KPN-hacker: een grote crimineel?

Door arnoudwokke op vrijdag 30 maart 2012 12:50 - Reacties (20)
Categorie: -, Views: 5.206

I proudly present: de allereerste gastcolumn op mijn tweakblog. Deze column is van beveiligingsexpert Rickey Gevers

Slechts 17 jaar is hij. En minimaal 17 dagen cel heeft hij op zijn naam staan. Dat is niet niets voor een minderjarige. Kennelijk hebben we hier te maken met een groot crimineel. Een jongen die ervoor kon zorgen dat klanten van KPN het noodnummer 112 niet meer konden bellen. Een jongen die bij de gegevens van alle KPN-klanten kon. Een jongen die mogelijk de nationale veiligheid in gevaar heeft gebracht. Een jongen die verantwoordelijk was voor de hoogste alarm fase bij KPN ooit, code ROOD.

Het was een jongen die van geen ophouden hield, hij ging maar dieper het netwerk in, dieper en dieper. Het begon met 1 server, maar uiteindelijk wist hij honderden servers te hacken. Op al deze servers had hij zichzelf de hoogste beheerrechten toegekend.
Als 17 jarige controle hebben over het bedrijf KPN, controle hebben over een groot gedeelte van Nederland. Wat een machtig gevoel moet deze jongen gehad hebben, en dat op die leeftijd.

Deze jongen dient hiervoor gestraft te worden, zo werkt onze rechtsstaat nu eenmaal. Maar als een jongen van 17 dit soort systemen binnen kan dringen, wat kan een volwassene dan? Wat kan een groep hacktivisten dan wel niet, wat kan een groep 'echte' hackers dan? Wat kan een insider? Of een natie als ... Iran?

Het is klaarblijkelijk een jongen met een passie. Hij wil hacken, meer en meer. En hij doet dat godverdomme nog goed ook! Deze 17-jarige had een paar dagen nodig om het complete netwerk naar zijn hand te zetten. Alle strikte security policies en audits van KPN ten spijt.

Je zou hem kunnen verwijten dat hij zijn hack niet heeft gemeld bij KPN. Maar wat valt er nu te winnen voor een puber om zo'n hack te melden? Het melden van een lek heeft alleen maar nadelen. Een aangifte aan je broek is niet zeldzaam, eerder aannemelijk. Je zult er geen cent mee verdienen, dat is het de bedrijven niet waard. Er is geen enkele manier om aan je vrienden te bewijzen wat je gedaan hebt, omdat bedrijven het vaak downplayen Je bent controle over de servers kwijt. Kortom, je staat weer met compleet lege handen.

Wat wel mooi is als puber: de ns1.kpn.net jouw favoriete IRC kanaal te laten joinen. Wedden dat je chat matties even twee keer slikken als deze reus van een machine het chat in het kanaal komt? Zij zullen je nu ineens met heel andere ogen bekijken. Voor een nerd is het in ieder geval een stuk stoerder dan met je opgevoerde scooter het schoolplein op te rijden.

Interessant is ook de rol van KPN. Die provider beheert cruciale systemen die zelfs een wettelijke verplichting hebben hun diensten te allen tijde uit te voeren. En zelfs die systemen weet men niet up to date te houden? Kunnen we dan niet gewoon spreken van iemand die het gehele IT-model niet snapt? Zouden ze wel eens van een penetratie test gehoord hebben? Intrusion detection? Firewalling? Of heeft KPN dat niet nodig?

Het bedrijfje DigiNotar kennen we allemaal nog wel. De club die ervoor gezorgd heeft dat de Iraanse overheid met al zijn burgers mee kon gluren. En wat zijn de consequenties? Er komt slechts een keurig rapport waaruit blijkt dat er grove nalatigheid betreffende de beveiliging is geweest. En daar laten we het dan maar weer bij. DigiNotar is failliet, maar niemand is echt aansprakelijk.

Een ding is in ieder geval zeker: in de cel leer je echte criminelen kennen, in plaats van je vriendjes in een chatkanaal. Als toefje op de taart leert onze politie je dat opscheppen niet veel goeds brengt, en dat je je truecrypt wachtwoord voortaan niet moet afgeven tenzij je je systeem met plausible deniability hebt ingericht. Gelukkig ben je bijna 18 en heb je weer snel een kans om het nu wel goed te doen.

Volgende: Mijn favoriete apps 04-'12 Mijn favoriete apps
Volgende: Beregeil? 02-'12 Beregeil?

Reacties


Door Tweakers user sebastius, vrijdag 30 maart 2012 22:26

Ik blijf er bij: dat soort knulletjes moet je gewoon 'foei' tegen zeggen en daarna de hand in eigen boezem steken en hem een flinke baan aanbieden + studie. Je richt de boel niet goed in, hij breekt in. Wees verdorie blij dat het een knulletje van eigen bodem is ipv inderdaad Iran of een ander eng clubje.

Je hele dure systeem. Gebroken. Door een kind. Doe daar wat aan!

Door Tweakers user Sgreehder, vrijdag 30 maart 2012 22:33

Eens met sebastius, jong zat en duidelijk potentie. Even foei en snel loslaten. Bovendien leidt het af van het echte probleem; het functioneren van KPN en de wetgeving omtrent het blootleggen van beveiligingsproblemen.

Door Lamp, zaterdag 31 maart 2012 00:20

Tja, KPN is gewoon een achterlijk bedrijf wat keer op keer weer wordt bevestigt. Ik zou ook niet mijn geld in KPN aandelen stoppen want met deze koers bestaan ze over aan aantal jaar niet meer. Ken al een hoop mensen die nooit meer iets met KPN te maken willen hebben.

Door Anoniem, zaterdag 31 maart 2012 02:11

om heel eerlijk te zijn KPN vroeg erom, Windows xp , rare policy's op de werkvloer , personeel dat games speelt tijdens het werken (helpdesk etc) , dan nog internet explorer 6 , geen wonder dat iemand er een keer binnenkomt , zou me niets verbazen als ze ergens gewoon de inloggegevens in plaintext hadden staan.

kpn = amateurs.

plain and simple.

(ja heb daar ooit wel is rondgelopen)

Door Tweakers user Blokker_1999, zaterdag 31 maart 2012 08:25

Ik ben na de eerste paragraaf gestopt met lezen. Wanneer iemand zijn feiten niet kent vraag ik me af hoe deze persoon een mening kan vormen ...

En Anoniem, sorry maar enorm veel bedrijven zitten vandaag nog met XP en IE6. Heeft niets met vreemde policies te maken. Bij ons is men pas vorig jaar van IE6 naar IE8 gegaan en worden dit jaar de eerste images met Windows 7 verwacht.

Door Tweakers user Blokker_1999, zaterdag 31 maart 2012 08:37

Heb hem dan toch maar even doorgelezen.
Je zou hem kunnen verwijten dat hij zijn hack niet heeft gemeld bij KPN. Maar wat valt er nu te winnen voor een puber om zo'n hack te melden? Het melden van een lek heeft alleen maar nadelen. Een aangifte aan je broek is niet zeldzaam, eerder aannemelijk. Je zult er geen cent mee verdienen, dat is het de bedrijven niet waard. Er is geen enkele manier om aan je vrienden te bewijzen wat je gedaan hebt, omdat bedrijven het vaak downplayen Je bent controle over de servers kwijt. Kortom, je staat weer met compleet lege handen.
Maar dat is nu net het verschil tussen white en black. Als je vandaag niet bekend wat je gedaan hebt, wat ga je dan morgen doen? Waar trek je dan de grens? Is het dan ineens in orde om een bank te hacken en zelf maar wat geld over en weer te sturen, al dan niet naar je eigen rekening?

Ja als je het meld riskeer je een klacht, maar dan krijgt KPN de publieke opinie tegen. Ja als je het meld sta je met lege handen, maar dat lijkt me nog altijd beter dan wat hij nu aan de hand heeft.

Wat is het nut van hem op te sluiten? Aantonen dat elke actie een reactie heeft en dat het breken van de wet gevolgen heeft. Voor mij moet deze persoon niet lang in de cel blijven. Hij zou perfect vrij kunnen tot zijn process.

Door Tweakers user densoN, zaterdag 31 maart 2012 10:05

Waar is het stuk gebleven over de creditcard gegevens die de jongen verkocht? Op onderzoek gaan is een, maar gegevens stelen en proberen te verkopen.. en dan roepen dat ze hem vrij moeten laten en een baan aan bieden.. kom nou..

Door Tweakers user Joolee, zaterdag 31 maart 2012 10:56

densoN schreef op zaterdag 31 maart 2012 @ 10:05:
Waar is het stuk gebleven over de creditcard gegevens die de jongen verkocht? Op onderzoek gaan is een, maar gegevens stelen en proberen te verkopen.. en dan roepen dat ze hem vrij moeten laten en een baan aan bieden.. kom nou..
Dat dus. Ik ben het volledig met de columnist eens als je alleen de feiten kent zoals in de Column staan. Helaas was deze hacker ook bezig met minder schone praktijken. Ergens logisch aangezien er op je 17e niet echt op een andere manier (grof) geld kunt verdienen met je kunsten maar nog steeds wel crimineel.

Ik zou persoonlijk de hacker straffen voor het handelen in CC gegevens en daarna verder gaan alsof dat niet gebeurt is. Dit is wel een jongen die nog een grote toekomst voor zich heeft en veel kan betekenen voor de Nederlandse economie. Hem nu keihard afstraffen voor de zaken die hij (naar mijn mening) niet fout heeft gedaan zorgt er alleen maar voor dat je in de toekomst nog veel meer last van hem gaat krijgen.

[Reactie gewijzigd op zaterdag 31 maart 2012 10:57]


Door Rickey Gevers, zaterdag 31 maart 2012 13:03

Welke feiten kloppen niet in de eerste alinea? Want ik heb me juist tot de feiten willen beperken. (Het is overigens een opinie stuk)

En dit had ik over het creditcard gedeelte in eerste instantie, maar omdat er gewoon TE weinig bekend is over dit gedeelte is het in samenspraak met Arnoud geskipt uiteindelijk.

"Onze 17 jarige knaap had een forum opgezet voor de handel in creditcards, maar denken we nou echt dat deze jongen verantwoordelijk is voor de distributie richting de moneymule's? Is het realistisch om te denken dat een 17-jarige weet hoe je miljoenen euro's moet witwassen? Is er überhaupt iemand die denkt dat deze persoon ooit succesvol hierin was geworden? "

Goed commentaar verder, thanks!

Door Tweakers user p.m., zaterdag 31 maart 2012 13:15

Het is volgens mij ook een feit dat'ie probeerde rotzooi te installeren op servers. Ook daarmee ga je m.i. een grens over van 'relatief onschuldig' naar 'kwaadaardig'.

Door Tweakers user YaaD, zaterdag 31 maart 2012 13:41

densoN schreef op zaterdag 31 maart 2012 @ 10:05:
Waar is het stuk gebleven over de creditcard gegevens die de jongen verkocht? Op onderzoek gaan is een, maar gegevens stelen en proberen te verkopen.. en dan roepen dat ze hem vrij moeten laten en een baan aan bieden.. kom nou..
Tja en om daarna nog te zeggen dat die jongen een baan verdient. Hij kan levens vernietigen met het verkopen van creditcardgegevens. Dat is mijn inziens niet onschuldig meer te noemen.

Ik kan me best vinden in de meningen van anderen, die zeggen dat een bedrijf hem een baan moet aanbieden, maar dat is me toch een brug te ver.

Door Tweakers user GoT, zaterdag 31 maart 2012 14:28

17 dagen cel is veel ?
Het zal me niet verbazen als die de binnenkant van de cel niet eens heeft gezien.

[Reactie gewijzigd op zaterdag 31 maart 2012 17:56]


Door Tweakers user Arthy, zaterdag 31 maart 2012 15:59

Die rotzooi op die servers was een IRC script om de server als bot te laten draaien in een IRC channel. Nog geen 2 A4'je code. Dus dat valt ook enigszins mee. Maar uiteraard kan je een eenmaal compromised systeem nooit meer vertrouwen aangezien je nooit zal weten wat er precies mee uitgevoerd is.

Bottomline: kritische systemen waar wij -allemaal- van afhankelijk zijn, zijn jaren niet geupdate. En dat mag allemaal maar gewoon.

Door Rickeytarded, zondag 1 april 2012 19:53

Deze jongen moet gewoon berecht worden, het gaat hier niet meer om white of blackhat.
Als je inbreekt op meerdere universiteiten zoals gemeld in het nu.nl artikel (http://www.nu.nl/internet...ge-bekent-hacken-kpn.html) en dan ook nog gaan pochen met het feit dat je op de servers van KPN zit. Dan ben je gewoon verkeerd bezig, zo iemand moet je geen baan aanbieden. Want hij is niet betrouwbaar en integer.

Natuurlijk is KPN een hoop te verwijten maar dat pleit niet voor de onschuld van deze jongen. In Amerika hebben ze zaken als Due dilligence en Due Care (https://en.wikipedia.org/wiki/Due_diligence).

Mensen moeten niet vergeten dat deze artikelschrijven zelf ook opgepakt en veroordeeld is voor het hacken van servers bij universiteiten.
Men moet gewoon meer aandacht aan ethiek besteden.

Door Tweakers user RMX, zondag 1 april 2012 22:05

En een paar weken laten laat KPN door een eigen stomme fout 112 niet meer bereikbaar zijn.
Ik heb een aantal jaar geleden besloten om zo min mogelijk zaken te doen met KPN. Wat werd ik ziek van dat bedrijf, en de melding: Dan moet u een andere afdeling hebben Meneer!!

Door Rickey Gevers, woensdag 4 april 2012 17:12

Beste Rickeytarded, (leuke naam!)

Ik ben het grotendeels met je eens. De strafmaat is moeilijk in te schatten aangezien we niet de exacte feiten kennen. Maar nu gezien denk ik dat 3 weken iets te lang is voor een minder jarige.
Pochen lijkt me overigens geen reden om iemand op te pakken. En iemand van 17 betrouwbaar en integer achten lijkt me sowieso niet slim... Ons brein ontwikkeld zich gemiddeld tot je 25ste, genoeg tijd dus nog om deze persoon enig moreel besef bij te brengen.

Dat gezegd hebbende denk ik dat je enigszins aan tunnelvisie leidt betreffende mijn persoon. Ik had graag eens in persoon met je hierover gesproken. Maar je zal wel anoniem blijven, lekker veilig.

Door Tweakers user Crazy D, donderdag 5 april 2012 08:11

Het gaat er niet om of KPN wel of niet de servers geupdate heeft, het gaat erom dat iemand zichzelf toegang verschaft tot de systemen waar hij niet behoort te komen. De vergelijking met de echte wereld gaat altijd een beetje mank, maar de inbreker die langsloopt, voelt aan de deur of deze op slot is of niet, en als die niet op slot blijkt te zijn, mag hij probleemloos naar binnen, overal met zijn tengels aanzitten en wellicht een paar spulletjes meenemen om te verkopen?
Hij heeft gewoon iets gedaan dat niet mag en daarvoor verdient hij straf. Wat de juiste strafmaat is, is en ander verhaal. Wellicht een paar uur schoffelen in een platsoen? Van de gevangenis wordt je zeker niet beter, niet op die leeftijd voor dit vergrijp. Maar dat hij iets heeft misdaan en gestraft moet worden lijkt me gewoon duidelijk.
(en dat KPN zijn servers moet bijhouden is ook duidelijk, maar dat geeft je geen rechten om dan maar te hacken. Waar ligt de grens? Je mag alleen de allerlaatste security patch niet draaiende hebben? Of geef je systeembeheers 1 maand de tijd?)

Door Floor Terra, vrijdag 6 april 2012 00:27

Wat deze jongen bij KPN gedaan heeft is fout. Ik denk niet dat daar veel discussie over zal zijn. En dat vind ik ook helemaal geen interessante vraag.

Wat ik wel interessant vind is de vraag hoe wij als maatschappij met dit soort mensen om moeten gaan. Voor mij staat het vast dat er altijd mensen zullen zijn die een uitdaging zullen zien in het hacken van systemen. De vraag is hoe je daar mee omgaat. De tendens om mensen die lekken vinden op één hoop te gooien met hackers die uit zijn op het aanrichten van schade. Dit heeft als gevolg dat veel hackers die met de beste bedoelingen een lek willen melden dit vaak niet durven uit angst voor juridische problemen. Terwijl het mij vrij evident lijkt dat als iemand naar mij toe komt om me op een probleem te wijzen, dat ze niet uit zijn op schade aanrichten.

Helaas is het vaak erg lastig om een lek te melden zonder zelf een risico te lopen. Het resultaat is dat hackers lekken niet meer melden of complete databases anoniem publiceren op sites als pastebin. En ik kan ze het moeilijk kwalijk nemen zolang ze een groter risico lopen als ze het wel netjes willen melden. Dat neemt niet weg dat je altijd moet proberen om verantwoordelijk met lekken om te gaan. Maar als maatschappij geef je een erg vreemd signaal af als je ongewenst gedrag minder risicovol maakt dan gewenst gedrag. En daarover mogen we ons met z'n allen wel eens goed achter de oren krabben.

Door Tweakers user Loekie, dinsdag 10 april 2012 12:17

Wat dat aangaat blijft 'hacken' ook in NL recht een opvallend fenomeen. Aangezien ons recht en dus o.a. ook IT-recht sterk gestoeld is op de 'analoge' wereld zou je meer parallellen verwachten.

Als je in de analoge wereld iemand wijst op het feit dat hij vergeten is, danwel nagelaten heeft zijn auto/voordeur te sluiten zal niemand op z'n achterste poten staan. Je mag zelfs controleren of er iemand thuis is om dit te melden en dus even binnenstappen. Doe je dit echter digitaal is de eerste reactie dat er aangifte van inbreuk is gedaan en dan hangt het maar net van de regio af of je over een aantal maanden je mag verantwoorden voor een mensen met lange zwarte gewaden.
In dit geval heb ik het dan niet over daadwerkelijk hele databases kopiëren of eigen sysadmin accounts aanmaken, maar alleen constateren dat de deur openstaat. Evt een querie op de DB uitvoeren en daar een screenshot van hebben(anders wordt het al lastiger bij verantwoording achteraf).

Hacken is lang niet altijd goed te praten, maar deze discrepantie vind ik wel heel opmerkelijk en zorgt er m.i. voor dat melden van een gaatje in de beveiliging ook minder snel gedaan wordt. Als die beveiliging al zo rot is, dan zullen ze je vast niet zo snel traceren.

Door Tweakers user edeboeck, zondag 15 april 2012 19:23

Rickey Gevers schreef op woensdag 04 april 2012 @ 17:12:(knip)
Pochen lijkt me overigens geen reden om iemand op te pakken.
(knip)
Dit lijkt me nochtans in tegenspraak met wat je hier beweert:
"En sinds januari dit jaar heeft onze knaap, die overwegend in "we" praat, er een flink campagne tegen aangegooid. Duidelijk uit alle berichten is dat de persoon meerdere creditcards verkocht heeft, en duidelijk ook zelf ervaring heeft in het gebruiken van gestolen creditcards", stelt Gevers.
Ik weet niet hoe jij het ziet, maar voor mij is "gebruiken van gestolen creditcards" = diefstal...

Reageren is niet meer mogelijk