De hacker meldde zich bij Webwereld nadat in de publiciteit was gekomen dat KPN daadwerkelijk was gehacked. Wat de hacker betreft is het duidelijk dat hij geen kwaad in de zin had, maar gelet op het lopende strafrechtelijke onderzoek wil hij anoniem blijven.

Oudere systemen

KPN maakt gebruikt van systemen van het voormalige Sun Microsystems en draait SunOS 5.8 op de de machine die het eerst gekraakt werd. Deze host werd toegankelijk via speedtest.wxs.nl, een server die inmiddels niet meer bereikbaar is.

Volgens de hackers was het eenvoudig om binnen te komen, maar het wordt niet duidelijk hoe dit precies in zijn werk is gegaan. Er circuleert een verhaal dat een bug uit 2007 werd misbruikt, maar dat ontkennen bronnen binnen KPN. Feit is dat het uiteindelijk lukte om binnen te komen.

Oude servers

De software is verouderd en soms al jaren niet van updates voorzien. Andere bronnen binnen KPN melden dat de interne infrastructuur aan verbetering toe is.

Een van de systemen identificeert zich met:

os = SunOS ns3 5.8 Generic_108528-29 sun4u sparc SUNW,Sun-Fire-V240

Dat systeem gaat in ieder geval terug tot 2006, terwijl SunOS momenteel al bij versie 5.11 is. Wie zoekt merkt dat er de nodige zwakheden voor deze systemen bekend zijn.

Wachtwoord

In de configuratiebestanden staan inloggevens voor het beheren van DNS-servers. Opmerkelijk daarbij is dat deze IP-servers ook via internet te vinden zijn, terwijl er wordt gewerkt met niet-publieke internetadressen. Daarmee geeft KPN publiek informatie over de eigen infrastructuur weg.

Uit het bestand blijkt ook dat het wachtwoord g1rlp0w3r niet echt sterk is gekozen. Het configuratiebestand ziet er als volgt uit:

PDNSDBHOST=pdns01-adm.wxs.nl

PDNSDBNAME=pdns

PDNSDBUSER=pdns

PDNSDBPASSWORD=g1rlp0w3r

Per ongeluk

De hackers die de kraak hebben gezet zeggen dat ze dit niet gepland hebben. Ze waren eigenlijk gewoon op zoek naar lekken om die aan de te kaak stellen. Pas toen duidelijk was dat het hier om KPN ging, hebben ze wat beter gekeken en toen bleek dat ze data konden ophalen.

Ze claimen dat ze niet minder dan 16Gb aan data hebben opgehaald. Inmiddels is die data vernietigd, bezweert de hacker. Of dat waar is kan niet worden gecontroleerd. Maar het is wel opmerkelijk dat de hackers zeggen dat ze data gedownload hebben, want KPN heeft eerder verklaard dat er niets was gedownload. Inmiddels erkent het bedrijf dat het dit niet zeker weet.

“Daarbij ging het om veel meer dan KPN vertelde", zegt de hacker die spreekt op voorwaarde van anonimiteit. Het ging niet alleen om de data. De hackers konden nog veel meer op de server, stelt onze bron. “Zo konden wij mensen aan- en afsluiten van internet als we hadden gewild."

112 verstoren

Ook dit kan niet worden geverifieerd, maar het is wel duidelijk dat het voor KPN een groot probleem was. Tijdens het onderzoek dat het bedrijf instelde werd duidelijk dat onbevoegden toegang hadden tot de server en dat ze software hadden geïnstalleerd. Toen was het voor KPN menens. "De systemen staan in het domein waar ook Internetplus Bellen staat", stelt een zegsvrouw. Zij wijst erop dat een verstoring van die dienst tot gevolg kan hebben dat mensen geen 112 kunnen bellen. "Toen hebben wij de autoriteiten geïnformeerd."

Dat was ook het moment om Code Rood af te roepen over het bedrijf. Dit betekent dat er een acuut probleem verholpen moet worden. Een team van zo'n honderd medewerkers heeft in de periode 27 januari tot en met 3 februari 24 uur per dag gewerkt. Een belangrijke taak naast het onderzoek was het stapsgewijs stilletjes patchen van de omgeving zonder dat de dagelijkse operatie werd verstoord. Ook werd toen het strafrechtelijk onderzoek gestart.