Beveiliger gehackt: is dan niets meer heilig?

Vorige week donderdag ontdekten de bezoekers van de website van de Deense beveiliger Secunia dat de homepage was overgenomen door de (kennelijk) Turkse hacker of hackersclub TurkGuvenligi (“Turkse Beveiliging”). Die naam verscheen althans in grote rode letters op de site onder de kop “Anonieme Helden Presenteren” (in het Turks: “Is?ms?z Kahramanlar Sunar”) en de kennelijke uitdaging “Breng je vader” (“Gel Babana”). Onder de naam TurkGuvenligi worden inmiddels al een jaar of twee met enige regelmaat websites gehackt van multinationals en beroemdheden. De afgelopen maanden lijken de hackers een voorliefde voor beveiligingsbedrijven te hebben ontwikkeld (Kaspersky, Bitdefender, F-Secure en zelfs Interpol).

Het duurde zo’n 70 minuten totdat Secunia de links naar de eigen site weer terug had, meldt het bedrijf in een blog-post.

De hack is de zoveelste beschamende vertoning voor een beveiligingsbedrijf in de afgelopen maanden. Kaspersky, dat een half jaar geleden voor de bijl ging, werd nog het slachtoffer van een SQL-injectietechniek, maar voor deze aanval op Secunia werd een simpeler en tegelijkertijd slinksere tactiek gebruikt. Kennelijk wist iemand uit te vogelen hoe ze bij het Secunia-account bij DirectNIC konden komen (de domeinregistrator van Secunia), en veranderde daar simpelweg het IP-adres dat gekoppeld was aan Secunia.com.

In feite is Secunia zelf dan ook nooit gehackt geweest. Ook de beveiligingspakketten van Secunia, Corporate Software Inspector en Personal System Inspector zijn nooit in gevaar gekomen - die draaien sowieso op heel andere servers dan de bedrijfswebsite, die volgens het bedrijf ‘op meerdere niveaus beveiligd zijn’.

Volgens Secunia zijn ook andere klanten van domeinregistrator DirectNIC slachtoffer geworden van de Turkse hacker(s). Een woordvoerder stelt dat het in theorie mogelijk is dat de systemen van DirectNIC elektronisch gekraakt zijn, maar dat de kans vele malen groter lijkt dat TurkGuvenligi het veel simpeler heeft aangepakt: waarschijnlijk hebben de hackers zich gewoon een weg naar binnen gekletst. Oftewel: social engineering strikes again.

Hoewel het er sterk op lijkt dat de schade beperkt is tot de overgenomen homepage, is het ook mogelijk dat dit verhaal nog een staartje gaat krijgen. TurkGuvenligi was zo’n 70 minuten lang praktisch eigenaar van het domein Secunia.com, wat bijvoorbeeld ook betekent dat in die periode alle mail bestemd voor @secunia.com adressen door hun mailserver is gegaan. Er zijn wel wat scenario’s te bedenken waarin dat op zijn beurt ook nog wat vervelende gevolgen kan gaan hebben voor het bedrijf en zijn klanten.

De les die hieruit te leren valt: ken je zwakste schakel. Je kunt je beveiliging nog zo goed op orde hebben, als een derde partij waar je van afhankelijk bent onderuit gaat, trekt hij je zo mee in zijn val.