Op 31 juli 2020 slaagden onbekende hackers erin om diep door te dringen op het Athena-platform. Ze kregen zo toegang tot een groot aantal (gehashte) credentials van actieve gebruikers. Het is mogelijk dat dit de voorbereiding was om te proberen de centrale UGent-infrastructuur te blokkeren met ransomware, om nadien losgeld te kunnen vragen voor het deblokkeren van de infrastructuur. Om de verdere kwaadaardige acties te verhinderen, werden onmiddellijk een aantal technische maatregelen genomen (bv. File Explorer op Athena en RDP werden onbruikbaar gemaakt) en de gecompromitteerde accounts werden geblokkeerd.

De hackers werden op tijd ontdekt en slaagden niet in hun uiteindelijke opzet, maar dit veiligheidsincident toont opnieuw aan dat universiteiten, en dus ook de UGent, op de doelwitlijst staan van internationale, misdadige hackers. We moeten ons continu bewust zijn van dit dreigende gevaar.

Grootschalig misbruik start bovendien altijd met kleine stapjes, doorgaans één gehackte account. Als ICT-contactpersoon is het daarom van belang om jouw collega’s erop te wijzen dat iedereen medeverantwoordelijk is voor het veilig houden van zijn/haar account.

Extra beveiligingsmaatregelen

DICT heeft al een rits van maatregelen om de UGent-infrastructuur zo veilig mogelijk te houden en zal deze in het najaar nog verder aanscherpen door:

• Het invoeren van Multi-Factor Authentication (MFA): de invoering van MFA zal stapsgewijs gebeuren. Zo loopt er momenteel binnen DICT al een pilootfase voor Azure MFA op O365 en Athena. We zijn op basis van de geleerde lessen van deze pilootoefening de plannen aan het voorbereiden voor een bredere rollout in de UGent. Deze start wellicht al in november met de invoering van MFA op de VPN service.
• Het afdwingen van sterke wachtwoorden: gebruikers zullen minstens een keer per jaar gevraagd worden om hun UGent-wachtwoord te vernieuwen en om het wachtwoord voldoende sterk te maken. Ondanks het feit dat er op de wachtwoordpagina een mechanisme is om complexe wachtwoorden aan te moedigen, kan een kleine 20% van de UGent-wachtwoorden binnen het uur worden gekraakt op basis van een dictionary attack. Wist je bijvoorbeeld dat meer dan 20 gebruikers varianten op het woord ‘zwijnaarde’ als wachtwoord hebben? Het zo laks omspringen met wachtwoorden kan de werking van de volledige UGent in gevaar brengen. Mogen we dan ook vragen om als ICT-contactpersoon jouw collega’s te blijven wijzen op het belang van een sterk wachtwoord? Meer info over het opnieuw instellen van wachtwoorden vind je hier.
• Het gebruiken van geavanceerde tools om verdachte mails te onderscheppen: DICT gebruikt tools om onder meer verdachte bijlages op te sporen, gezien dit een klassieke bron is van virusbesmetting. Zo zijn 99% van alle uitvoerbare bijlages virussen en een op drie van de Word- of Exceldocumenten die in bijlage worden meegestuurd, bevatten malware. DICT krijgt bovendien dagelijks te maken met tientallen tot zelfs duizend besmette bijlages die nog niet in de virusscanner signatures zitten. E-mails met bijlages kunnen dan ook in sommige gevallen geblokkeerd worden. Moedig jouw collega’s en studenten zoveel mogelijk aan om geen bijlages meer te versturen per e-mail, maar om projecten of werkjes in de leeromgeving op te laden, code te delen via Github en werkbestanden uit te wisselen via Teams, Sharepoint of OneDrive-for-Business. Werk dus mee aan een IT-cultuuromslag: de oude manier van werken met bijlagen via e-mail is onveilig en echt niet meer van deze tijd...
• Het in gebruik nemen van Endpoint Detection and Response (EDR): dit next-generation antivirussysteem gaat een stap verder dan de klassieke systemen. Virussen evolueren namelijk zo snel dat traditionele virusscanners ze pas kunnen herkennen uren nadat een nieuwe verspreiding gestart is. De EDR-tool spoort verdachte activiteiten op servers en werkstations proactief op en kan deze activiteiten selectief blokkeren. In een zeldzaam geval zou dit tot gevolg kunnen hebben dat een legitieme actie van een gebruiker op Athena toch geblokkeerd wordt (als “false positive”). Het is de bedoeling dat de gebruikers in dit geval contact opnemen met onze DICT Helpdesk. Zo kan het systeem verder worden gefinetuned.

Heb je nog vragen over het IT security beleid van UGent? Contacteer dan Michel Raes, IT-Security Officer van de UGent.