Een jongen die vorig jaar betrokken was bij de aanval op Overheid.nl, heeft het ministerie van Algemene Zaken getipt over een veiligheidsprobleem.
Volgens de 16-jarige Nabil Azahaf schoot de beveiliging van de website van het ministerie van Algemene Zaken (van premier Jan-Peter Balkenende) tekort. De site zou op een server met een verouderde versie van het webserversysteem Apache draaien.
De nieuwste versie van Apache is versie 1.3.33. De webserver van het ministerie maakt gebruik van Apache versie 1.3.27. Dit hoeft niet per se te betekenen dat het systeem lek is. Als het ministerie de patches installeert, is er geen vuiltje aan de lucht.
Azahaf is er echter van overtuigd dat dit niet het geval was. “Ik weet 99 procent zeker dat ik met behulp van een simpele exploit admin-rechten kon krijgen op die server”, stelt Azahaf. Hij wijst erop dat de server slecht en onprofessioneel onderhouden was. Zelfs de Apache-handleiding stond er nog op. “Dit is geen probleem of risico, maar het laat wel zien dat de server onprofessioneel onderhouden is”, meent Azahaf. “De meeste systeembeheerders verwijderen die handleiding meteen.”
Azahaf heeft naar eigen zeggen niet geprobeerd om beheerdersrechten te krijgen op de server, omdat hij daarmee de wet zou overtreden. Met admin-rechten is het mogelijk om de inhoud van de site aan te passen.
Maatregelen
Behalve de mogelijk onveilige versie van Apache, had de site van het ministerie van Algemene Zaken ook te kampen met SQL-problemen, ontdekte Azahaf. Het was daardoor overigens niet mogelijk om artikelen aan te passen of te verwijderen.
Azahaf heeft zijn bevindingen zondag naar het ministerie gemaild. Naar aanleiding van deze tip heeft het ministerie aan de bel getrokken bij de technische beheerder van de site. “Voor zover het nodig was zijn er maatregelen getroffen”, zegt woordvoerder Jaap de Bruijn van het ministerie. Over de aard van de genomen maatregelen kan hij niets zeggen.
“Zondag zijn er veel pogingen gedaan om het systeem binnen te dringen”, stelt De Bruijn. “Dat is niet gelukt.” De zegsman wil niet zeggen wie er verantwoordelijk waren voor de inbraakpogingen. “Maar iedereen is uiteindelijk te achterhalen.”
Azahaf ontkent iets te maken te hebben met deze pogingen om het systeem binnen te dringen. “Zondag heb ik alleen gekeken of het SQL-lek nog actief was. Ik heb geen poging gedaan om het systeem binnen te komen.”
Kwajongensstreek
Azahaf was vorig jaar betrokken bij de DDoS-aanvallen op diverse overheidssites – volgens Azahaf een ‘uit de hand gelopen kwajongensstreek’. Naar eigen zeggen was zijn rol bij deze daarbij ‘miniem’.
De rechtbank dacht daar anders over. Azahaf werd veroordeeld tot 27 dagen jeugddetentie en 120 uur taakstraf, omdat hij verantwoordelijk zou zijn geweest voor het botnet waarmee de andere betrokkenen de aanvallen uitvoerden. Azahaf ontkent dat dat het geval zou zijn geweest.
Door de problemen bij het ministerie van Algemene Zaken te melden, wil Azahaf laten zien dat hij ‘geen kwaaie hacker’ is. “De fouten die ik tegenkom, meld ik nu netjes in plaats van er misbruik van te maken.”