Getronics: 'DNS Amsterdam is én was veilig'

Gepubliceerd: Vrijdag 22 augustus 2008

Het netwerk van de gemeente Amsterdam, onderhouden door Getronics, zou volgens een PvdA-raadslid nog kwetsbaar zijn voor een dns-lek. Maar het it-bedrijf ontkent stellig.

Toon volledig artikel

dlerew op Vrijdag 22 Augustus 2008 17:07

Getronics en de overige beheerders horen te weten waar de problemen liggen. Ze geven enkel aan dat er gepatched is en het veilig is en was. Helaas laten ze, mede door deze reacties, op geen enkele wijze blijken dat ze de omvang van het probleem snappen. Ik voorzie dan ook dat ze compleet over het gedeelte van de firewall heen zien en daarom deze reacties geven. Dat de beheerders niet technisch op het gebeuren in willen gaan valt te begrijpen in het politieke en zakelijke spel. Maar de informatie waaruit blijkt dat ze het geheel snappen hoort wel openbaar te worden. Men staat immers in dienst van de inwoners van Amsterdam, niet voor een bedrijf.

3 / 5

Zwooop op Vrijdag 22 Augustus 2008 18:12

Ach.. ook met een goede DNS blijft de gebruiker nog steeds de zwakste schakel. Nigeriaanse miljarden maken in alle lagen van de bevolking slachtoffers, zelfs onder professoren.
En wees nou eerlijk, hoe groot was nou de kans dat een DNS-fout de gemeente schade zou toebrengen? De interne systemen zouden er niet door getroffen worden (want cache poisoning werkt alleen voor domeinen die niet al met de hele zone in de lokale nameserver staan), en extern verkeer in een stadhuis is toch vooral prive.

-1 / 3

dlerew op Vrijdag 22 Augustus 2008 19:32

Ik hoop niet dat je systeembeheerder of ict-beleidsmaker bent want je reactie op het probleem getuigd van een enorme laksheid om de risico's serieus te nemen. Aan gevolgen is de schade die veroorzaakt wordt door een overheid/externe organisatie veel groter dan wanneer jan-met-de-pet als gedupeerden zelf de oorzaak is. (on)Betrouwbaarheid gaat naar een veel groter niveau dan bij op zich zelf staande incidenten. Je kan het dan wegwuiven met slappe excuses dat andere zaken ook mogelijk zijn en gegok met gewenste kansen dat het niet mis gaat en wel mee zal vallen, maar dat is de minst gezonde insteek die je dan kan maken terwijl er met een professionele ICT-houding problemen gewoon voorkomen kunnen worden.

Mijn doel is dat Getronics en de politiek professioneel worden in beveiliging, iets wat ik eigenlijk al verwacht had dat er zou zijn. De situatie is dat hier twee partijen tegenover elkaar staan en er nog steeds geen duidelijkheid is over de situatie. De ene kant, die belang heeft bij de veiligheid, zegt dat het mis was en krijgt daarin gedeeltelijk steun van een betrouwbare onafhankelijke partij. De andere kant, die voor de veiligheid moet zorgen, komt na lange tijd van mogelijk risico nog steeds niet verder dan iets vertellen wat niet uitsluit dat ze het probleem werkelijk verholpen hebben. Dat is geen gezonde situatie.

3 / 3

Zwooop op Vrijdag 22 Augustus 2008 23:04

Ja, ik ben beheerder en mijn DNS servers zijn gepatcht zodra er een update beschikbaar was. Die update was volgens de aanstichter van de hele rel overigens een tijdelijke stoplap, en er zou een grotere update komen als hij z'n verhaaltje wereldkundig had gemaakt. Achteraf blijkt de hele boel zwaar overhyped, want die grotere update gaat er niet meer komen binnen de huidige editie van de DNS-RFC.
Ik zeg daarmee niet dat je je DNS servers niet moet patchen of het probleem onder tafel vegen, maar ik zie sinds het 'uitlekken' van het probleem geen noemenswaardige toename in het aantal cache poisoning attacks. Kennelijk zijn zelfs details over de bug nog niet voldoende om een grootschalige aanval mee te doen.

Jouw doel om Getronics of het ambtenaren-apparaat professionaliteit bij te brengen, kun je beter laten varen. Het is een nobel streven, maar mijn ervaring met Getronics-mensen is dermate dramatisch dat het me meevalt dat er nu in ieder geval "veilig" uit de test komt.

Het blijft natuurlijk gissen naar wat er daadwerkelijk gebeurd is. Uit de brief van het gemeenteraadslid blijkt dat er 1 bepaalde poort gebruikt werd bij de betreffende DNS Check, maar ook dat dat niet de standaard-poort is van de bekende DNS-server softwarepakketten. Dat zou dan dus een firewall / NAT-issue kunnen zijn, die per ongeluk dezelfde poort hergebruikt voor een paar requests. Kennelijk doet hij dat nu niet meer, en dat is belangrijker dan zemelen over hoe hij het twee weken geleden deed. Hoe dan ook moet gezegd worden dat zowel Getronics als de gemeente wel goed zijn in het geven van politieke nietszeggende antwoorden. Zijn ze in ieder geval nog ergens goed in :-P

1 / 1

Puist ☺ op Vrijdag 22 Augustus 2008 17:15

DNS is sowieso niet veilig. Echt heel apart dat men nu pas opeens zich druk maakt hierover.
Vervolgens een wassen-neus-patch en daar ook weer commotie over. Pfff.

1 / 9

Anonymous Coward op Vrijdag 22 Augustus 2008 18:31

Het internet is niet veilig, autorijden is niet veilig, oversteken is niet veilig, leven is niet veilig... wat wil je nu eigenlijk zeggen. Je kunt van alles bedenken dat beter werkt en alleen al het tcp/ip verhaal kan beter. Het is echter niet reeel om te denken dat alle problemen ineens opgelsot zijn.

3 / 9

dlerew op Vrijdag 22 Augustus 2008 19:45

DNS is op verschillende niveau's onveilig en er zijn veiligere protocollen om dat op te lossen. Maar helaas leven we in de praktijk waarin de niet zomaar van het huidige systeem af zijn. Dat wil dus zeggen dat het zo veilig mogelijk gehouden moet worden met de huidige implementatie. Zet daarnaast de mogelijke gevolgen bij deze specifieke onveiligheid, waarbij het niet moeilijk is het uit te buiten en goede beheerders de gebruikers nog veilig kunnen houden. Dan is het niet verwonderlijk dat hier aandacht voor de situatie is waarbij zware onduidelijkheid bestaat of de beheerders hun werk wel goed gedaan hebben om risico zo laag mogelijk te houden. En die onduidelijkheid maar uit blijft.

3 / 3

Sokolum op Vrijdag 22 Augustus 2008 19:06

Goh, tijdens HAL2001 (Hackers At Large) kwam dit al naar voren :)... maar wie herinnert zich HAL2001 nog :D

5 / 5

nogffenikplof op Vrijdag 22 Augustus 2008 20:17

Wat heb je aan een firewall / proxy o.i.d. als de financiële dienstverleners van 020 online betaalopdrachten verwerken zonder enige vorm van encryptie op die verbinding/transactie.

Dat is pas echt zorgelijk, aangezien de cliënt van die gemeentelijke dienstverlener ten aller tijde verantwoordelijk blijft voor alle transacties is het te zot voor woorden dat dit heden ten dage nog gebeurt en mogelijk is.

Plof..

4 / 4

dodo op Zaterdag 23 Augustus 2008 13:26

Het lijkt wel of jij je erg aangesproken voelt. Op zich ben ik 't met je eens hoor. Natuurlijk kijk je eerst intern en los je dit met je leverancier op. Als die heeft gefaald of onder de maat presteert geef je desnoods straf. Maar ja, gemeenteraadsleden zitten overwegend alleen maar voor hun eigen belang in de raad. Ik vind 't de ergste soort amateurpolitici. Dit was natuurlijk fantastisch voor mevrouw om in te koppen en de nodige persaandacht te krijgen. Doet 't goed voor je volgende politieke job. Had ze trouwens niets beters te doen dan zich met deze materie bezig te houden?

2 / 2

dodo op Zaterdag 23 Augustus 2008 13:27

Sorry...was bedoeld als reactie op Tux2.

2 / 2

Tux2 op Vrijdag 22 Augustus 2008 20:46

Die Sabina Gazic moeten ze gelijk uit de raad gooien!!

Ze klopt iets in op een website en op basis daarvan maakt ze een stevige beschuldiging. Dit is zwaar onprofessioneel.

Als ze professioneel had gehandeld, dan had ze haar twijfels eerst aan een ICT deskundige (intern danwel extern) voor moeten leggen. Op basis van een deugdelijk onderbouwde motivatie had ze vervolgens haar ongenoegen kunnen uiten. En zelfs dan was het netter om dit eerst aan Getronics voor te leggen, voordat ze de publiciteit zoekt.

Bovendien, als de DNS echt onveilig is/was, dan heeft ze de organisatie nu een groot risico toegebracht. Hackers weten dus dat ze deze DNS server kunnen/konden aanvallen.

Samengevat, op ICT gebied is Sabina Gazic in elk geval een amateur!

2 / 10

Baloo op Zaterdag 23 Augustus 2008 14:34

Waarom lopen we dit te minnen? Dit hele nieuwsbericht gaat over een eindgebruiker die niet de helpdesk belt maar het gemeentebestuur. Dit type gebruiker wil je inderdaad liefst van je netwerk weren. Uit de raad gooien is politiek wellicht niet helemaal correct, maar het gaat om het idee...

Uiteindelijk verzandt deze discussie in een spelletje welles/nietes. De test gaf aan "onveilig", en geeft nu aan "veilig" (volgens 1 enkele eindgebruiker dus). De conclusie "onveilig" is nu wel nieuws, maar nooit gevalideerd. Ondertussen kan er van alles gebeurd zijn: Getronics liegt en heeft als een haas gepatched. De test bevatte een bug en die is gepatched. Ik kan er nog wel wat verzinnen, maar dat geeft het precies aan: Dit zijn allemaal verzinsels en de feiten zullen wel nooit boven komen. Voor zover ze uberhaupt al interessant zijn.

3 / 5

peterm op Zaterdag 23 Augustus 2008 00:49

Ik wil me aansluiten bij zwooop:
....maar mijn ervaring met Getronics-mensen is dermate dramatisch dat het me meevalt dat er nu in ieder geval "veilig" uit de test komt.

Da's dus ook mijn ervaring met Getronics.

Het bedrijf is ook niet voor niets opgekocht en (straks) in stukken gehakt.