donderdag 9 februari 2012

Anonymous achter hack KPN?

Fascinerend hack in het nieuws vandaag (inmiddels gister) waarbij mijn oren direct gespitst gingen staan. KPN kwam zelf met het nieuws bericht dat zij slachtoffer zijn geweest van een hack. Een fascinerende hack, want de hacker had beschikking tot klant gegevens, waaronder bankrekeningnummers. Daarbij had de hacker tot een week na de ontdekking van de hack nog steeds toegang tot de systemen. (?!)

Enfin, een erg vreemd bericht dat zomaar ineens in de pers wordt geplempt, en via twitter door veel mensen wordt opgepakt. Wat mij op dat moment direct opviel was de snelheid waarmee de verscheidene Anonymous leden die ik in mijn lijst heb, hierop reageerden. Normaal reageren ze hier wel op, maar nu op een andere manier dan normaal. En het was niet een persoon, nee, vrijwel allemaal leken ze ineens ontwaakt te zijn. Ik besloot een suggestieve tweet eruit te gooien om reacties uit te lokken, en zo geschiede. Er werd gereageerd, er werd weer verwijderd, er werden DM's gestuurd, en ook die werden weer verwijderd. Erg handig allemaal, maar na een kort gesprekje met enkele personen van Anonymous zijn we naar een encrypted prive chat kanaal gegaan. En precies op dat moment belt Brenno de Winter mij. Je raadt het al, ook zijn instinct proefde onraad in deze zaak, en dus werd het tijd voor wat overleg.

Vervelende in deze zaak is dat de personen waarmee ik gechat heb niet zeggen: "Ja, we hebben het gedaan". Ze spelen een spelletje, ze geven me details welke dader kennis zouden moeten aangeven. Maar geven vervolgens weer enkel details waar IK op dit moment niets mee kan. Ze geven me de banners van de servers, ze geven me de netwerknamen, OS details, software details. Maar ik kan er niets mee. Ik kan wel keurig aan KPN gaan vragen: "Draaide de gehackte server SunOS 5.8??" 3 maal raden wat zo'n woordvoerder zegt.

Enfin, ik kan met de hints het bewijs niet sluitend krijgen en dit is dus puur suggestief. Ik moet er wel bij opmerken dat het zeer aparte details zijn om te geven voor iemand die er compleet niets mee te maken heeft, en mijn instinct zegt dan dus ook dat men hier wel degelijk mee te maken moet hebben. De reden, volgens hen, dat de server ontdekt is, is omdat zij deze aan botnet hadden gehangen. Maar laten we beginnen:

Banner van de server:
SunOS ns3 5.8 Generic_108528-29 sun4u sparc SUNW,Sun-Fire-V240
Name: ns3.kpn.nl / speedtest.wxs.nl
IP: 213.75.**.15 (? <- men is hier niet zeker meer van) Exploit: http://www.exploit-db.com/exploits/3293/ (uit 2007... :x) Een andere server welke gehackt zou zijn zou een DNS server zijn. Ik moet hierbij opmerken dat er exact 5 dagen geleden een interne DNS storing was bij KPN. Zelf zeggen de jongens dat dit niet met elkaar in verband staat, ik vraag het me af, want de DNS server die zij mij doorgeven, is precies zo'n interne server. Hier het nieuws bericht.

Details:
Name: pdns01-adm.wxs.nl
IP: 10.94.70.20 (Resolved ook extern)
PDNSDBHOST=pdns01-adm.wxs.nl
PDNSDBNAME=pdns
PDNSDBUSER=pdns
PDNSDBPASSWORD=*********

Vast staat dat binnen de kringen van Anonymous dader kennis is, wat op betrokkenheid van hen moet duiden. Ik durf met tot aan zekerheid grenzende waarschijnlijkheid te zeggen dat een persoon binnen de kringen van Anonymous achter deze hack zit.

//Bovenstaand bericht is van gister en heb ik bewust achter gehouden, daar ik geen journalist ben.

2 opmerkingen:

  1. So far there is no statement of anonymous that they are behind this hack. This hack is already old for Anonymous standard if they did it they would say it on there channels.


    We are Anonymous
    We are Legion
    We do not Forgive
    We do not Forget
    Expect us.

    BeantwoordenVerwijderen
  2. waarom proef ik enig dedain jegens Anonymous ?
    tja, oud tema maar nog steeds actueel ... 't lullige is dat iedere 'hacker' z'n frustraties, terecht of niet, als zijnde 'Anonymous' kan botvieren. Makkelijk toch? ... iig is vaak 'counterproductive' en al langer een punt van discussie.
    trouwens mbt kpn ... worden toch aardig met rust gelaten vind ik.
    groet

    BeantwoordenVerwijderen