Zeker 150 RuG-computers gehackt
Geplaatst op: 5 maart 2007 Hoort bij: UK + RUG Een reactie plaatsenDe computer op mijn werkplek behoort tot de zeker 150 RUG-computers die gehackt zijn, zo bleek vanmiddag toen ik mijn activiteiten op die computer moest staken op last van het it-beheer. Tot minstens morgenmiddag kan ik er niet op werken.
De RUG kreeg een hackers-mailtje met een lijst van de gehackte pc’s. Daar zal die van mij dan ook wel op staan. Op die pc’s heeft de hacker een ftp-server geïnstalleerd voor allerlei downloaderij, maar ook een keylogger die toetsaanslagen registreert. Ben nu wel blij dat ik totaal geen bankzaken met de computer doe, ook al zou ik, als ik dat wel deed, zoiets niet gauw op mijn werk doen.
De manier van inbreken is nog onduidelijk en mogelijk zijn de hackers al maanden actief. Volgens de deskundigen is geïnstalleerde rotzooi ook nog eens overdraagbaar. Dus meteen thuis maar weer eens de zaak flink door de molen gehaald. Gelukkig werd er niets onrustbarends aangetroffen. Wel ben je er een boel tijd mee kwijt, en als je dan voor al die pc’s het verlet optelt, en de inspanningen van van de it-jongens erbij rekent, maakt dat een behoorlijke economische schade. En die mogen ze om mijn part verhalen op de hacker.
Update dinsdag 20.00 uur:
Naar het schijnt kon de hacker bijvoorbeeld ook porno op je harde schijf parkeren. Alle harde schijven van alle getroffenen – het aantal bleek vandaag al vrij wat hoger – werden opnieuw geformatteerd en alle reguliere programma’s opnieuw geïnstalleerd.
Thuis op aanraden van FredW nog maar even a-squared Free geïnstalleerd en uitgeprobeerd in de diepgaande modus. Dat volgens Fred op keyloggers toegesneden progammaatje trof in de registry nog een trace van een installatie-geleider voor malware aan. Op zich niet gevaarlijk, aldus asF.
Update donderdag:
Hacker opereerde binnen de RUG
Isee.TV – interview met de (fake?) hacker
groninganus 
Oeps! Ik had inderdaad wel een mailtje van IT-beheer voorbij zien komen, maar niet echt goed gelezen. Ik kon wel gewoon op de computer werken; kennelijk de dans ontsprongen. Heb al wel een tijdje een merkwaaardig virus: de computer doet na aanklikken pas iets als ik de muis even beweeg.
@Dick,
Bij de UK ontving iedereen dat mailtje en kreeg ik als enige een telefoontje van het it-beheer.
FredW heeft inderdaad een aardige lijst gegeven.
Wel is het zo dat goeie antivirus programma’s tegenwoordig ook ad- & malware en overige ‘unwanted programs’ herkennen, en activiteit die op worm-infectie duidt.
Er is daarbij duidelijk verschil tussen software ontworpen voor bedrijven/professionele servers en zgn. home-suites. McAfee’s Enterprise virusscan bijvoorbeeld doet gewoon onopvallend en buitengewoon effectief z’n werk, terwijl McAfee’s security center Home erg irritant de gebruiker steeds maar meldt dat ie risico loopt etc.
M.b.t. firewalls is het bovendien verstandig een onafhankelijke firewall te gebruiken, en niet de in XP of hoger geïntegreerde firewall. De Microsoft firewall laat standaard de poort open voor alle Microsoft programma’s, terwijl die vaak juist het grootste risico met zich meebrengen. Een goede onafhankelijke firewall signaleert eenvoudigweg welk programma probeert welke poort te gebruiken, naar binnen toe, of naar buiten toe, en vraagt de gebruiker of ie dat wil toestaan, permanent of eenmalig. Het is daarbij wel van belang dat je begrijpt welk programma probeert zich toegang te verschaffen.
FredW vestigt terecht ook aandacht op een ‘hardware’-firewall, vaak geïntegreerd in routers. Veel mensen hebben alleen een adsl of kabel modem waarmee de verbinding met internet wordt gemaakt, zonder firewall. Het is aanbevelenswaardig om een router tussen computer en modem te plaatsen, omdat de hardware firewall van een router veel ellende kan voorkomen.
Om je eigen computer te testen op openstaande poorten, check de ShieldsUP site van Gibson Research: https://www.grc.com/x/ne.dll?bh0bkyd2
Tot slot nog iets over wormen: een worm nestelt zich praktisch altijd in het windows register. Het is daarom verbijsterend dat er geen enkele windows functie beschikbaar is, die wijzigingen in het windows-register monitort en aan de gebruiker toestemming vraagt of ie een bepaalde wijziging wil toelaten. Een programmaatje dat daar een oplossing voor biedt is ‘The Cleaner’ van MooSoft: http://www.moosoft.com/ Zeer effectief om alle pogingen het windows register te corrumperen te signaleren en te authoriseren. Dat vereist wel dat je begrijpt wat je wel moet toestaan en wat niet, maar werkelijk een ultieme beveiligingstool, met name tegen wormen, malware, adware en overige ellende.
O ja, nog vergeten: draadloze routers.
Als je die gebruikt,
1) zorg er dan wel voor dat je eigen netwerk (de gegevensuitwisseling tussen de router en de computer die je in huis hebt) ‘encrypted’ is, anders kunnen de buren gewoon lekker mee internetten over jouw router, en een wat slimmere buur kan je hele dataverkeer monitoren.
2) zorg er beslist voor dat de beheerfunctie om de router te configuren is beveiligd met een wachtwoord. Veel mensen vergeten dat, waardoor de router nog in z’n standaard fabrieks wachtwoord bereikbaar is, en eenvoudig _draadloos_ is te hacken (bijv. met een laptop op 100 meter afstand), waarmee de hele firewall van de router opnieuw geconfigureerd en gecorrumpeerd kan worden.
Fictie? Zeker weten van niet, ik heb zelf mobiel wel vaker gebruik gemaakt van internettoegang via volstrekt openliggende draadloze netwerken …
@JP.
Nog bedankt!