Vlak na het wereldwijde lek in logboeksoftware Log4j is op de systemen van de TU Delft gezocht naar kwetsbare servers. Hoe ging dat in zijn werk?
(Foto: Jordan Harrison via Unsplash)
Delen
Eind december maakte een groot lek in serversoftware Log4j de servers van vrijwel alle bedrijven en instellingen wereldwijd kwetsbaar voor inbraakpogingen van hackers. De logboeksoftware van Log4j wordt gebruikt door verschillende webservers om zaken als veranderingen en foutmeldingen bij te houden. Het Nationaal Cyber Security Center van het ministerie van Justitie en Veiligheid gaf het lek de hoogste classificatie mee: High/High. Dat betekent dat zowel de kans op misbruik als de ernst van de potentiële schade hoog is. Op de TU Delft staan vele servers: niet alleen die in beheer van ICT, maar ook die in eigen beheer van onderzoeksgroepen.
Meteen nadat de melding over de kwetsbaarheid bij de TU Delft binnenkwam, maakte het Computer Emergency Response Team (CERT) van ICT een inventarisatie, waaruit volgens chief information security officer Jérôme Zijderveld bleek dat de impact beperkt was. “Diezelfde avond hebben wij enkele maatregelen getroffen om verdacht verkeer te onderscheppen en te blokkeren, voor zover dit mogelijk was.” Welke maatregelen dat waren laat Zijderveld om veiligheidsredenen in het midden.
Onderzoekend verkeer
Ondanks de maatregelen zag het CERT gedurende de avond toch verdacht verkeer langskomen dat duidelijk op zoek was naar mogelijk kwetsbare servers. Het bleef bij ‘onderzoekend verkeer’, vertelt Zijderveld nu. “Onze systemen zijn niet gecompromitteerd.”
Dat ging over de servers in beheer van ICT zelf. Hoe zat het met de servers in beheer van onderzoeksgroepen? Om hen te bereiken nam ICT contact op met serverbeheerders die bij de afdeling bekend zijn. Ook plaatste ICT een dag voor de kerstvakantie een oproep op intranet: scan je server en update deze indien nodig. Maar hoeveel zicht heeft de afdeling ICT op deze servers? Hoeveel zijn dat er eigenlijk, hoe groot acht het CERT het veiligheidsrisico van deze servers en zijn ze inmiddels allemaal geüpdatet? Zijderveld wil daarover alleen kwijt dat zijn directie daar ‘niet zoveel zicht op heeft als op de door onszelf beheerde systemen’.
Niet op slot
Na het bekend worden van de kwetsbaarheid, gingen sommige bedrijven digitaal op slot. Zo zette de gemeente Almere systemen preventief offline en staakte de Kamer van Koophandel tijdens de kerstdagen haar dienstverlening. Op de TU Delft was dit niet nodig. “Het is ons gelukt om samen met de faculteiten en de collega’s van de directie ICT & FM een goed beeld te krijgen en een goede risicoafweging te maken zodat de dienstverlening niet hoefde te worden gestaakt.”
Om te leren van dit incident, vinden er momenteel zoals gebruikelijk ‘lessons-learned sessies’ plaats, laat Zijderveld weten. Volgens hem heeft de Log4J-kwetsbaarheid het CERT laten zien dat de tijd tussen het bekend worden van een kwetsbaarheid en het misbruik daarvan steeds korter wordt. In dit geval vielen die twee bij sommige organisaties zelfs samen.
Comments are closed.