Onlangs klom het Amsterdamse PvdA-raadslid Sabina Gazic in de pen nadat ze haar ip-adres op het stadhuis, 145.222.138.167, door de DNS Checker op de website van Dan Kaminsky had gehaald.

Daaruit bleek dat deze nameserver nog steeds open stond voor misbruik van het omvangrijke lek in het dns-systeem dat eerder dit jaar door security-onderzoeker Kaminsky is ontdekt. In schriftelijke vragen aan het college van B & W uit Gazic het verwijt dat Getronics 'incompetent' is en vraagt ze expliciet of het college die mening deelt.

Alle systemen veilig

De gemeente en Getronics ontkennen echter in alle toonaarden dat het netwerk kwetsbaar zou zijn voor het dns-lek, ook niet ten tijde van Gazic' test. "We hebben naar aanleiding van de vragen van het gemeenteraadslid opnieuw tests uitgevoerd en dubbel gecheckt. Daaruit blijkt: alle systemen zijn veilig, zowel de interne systemen als de externe systemen", aldus Jolanda Peek, Vice President Communications bij Getronics, tegenover Webwereld.

Volgens het bedrijf was dat op 14 augustus, toen Gazic haar vragen stelde, ook al zo. Het bedrijf of de gemeente heeft in de tussentijd géén updates of patches geïnstalleerd. Waarom het geteste ip-adres dan aangaf dat er belabberde dns-randomisatie was, kan Getronics niet verklaren.

Noch de gemeente, noch Getronics kan of wil verder op technische details ingaan. "We gaan allereerst de vragen van mevrouw Gazic beantwoorden. Het feitenrelaas wordt dan pas openbaar", aldus een woordvoerder van het Amsterdamse College van B & W.

Op de forse aantijging van incompetentie wil Peek van Getronics niet concreet ingaan. "Ik kan niet nagaan waarop het raadslid zich baseert. Maar het verrast en verbaast ons. Het zijn wel grote woorden. We hebben het getest en nogmaals getest en alles is veilig. Daarmee is wat ons betreft de kous af."

Onzinvragen

Betrokken ict'ers binnen de gemeente wijzen in eerste instantie door naar de persvoorlichting maar laten desgevraagd toch weten de vragen van Gazic 'een lachertje' en 'onzin' te vinden. "De informatie van de PvdA-fractie is niet juist en nooit juist geweest. De dns-servers zijn wel degelijk gepatcht."

Jaap de Munnik, kwaliteitsmanager van Enet, de 'demand organisatie' voor het Amsterdamse gemeentenetwerk, wil alleen dit kwijt: "Er is gepatcht. Er is absoluut gepatcht."

De gemeente ict'ers wijzen erop dat de dns-servers van Amsterdam achter een firewall staan en dat daarmee de DNS Checker van Kaminsky niet werkt als veiligheidscheck.

Maar Kaminsky zelf heeft evenwel bij zijn presentatie op Black Hat aangegeven dat juist firewalls momenteel het probleem zijn, omdat die de randomisatie die de dns-servers uitvoeren te niet kunnen doen.

Firewalls dienen dus ook te worden gepatcht om deze zogenaamde 'poortwillekeurigheid' te garanderen, benadrukte Kaminsky onlangs in een interview. Hoe meer willekeurigheid, hoe moeilijker het voor kwaadwillenden is om in te breken en de dns-cache te injecteren met valse gegevens.

Reactie Kaminsky

Dan Kaminsky laat per e-mail aan Webwereld weten dat de DNS Checker op z'n site 'betrouwbaar en beslissend' is en geldig voor dns-servers voor óf achter een firewall. "Maar het is mogelijk dat het raadslid is geconfigureerd naar een alternatieve name server die niet door Getronics wordt beheerd. De test is duidelijk, hoe deze desktop dan ook was geconfigureerd: het is of veilig, of kwetsbaar."

Kaminsky schrijft het gênant te vinden dat het door hem ontdekte dns-lek tot politieke beroering leidt in Nederland. Ook biedt hij nog zijn hulp aan: "Ik zou graag Getronics assistentie willen verlenen met hun netwerk."

Gazic: nu wel veilig

PvdA-raadslid Sabina Gazic laat in reactie weten blij te zijn te zijn dat de gemeente en Getronics melden dat het netwerk dns-veilig is. Ze heeft inmiddels de test opnieuw uitgevoerd vanuit het stadhuis en nu is de status inderdaad 'goede poortrandomisatie'. Ze is daarom erg benieuwd naar de verklaring waarom de test eerder aangaf dat het netwerk nog onveilig was. "Maar als blijkt dat het toen ook al veilig was, des te beter", aldus Gazic.