorkomen dat hackers op dezelfde manier weer binnen proberen te komen. Pas als dat gedaan is zet je alles weer open en aan.

brightvalve @SuperDre • 16 januari 2025 08:17

Ik vind het ook een raar verhaal.

De opmerking dat ze "op heterdaad zijn betrapt" gaat nu op alle digitale kranten rond, maar ruikt alsof er een PR-firma achter zit die de TU/e helpt het toch wel geschonden imago weer een beetje op te poetsen.

moonlander 15 januari 2025 19:57

blijkt dat detectie en respons goed hebben gewerkt

Volgens mij heeft het niet goed gewerkt anders had de school gewoon open kunnen blijven.

Edit: iets te voorbarig met mijn uitspraken. Misschien was het lek dichten niet zomaar klaar en dat het daarom langer duurde

[Reactie gewijzigd door moonlander op 15 januari 2025 19:59]

MrDaViper @moonlander • 16 januari 2025 08:45

Het gaat ook niet enkel om "het lek dichten", maar vooral diepgaand onderzoek naar wat er allemaal aangeraakt geweest is en waar er eventueel iets en wat er zou kunnen achtergelaten zijn.
Dan wil je net zo weinig mogelijk verkeer op je netwerk en systemen en wil je de tijd kunnen nemen om systeem per systeem afzonderlijk te gaan onderzoeken en de tijd nemen om alle logs na te lopen of er nog iets extra te zien valt.

Het lek dichten op zich kan meestal redelijk rap, het verdere onderzoek neemt natuurlijk wat meer tijd in beslag.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (88)

Sorteer op:

Weergave: