Huur geen hacker als beheerder
Gepubliceerd: Vrijdag 4 juni 2010
Auteur: Brenno de Winter
Het binnenhalen van een 'beveiligingsonderzoeker' is een IT-manager duur komen te staan. De 'expert' installeerde een backdoor en trachtte het bedrijf zelfs af te persen. De manager is ontslagen.
De IT-manager, die anoniem wil blijven, herinnert zich nog goed dat een van de beheerders een mailtje doorstuurde. In de inhoud de boodschap dat de website lek is, een selectie van gevoelige informatie uit de systemen en het aanbod om de problemen te verhelpen.
SQL-insertion
"We zijn op het aanbod in gegaan, maar dat moest wel tegen betaling. Dat kostte zo'n €150 euro per uur", vertelt de man. "Na zo'n 120 zoeken bleek het te gaan om een SQL-insertionlek. Dat was prima te verhelpen maar daar kwamen nog een paar honderd uur bij."
De site is aangepast, het geld betaald en voor het bedrijf had daarmee de kous af moeten zijn. Totdat een paar weken later er een nieuw mailtje. "Wéér een nieuw lek en deze keer ging de toegang veel verder", verzucht de man. "Daarop heb ik opnieuw gevraagd om hulp en weer kostte het veel geld. Alleen dit keer voelde het niet goed."
Backdoor
Om het zekere voor het onzekere te nemen, liet het bedrijf een expertise op backups uitvoeren en werd de problematiek duidelijk: "De beste man had een backdoor geïnstalleerd. Natuurlijk ben ik meteen verder gaan zoeken. Toen bleek al snel dat we zaken deden met een bedrijf dat niet in het handelsregister stond en het onmogelijk is de 'beveiligingsonderzoeker' te achter halen."
"Ik was des duivels en heb direct een vlammende mail gestuurd. Dat had ik beter niet kunnen doen", zegt de IT-manager. "Ik werd geconfronteerd met dingen die deze hacker nog meer had gestolen en daar werd ik mee afgeperst. Maar ik ben terug gaan dreigen. Uiteindelijk werd het dodelijk stil."
Ontslag
De manager had geen andere keuze dan met de billen bloot te gaan en dat viel niet bepaald goed. "Ik kreeg het advies een andere invulling aan mijn carrière te geven buiten de onderneming", verzucht hij. "Dat heb ik een paar maanden later gedaan. Ik heb nog wel het onderzoek van een beveiligingsbedrijf meegekregen. Niet echt leuk, want de servers zaten vol spyware. Ik kon me wel voor de kop slaan."
Op de vraag of het nog mogelijk is dat gegevens alsnog uitlekken, moet de IT-manager bevestigend antwoorden. "Maar dat zal toch niet?", vraagt hij. Voor hem is het wel duidelijk wat hij voor de toekomst: "Nooit meer een hacker geloven. Verder heb ik geleerd meer op protocollen en minder op gevoel af te gaan. Dat heeft deze hacker mij wel afgenomen."
Dit artikel is onderdeel van een serie over de beproevingen van ict-managers.
