Education

TU dicht kritiek veiligheidslek in Linux

De dienst ICT is van woensdag op donderdag tot diep in de nacht bezig geweest een kritiek veiligheidslek te dichten in de ongeveer vierhonderd Linux-systemen die op de universiteit draaien. Het lek was een wereldwijd probleem. Het gevaar voor inbraken was na het ‘pleisters plakken’ geweken.

Dat pleisters plakken heet in ICT-taal patchen. Het komt erop neer dat de dienst ICT de afgelopen nacht urenlang software heeft moeten installeren om de gaten in de veiligheid van de Linuxsystemen te dichten. Tussen 21:30 uur en 02:30 uur lagen de systemen daardoor plat.

Linux is een verzameling van open source besturingssystemen waarvan verschillende distributies bestaan. Bekende voorbeelden zijn Red Hat en Debian. Op de TU draaien op Linux onder meer: een deel van de mailomgeving, webservices als www.tudelft.nl, en systemen als Peoplesoft (voor personeelsinformatie), Osiris (voor cijferregistratie) en Blackboard (de elektronische leeromgeving). 

Het wereldwijde lek is bij een reguliere audit ontdekt door het beveiligingsbedrijf Qualys. Daarna belandde die informatie, mét de methode om in te breken, op internet.

Volgens Bert Kuipers, hoofd serverbeheer bij ICT, is er geen indicatie dat daar bij de TU misbruik van is gemaakt. Meteen nadat het nieuws bekend werd, is zijn afdeling begonnen met het treffen van maatregelen. Het patchen kon echter pas in de avond beginnen. Dat had organisatorische redenen. “Systemen moeten offline. Dat heeft zoveel impact dat we tijd nodig hebben om dat goed voor te bereiden en vervolgens te communiceren. Heel veel mensen hadden niet kunnen werken als we al overdag waren begonnen.”

Gelukkig staan de meeste systemen achter een firewall, benadrukt Kuipers, waardoor het risico te overzien was. De meeste, maar niet alle. “Systemen die in contact staan met de buitenwereld, zoals de website van de TU, zijn kwetsbaarder.”

Editor Redactie

Do you have a question or comment about this article?

delta@tudelft.nl

Comments are closed.