Exxellence liet zich pentesten en dat leverde iets bijzonders op

yafsec630Een van de punten op de agenda van de bijeenkomst In het Hoofd van de Hacker was: kan iedereen gehackt worden? De meeste lezers zullen die vraag met een ondubbelzinnig “Ja” beantwoorden.

Gebruikers van IT  – en op deze dag waren dat bijna allemaal personen direct of indirect werkzaam voor overheden – buigen zich zelden over die vraag. IT is een dienst die ze afnemen en IT-beheer regelt dat het dan in orde is en blijft. Die aanname om zeep helpen was het laatste onderdeel van het programma. Dat gebeurde door de presentatie van enkele hack pogingen die elk tot een zekere mate van succes hadden geleid. De aanvallers en de slachtoffers maakten deel uit van de sponsors van de dag. Het ging dus om acties die bedoeld waren om een lek aan te tonen, niet om iets stuk te maken. De aanvallers kregen carte blanche, de beoogde slachtoffers wisten niet van tevoren wanneer en wat er zou gebeuren. Dat leverde een heel voorspelbare case op, maar ook een case die specifiek voor hosters leerzaam is.

Het beoogde slachtoffer was Exxellence, om precies te zijn haar website. De aanvaller was Zerocopter, waar dagvoorzitter Edwin van Andel aan gelieerd is. De case werd heel snel behandeld en zal door de meesten in de zaal niet zijn doorgrond. Het kwam er op neer dat bij het openen van een link naar een website van Exxellence je werd doorverwezen naar een andere website, die van Yafsec. Twee websites die vermengd waren, dat kan echt niet de bedoeling zijn. Was dat een hack of iets heel anders? We hebben na afloop Michel Veenhuis, CISO van de Kunegroup waar Exxellence deel van uitmaakt, om tekst en uitleg gevraagd.

Eerste vraag wil je hieraan meewerken?
“Ja, natuurlijk wel. Maar laat ik eerst nog even uitleggen waarom wij dat doen en waarom we aan de dag zelf hebben deelgenomen. Wij zijn van mening dat alles en iedereen hackbaar is. Het is niet de vraag OF maar HOE en WAAR je hackbaar bent. Dat leggen we uit aan onze klanten, wat vooral lokale overheidsorganisaties zijn. Een van de manieren is dat uit te leggen op events zoals In het Hoofd van de Hacker. Wijlaten zien dat wij zelf ook heel kritisch naar onze eigen omgevingen blijven kijken. De logische methode is dat soort scans en analyses door derden te laten uitvoeren. In dit geval hebben we dat door Zerocopter van Edwin laten doen.”

“Het congres In het Hoofd van de Hacker neemt ambtenaren en andere geïnteresseerden letterlijk mee in het hoofd van de hacker.  Wij dragen dit congres een warm hart toe omdat informatieveiligheid een relevant thema is en blijft. Met onze deelname konden we ontdekken hoe we ervoor staan wat betreft onze beveiliging. Tevens stond deze dag in het teken van het opdoen en up-to-date houden van kennis van dit thema.”

“De uitkomst was wel bijzonder ja. We dachten de voordeur goed op slot te hebben en dan blijkt er een zijdeur te zijn”.

Maar wat was er nou precies aan de hand?
“Exxellence heeft de afgesproken testen probleemloos doorstaan. De hackers van Zerocopter hebben één verbeterpunt aangetroffen buiten scope. Hiervoor zijn we hen erg dankbaar. Concreet gaat het om een bevinding die duidt op het niet goed opruimen van oude DNS-gegevens.”

“Edwin en wij hosten beiden onze omgevingen al meer dan 10 jaar in het oude pand van de Nederlandse bank in Enschede bij het voormalige Virtu en nu Equinix.”

“Een oude DNS te weten demolms.exxellence.nl was niet opgeruimd en verwees nog naar een oud IP-adres van ons. Dat IP adres is toevalligerwijs toegekend aan Edwin, en inmiddels in gebruik voor zijn website. Samengevat: dit subdomein verwees naar de site van Edwin.”

“Bijzonder toevallig was dat Olivier, een collega hacker van Edwin, dit vond en rapporteerde.
Uiteraard hebben wij dit punt meteen opgelost en aanvullende controles uitgevoerd.”

“Tijdens het hack event aan het einde van de dag zijn die test en de uitkomsten hiervan gedeeld met het publiek omdat we hier zelf van geleerd hebben en hopen dat anderen hier ook van leren.”

Het is een open deur intrappen – maar je hebt dus laten zien dat het om meer gaat dan het controleren of je digitale deursloten wel in orde zijn?
“Inderdaad. DNS-beheer valt waarschijnlijk voor veel bedrijven buiten de scope van de reguliere security maatregelen. Wij laten zien dat het echt loont ook daar permanent aandacht aan te besteden. Of je DNS-beheer zelf doet of door een andere partij is minder relevant, het moet gewoon binnen de scope van je security policies vallen.”

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.