» »

Univerza v Mariboru ponovno vzpostavila spletne strani, elektronsko pošto

Univerza v Mariboru ponovno vzpostavila spletne strani, elektronsko pošto

Slo-Tech - Tri tedne po hekerskem napadu na informacijski sistem mariborske univerze se razmere počasi normalizirajo. Ta teden so ponovno usposobili elektronsko pošto, potem ko so dva tedna poslovali papirno in prek drugih poštnih predalov. Prav tako spet delujejo spletne strani univerze in vseh fakultet, zaposleni in študentje pa imajo dostop do Microsoftovih storitev v oblaku in elektronskih učilnic. Obnova sistema še ni dokončana, dela potekajo še v zalednih sistemih, pojavljajo se tudi še posamezne težave, kot je denimo ogrevanje v veliki predavalnici na rektoratu.

Spomnimo, da je bil napad temeljit in je popolnoma onesposobil celoten informacijski sistem. V dneh po napadu niso bile dostopne spletne strani, elektronska pošta, nobene Microsoftove storitve (365, vključno s Teams in OneDrive), internetna povezljivost in prijava v centralne informacijske sisteme (finančni, kadrovski in študentski informacijski (AIPS)). Pojavile so se tudi informacije, da so prizadete tudi varnostne kopije in da bo obnova morala potekati po kosih.

Napadalci, ki so bili po neuradnih podatkih povezani z rusko skupino Babuk in istoimenskim virusom, ki zašifrira vse dostopne podatke, niso zahtevali odkupnine, trdijo na Univerzi. Rektor univerze je v pismu zaposlenim zapisal: "Natančnega vektorja napada kljub podrobni forenzični analizi neodvisnih forenzičnih strokovnjakov v tem trenutku še ni mogoče določiti, pri čemer pa je znan najverjetnejši prvi napadeni strežnik, na katerem je napadalec pustil tudi sporočilo o komunikacijskem kanalu, preko katerega ga lahko kontaktiramo." Univerza ga ni kontaktirala. Rektor tudi zagotavlja, da so imeli "ustrezno in po pravilih urejen sistem varovanja naše informacijsko-komunikacijske infrastrukture in sistem varovanih kopij podatkov".

43 komentarjev

crystal ::

niso zahtevali odkupnine.... vrjetno ce bi ga kontaktirali bi povedu kam poslat denar =)

sbawe64 ::

Borat meme here: great success!
2020 is new 1984
Corona World order

misek ::

Dajte vsaj novice pisati bolj detajlneje od informacij, ki pridejo iz UM. Elektronska pošta sicer deluje, vendar so predali prazni. Torej starih sporočil ni. To dejstvo mislim da je vseeno precej pomembno.

WhiteAngel ::

misek je izjavil:

Dajte vsaj novice pisati bolj detajlneje od informacij, ki pridejo iz UM. Elektronska pošta sicer deluje, vendar so predali prazni. Torej starih sporočil ni. To dejstvo mislim da je vseeno precej pomembno.


Auč. IMAP/POP3 in lokalni odjemalec ftw.

bemfa ::

https://um.si/ še vedno ni dosegljiva.

tomazzzzz ::

bemfa ::

Zgleda so pozabili hidden fajle prekopirat iz backupa (.htaccess) :))

freetard ::

Še vedno ni indeksa (aips.um.si je nedosegljiv). Bodo vsi študentje višjih letnikov imeli priznane vse izpite za nazaj z oceno 10, oziroma, kako mislijo rešiti ta najbolj kritičen zaplet?

tony1 ::

"pojavljajo se tudi še posamezne težave, kot je denimo ogrevanje v veliki predavalnici na rektoratu."

Zabavne reči :-). Slabo desetletje nazaj sem se npr. na dolgo in široko moral prepirati z eno drugo državno ustanovo (mnogo bolj kritično kot je ena univerza), da je slabo imeti UPSe povezane v oblak proizvajalca. Niso me poslušali. Čez nekaj let so kupili neko hudo diskovno polje, "ki sploh ne more delovati brez vendorjevega clouda, ta ves čas spremlja, če bo kakšen disk odpovedal!". Torej, zakaj niso nečesa kot je ogrevanje bajte dali v ločen VLAN?

"Univerza ga ni kontaktirala."

Kaj pa vem, koliko jim gre verjeti. Če jih ne kontaktiraš, te ponavadi čez nekaj dni pokličejo kar sami. No, tukaj jih je sicer za dober teden pustila na cedilu čuvena IP telefonija, ki jo je postavil zun. izvajalec (Iskratel, kakorkoli se že danes imenuje :-D).

Skratka, vsa zadeva bi morala biti učna ura o poglavju pravljice z naslovom: "Tehničnemu dolgu se ne da ubežati. Ko misliš, da si mu ušel, te nekaj spotakne, ta pa te dohiti."

V treh tednih so podelali 15 let tehničnega dolga (vse *zelo* na hitro, in, kdo ve kako kakovostno, filozofsko rečeno lahko domnevamo, da se ga je zdaj nabralo še več kot pred icidentom):
Technical debt posits that an expedient design essentially reduces expense in the present, but causes extra expense in the future.

Technical debt @ Wikipedia

Zgodovina sprememb…

  • spremenil: tony1 ()

Daniel ::

Ko zaradi hekerskega napada preneha delati ogrevanje določenih prostorov, smo prišli predaleč. Treba bo storiti korak nazaj.

tony1 ::

Daniel je izjavil:

Ko zaradi hekerskega napada preneha delati ogrevanje določenih prostorov, smo prišli predaleč. Treba bo storiti korak nazaj.


Modri ljudje so to razumeli. Prvič sem takega človeka srečal v eni SLO ustanovi 10 let nazaj. In so začeli sprejemati odločitve, ki so to modrost upoštevale. Prehod vseh sistemov na IP protokol kot nekaj normalnega so ustavili. Ne morem povedati, kje je to bilo, lahko pa zagotovim, da... ni bilo v akademiji.

Zgodovina sprememb…

  • spremenil: tony1 ()

mihec87 ::

So jih tako dobro pohekali, da jim še zahtevka za odkupnino niso meli kam poslat :)

tony1 ::

To implicira, da je bilo okolje varnostno neobičajno slabo narejeno... In pove tudi, da ena univerza ne komunicira z drugo, saj se je druga že pred 15imi leti zgrda naučila, kako narediti hardening omrežja IP telefonije. So bili v cajtengih, pa prve univerze to očitno ni zanimalo.

Zgodovina sprememb…

  • spremenil: tony1 ()

ZigaZiga ::

Daniel je izjavil:

Ko zaradi hekerskega napada preneha delati ogrevanje določenih prostorov, smo prišli predaleč. Treba bo storiti korak nazaj.

Ne spomni na prvo leto faksa v novi stavbi, ko je sredi zime en teden v velikih predavalnicah delal hladilni sistem namesto ogrevalnega. Brez hekerskega napada ;((

misek ::

tony1 je izjavil:

No, tukaj jih je sicer za dober teden pustila na cedilu čuvena IP telefonija, ki jo je postavil zun. izvajalec (Iskratel, kakorkoli se že danes imenuje :-D).
A na rektoratu imajo svojo telefonijo? Ker vsaj po fakultetah je Telemach še se prav spomnim.

RedZo ::

To pa je res depresivno:
"Rektor tudi zagotavlja, da so imeli "ustrezno in po pravilih urejen sistem varovanja naše informacijsko-komunikacijske infrastrukture in sistem varovanih kopij podatkov"."
Se nekako ponuja vprašanje ali ima tudi on kakšne ugodnosti od poslovanja informatike na UNI MB...

CyberPunk ::

Daniel je izjavil:

Ko zaradi hekerskega napada preneha delati ogrevanje določenih prostorov, smo prišli predaleč. Treba bo storiti korak nazaj.

Niti ni potreben korak nazaj. Samo treba je planirati, da ima vsak "mission critical" sistem na voljo tudi popoln "manual override".

tony1 ::

misek je izjavil:

tony1 je izjavil:

No, tukaj jih je sicer za dober teden pustila na cedilu čuvena IP telefonija, ki jo je postavil zun. izvajalec (Iskratel, kakorkoli se že danes imenuje :-D).
A na rektoratu imajo svojo telefonijo? Ker vsaj po fakultetah je Telemach še se prav spomnim.


Tlele je opisana zgodba o prehodu na IP telefonijo na rektoratu UM izpred 15ih let, lahko se je sicer tudi kaj spremenilo vmes:
https://uni-mb.org/

tony1 ::

CyberPunk je izjavil:

Daniel je izjavil:

Ko zaradi hekerskega napada preneha delati ogrevanje določenih prostorov, smo prišli predaleč. Treba bo storiti korak nazaj.

Niti ni potreben korak nazaj. Samo treba je planirati, da ima vsak "mission critical" sistem na voljo tudi popoln "manual override".


Drži. Pomembno je poudariti "popoln". Če imaš samo možnost ročnega vklopa ogrevanja za celo stavbo, bo tiste v kleti in v podstrešju pač nekaj časa malo bolj "kuhalo". Zaplete pa se npr. z upravljanjem ventilov v samih ceveh, ki so danes popularni in pol bajte bi lahko vmes bilo še vedno skoraj neogrevane...

Zgodovina sprememb…

  • spremenil: tony1 ()

Markoff ::

Daniel je izjavil:

Ko zaradi hekerskega napada preneha delati ogrevanje določenih prostorov, smo prišli predaleč. Treba bo storiti korak nazaj.

Za ogrevanje, ki je povezano v centralni rač. sistem, lahko uporabimo nov izraz: Heating of Things ali HoT.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

war-dog ::

Sramota za univerzo, me zanima če bo vpis upadel za FERI.

"ustrezno in po pravilih urejen sistem varovanja naše informacijsko-komunikacijske infrastrukture in sistem varovanih kopij podatkov"

Več kot očitno malomarno vzpostavljen sistem varnostnega kopiranje in arhiviranja, če je vse v istem okolju. Pač niso sledili 3-2-1 backup principu.
Object reference not set to an instance of an object.

LinuxAlex ::

Glede na to, da je to javna ustanova, imajo javna sredstva in določene smernice, me čudi "varnostni sistem" univerze. Osnovni problem je, da so vse zakomplicirali.

Za zanesljiv in robusten varnostni sistem potrebuješ 4 glavne komponente:

  • Veeam Backup & Replication (plačljivo) ali Bacula (brezplačna alternativa) za izdelovanje varnostnih kopij

  • magnetni trakovi (tape drive) za zapis varnostnih kopij (npr.: IBM 3592 JE, 20 TB prostora, življenjska doba 10 let), potrebuje se vsaj 1 medij na varnostno kopijo

  • trakovna knjižnica (tape library), katera skrbi za pisanje na magnetne trake in jih po končani operaciji fizično odstrani, tako tudi v primeru napada, na odstranjene medije na daljavo ni mogoče dostopati

  • varno mesto za odlaganje teh varnostnih kopij, katero ima zaščito pred nepooblaščenim dostopom in naravnimi katastrofami (npr.: poplave, požar, ...)



Varnostne kopije (bare metal backup) naj bi se hranile ena za vsak dan preteklega tedna, ena za vsak teden zadnjih par mesecev, ena za vsako polletje zadnjih par let, ...

mtosev ::

Dolgo so rabili, da so uredili.
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

LinuxAlex ::

mtosev je izjavil:

Dolgo so rabili, da so uredili.

Ne dela že vse... Še vedno ne morejo:

  • narediti izračun za položnice za študentske domove (njihova uradna izjava)

  • eduroam (wifi za študente) v študentskih domovih

  • AIPS - Akademski informacijski podsistem Univerze v Mariboru (za vnos ocen in izpis stanja študija)

  • določeni dokumenti na https://moja.um.si (npr.: akreditirani predmetniki, ...)

  • ...



Malo še bo trajalo, da bodo vse uredili :(.

Excavator ::

LinuxAlex je izjavil:

mtosev je izjavil:

Dolgo so rabili, da so uredili.

Ne dela že vse... Še vedno ne morejo:

  • narediti izračun za položnice za študentske domove (njihova uradna izjava)

  • eduroam (wifi za študente) v študentskih domovih

  • AIPS - Akademski informacijski podsistem Univerze v Mariboru (za vnos ocen in izpis stanja študija)

  • določeni dokumenti na https://moja.um.si (npr.: akreditirani predmetniki, ...)

  • ...



Malo še bo trajalo, da bodo vse uredili :(.


Kolega ne more oddat magistrske, ker DKUM ne sprejema zaključnih del :)

Zgodovina sprememb…

alexmarsic ::

Kar smešno je, da si je taka fakulteta to privoščila. Backupi so očitno še zmeraj hranjeni lokalno v njihovem omrežju. Glede na to, da so šole povezane preko ARNESA bi lahko ta najbolj pomembne varnostne kopije hranili tudi na ARNES Shrambi.

Vsekakor je idealno, da je backup na 3 lokacijah in to izvajam tudi sam.
1. Zunanji SSD disk
2. Synology
3. ARNES Shramba

Problem bo pa vsekakor ocene. Mogoče ne za tiste, ki so sedaj na fakulteti kot pa za katerega, ki bi mogoče kasneje rad zaključil študij. Teh ocen ni več in kako bodo to reševali bo še zanimivo.

c3p0 ::

Ko imaš ogromne količine podatkov, si bolj omejen. Vsekakor pa ni izgovora, da ni bilo nekega rednega tape backupa in offsite offline shrambe. Že za primer npr. požara, je dobro furat tak sistem.

Pa seveda imet disaster recovery scenarije, ki jih dejansko tudi redno testiraš. Ker so očitno vpleteni dovolj visoko rankirani, bo vse skupaj šlo pod preprogo. Že GDPR je očitno sam sebi namen.

misek ::

alexmarsic je izjavil:

Kar smešno je, da si je taka fakulteta to privoščila.
O kateri fakulteti to govoriš? Zadeva se je namreč zgodila na nivoju univerze, ki skrbi za infrastrukturo.

alexmarsic ::

c3p0 je izjavil:

Ko imaš ogromne količine podatkov, si bolj omejen. Vsekakor pa ni izgovora, da ni bilo nekega rednega tape backupa in offsite offline shrambe. Že za primer npr. požara, je dobro furat tak sistem.

Pa seveda imet disaster recovery scenarije, ki jih dejansko tudi redno testiraš. Ker so očitno vpleteni dovolj visoko rankirani, bo vse skupaj šlo pod preprogo. Že GDPR je očitno sam sebi namen.


Pa sej offsite backup ti je dovolj če imaš 1ga na teden in shranjuješ 2-3 backupe gor. Torej 3 mesečne backupe. Na Arnesu imam 10TB prostora na organizacijo + 10 TB za podružnice. Od tega je večina backup računovodstva, tajništva, referata in predvsem VŠ Evidence.

Sicer pa disaster so na Univerzi so potem tudi še dodatno sami zakuhali. Vsi maili so šli v reset, ker bi morali najprej odstranit stare UUIDje na Microsoft 365 in potem ko bi bili vsi računi BREZ UUIDja bi sinhronizirali nazaj uporabnike. Azure AD connect bi poiskal če je v Microsoft 365 direktoriju že uporabnik z istimi podatki in bi ga povezal nazaj skupaj. Sem že dal to skozi in je delovalo.
Ker pa so oni sinhronizirali uporabnike nazaj na Microsoft 365 brez odstranjevanje UUIDjev je 365 zaznal, da stari uporabnik ni več na serverju ga je izbrisalo in narejen na novo.

To je bilo res zelo amatersko izpeljano. Rabili so samo en ukaz preko powershella poslat na M365 pa bi vse ohranili. Ampak zdaj kar je je.


misek je izjavil:

alexmarsic je izjavil:

Kar smešno je, da si je taka fakulteta to privoščila.
O kateri fakulteti to govoriš? Zadeva se je namreč zgodila na nivoju univerze, ki skrbi za infrastrukturo.


Napačno sem se izrazil. Mislil sem pravilno napisal pa narobe. Se opravičujem.

Zgodovina sprememb…

c3p0 ::

A, potem imaš kar dosti prostora pri Arnesu, sem mislil da tu gre za par 10 GB :)

bm1973 ::

Par 10 GB za backup je malo, ne gledena to kako fgensi backup imaš.

Koliko je sedaj max. kapaciteta traku?

https://www.salvagedata.com/maximum-mag...

Zgodovina sprememb…

  • spremenilo: bm1973 ()

alexmarsic ::

c3p0 je izjavil:

A, potem imaš kar dosti prostora pri Arnesu, sem mislil da tu gre za par 10 GB :)


Arnes v osnovni ponudi 1TB. Če potrebuješ več ti z prošnjo povečajo na 10TB. Tako, da več kot dovolj :) Potem pa itak če imaš podružnice dobi vsaka 1TB in seveda za vsako lahko zaprosiš več če b bilo premalo.

c3p0 ::

10GB je malo, drži, jaz imam za doma preko 100TB (en 4U SuperMicro in en večji QNAP, snipan na dražbi, z 12x 8TB diski, za 350 EUR, hih).

bm1973 ::

c3p0 je izjavil:

QNAP, snipan na dražbi, z 12x 8TB diski, za 350 EUR, hih).

Tole je pa steal >:D-

ebay?

pegasus ::

Pri meni za manj denarja dobiš več kot 1PB. Sam s par kombiji moraš priti ;)

DamijanD ::

pegasus: kakšne kose pa oddajaš?

bm1973 ::

pegasus je izjavil:

Pri meni za manj denarja dobiš več kot 1PB. Sam s par kombiji moraš priti ;)

Še vedno?

pegasus ::

6 rackov out of service netappov, 2-4tb diski.

MrStein ::

alexmarsic je izjavil:


Sicer pa disaster so na Univerzi so potem tudi še dodatno sami zakuhali. Vsi maili so šli v reset, ker bi morali najprej odstranit stare UUIDje na Microsoft 365 in potem ko bi bili vsi računi BREZ UUIDja bi sinhronizirali nazaj uporabnike. Azure AD connect bi poiskal če je v Microsoft 365 direktoriju že uporabnik z istimi podatki in bi ga povezal nazaj skupaj. Sem že dal to skozi in je delovalo.
Ker pa so oni sinhronizirali uporabnike nazaj na Microsoft 365 brez odstranjevanje UUIDjev je 365 zaznal, da stari uporabnik ni več na serverju ga je izbrisalo in narejen na novo.

To je bilo res zelo amatersko izpeljano. Rabili so samo en ukaz preko powershella poslat na M365 pa bi vse ohranili. Ampak zdaj kar je je.

MS je imel kopije mailov, pa jih je nepovratno zbrisal?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

misek ::

MrStein je izjavil:

MS je imel kopije mailov, pa jih je nepovratno zbrisal?
Menda so bili maili na lokalnem strežniku brez backupa oz. je ta bil izgubljen. Kar pomeni, da jih sploh ni bilo od kje vzeti pri obnovitvi ampak so se samo kreirali novi email naslovi pri MS.

bm1973 ::

pegasus je izjavil:

6 rackov out of service netappov, 2-4tb diski.

Nimam jedrske elektrarne doma :)).

misek je izjavil:

MrStein je izjavil:

MS je imel kopije mailov, pa jih je nepovratno zbrisal?
Menda so bili maili na lokalnem strežniku brez backupa oz. je ta bil izgubljen. Kar pomeni, da jih sploh ni bilo od kje vzeti pri obnovitvi ampak so se samo kreirali novi email naslovi pri MS.

Debilizem prve klase.

Plačuješ cloud s placom, pa hraniš maile lokalne.

A kdo kdo misli, da je to kretensko vrtičkarstvo?

Zgodovina sprememb…

  • spremenilo: bm1973 ()

misek ::

bm1973 je izjavil:

Plačuješ cloud s placom, pa hraniš maile lokalne.
Mail strežnik je bil lokalen, kar pomeni, da so tudi maili lokalni?

alexmarsic ::

MrStein je izjavil:

alexmarsic je izjavil:


Sicer pa disaster so na Univerzi so potem tudi še dodatno sami zakuhali. Vsi maili so šli v reset, ker bi morali najprej odstranit stare UUIDje na Microsoft 365 in potem ko bi bili vsi računi BREZ UUIDja bi sinhronizirali nazaj uporabnike. Azure AD connect bi poiskal če je v Microsoft 365 direktoriju že uporabnik z istimi podatki in bi ga povezal nazaj skupaj. Sem že dal to skozi in je delovalo.
Ker pa so oni sinhronizirali uporabnike nazaj na Microsoft 365 brez odstranjevanje UUIDjev je 365 zaznal, da stari uporabnik ni več na serverju ga je izbrisalo in narejen na novo.

To je bilo res zelo amatersko izpeljano. Rabili so samo en ukaz preko powershella poslat na M365 pa bi vse ohranili. Ampak zdaj kar je je.

MS je imel kopije mailov, pa jih je nepovratno zbrisal?


Ni MS izbrisal ampak napako so naredili pri sinhronizaciji, ki je povzročilo izbris. Sem že to naredil in vem kako deluje.
M365 je kar zakomplicirana zadeva in moreš res vedet na čemu si. In ja maili so se nepovratno izbrisali tudi če so v cloudu.

To sem jaz naredil za poskus in se je to zgodilo. Sicer sem to z dijaki preizkušal, da smo dejansko to ugotovili.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Univerza v Mariboru ponovno vzpostavila spletne strani, elektronsko pošto

Oddelek: Novice / Varnost
436799 (1379) alexmarsic
»

Na mariborski univerzi počasi vzpostavljajo informacijski sistem

Oddelek: Novice / Varnost
468831 (2001) Legon
»

Univerza v Mariboru tarča kibernetskega napada (strani: 1 2 3 4 )

Oddelek: Novice / Varnost
17623164 (2219) Irbis
»

Po 48 urah na Univerzi v Mariboru še vedno informacijski mrk (strani: 1 2 3 )

Oddelek: Novice / Varnost
11516264 (2094) Legon

Več podobnih tem