image

Exchange-omgeving Universiteit Maastricht nog altijd offline

maandag 6 januari 2020, 11:23 door Redactie, 15 reacties

Studenten en medewerkers van de Universiteit Maastricht kunnen nog altijd geen gebruik van e-mail en hun agenda maken. Het herstellen van de Exchange-omgeving na de ransomware-infectie neemt meer tijd in beslag, zo meldt de universiteit in een update over het incident.

Afgelopen zaterdag liet de universiteit weten dat er gewerkt werd aan het operationeel maken van de e-mailomgeving en fileservers. De werkzaamheden zijn nog niet afgerond. "Momenteel wordt hard gewerkt om alle e-mail- en agendabestanden in een veilige back-upomgeving te plaatsen. Vanwege de enorme hoeveelheid data duurt dit langer dan gehoopt. Dit betekent dat e-mail en agenda op maandag 6 januari nog niet kunnen worden gebruikt", zo meldt de universiteit. Het is de verwachting dat de diensten "snel" na maandag weer operationeel zijn, maar een datum wordt niet genoemd. Ook printerdiensten zijn nog offline.

De netwerkschijven zijn wel weer toegankelijk voor studenten en medewerkers, maar alleen via een bekabelde netwerkverbinding en niet via wifi. Tevens zijn andere diensten waaronder SAP/ERP, bibliotheekdiensten, studentenportaal, studiematerialen, roostersystemen en SDA/VDI-clients online gebracht. Uit veiligheidsoverwegingen is het voor medewerkers vandaag nog niet mogelijk om vanaf het vaste, bekabelde UM-netwerk te internetten.

De universiteit adviseert studenten om bewerkte bestanden, zodra toegang tot de netwerkservers is hersteld, weer toe te voegen en de oudere lokale versies te verwijderen. "Tip: bewaar al je bewerkte bestanden op één plek op je desktop, of gebruik één USB-stick zodat je straks makkelijk de data kunt terugvinden en terugplaatsen zodra de netwerkschijven weer volledig operationeel zijn", aldus het advies van de universiteit aan studenten.

Reacties (15)
06-01-2020, 14:17 door Anoniem
Ik lees hieruit dat er nooit een disaster recovery procedure ontwikkeld is door Universiteit Maastricht.

Wat wordt er door Universiteit Maastricht gedaan om dit in de toekomst te voorkomen
06-01-2020, 14:27 door Anoniem
De (uitleg over) de huidige situatie is onduidelijk:

Q: "Is Student Desktop Anywhere (SDA)/ Virtual Desktop Infrastructure (VDI) live?"
A: "SDA/VDI is vanaf maandag 6 januari weer beperkt operationeel. Met SDA/VDI kun je onder andere in Microsoft office documenten op persoonlijke en centrale netwerkschijven bekijken en bewerken. Bestanden kunnen niet worden opgeslagen op deze netwerkschijven. Maak hiervoor gebruik van USB-sticks."

"Tip: bewaar al je bewerkte bestanden op één plek op je desktop, of gebruik één USB-stick zodat je straks makkelijk de data kunt terugvinden en terugplaatsen zodra de netwerkschijven weer volledig operationeel zijn."

Q: "Zijn externe opslagmedia (usb sticks) die verbonden waren met het UM-netwerk ook beschadigd?
A: "Dat weten we op dit moment nog niet."

Als de UM dat niet weet, kan je die USB sticks toch ook niet gebruiken? De adviezen van de UM vind ik daarom onduidelijk. Zo kan je toch niet werken? Men is misschien nog lang bezig met het decrypten met de gekochte sleutel? Welke detectie is er inmiddels toegevoegd aan het netwerk?
06-01-2020, 15:06 door Anoniem
Gebruik een USB-Stick? Goed bezig :-)
06-01-2020, 15:31 door Anoniem
Door Anoniem: Ik lees hieruit dat er nooit een disaster recovery procedure ontwikkeld is door Universiteit Maastricht.
Wat wordt er door Universiteit Maastricht gedaan om dit in de toekomst te voorkomen

Knappe invulling geef jij er aan.
Blijkbaar ook enorme kennis van dergelijke malware.
Je kunt zaken wel snel restoren vanuit een DRP mind maar als je backup ook al besmet is in een ver verleden met deze malware dan wordt de zaak al ingewikkelder.
Schoon beginnen en selectief restores doen dan de manier om die troep niet weer binnen te halen. En dus niet even een VM/Server restoren en starten maar weer.
06-01-2020, 17:23 door Tintin and Milou
Door Anoniem: Ik lees hieruit dat er nooit een disaster recovery procedure ontwikkeld is door Universiteit Maastricht.
Lekker gemakkelijk als anoniem even iets posten. Mocht je het niet door hebben gehad, ze hebben de nodige mega issues gehad, waarin er wel meer gaten gevonden zijn in de infrastructuur.

Wat wordt er door Universiteit Maastricht gedaan om dit in de toekomst te voorkomen
Misschien moeten ze eerst de omgeving in de lucht krijgen?
Mocht je het magische antwoord of oplossing voor de Universiteit hebben, dan zou ik je willen adviseren om hier te solliciteren.
06-01-2020, 19:21 door Anoniem
Nou zoek je een uni die een beetje de boel op zaken heeft weet je dat je hier niet moet zijn.

1 de beveiliging niet op orde
2 geen backups(!?)
3 gewoon de dieven belonen
4 nog steeds niet terug in werkende staat

mooie score hoor! ga zo door

Hoe staat het met de boeven/daders/criminelen? Al enig idee wie, wat waar? Niet? Nee who cares toch!?
06-01-2020, 20:06 door Anoniem
Door Anoniem: Nou zoek je een uni die een beetje de boel op zaken heeft weet je dat je hier niet moet zijn.
Je moet hier juist wel zijn, zij moeten nu wel zorgen dat het goed beveiligd wordt.
06-01-2020, 21:48 door karma4
Door Anoniem: De (uitleg over) de huidige situatie is onduidelijk:
….
Q: "Zijn externe opslagmedia (usb sticks) die verbonden waren met het UM-netwerk ook beschadigd?
A: "Dat weten we op dit moment nog niet."

Als de UM dat niet weet, kan je die USB sticks toch ook niet gebruiken? De adviezen van de UM vind ik daarom onduidelijk. Zo kan je toch niet werken? Men is misschien nog lang bezig met het decrypten met de gekochte sleutel? Welke detectie is er inmiddels toegevoegd aan het netwerk?
De uitleg is heel duidelijk. Studenten gebruiken hun eigen apparatuur, deze zijn nooit direct met UM-netwerk verbonden geweest. De genoemde drive letters voor opslag van bestanden en een Ad koppelingj is de context van het woord netwerk in die zin. De SDA/VDI aanpak ontkoppeld dat van de eigen machine. Vandaar ook dat advies om voor bijwerken nu even de eigen apparatuur te gebruiken voor de opslag. Je kan usb naar een vdi koppelen.
https://docs.vmware.com/en/VMware-Horizon-Client-for-Windows/4.6/com.vmware.horizon.windows-client-46-user-guide.doc/GUID-A845BCB2-CCAD-4B5F-B2E7-C36BCA6941E2.html dat gebeurt gewoonlijk niet. Een bestand uitwisselen zou met een shared folder kunnen het kan ook met iets wat per bestand aangegeven moet worden.

Bij de interne direct op het netwerk aangesloten apparaten is dat anders. Deze zitten voorlopig nog even in een onzekere toestand. Pas als er naar gekeken wordt zal de toestand duidelijk worden. Lijkt wel de quantum methodiek.

En nee ze zitten zo te zien NIET te decrypten.
Er wordt vanuit een nieuwe opgezette machine omgeving van alles opnieuw opgebouwd. De laatste gegevens zijn weg of zullen via een spooling interface alsnog binnenkomen. Bedenk even om hoeveel bestanden het moet gaan voor alle studenten en de historie. Een groot aantal losse bestanden is iets waar elk OS problemen mee heeft.
06-01-2020, 22:32 door souplost
Het valt mee dat ze de naam Exchange nog noemen want het noemen van windows is in de ban gedaan na een bezoekje van Microsoft.
06-01-2020, 22:52 door Anoniem
Ik hoorde dat Tempo team ook problemen heeft maar ze houden het low profile.
07-01-2020, 05:47 door Anoniem
Door Anoniem:
Door Anoniem: Nou zoek je een uni die een beetje de boel op zaken heeft weet je dat je hier niet moet zijn.
Je moet hier juist wel zijn, zij moeten nu wel zorgen dat het goed beveiligd wordt.

U heeft helemaal gelijk.

iCQ
07-01-2020, 06:19 door Anoniem
Daar ga je dan met je open netwerk en je onvoldoende beveiligde vrij toegankelijke interne pagina's,
vaak nog met onveilige jQuery code, Microsoft of geen Microsoft genoemd.

Veelal gewoon platform-onafhankelijke lichtzinnigheden of te makkelijk gedacht, dat het niet extern toegankelijk zou zijn.
De cybercrimineel en zijn cybercrimineeltjes-maat hebben andere denkpatronen.
Vaak doetreffender als op shodan.io.

"Het zou verboden moeten worden", volgens security through obscurity voorstanders.

#sockpuppet
07-01-2020, 07:51 door Tintin and Milou - Bijgewerkt: 07-01-2020, 07:55
Door souplost: Het valt mee dat ze de naam Exchange nog noemen want het noemen van windows is in de ban gedaan na een bezoekje van Microsoft.
Heb je hier ook enige bron vermelding van? Of iets wat dit kan bevestigingen

Er zijn namelijk vrij weinig alternatieven voor Exchange met de integratie mogelijkheden. Nog afgezien je een ander product, niet even neer zet in zo'n korte tijd.
07-01-2020, 07:53 door Anoniem
Door Anoniem: Nou zoek je een uni die een beetje de boel op zaken heeft weet je dat je hier niet moet zijn.

1 de beveiliging niet op orde
2 geen backups(!?)
3 gewoon de dieven belonen
4 nog steeds niet terug in werkende staat

mooie score hoor! ga zo door

Hoe staat het met de boeven/daders/criminelen? Al enig idee wie, wat waar? Niet? Nee who cares toch!?
1: Correct. Maar daar zijn ze niet de enige in. Ik denk dat je dit probleem eigenlijk overal wel hebt.
2: Die waren er wel. Alleen door 1, waren ze niet meer te gebruiken.
3: Tja... Altijd leuk dit soort punten. Totdat je zelf voor de keuze staat en je eigenlijk geen alternatieven hebt.
4: Iets met Beste stuurlui en wal.... Blijkbaar heb jij geen enkel idee, hoe complex dit soort omgevingen zijn.
07-01-2020, 09:53 door Anoniem
Door Anoniem: Nou zoek je een uni die een beetje de boel op zaken heeft weet je dat je hier niet moet zijn.

1 de beveiliging niet op orde
2 geen backups(!?)
3 gewoon de dieven belonen
4 nog steeds niet terug in werkende staat

mooie score hoor! ga zo door

Hoe staat het met de boeven/daders/criminelen? Al enig idee wie, wat waar? Niet? Nee who cares toch!?

Hardstikke mooi om langs de zijlijn te schreeuwen. Je heb er werkelijk geen idee van hoe dingen gaan.

Hoezoo beveiliging niet op orde ??? Een beetje malware met een 0-day exploit komt overal doorheen, dan valt er niks te beveiligen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.