mboost-dp1

sxc.hu - simonok

Kinesiske hackere fik admin-adgang til IT-Universitetets servere

- Via Comon - , redigeret af kasperfmn

IT-Universitet i København (ITU) var i weekenden udsat for et hackerangreb, der gjorde, at flere af universitetets systemer var nede. Blandt andet var intern webmail og blogs nede samt vigtige dele af intranettet.

Ifølge Peter Kamph, kommunikationschefen ved universitet, har man nu fundet frem til, at gerningsmændene var kinesiske hackere, som har forsøgt at bruge universitetet som stråmand i et videre angreb. Hackerne har fået adgang til ITU’s servere via et administratorkodeord, som det ikke vides, hvordan de har fået fat på. Universitetets interne e-mail-systemer har dog i længere tid været plaget af phishing-forsøg.

De kinesiske hackere har ikke fjernet data fra universitetets servere, men har sandsynligvis forsøgt ubemærket at fortsætte angrebet mod to amerikanske hjemmesider, som de har været ivrige efter at finde sikkerhedshuller i.

For at rydde op på serverne er ITU’s it-afdeling nu ved at formatere flere af systemerne.





Gå til bund
Gravatar #1 - BusterManiac
13. apr. 2011 07:27
Nu læser jeg selv derude og jeg synes det er monster pinligt, at et sted som kalder sig selv for IT-universitet løber ind i en sag som denne. Det er nemlig slet ikke overraskende, når man ser på det virvar af forskellg systemer som de kører - flere af dem er udviklet af sig selv (rygtet lyder, at rektor Mads Tofte har lavet et par af dem).

Et eksempel på dårlig håndtering af sikkerhed er deres emailregister, som indtil for nylig var offentligt tilgængeligt. Man kunne f.eks. søge på jokertegnet "%" uden at logge ind og få adgang til alle studerendes og ansattes emails. Det blev der sat en stopper for eller nogle ugers konstante phisingangreb mod ITU. Tydeligvis var interessen skabt for ITU fra hackernes side efter de oplevelser de havde med phising her (måske var det der de fik de rigtige passwords?!).
Gravatar #2 - Hubert
13. apr. 2011 07:33
shit happens. Sådan er det nu bare engang. De fleste af os ved godt at det er et spørgsmål om tid om hvornår det sker og ikke hvis det sker. Det er da klart positivt at de melder så meget ud som de gør.
Gravatar #3 - vulpus
13. apr. 2011 07:47
Hvordan kan man så hurtigt konkludere at der er tale om kinesiske hackere? Det tager vel tid at optrevle bagmandens netværksstruktur medmindre der er tale om amatører.
Gravatar #4 - Hubert
13. apr. 2011 07:51
vulpus (3) skrev:
Hvordan kan man så hurtigt konkludere at der er tale om kinesiske hackere? Det tager vel tid at optrevle bagmandens netværksstruktur medmindre der er tale om amatører.


Hvis man læser om historien på version2 fremgår det heller ikke at der skulle være tale om kinesere. Selvom det lader til at begge artikler er skrevet ud fra samme pressemeddelse.
Gravatar #5 - ShamblerDK
13. apr. 2011 08:16
#3: Man kan spore IP-adresser tilbage til tæt på deres oprindelse. Det er faktisk meget nemt.

Man kan så argumentere at de adresser selvfølgelig kan være falske og/eller at adresserne er routet til Kina fra et helt andet sted i verden via proxies.

Man har så bare valgt her at hoppe til konklusionen at crackerne er fra Kina.
Gravatar #6 - LordMike
13. apr. 2011 08:34
De burde lade de studerende kode systemerne - det ville sikkert virke bedre :P

Synes også det er pinligt. Går selv derude...
De må gerne formatere RADIUS serveren også - it sucks .. srsly...
Gravatar #7 - NinjaZee
13. apr. 2011 08:51
BusterManiac skrev:
Det blev der sat en stopper for eller nogle ugers konstante phisingangreb mod ITU.


Det sjove er så at der allerede var adskillige phishingangreb imod ITU for 3 år siden da jeg læste der... Så måske burde de have gjort noget ved det en smule før :)
Gravatar #8 - Lobais
13. apr. 2011 08:52
Det er skræmmende som kinesiske crackere tilsyneladende efterhånden kan komme ind alle steder.
Gravatar #9 - Dr_Mo
13. apr. 2011 09:28
ShamblerDK (5) skrev:
#3: Man kan spore IP-adresser tilbage til tæt på deres oprindelse. Det er faktisk meget nemt.

Snakker du genetiske oprindelse? For selvom hackerne skulle være i Kina, kan de jo stadig være danskere eller et tredje nationalitet.
Gravatar #10 - vulpus
13. apr. 2011 09:43
#5 Præcis. Man kan ikke konkludere at det er kinesiske crackere der står bag.
Gravatar #11 - Izaaq
13. apr. 2011 09:59
Hmmm.... Jeff.... Heeeyyy!!!
Gravatar #12 - Slettet Bruger [871079058]
13. apr. 2011 10:10
Lobais (8) skrev:
Det er skræmmende som kinesiske crackere tilsyneladende efterhånden kan komme ind alle steder.


Især når de har administratorpasswordet
Gravatar #13 - ShamblerDK
13. apr. 2011 10:27
#9: Nej, men jeg kan da jeg godt gå lidt ned i de tekniske detaljer:

Hvis du laver en trace på en given IP vil du se de "hops", det data der kommer fra den, bevæger sig igennem og du vil der med også kunne se DNS-navnene på de forskellige knudepunkter det kommer igennem. Der ud fra kan du se hvor henne af computerne med de givne IP'er befinder sig, eller i hvert fald hvor data fra de IP'er bevæger sig igennem.

Lidt spøjst formuleret men jeg er ikke vant til at snakke teknisk nede på det niveau :-/
Gravatar #14 - Dr_Mo
13. apr. 2011 10:37
#13
Du misforstår mig. Kinesiske hackere kan tage til deres naboland Afghanistan og hacke ind i ITU derfra. Det betyder ikke at det er afghanske hackere og slet ikke at det er tale om at Taleban der har hacket sig ind i ITU.

ITU (eller hvem der nu har undersøgt det) kan blot se hvor computerens oprindelse er via IP-adressen, ikke genetisk oprindelse, nationalitet eller ideologi...

Medmindre kineserne har taget ansvar for selve hacket, så ved vi fx ikke om det er russerne der opererer fra Kina og derved russiske hackere, eller noget tredje.
Gravatar #15 - NiklasP
13. apr. 2011 10:41
Lidt sjov konklusion at folkene bag skulle komme fra Kina. Så vidt jeg kan forstå, så er ITUs servere blev brugt til at angribe/cracke nogle servere i USA - hvem siger at de IP adresser fra Kina ikke også er en cracked server?
Gravatar #16 - CosmicCorruption
13. apr. 2011 12:25
For at undgå lignende tilfælde i fremtiden har it-afdelingen besluttet at indføre et ekstra lag af sikkerhed.


Åh nej!! Betyder det så at de gule password-noter vi har på skærmen skal tages ned???


De kinesiske indbrudsforsøg benyttede sig af, at skolens adressebog med mailadresser til elever og undervisere har ligget ubeskyttet på nettet.

Tabere... forpulede tabere...

Er der nogen der ved hvilke operativ systemer der er tale om, i den forbindelse?
Gravatar #17 - ipwn
13. apr. 2011 13:19
#16
Linux #1 SMP Thu Dec 18 19:09:47 EST 2008 i686 i686 i386 GNU/Linux

:) Det får jeg ihvertfald når jeg logger på min konto på SSH. Men deres andre services kan have kørt på noget andet vel.
Gravatar #18 - CosmicCorruption
13. apr. 2011 13:30
#17
Jeg havde ellers lige håbet at kunne starte en flamewar omkring sikkerhed: Windows vs. Linux..

Man kan ikke helt gardere sig imod hacker-angreb... men... admin-adgang? Det er for voldsomt.
Gravatar #19 - x-tian
13. apr. 2011 19:31
#18 bare vent indtil windcape ser det. få bliver alt andet end Win 007-XP-GTI flamet. Så får du din Win vs. Linux :-)
Gravatar #20 - darune
14. apr. 2011 09:31
#13

Der er altid jo en mulighed for at der proxies involveret. I det her tilfælde kunne det være i kina. Det var jo netop hvad vi hører IT-universitetet skulle benyttes til. Så når de i USA kører en traceroute ser det ud som om angrebet kommer fra danmark/ITU.

Selvom det lyder sandsynligt at det er kinesere og at de på den eller anden måde har fået opsnappet root password.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login