Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 82 reacties
Submitter: GZN

Hackers hebben zich toegang verschaft tot de Unix-systemen van de faculteit Natuurkunde, Wiskunde en Informatica van de Universiteit van Amsterdam. De hackers wisten rootrechten te bemachtigen. De systemen zijn inmiddels afgesloten.

Met behulp van een gehackte computer in het buitenland is verbinding gelegd met studentenaccounts op de Unix-omgeving. Hiermee wisten de hackers zichzelf systeemrechten te geven. Op advies van het Computer Emergency Response Team van de Universiteit van Amsterdam hebben de faculteit en het Informatiseringcentrum de toegang van buitenaf voor studenten en medewerkers gesloten.

Van buiten het UvA-netwerk kunnen studenten en medewerkers hun bestanden niet meer benaderen. Ook ssh-tunnels zijn niet meer te gebruiken en doorloggen op andere Unix-systemen binnen de faculteit, zoals onderzoeksservers, kan evenmin. Via de UvAvpn-applicatie is verbinding maken nog wel mogelijk. Studenten en medewerkers wordt aangeraden zo snel mogelijk een nieuw toegangswachtwoord aan te maken. "Doe dit bij voorkeur niet vanaf een Unix-gebaseerde UvA-computer, maar bijvoorbeeld via een laptop", adviseert de universiteit.

"Er zijn geen persoonsgegevens buitgemaakt", zei UvA-voorlichter Rogier Boogers tegen Tweakers.net, "Documenten met salarissen, functioneringsverslagen van medewerkers en gegevens van studenten staan op een andere plek. Het ging hier om toegang tot de plek waar studenten bijvoorbeeld hun onderzoeken opslaan." Volgens Boogers is de aanval via een systeem in Duitsland uitgevoerd, maar meer details kon hij nog niet geven: "De faculteit, het Informatiseringscentrum en het CERT van de universiteit zijn nog onderzoek aan het doen naar de omvang en de gevolgen van de hack."

Moderatie-faq Wijzig weergave

Reacties (82)

Niet echt wereldschokkend nieuws? Deze 'hackers' gebruikten een 2 jaar oude exploit in udev in de kernel, waarvan deze al lang geleden was gemeld bij het systeembeheer, alleen nog steeds gebruikt men die oude Fedora 5..
Met behulp van een gehackte computer in het buitenland is verbinding gelegd met studentenaccounts op de Unix-omgeving. Hiermee wisten de hackers zichzelf systeemrechten te geven.
Uhh, hoezo?
Dat je een verbinding kunt opbouwen is niet zo moeilijk. Veel systemen staan immers open naar de buitenwereld. Ook met een gekraakt (gejat) studentenaccount kom je wel ergens in maar dan nog steeds heb je geen root toegang.
Ik ben dan ook erg benieuwd naar de uitleg hoe deze hack tot stand is gekomen!
Als je een Pc en account tot je beschikking hebt met root access, dan heb je dus root toegang. Dat is toch niet zo moeilijk te begrijpen?
Er staat toch studentenaccounts. Studentenaccounts hebben per definitie geen root toegang. Dus ja, dat is wel zo moeilijk te begrijpen.
De systemen daar zijn zo verouderd dat je met bekende exploits binnen een kwartier root access hebt.
sudo su? :P
Lijkt mij... euhh ik mag hopen dat ze dat wel hebben afgeschermd...
Een sudo su naar root werkt alleen als het account waarmee je ingelogd bent geautoriseerd wordt door de sudo configuratie file.
Sta je er niet in, dan kun je gewoonweg geen root toegang krijgen.

Verder zit er op een (goed) geconfigureerd Unix/Linux systeem een beveiliging waardoor het oneindig proberen van wachtwoorden niet mogelijk is. Na een aantal keren een verkeerd wachtwoord wordt het account automatisch geblokkeerd en kan deze alleen door de beheerder weer geactiveerd worden.
Er zijn database systemen (nog steeds) die het config bestand ervan lokaal (niet eens hidden) hebben staan en benaderbaar door een standaard user account ge-edit kunnen worden om bijv. het zichtbare (ja ik weet het, nogal belachelijk) beheer account naar eigen inzicht aan te passen...

Om de database dan te benaderen hoef je dus niet een root te zijn......
Op Windows was er wel een exploit waardoor je gewoon via de terminal in kon voeren van "maak gebruiker Admin" en je was gewoon Admin.
Ondertussen gefixt in W7.
klopt is erg leuk om te gebruiken op een middelbare school. XD dan flippen ze met ze allen helemaal de pan uit. XD
Misschien tijd om deze systemen eens te patchen?
Patchen geldt niet alleen voor Windows computers maar voor alle computers, ook Unix en Linux.
Ik ook erg benieuwd, maar heb niet het idee dat details of uberhaupt grote lijnen naar buiten komen. Zo zie je maar dat zelfs clubs van slimme koppen de deur op een kier hebben ;)
Ooit van privilege escalation gehoord?
Tsja, zoveel linux systemen staan er niet meer op sciencepark. Vorig jaar kon ik nog scriptjes maken en uitvoeren in gebouw A/B, maar nu is alles daar windows... Het werkt toch wel fijner onder linux, direct uitvoeren enz.

sremote.science.uva.nl werkt dus ook niet meer, en dat is wel jammer, aangezien je zo heel makkelijk van waar dan ook kon inloggen op het unix cluster, en vervolgens kon inloggen op een unix workstation voor het uitvoeren van je programma's, of gewoon voor de lol klooien met wget -m... Ik ga maar even m'n wachtwoord wijzigen denk ik. Wordt wel druk zo, alles bijhouden naast psn...

Is toch erg vervelend, voor al die studenten die voor hun bachelor/master scriptie aan hun onderzoek werkte op het unix systeem. Maar als het goed is wordt alles ge-backupped op vaste tijdstippen, ik geloof gelezen te hebben om 03:00 iedere dag (de user accounts dan)...
Hier kun je je wachtwoord wijzigen: https://www.science.uva.nl/ict/password/index_nl.html

[Reactie gewijzigd door Trishul op 29 april 2011 17:04]

Er zijn toch genoeg Linux PC's hoor. Je hebt die grote zaal, G0.18, en die twee kleine zaaltjes boven de kantine (A1.20/A1.22). VOoral die laatste plek zie nooit iemand, vooral omdat bijna niemand weet dat er Linux PC's staan volgens mij. :)

Verder: Iedereen kan sowieso via VPN nog bij zijn bestanden. Het is wel erg jammer dat via ssh verbinden met de linux PC's niet meer mogelijk is, dat deed ik toch vrij vaak, om dingen te compilen enzo.
Als je met "Sciencepark" ook SARA en NIKHEF bedoelt?
Die hebben zo'n duizenden nodes voor hun grid experimenten allemaal met linux.

Je bedoelt de studenten voorzieningen in het FNWI gebouw.
Het zou wel hard zijn als blijkt dat ze dit mogelijk was doordat iemand het zelfde login gebruikte als PSN en de hacker hier gebruik van heeft gemaakt.
Nee die systeembeerders zitten daar alleen maar op hun PCs te gamen.
Dat kun je gewoon zien als je langs hun hok loopt.
Ook moeten ze dan hun root paswoord (her)gebruiken op PSN.
Zo stom zijn ze ook niet.
Het zou mij niets verbazen als deze servers 'gehackt' zijn door een stel scriptkiddies uit de FXP-scene. Universiteiten zijn vaak doelwit van scriptkiddies uit de FXP-scene. Deze installeren dan een verborgen ftp server erop om zo warez te delen. Aangezien universiteiten vaak op gbit connecties zitten zijn het aantrekkelijke doelwitten, niet voor niets worden de ip ranges van deze instellingen enorm vaak gescant op veel poorten (kijk maar eens naar serverlogs).
Dan heb je het over useraccounts. Maar die hebben vrij weinig opslagruimte die dus niet interessant is om als share te dienen.

Hoe had je het trouwens gedacht dat wij de serverlogs van de UvA konden bekijken :?
Hoe had je het trouwens gedacht dat wij de serverlogs van de UvA konden bekijken
Ikke! Ikke!

Ik heb een tijdje een eigen project machine beheerd daarzo en deze werd inderdaad continue gescanned en geprobeerd via ssh in te loggen (script kiddies dus). Veel chinese IP ranges.
We hebben de firewall aangepast en gezorgd dat alleen bekende ip ranges toegang hadden tot onze project machine.

Totdat een AIO continue de firewall stopzette zodat 'ie zijn experimentjes kon doen.
|:(

[Reactie gewijzigd door BeerenburgCola op 29 april 2011 22:52]

die gaan de moeite niet doen om unix-bakken te rooten, maar exploiten gewoon bestaande fileservers waar een hoop traffic niet opvalt en er discspace genoeg is.
hmm is natuurlijk erg jammer dat je vanaf buiten er nu ff niet meer bij kan, maar aan de andere kant ook weer veel veiliger terwijl het systeem op school zelf nog wel te gebruiken is.

ik vraag me af of er ook al werkstukken/projecten gedelete zijn door de hackers. daar hebben ze immers alle rechten voor.

edit: in de zin van de mogelijkheid en de beheerdersrechten. niet de rechten in de zin van eigenaarsgebeuren XD.

[Reactie gewijzigd door supersnathan94 op 29 april 2011 17:36]

Wat veel erger is het verloren respect van de informatica faculteit.... was daar bijna gaan studeren :P maja, kan sowieso best gebeuren, dus maakt op zich niet echt uit, maar komt best slecht over :+
Of het zijn juist hele goede studenten geweest die het hebben gehacked. Misschien zijn ze uitgedaagd geweest in een college.
Mwah, gewoon een simpele kernel exploit die al twee jaar bekend was. Maar dat krijg je als je je Linux desktops niet onderhoud en een Fedora release van 5 jaar geleden er op draait...

Maar het zijn in ieder geval twee afzonderlijke incidenten. Dat van die studenten gebeurde toevallig een paar dagen voordat de 'echte hacker' ontdekt werd.

[Reactie gewijzigd door Squee op 1 mei 2011 09:46]

Het is algemeen bekend dat computers op universiteiten over het algemeen minder goed beveiligd zijn, omdat in de academische wereld vaak delen van kennis en informatie vooropstaat, beveiliging blijft daardoor grotendeels een stiefkindje.
Nee, het is algemeen bekend dat veel systeembeheerders in het onderwijs hun zaken gewoon niet op orde hebben en daar lijd de beveiliging juist onder. Dit heeft vooral te maken dat ICT binnenin het onderwijs een te laag of geen prioriteit heeft, een kennisgat aanwezig is bij beheerders en dan heb ik het niet eens over financiŽn gehad.
Als er wordt bezuinigd op het onderwijs is ICT het eerste onderdeel waar gesneden in wordt.
Academische wereld beveiliging? Hallo, valt niets te halen jij zet toch ook geen slot van 1000 euro op je fiets? HR systemen e.d. op een los netwerk (niet aan i-net) en een goed systeem van images terugzetten en geen SLA met response tijden afgeven is de norm (en de meeste crackers weten dat er niets te halen valt, dus worden ze bijna niet lastig gevallen).
Uhm, beetje universiteit heeft toch aardig netwerkje van computers, dat is zeker wel interessant voor spammerds...
Wat denk je van een aantal grid clusters.
UvA heb er een paar staan daarzo.

O, en niet te vergeten: een flinke netwerk pijp. Meeste desktops zitten met een gigabit connectie aan surfnet.
Servers halen de 10 en 100 gigibit al.

[Reactie gewijzigd door BeerenburgCola op 29 april 2011 23:02]

Niets te halen? Het onderzoek dat een uni doet is vaak miljoenen waard, maar dat blijkt vaker achteraf dan vooraf ;-)
Reken maar dat bijv de chinese overheid interesse heeft in alles wat uni's wereldwijd onderzoeken.

[Reactie gewijzigd door cibrhusk op 11 mei 2011 20:03]

Kom maar naar Enschede, goede opleiding technische informatica hier hoor! [/reclame]

Maar damn, hackers blijven bezig hier. Wat is nu precies t doel van deze hack dan?
Dan is de andere universiteit in Amsterdam dichterbij (de VU dus) :)
</reclame>

Dit gezichtsverlies is inderdaad niet leuk voor een informatica opleiding. Zeker nu er ook al zoveel gedoe over de HBO opleidingen is. Of er nu sprake is van een echte hack of niet, de media gaan dit natuurlijk enorm opblazen. En dit terwijl de opleiding zelf en het systeem beheer natuurlijk eigenlijk niets met elkaar te maken hebben...
Hoezo gezichtsverlies? Dat de ICT afdeling van de UvA naatje is, zegt niks over de informatica opleiding op zich. Sterker nog, hier staat de UvA als enige Nederlandse universiteit in de top 50 van de Computer Science & Information Systems Rankings 2011.
De ICT afdeling van de UvA (IC) gaat helemaal niet over de systemen van de FNWI (Faculteit Wiskunde, Natuurkunde, Informatica). De FNWI heeft juist de afgelopen jaren de 'overname' door IC geblokkeerd.

Dit omdat ze schrokken van de problemen die optraden bij andere faculteiten zoals de FMG (maatschappij/gedrag) en FGW (geestes:talen/kunst), omdat ze zelf al het type beheer hadden dat het IC bij de andere faculteiten nog moesten introduceren en omdat een willekeurige FNWI-docent meer van informatica wist dan een IC medewerker :)

Juist dit geeft deze hack een hoge gniffel-status vanuit het pov van de IC'ers. Ze konden het immers zelf zoveel beter? Zo zie je maar ...

- toevoeging -
De UvA is een verzameling van onafhankelijke onderzoeksinstituutjes die geleidelijk zijn opgegaan in faculteiten die gezamenlijk de UvA vormen. Het waren lang zelfstandige koninkrijkjes met eigen directies, administraties en ict-beheer. Dat laatste wordt de laatste jaren samengevoegd. Het is de bedoeling dat ze met de Hogeschool van Amsterdam (HvA) een gezamenlijk ict-beheer gaan vormen.

[Reactie gewijzigd door Kalief op 29 april 2011 22:36]

Hoe kom je hier bij? Naar mijn weten gaat het IC wel over de pc's van het FNWI. Het IC heeft dan ook een groot deel van de linux-pc's vervangen door windowspc's

Het IC wilde alle Unix-pc's van het FNWI vervangen door Windowsmachines. Door druk vanuit de opleiding Informatica is dit juist afgewend. In de tussentijd werden de Unixcomputers zo goed als niet beheerd en bleef dit lek open.
Inderdaad, sinds de 'echte' ICT afdeling van FNWI opgeheven is zijn de Unix/Linux systemen practisch niet meer onderhouden. Geen wonder dat het dan op een gegeven moment gehacked is.En dat hebben we eerder ook al gemerkt; was het een jaar of twee geleden een mailserver waarvan de RAID array instortte en dat we twee maanden aan mail kwijt waren omdat de backup ook bleek te falen, en nu is het weer dit. Het is om niet goed van te worden, maar het IC kan ook compleet niet omgaan met de wensen van een Informatica opleiding heb ik al gemerkt. Nee wij kunnen niks met Windows machines, nee wij kunnen niks met compleet afgesloten netwerken, nee wij kunnen niks met computers met alleen Word en Outlook. Het is alsof je tegen een bioloog zegt; hier heb je een konijn, dat is het, daar kan je je onderzoek wel mee doen toch?
Er zit ook een andere kant aan, ik weet namelijk dat het IC wel degelijk opvolgers binnen het fnwi systeem had samengesteld volgens dezelfde filosofie/inrichting als de oorspronkelijke en binnen hetzelfde domein. Alleen de beheerders die voorheen hiervoor verantwoordelijk waren hebben deze keer op keer afgekaatst zonder inhoudelijke argumenten (angst voor hun baby vermoed ik) en er was geen autoriteit die uiteindelijk de goedkeuring wilde geven/doordrukken (vanwege organisatorisch gebrek).
Je kunt de schuld wat mij betreft bij beiden partijen leggen: halsstarrige en eigenwijze fnwi en organisatorische chaotische ic (incl wat incompetente mensen op de foute plek).

[Reactie gewijzigd door cibrhusk op 11 mei 2011 20:01]

Dat de ICT afdeling van de UvA naatje is, zegt niks over de informatica opleiding op zich.
Dat is toch precies wat ik ook zeg in de laatste zin? Wat ik bedoel is dat wij dat wel weten, maar dat vele anderen dat verschil niet gaan begrijpen... En daarom is dit dus jammer.
Toch begin je met de zin: "Dit gezichtsverlies is inderdaad niet leuk voor een informatica opleiding".

Zo werkt het niet heh. Altijd weer de VU die op de UvA moet zitten vitten ...
(Ik heb geen van beiden gedaan trouwens).

(@Rob: Geintje)

[Reactie gewijzigd door BeerenburgCola op 1 mei 2011 10:46]

hij begint met die zin omdat veel mensen die niet veel weten van de UvA geen idee hebben dat de IC niet het systeem van de FNWI regelen en dus ook niet dat van zichzelf. mensen kunnen dus ten onrechte denken dat de IC opleiding niet goed is terwijl die er dus helemaal niets mee te maken heeft, maar daardoor toch weer gezichtsverlies leidt.
@BeerenburgCola:

Dat is wel een beetje achterhaald hoor, Ik werk op de VU, maar geef ook regelmatig gastcolleges op de UvA. Andsersom gebeurt ook regelmatig. De informatica faculteiten werken inmiddels goed samen aan master opleidingen, etc... Er is misschien wel eens wat gezonde concurrentie, maar we zitten zeker niet op elkaar te vitten IMHO.

[Reactie gewijzigd door rvannieuwpoort op 30 april 2011 11:20]

Pff, in mijn tijd (jaar des heren 1999) werden de Sun systemen van Inf UTwente iedere week gehackt. Dat stelde toen weinig voor, bij een patch cyclus van 1x per half jaar.
de systemen werden niet gehackt ze waren gewoon open :+
het zei tijdens de log-in ook: welcome.
Ik weet dat we als eerste jaars in Twente (1989) een keurige keylogger hadden geschreven die het inlog scherm emuleerde. (Je moet toch wat doen met je pas verkregen miranda kennis.)

Na een tijdje hadden we dus ook het wachtwoord van de systeem beheerder.

Helaas was een medestudent zo aardig om het te melden aan de systeembeheerder en toen was die pret over.
Zo heb ik eens toen ik problemen met een systeem had staan kijken hoe de sysadmin (die even kwam helpen) zijn wachtwoord perongeluk in het username veldje zat te typen. Kon er later gewoon mee inloggen :) Gelukkig voor de sysadmin was ik te braaf om er daadwerkelijk iets mee te gaan doen.
Er gaan stemmen op dat het helemaal geen hack was, maar dat de migratie van niet onderhouden Fedora systemen waarvoor Gentoo is geÔnstalleerd door studenten zelf, als een 'hack poging' is gezien
Ja, je kon die machines gewoon herinstalleren met een zelfkozen root password.
Dan was je root op het netwerk.

Ik dacht dat ze dat lek gedicht hadden...

Knap lullig als dat het geval was, want dit was al bekend.

edit: Ze zijn dus van buitenaf via een student account binnen gekomen en daarna hebben ze het systeem geroot (staat in the artikel).

[Reactie gewijzigd door BeerenburgCola op 29 april 2011 22:11]

Wat is nu precies t doel van deze hack dan?
Tja, wat is het doel van een hackpoging? Kies een van onderstaande :)
  • Het verkrijgen van persoonlijke gegevens
  • Het installeren en gebruiken van (schadelijke) programma's
  • Het platleggen van websites
  • Het aanrichten van schade
  • Het ontdekken van technische onvolkomenheden in het systeem t.b.v. kennisontwikkeling
  • Het misbruiken van de capaciteiten van het systeem
- Een duitse minister had nog een scriptie nodig om plagiaat mee te plegen?
dat is veelal waar de term hacken en hackers voor misbruikt wordt.

niet wat het eigenlijk betekend.
Taal wordt gedefinieerd naar hoe het gebruikt wordt.
dan mis ik nog de optie...."ff kijken of het lukt" (99% van alle hackpogingen dus).
Wellicht zegt dit juist veel meer over de kwaliteit van het onderwijs aldaar, omdat de studenten erin weten te komen.
De hack kwam van buiten af, maar ik denk dat ik dit ook zo zou doen om de boel af te leiden.
O-)
Ik weet uit de tijd dat ik nog een FreeBSD server had draaien deze standaard maar 1 antwoord had als je extern via SSH probeerde te connecten als root of SU wilde doen: Sorry...

Nu weet ik ook dat de FXP gastjes poorten scanden op openstaande connecties (op Windows servers) en vervolgens keek of er een user was met de naam Administrator. En daar vervolgens wachtwoorden op probeerden tot ze binnen waren.

Nu weet ik niet hoe dit met andere *nix systemen zit, maar met FreeBSD hoeven ze dus niet op root accounts te gaan snuffelen. Ze kunnen er toch niet mee inloggen ;)
Of zouden er ook dan kwetsbaarheden en exploits daarvan zijn die het toch mogelijk maken als root in te loggen? Heb het een tijdje niet meer gevolgd...
Er zijn zat lokale kernel exploits om root rechten mee te krijgen
Ligt het aan mij of is unix populair aan het worden onder hackers?, Winamp sourceforge play.com den sony zijn wat namen die mij te binnen schieten.
Linux/unix was altijd al populair onder hackers
Het is altijd een gevecht van crackers tegen system beheer.

Een verhaal uit de oude doos :)

Toen ik in in de jaren 80 een blauwe maandag op de THE zat hebben we de unix computers daar "gehackt" door allerlei passwords te proberen (mensen kregen een account met een passwoord dat hetzelfde was als de username - de meesten lieten dat zo). Moesten toen langs de sysadmin omdat ze dat natuurlijk ontdekt hadden. Had verder geen consequenties in die tijd. Root access hadden we (natuurlijk) niet. Maar dit was natuurlijk slordigheid van de gebruikers, al kan ik me herinneren dat men zich in die tijd niet zo druk maakte. Als je kan inbreken omdat het beheer de updates vergeet,.. dat is een serieuzere zaak, maar ja, dat "overkomt" "zelfs" Sony...

[Reactie gewijzigd door durian op 29 april 2011 21:21]

Tja, Als ze erin willen lukt het toch wel.

Lijkt mij interessant om te zien of hier pro-actief op wordt ingespeeld om dit in de toekomst te voorkomen. Behalve dan de toegang van buitenaf te blokkeren.
Tja, toen ik er studeerde gebeurde dit elke week.
Tis maar studentendata... Niets aan de hand.
als je toevallig bezig bent met een afstudeergevalletje of een werkstuk voor je propedeuse en je bent het nu allemaal kwijt. tsja dan moet je in een paar weken alles weer opnieuw doen of het hele jaar opnieuw. maar als je geen back-ups maakt is dat ook wel een beetje je eigen schuld. XD
Er is helemaal geen data weg, de hackers hebben alleen toegang gekregen tot de data (ze konden bestanden op studentenaccounts zien). Maar er is niets verwijderd, en er is gewoon een backup van alle bestanden voor het geval dat.
Op advies van het Computer Emergency Response Team van de Universiteit van Amsterdam hebben de faculteit en het Informatiseringcentrum de toegang van buitenaf voor studenten en medewerkers gesloten.
Is niet goed, het is het CERT van Surfnet en niet van de UVA!
Mwa, semantics.
Surfnet is een overkoepelende organisatie die o.a. het netwerk beheer doet van de backbone van het netwerk tussen de universiteiten en andere academische instellingen.
CERT van Surfnet is dus ook het CERT van de UvA.

[Reactie gewijzigd door BeerenburgCola op 29 april 2011 22:56]

UvA heeft ook zijn eigen CERT team, maar waarschijnlijk werden zij ingeseind door Surfnet CERT.

http://www.ic.uva.nl/cert/

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True