Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

LeaseWeb: DNS-hijack was gewoon online vandalisme

  • Door
  • Edwin Feldmann
  • geplaatst op
  • 22 november 2013 08:03 uur

HackerBij de DNS-hijack waar LeaseWeb vorige maand slachtoffer van is geworden, werd een medewerker besmet met malware.

De hackersgroep Anonymous Palestina, ook wel bekend als het Kdms-team, slaagde er in oktober in om de DNS-gegevens van LeaseWeb.com te wijzigen waarna een deel van de bezoekers naar een verkeerde site werd geleid.

De hijack werd uitgevoerd vanaf een ip-adres in Rammalah in Palestina, zegt Alex de Joode, Senior Legal Counsel bij LeaseWeb. Door de hijack werd een deel van de bezoekers van LeaseWeb.com omgeleid naar een site waar een boodschap van de Palestijnse hackers stond. Alleen bezoekers die de site al in het cachegeheugen hadden staan, kregen nog wel de juiste site voorgeschoteld.

Nu achteraf heeft LeaseWeb een goed beeld van wat er is gebeurd. Aanvankelijk is geprobeerd een medewerker in de val te lokken door gewone mailtjes te versturen vergezeld van malware. Omdat die tactiek niet werkte, werd volgens De Joode een Palestijnse site bij een andere provider gehackt. “Van die website verzonden ze een mail met een hulpverzoek naar LeaseWeb, met daar bijgevoegd een kopie van een legitimatiebewijs. Dat bestand was echter een kwaadaardig .jar-bestand”, aldus De Joode. Een medewerker raakte hierdoor besmet met malware en verschafte de hackers ongemerkt toegang tot de DNS-instelling van de website van de Nederlandse hoster.

Controle
Na dit incident heeft LeaseWeb diverse maatregelen genomen om herhaling te voorkomen. Allereerst is de mailserver strenger geworden met welke bestanden in de mail worden doorgelaten. Verder voert LeaseWeb een betere controle op het interne netwerkverkeer op vreemde gedragingen. De wet verbiedt het om iets als deep packet inspection op het netwerk te gebruiken, maar dat geldt niet voor ons interne netwerk. We doen daarom nu aan strikte monitoring.

Al is daar volgens De Joode wel vooraf goed over nagedacht. “Wij kennen een open bedrijfscultuur en dit past er niet bij. Maar gezien de belangen als hoster is dit onvermijdelijk.”

Als laatste maatregel is eind oktober het ticketingsysteem beter afgeschermd. Het ticketingsysteem voor klanten was altijd van buitenaf bereikbaar maar dat is sinds kort verhuisd naar een intern netwerk.

Afloop
LeaseWeb heeft aan het incident weinig tot geen imagoschade overgehouden, denkt De Joode. “Van veel klanten kregen we lovende woorden vanwege onze transparantie.” De hostingprovider heeft wel aangifte gedaan bij het team High Tech Crime van het KLPD en hoopt dat de hackers ooit opgepakt zullen worden. “Dit soort online vandalisme moet bestraft worden, maar of ze ooit gepakt worden, hangt onder meer af van het land waar de hackers zich bevinden.” Dat land moet meewerken aan uitleveringsverzoeken, anders is vervolging van de hackers kansloos.

Sven, 22 november 2013 8:20 am

Goed om te lezen hoe het is gegaan. 1 schoonheidsfoutje: je kan geen aangifte doen bij het High Tech Crime team

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.