- Door
- Jeroen Mulder
- geplaatst op
- 10 augustus 2015 08:00 uur
En weer lag het ICANN onder vuur. Hackers maakten deze week e-mailadressen en wachtwoorden buit. Volgens ICANN zelf kunnen de hackers niets met de gegevens omdat de wachtwoorden versleuteld zijn. Klinkt als: gaat u rustig slapen, we hebben alles onder controle. Maar is dat wel waar?
Om te beginnen: het is niet de eerste keer dat ICANN het slachtoffer is van een hack. Vorig jaar slaagden hackers erin tot de Centralized Zone Data Service (CZDS) door te dringen, een kernsysteem van ICANN waarmee het TLD’s beheert. Het systeem is van buitenaf te raadplegen door providers. Daar is volgens ICANN deze keer absoluut geen sprake van: centrale beheersystemen en IANA-servers zijn deze keer niet bereikt.
Maar wie snapt hoe internetsystemen en netwerktopologie werkt, kan ook verzinnen dat die IANA en CZDS- servers wel via de ‘voorkant’ te bereiken zijn. Ze hangen in hetzelfde domein, in icann.org. In veruit de meeste gevallen staan er in een DMZ internetsystemen opgesteld die via proxy of reversed proxy achterliggende machines bereiken, met onder meer de databases. Dat de schade deze keer beperkt is gebleven, is vooral een kwestie van geluk: het geluk van niet al te slimme of luie hackers. De hack heeft er alle schijn van dat dit het werk is van amateurs.
Wat overigens opvalt in het bericht van ICANN zelf, is de opmerking dat de hack plaatsvond op systemen van een “externe provider”. Het moet voor ICANN toch op z’n minst wederom een beschamende constatering zijn geweest. Ondanks de implementatie van een securityprogramma in 2013 en 2014 met tal van strikte maatregelen, blijkt het toch andermaal verrassend eenvoudig om gegevens als e-mailadressen en wachtwoorden te achterhalen. In december vorig jaar gebeurde dat met een van de oudste trucs uit het boekje: door medewerkers van ICANN valse e-mailberichten te sturen.
Aangezien de systemen van ICANN – met CZDS, IANA en de rootservers – het feitelijke hart van het internet vormen, wordt het toch wel hoogste tijd dat deze organisatie nog eens heel serieus naar hun security gaat kijken. Niet alle hacks zijn te voorkomen, maar dit soort kinderspel hoort buiten de deur te blijven.
