Computerkaping RUG heeft positieve kant

Het overnemen van computers door kwaadwillenden is geen mediahype en overkomt echt niet vooral onwetende consumenten. Het kan de beste overkomen. Dat merkte de Rijksuniversiteit Groningen (RUG) die door een anonieme tip werd gewezen op een digitale inbraak.

Begin maart werd het Rekencentrum van de Rijksuniversiteit Groningen (RUG) opgeschrikt door een mededeling vanuit de hackergemeenschap dat een groot aantal pc's zou zijn gecompromitteerd. Er deden zich wilde verhalen voor als zouden grote delen van het systeem voorzien zijn van keyloggers die alle toetsaanslagen registreren.

Er werd op dat moment gevreesd dat er creditcardnummers en wachtwoorden van banken waren ontvreemd. "Uiteindelijk blijkt het allemaal wel te zijn meegevallen", legt security manager Frank Brokken van het Rekencentrum van de RUG uit. "In eerste instantie was er misschien wat paniek bij sommige mensen, maar het lijkt erop dat er niemand schade van heeft ondervonden. Voor zover ik weet zijn er geen bankrekeningen leeggehaald of zijn er andere erge dingen gebeurd die zijn terug te voeren tot de hack."

In feite heeft de commotie rond de inbraak zelfs een positief effect gehad. Brokken: "We waren op dat moment al bezig om ons beveiligingsbeleid wat aan te scherpen. Op het moment dat er dan zo'n hack komt, staat iedereen weer helemaal op scherp en was het dus makkelijker om dat beleid ook daadwerkelijk door te voeren."

"Daarnaast was het een mooi moment om de plannen nog eens extra tegen het licht te houden en ook een externe partij de opdracht te geven hier eens naar te kijken. Madison Gurkha had eigenlijk alleen de extra aanbeveling om wat meer aan het bewustzijn van het management te doen. Ik heb er net, vijf minuten geleden, het groene licht voor gekregen om dat verder uit te werken."

Volgens Brokken is het nog steeds niet helemaal duidelijk wat er mis is gegaan. "Vermoedelijk is door verkeerd wachtwoordbeleid een van de machines gehackt die toegang had tot een groter deel van het systeem. Of dat echt van binnenuit is gebeurd, zoals wel is gesuggereerd, is niet vast komen te staan."

"Vervolgens hebben de daders aangepaste software op de systemen gezet, maar wat het doel van deze malware was, is niet boven tafel gekomen. We hebben de code doorgespeeld aan de experts van Symantec. Zover ik weet hebben die ook niets terug kunnen vinden, los van het feit dat het naar alle waarschijnlijkheid geen keylogger was."

Pech
Op het moment dat de besmette pc's werden ontdekt, kreeg de RUG te maken met een uitgebreide netwerkstoring en viel over vrijwel de gehele universiteit het computernetwerk uit. In eerste instantie werd nog gedacht dat deze calamiteit een direct gevolg was van de kaping. Het werd echter al vrij snel duidelijk dat de netwerkstoring volledig los stond van de met kwaadaardige code besmette computers. Technisch directeur van het Rekencentrum Robert Janz stelde in de Universiteitskrant dat dit simpelweg pure pech was. De netwerkstoring bleek het gevolg van een defect component in de infrastructuur.

Alertheid
Hoewel er direct aangifte is gedaan bij de politie, heeft het Openbaar Ministerie al aangegeven niet tot vervolging over te gaan. Er waren in dit geval onvoldoende aanwijzingen richting een mogelijke verdachte om de opsporing voort te zetten. "In een aantal andere gevallen waar we een duidelijkere verdenking hadden, hebben ze dat overigens wel gedaan," aldus Brokken. "Het is vanuit Justitie dus geen kwestie van onwil geweest."

"Ook van alle andere kanten hebben we geen aanwijzingen gekregen wat het probleem kan zijn geweest. We hebben verder niets meer van de hackergemeenschap vernomen en ook Surfnet CERT heeft behalve een verhoogde alertheid niets meer kunnen waarnemen. In veel opzichten tasten we nog steeds in het duister over de toedracht, maar we zijn blij dat er in ieder geval geen benadeelden zijn. Nu maar hopen dat de hacker niet zit te gniffelen als hij dit stukje leest!"