News Hackerangriff: Universität Gießen erneuert 38.000 E-Mail-Passwörter

[Piak]

Es war in diesem Sinne kein Hackerangriff, viel mehr hat sich Emotot einen Admin Account schnappen können und die Windows Maschinen befallen. Aus Angst dass noch mehr verschlüsselt wird, hat man die betreffenden Rechner komplett vom Netz geno,mmen. Die Linux Umgebung ist nicht betroffen.
Start war übrigens der 8.12. Sonntag Abend

 

[Hayda Ministral]

Dabei muss die Ausgabe der Passwörter aus rechtlichen Gründen mittels Passwort-Brief persönlich erfolgen

Falls noch nicht erfolgt: Bitte mal die angeblichen rechtlichen Gründe hinterfragen. Ich halte das für eine hohle Phrase die davon ablenken soll dass man schlicht organisatorisch nicht in der Lage ist andere Wege zu nutzen.

 

[ITX-Fan]

Aus dem Familienkreis weiß ich, dass wegen des Vorfalls der Abgabetermin für die Bachelorarbeit vom 30.12. auf den 27.01. verschoben wurde ... es hat alles sein Gutes!

 

[fixedwater]

Ich finde das toll: So lernt man sich beim Schlangestehen mal zwanglos kennen, Lehrende, Studis und Angestellte, und die Universitätsgemeinschaft wird gestärkt

 

[failXontour]

Finde sowas zwar nicht schön, kann die ganze Zeit aber nur daran denken welche Fachbereiche dort studiert werden hoffentlich nichts mit Computern, Informatik x_X die Webseite ist ja auch nicht verfügbar nach dem Hackerangriff.

 

[woldofoldo]

Finde sowas zwar nicht schön, kann die ganze Zeit aber nur daran denken welche Fachbereiche dort studiert werden hoffentlich nichts mit Computern, Informatik x_X die Webseite ist ja auch nicht verfügbar nach dem Hackerangriff.

Was hat denn das Eine mit dem Anderen zutun?

 

[failXontour]

Was hat denn das Eine mit dem Anderen zutun?

Nischt, im ersten Sinne doch mein Aluhut fängt an zu jucken.

 

[M@rsupil@mi]

alle Windows-basierten Endgeräte der Beschäftigten auf einen möglichen Virenbefall zu überprüfen [...] Nach einem ersten Virus-Scan mittels USB-Sticks hätten „unauffällige“ Systeme einen grünen Aufkleber erhalten und seien damit bereit für die angekündigte zweite Scan-Welle

Die Scannen einfach nur die Rechner und das war es?

 

[Model]

Mit einem (vom HRZ) leicht angepassten Desin'ct Stick von CT, ja.

 

[iSight2TheBlind]

Zum Virenscan: Rechner werden zweimal gescannt: Vor einigen Tagen bereits und jetzt noch einmal mit einer verbesserten Malwaresignatur.
Rechner die im ersten Scan unaufällig waren haben einen grünen Aufkleber bekommen, diejenigen bei denen der Scanner anschlug einen roten.
Jetzt wird nochmal mit einer exakten Malwaresignatur gescannt und es werden nur die Rechner gescannt die einen grünen Punkt haben.

Ein Rechner mit rotem Punkt wird natürlich nicht einfach wieder ins Netz gelassen sondern wird höchstwahrscheinlich (ich bin unbeteiligt aber die Uni Gießen gibt genug Informationen heraus um sich das selbst zusammenzureimen) komplett platt gemacht.
Nur Rechner die am Ende zwei grüne Punkte haben dürfen wieder ins Netz.

 

[Wilhelm14]

Ich gehe auch davon aus, dass desinfec't nur zum Auspüren dient. Zum "Reinigen" wird höchstwahrscheinlich neu aufgesetzt.

Emotot einen Admin Account schnappen können und die Windows Maschinen befallen...
Die Linux Umgebung ist nicht betroffen.

Läuft denn tatsächlich soviel Infrastruktur auf Windows, dass dermaßen viel zusammen bricht? Windows hätte ich nur bei vereinzelt verstreuten Clients vermutet.

Ich halte das für eine hohle Phrase die davon ablenken soll dass man schlicht organisatorisch nicht in der Lage ist andere Wege zu nutzen.

Vor allem findet die initiale Ausgabe des Zugangs über den Postweg statt. Außerdem werden sie eine Passwort-Zurücksetzen-Funktion haben, die auch ohne persönlichen Kontakt stattfindet. Vielleicht sind sie sich auch gar nicht sicher, was sie infiziert hat.

 

[Rhoxx]

Wenn die Accounts gehackt wurden, konnte vlt. auch die Wohnadresse geändert werden. Versand von PW über Post wäre damit auch hin.

 

[Ledeker]

heise Security und die c't-Redaktion stehen bereits in Kontakt mit Schlenker und der IT-Adminstration der Uni Gießen. Die Idee ist, im Nachgang des Vorfalls zu klären, ob und wie wir die Erweiterungen in Desinfec't 2020 einfließen lassen können. Im Raum steht auch ein Projekt "Desinfec't für Profis", das etwa Kurse, Webinare oder andere Angebote speziell für den Einsatz von Desinfec't im Firmenumfeld anbietet. Wer Interesse daran hätte, erstelle doch einen kurzen Kommentar mit dem Betreff "D4P" im Forum unter diesem Artikel – gerne auch mit Anregungen und weiteren Ideen dazu.

Klingt interessant.

 

[iSight2TheBlind]

Zum postalischen Versand Versand von Passwörtern: Es soll wohl an Bedingungen des DFN-Vereins liegen, dass die Passwörter persönlich abgeholt werden müssen.

Ich kann mir aber auch gut vorstellen, dass der Versand von ~40.000 Passwörtern per Post, gerade dann wenn das Computernetzwerk nicht komplett nutzbar ist, stark erschwert ist und eine persönliche Ausgabe einfacher.

 

[Hayda Ministral]

Was bedeuten würde dass die "rechtlichen Gründe" nur eine hohle Phrase darstellen.

 

[Wilhelm14]

Wenn die Accounts gehackt wurden, konnte vlt. auch die Wohnadresse geändert werden. Versand von PW über Post wäre damit auch hin.

Dann müsste man sowieso ein Backup der Datenbank einspielen. Wenn sie kein Backup haben, müssten sie die Datenbank neu anlegen. Jeder Student müsste sich wie neu einschreiben. Glaube ich kaum. 😉
Wie es aussieht, scheint es Emotet gewesen zu sein und eben nur Windows Clients (nicht Linux Server) betroffen. Oder scannen die tatsächlich die Server im Rechenzentrum mit desinfec't?

 

[Ledeker]

Oder scannen die tatsächlich die Server im Rechenzentrum mit desinfec't?

Wäre interessant zu wissen.
Leider geht aus dem Bericht nicht direkt hervor, ob nur Client-Rechner gescannt wurden oder auch Server.