KPN-hacker: een grote crimineel?

Door arnoudwokke op vrijdag 30 maart 2012 12:50 - Reacties (20)
Categorie: -, Views: 3.652

I proudly present: de allereerste gastcolumn op mijn tweakblog. Deze column is van beveiligingsexpert Rickey Gevers

Slechts 17 jaar is hij. En minimaal 17 dagen cel heeft hij op zijn naam staan. Dat is niet niets voor een minderjarige. Kennelijk hebben we hier te maken met een groot crimineel. Een jongen die ervoor kon zorgen dat klanten van KPN het noodnummer 112 niet meer konden bellen. Een jongen die bij de gegevens van alle KPN-klanten kon. Een jongen die mogelijk de nationale veiligheid in gevaar heeft gebracht. Een jongen die verantwoordelijk was voor de hoogste alarm fase bij KPN ooit, code ROOD.

Het was een jongen die van geen ophouden hield, hij ging maar dieper het netwerk in, dieper en dieper. Het begon met 1 server, maar uiteindelijk wist hij honderden servers te hacken. Op al deze servers had hij zichzelf de hoogste beheerrechten toegekend.
Als 17 jarige controle hebben over het bedrijf KPN, controle hebben over een groot gedeelte van Nederland. Wat een machtig gevoel moet deze jongen gehad hebben, en dat op die leeftijd.

Deze jongen dient hiervoor gestraft te worden, zo werkt onze rechtsstaat nu eenmaal. Maar als een jongen van 17 dit soort systemen binnen kan dringen, wat kan een volwassene dan? Wat kan een groep hacktivisten dan wel niet, wat kan een groep 'echte' hackers dan? Wat kan een insider? Of een natie als ... Iran?

Het is klaarblijkelijk een jongen met een passie. Hij wil hacken, meer en meer. En hij doet dat godverdomme nog goed ook! Deze 17-jarige had een paar dagen nodig om het complete netwerk naar zijn hand te zetten. Alle strikte security policies en audits van KPN ten spijt.

Je zou hem kunnen verwijten dat hij zijn hack niet heeft gemeld bij KPN. Maar wat valt er nu te winnen voor een puber om zo'n hack te melden? Het melden van een lek heeft alleen maar nadelen. Een aangifte aan je broek is niet zeldzaam, eerder aannemelijk. Je zult er geen cent mee verdienen, dat is het de bedrijven niet waard. Er is geen enkele manier om aan je vrienden te bewijzen wat je gedaan hebt, omdat bedrijven het vaak downplayen Je bent controle over de servers kwijt. Kortom, je staat weer met compleet lege handen.

Wat wel mooi is als puber: de ns1.kpn.net jouw favoriete IRC kanaal te laten joinen. Wedden dat je chat matties even twee keer slikken als deze reus van een machine het chat in het kanaal komt? Zij zullen je nu ineens met heel andere ogen bekijken. Voor een nerd is het in ieder geval een stuk stoerder dan met je opgevoerde scooter het schoolplein op te rijden.

Interessant is ook de rol van KPN. Die provider beheert cruciale systemen die zelfs een wettelijke verplichting hebben hun diensten te allen tijde uit te voeren. En zelfs die systemen weet men niet up to date te houden? Kunnen we dan niet gewoon spreken van iemand die het gehele IT-model niet snapt? Zouden ze wel eens van een penetratie test gehoord hebben? Intrusion detection? Firewalling? Of heeft KPN dat niet nodig?

Het bedrijfje DigiNotar kennen we allemaal nog wel. De club die ervoor gezorgd heeft dat de Iraanse overheid met al zijn burgers mee kon gluren. En wat zijn de consequenties? Er komt slechts een keurig rapport waaruit blijkt dat er grove nalatigheid betreffende de beveiliging is geweest. En daar laten we het dan maar weer bij. DigiNotar is failliet, maar niemand is echt aansprakelijk.

Een ding is in ieder geval zeker: in de cel leer je echte criminelen kennen, in plaats van je vriendjes in een chatkanaal. Als toefje op de taart leert onze politie je dat opscheppen niet veel goeds brengt, en dat je je truecrypt wachtwoord voortaan niet moet afgeven tenzij je je systeem met plausible deniability hebt ingericht. Gelukkig ben je bijna 18 en heb je weer snel een kans om het nu wel goed te doen.