Februlekkie, Hack KPN vanuit goede intentie?

Een paar dagen nadat KPN bekend maakte dat onbevoegden toegang verkregen tot een intern IT domein, claimt een Nederlandse hacker samen met Russische groepsgenoten verantwoordelijk te zijn voor de hack. Dit meldt Brenno de Winter via Webwereld en nu.nl. De hacker geeft enkele details over de infrastructuur om zijn claim kracht bij te zetten.

De hack (noem het een inbraak, noem het een beveiligingsfetish) zou niet specifiek gericht zijn geweest tegen KPN, maar onderdeel van een bredere scan op een specifieke bekende kwetsbaarheid, waarbij na succes bleek dat een van de gescande servers onderdeel uitmaakte van het interne KPN domein. Nadat de hackers succesvol via een reeds lange tijd bekende kwetsbaarheid op een server konden inloggen, bleken ze vrij toegang te kunnen verkrijgen tot de rest van dit "domein".

De term domein, die KPN eerder gebruikte om de omvang van de hack te beperken tot één specifieke omgeving, lijkt op basis van de door de hackers verstrekte gegevens breder uit te leggen. Met een domein wordt in IT termen vaak naar een groep Windows servers verwezen. Aangezien de hacker spreekt over toegang tot Sun Solaris systemen, zou de term domein in dit geval wel eens een bredere betekenis kunnen hebben. Het feit dat de hackers gebruikers konden aan en afsluiten van internet suggereert dat de hackers via een fout in een aan internet gekoppelde server zeer veel privileges op het KPN netwerk voor internet en bellen diensten konden verkrijgen. Deze aanname wordt verstevigd door het feit dat KPN bevestigt dat het bellen van 112 via Internet Plus Bellen in het geding was.

KPN stelde eerder "Uit onderzoek is niet gebleken dat de gegevens zijn misbruikt of gekopieerd". Hoewel dit ongetwijfeld juist, claimt de hacker 16GB aan gegevens te hebben kunnen kopieren. Vermoedelijk kan er ook gesteld worden dat het "aannemelijk is dat uit onderzoek niet is gebleken dat er *geen* gegevens zijn misbruikt of gekopieerd".

De hacker claimt geen kwade bedoelingen te hebben gehad en bij toeval op de zwakheden bij KPN te zijn gestuit. De hack zou niet gemeld zijn uit vrees dat KPN de hackers de controle niet in dank af zou nemen. Hoewel deze vrees begrijpelijk is, is het wel opmerkelijk dat de hackers vervolgens besloten om het netwerk verder binnen te dringen en 16GB aan data te kopieren. Te goeder trouw vaststellen of bij KPN een goede zonering ontbreekt tussen de administratieve systemen en de systemen waarmee internetten en bellen worden bestuurd is uiteraard compleet iets anders dan het kopieren van meer gegevens dan je nodig hebt om het probleem te kunnen illustreren. Ook uit het feit dat de hacker pas na een kleine maand ruchtbaarheid zoekt voor de problemen komen de goede bedoelingen niet echt goed naar voren. Voor technisch goed onderlegde internetter is het kinderspel om een bedrijf op een anonieme wijze op de hoogte te brengen van verbeterpunten. Zou de opsporing vorderen, waardoor de openheid de beste verdediging wordt?

KPN is ondertussen druk bezig om de beveiliging van haar IT systemen te verbeteren. Het spreekt zelf over een digitale wapenwedloop, waarin zowel hackers als bedrijven steeds slimmer worden. Toch leren we met deze inbraak niets nieuws. Het feit dat KPN vanwege dit incident een grote opschonings- en updateactie ingang zet is natuurlijk zeer positief, maar wijst er tevens op dat ook deze grote service provider net als de rest van Nederland moeite heeft om haar IT goed te onderhouden. Hopelijk is dit voor iedereen een wake-up call om nog eens goed naar de security updates en het patchmanagement te kijken.

Tips om incidenten te voorkomen
- Bestuur je informatiebeveiliging met een goed gescoped ISMS
- Zorg voor een goede netwerkzonering, zodat de impact van een inbraak zoveel mogelijk wordt beperkt
- Beperk de verkeersstromen naar je servers met een firewall
- Geef internetservers geen toegang tot andere internetservers als dit niet nodig is
- Ontwikkel veilige webapplicaties en houd in elk geval rekening met de aandachtspunten uit de OWASP Top 10
- Gebruik niet overal hetzelfde wachtwoord
- Prioriteer dagelijks de implementatie van nieuw vrijgegeven beveiligingsupdates
- Voer niet alleen procedurele, maar ook inhoudelijke security scans uit