Hoe de ‘cybercops’ van WUR inbrekers op heterdaad betrapten

Foto: Shutterstock

Wat gebeurt er als er bij WUR een webserver gehackt wordt? Wie komen in actie en hoe wordt een datalek gedicht? Een reconstructie.

Indringers

Bij Joost van Ingen, IT-developer van WUR-bibliotheek, gaat het inbraakalarm af. Dat wil zeggen: hij krijg een melding binnen dat er iets niet pluis is op een server. “Zo’n notificatie krijgen we wel vaker, maar hier voelde ik dat er meer aan de hand was. Ik zag een aantal ongebruikelijke configuraties die indruisten tegen wat we intern hebben afgesproken. Vreemde Russische URL’s, rare tekens. Alsof je thuis aan een Word-document zit te werken en de kat heeft stiekem over het toetsenbord gelopen. Dan weet je dat er indringers zijn.”

Conform de procedure neemt Joost direct contact op met security officer Remon Klein Tank. Want als er wordt ingebroken op een WUR-server, komt net als bij een gewone inbraak de politie in actie. Geen echte politie, maar WUR’s eigen cybercops.

Telefoontje

Remon speelt de zaak door naar senior netwerkbeheerder André ten Bohmer van WUR-CERT, het computer emergency response team. André: “Ik kwam net thuis om lekker te gaan koken, toen ik een telefoontje kreeg. Als ze me thuis storen, moet er wel iets ernstigs aan de hand zijn.”

Hij probeert in gewonemensentaal uit te leggen wat er bij een dergelijke hack gebeurt. “Eigenlijk moet je dit zien als een woninginbraak, waar de inbrekers een raampje forceren en de sloten vervangen om te kunnen garanderen dat ze er de volgende dag weer in kunnen. Daarom gebeurt dit soort hacks ook vaak in het weekend: dan kunnen ze het hele weekend hun gang gaan.”

Het is als een inbraak in je huis, waar de inbrekers de sloten vervangen om er later weer in te kunnen

Digitale klopjacht

André en Remon hebben inmiddels vanuit huis de digitale klopjacht geopend op de inbreker. André, die ondertussen probeert te koken, en Remon, die ook de kinderen in bed moet leggen, willen weten wat de inbreker in huis heeft aangericht en of er sporen zijn achtergelaten. “Remon was aan de gang op de Linuxserver. Ik ben op de centrale logsystemen gaan kijken. We hebben ‘netflow’ gegevens waaraan je kunt zien waar de gegevens blijven. Stel dat er ‘s winters wordt ingebroken in je huis. Dan kijk je ook waar de voetstappen in de sneeuw liggen. Waar gaan die heen? Zijn er meer huizen betrokken? Dat doen we met een computerinbraak ook.”

Wat de speurders heel goed kunnen zien is dat het virus zich vermenigvuldigt. André: “Toen ik dat zag, hebben we de server bliksemsnel geïsoleerd, zodat hij niet nog meer computers kon besmetten.”

Kofferbak met gereedschap

“Dat het ernstig was, wisten we, maar hóe erg nog niet. Om in de metafoor van het huis te blijven: ik kon zien dat ze in de woonkamer waren geweest, maar gelukkig nog niet in de keuken en de slaapkamer. Door hun sporen na te gaan, kwamen we erachter dat ze al sinds woensdag in het systeem bezig waren. Behalve sporen binnen, hadden ze ook een heel spoor buiten het huis achtergelaten, die uiteindelijk leidde naar de auto die ze gebruikten, met in de kofferbak een kist vol gereedschap.”

Stukje bij beetje vinden de WUR cybercops uit hoe de inbrekers te werk zijn gegaan. André: “Het ging om een ingenieus systeem waarbij een hacker de server vanaf heel veel plekken op het internet stukjes programma aanlevert. Deze voert hij uit en gooit ze vervolgens weg om zijn sporen uit te wissen. Door ons voor te doen als de server hebben we zelf ook de software kunnen downloaden en analyseren. Het ging met name om software die het interne WUR-netwerk afzocht en software om bitcoins te minen. We hebben een boel IP-adressen verzameld en uiteindelijk de software gestopt en de webserver offline gehaald. De IP-adressen hebben we gebruikt om intern in ons netwerk andere gehackte machines op te sporen. Er was er inderdaad nog een die we ook offline hebben gehaald.”

Dat de hack ernstig was, wisten we, maar hoe erg, nog niet

Waarschuwen

Uiteindelijk blijkt de inbreker ook ‘huizen’ in de buurt - in dit geval andere universiteiten - te hebben aangedaan. André en Remon waarschuwen de collega’s via de SURF-gemeenschap waarin alle universiteiten en hogescholen samenwerken.

Gedupeerde

Peter van der Togt, als product owner van de bibliotheek de eigenlijke gedupeerde, heeft van een onbezorgd weekend genoten. Als hij maandagmorgen zijn e-mail opent en ziet wat er is gebeurd, schrikt hij zich een hoedje. “Omdat ik mijn werkmail in het weekend meestal niet check, hoorde ik pas die ochtend wat er aan de hand was. Hoewel ik waarschijnlijk niet veel had kunnen doen, hebben we afgesproken dat ik een volgende keer gewoon wordt gebeld.”

Hoe erg was de hack?

Peter: “Een server blijft natuurlijk iets abstracts. Het is niet je eigen huis. Ze zijn wel op jouw adres terecht gekomen, maar het is niet iets persoonlijks. Het is een aanval die naar duizenden computers over de hele wereld is gestuurd. Op de server stonden afbeeldingen die voor examens worden gebruikt. Gelukkig geen examengegevens zelf. Maar de hackers konden ook bij gebruikersprofielen en versleutelde wachtwoorden. Een potentieel veiligheidslek, waardoor we het ook moesten melden bij de Autoriteit Persoonsgegevens. We hebben uiteindelijk een nieuwe server geïnstalleerd om zeker te zijn dat er geen virus meer op achter was gebleven.” Voor Peter was van het grootste belang dat de server waarop de persoonsgegevens stonden zo snel mogelijk weer in de lucht ging, omdat die werd gebruikt voor examens.

André: “Er is wel ingebroken, maar niet echt iets gestolen. Uiteindelijk is er ook geen aangifte gedaan. Vertrouwen in de politie is er trouwens wel degelijk. Vroeger kwamen ze regelmatig bij ons meekijken hoe wij het deden, tegenwoordig is er het team High tech crime en die gaat zelfs ons in expertise met enige regelmaat voorbij.”

Uiteindelijk blijkt de inbreker ook andere universiteiten te hebben aangedaan

Inbraakbeveiliging

Zoals de eigenaar van een huis waar is ingebroken zich afvraagt of hij voldoende heeft gedaan aan inbraakbeveiliging, moest WUR nagaan of de servers goed genoeg waren beveiligd. André: “Hackers proberen natuurlijk continu eventuele fouten in software te misbruiken. Onze server beschikte niet over de allerlaatste update. Die was maandag gepubliceerd, maar daarover was door de fabrikant niet tijdig gecommuniceerd. Woensdag zaten de hackers er al in en vrijdag hebben we het ontdekt. Het toont maar weer eens aan dat je eigenlijk geen dag kunt wachten met updaten, en zelfs dan kun je nooit uitsluiten dat er een keer iets misgaat. Hackers vinden het gat vaak eerder dan de software-eigenaar.”

De ‘vrijdagavond-hack’ heeft de IT-mensen binnen WUR uiteindelijk nog een flink deel van de week bezighouden: er werden maatregelen genomen om de risico’s voor de opgeslagen persoonsgegevens te minimaliseren, de afgekoppelde servers zijn onderzocht om te zien welke gegevens erop stonden en beide webservers zijn zekerheidshalve vervangen door nieuwe machines.

Deel dit artikel