In augustus stelde PvdA-raadslid Gazic vragen toen een test van beveiligingsonderzoeker Dan Kaminksy uitwees dat de DNS-systemen binnen de gemeente niet veilig waren. Die test volgde op onderzoek van Trouw, waaruit bleek dat het netwerk van uitgever PCM ook nog steeds kwetsbaar was. Beide organisaties hebben een deel van het netwerkbeheer bij Getronics PinkRoccade gelegd.

'Kaminsky-test klopt niet'

Direct gaven zowel de gemeente als Getronics PinkRoccade tegenover Webwereld aan dat de DNS-systemen veilig waren en dat het de firewall was die er voor zorgde dat de test van Kaminsky onterecht 'kwetsbaar' aangaf. Kaminsky pareerde deze uitleg: zijn test is betrouwbaar en als het 'onveilig' aangeeft terwijl de DNS-servers gepatcht zijn, dan is blijkbaar de firewall niet gepatcht.

Ondertussen vond er wel een verandering plaats, want de test van Kaminsky beoordeelde een paar dagen later de gemeente als 'veilig'. Getronics en gemeente ontkenden echter dat er ná de vragen van Gazic nog updates zijn uitgevoerd of patches geïnstalleerd.

Zelfs in het officiële antwoord dat naar de Amsterdamse Raad werd gestuurd, wordt nog steeds om de hete brei heen gedraaid. "Het lijkt alsof de DNS systemen nog steeds niet voorzien zijn van de laatste patch. De feitelijke situatie is dat op de DNS-systemen de laatste security patches zijn geïnstalleerd", schrijft het College van B&W. Over de noodzakelijke firewall patches wordt met geen woord gerept.

Sterker nog, in een uitleg in "Jip & Janneke"-taal gaat het bestuur een stap verder door de test van Kaminsky als onjuist te bestempelen: "Intern zijn informatiebeveiligings-coördinatoren van de gemeente Amsterdam direct ingelicht over zowel de veiligheidswaarschuwing, de getroffen noodmaatregelen als over het feit dat de site Doxpara.com een onterechte veiligheidswaarschuwing geeft wanneer de technische inrichting van de DNS-servers is gecombineerd met een firewall."

Test verslikt zich niet in firewall

Maar navraag bij Dan Kaminsky leert dat zijn test weldegelijk geschikt is voor bedrijven die een firewall hebben. De uitleg van de door hem ontdekte bug staat dan ook haaks op wat de gemeente schrijft. In een uitgebreid e-mail interview legt de DNS-goeroe uit dat het er om gaat wat op internet te merken is. Dat wordt bepaald door de firewall of de router, die opnieuw een poortnummer kiest. Voor de aanvaller is dat dan ook bepalend.

"Omdat een aanvaller de volgorde kan raden, kan het de NAT (onderdeel firewall, red.) voorzien van het volgende pakket dat het denkt te verwachten", stelt hij. "De aanvaller kan het NAT voorzien van het volgende pakket waarop het denkt te wachten, zelfs al werkt de DNS-server wel met willekeurige poortnummers."

Firewall patchen juist cruciaal

Het probleem zit bij complexere omgevingen dan ook echt in het vertalen van poortnummers. Kaminsky stelt dat het zelfs mogelijk is dat een ongepatchte DNS-server geen probleem vormt als de firewall willekeurige poortnummers kiest, zodat de gevolgen van het lek worden onderdrukt.

De test controleert dan ook wat op internet voor aanvallers merkbaar is. Hij wil juist een einde aan de verwarring maken en duidelijkheid verschaffen. Dat is belangrijk, want door de bug is het mogelijk domeinen of e-mail te kapen. "In plaats van het je afvragen dat je veilig bent, kun je weten dat je veilig bent en ook nog inzien waarom."

Gratis consultancy

Kaminsky wil niet reageren op het feit dat zijn test als incorrect wordt aangemerkt. "Veel liever dan kritiek te leveren, wil ik graag met de techneuten uit Amsterdam werken aan een oplossing", vertelt hij. Desgevraagd belooft hij dat gratis te doen. "Kun jij me met ze in contact brengen?"

Dat laatste blijkt niet eenvoudig, want de gemeente Amsterdam reageerde niet op een verzoek om commentaar. Zegsvrouw Jolanda Peek van Getronics PinkRoccade bedankt vriendelijk voor de eer. Zij wijst erop dat de gemeente Amsterdam veilig is en dat de antwoorden van het college helder zijn: "Meer kan ik daar niet aan toevoegen."

PvdA-raadslid Sabina Gazic is vooral gelukkig dat het gemeentenetwerk nu wel naar behoren beveiligd is. De antwoorden op haar vragen bestempelt ze als flauw: "Mijn boerenverstand zegt dat het niet in orde was."