Anonymous achter hack KPN?

Fascinerend hack in het nieuws vandaag (inmiddels gister) waarbij mijn oren direct gespitst gingen staan. KPN kwam zelf met het nieuws bericht dat zij slachtoffer zijn geweest van een hack. Een fascinerende hack, want de hacker had beschikking tot klant gegevens, waaronder bankrekeningnummers. Daarbij had de hacker tot een week na de ontdekking van de hack nog steeds toegang tot de systemen. (?!)

Enfin, een erg vreemd bericht dat zomaar ineens in de pers wordt geplempt, en via twitter door veel mensen wordt opgepakt. Wat mij op dat moment direct opviel was de snelheid waarmee de verscheidene Anonymous leden die ik in mijn lijst heb, hierop reageerden. Normaal reageren ze hier wel op, maar nu op een andere manier dan normaal. En het was niet een persoon, nee, vrijwel allemaal leken ze ineens ontwaakt te zijn. Ik besloot een suggestieve tweet eruit te gooien om reacties uit te lokken, en zo geschiede. Er werd gereageerd, er werd weer verwijderd, er werden DM's gestuurd, en ook die werden weer verwijderd. Erg handig allemaal, maar na een kort gesprekje met enkele personen van Anonymous zijn we naar een encrypted prive chat kanaal gegaan. En precies op dat moment belt Brenno de Winter mij. Je raadt het al, ook zijn instinct proefde onraad in deze zaak, en dus werd het tijd voor wat overleg.

Vervelende in deze zaak is dat de personen waarmee ik gechat heb niet zeggen: "Ja, we hebben het gedaan". Ze spelen een spelletje, ze geven me details welke dader kennis zouden moeten aangeven. Maar geven vervolgens weer enkel details waar IK op dit moment niets mee kan. Ze geven me de banners van de servers, ze geven me de netwerknamen, OS details, software details. Maar ik kan er niets mee. Ik kan wel keurig aan KPN gaan vragen: "Draaide de gehackte server SunOS 5.8??" 3 maal raden wat zo'n woordvoerder zegt.

Enfin, ik kan met de hints het bewijs niet sluitend krijgen en dit is dus puur suggestief. Ik moet er wel bij opmerken dat het zeer aparte details zijn om te geven voor iemand die er compleet niets mee te maken heeft, en mijn instinct zegt dan dus ook dat men hier wel degelijk mee te maken moet hebben. De reden, volgens hen, dat de server ontdekt is, is omdat zij deze aan botnet hadden gehangen. Maar laten we beginnen:

Banner van de server:
SunOS ns3 5.8 Generic_108528-29 sun4u sparc SUNW,Sun-Fire-V240
Name: ns3.kpn.nl / speedtest.wxs.nl
IP: 213.75.**.15 (? <- men is hier niet zeker meer van) Exploit: http://www.exploit-db.com/exploits/3293/ (uit 2007... :x) Een andere server welke gehackt zou zijn zou een DNS server zijn. Ik moet hierbij opmerken dat er exact 5 dagen geleden een interne DNS storing was bij KPN. Zelf zeggen de jongens dat dit niet met elkaar in verband staat, ik vraag het me af, want de DNS server die zij mij doorgeven, is precies zo'n interne server. Hier het nieuws bericht.

Details:
Name: pdns01-adm.wxs.nl
IP: 10.94.70.20 (Resolved ook extern)
PDNSDBHOST=pdns01-adm.wxs.nl
PDNSDBNAME=pdns
PDNSDBUSER=pdns
PDNSDBPASSWORD=*********

Vast staat dat binnen de kringen van Anonymous dader kennis is, wat op betrokkenheid van hen moet duiden. Ik durf met tot aan zekerheid grenzende waarschijnlijkheid te zeggen dat een persoon binnen de kringen van Anonymous achter deze hack zit.

//Bovenstaand bericht is van gister en heb ik bewust achter gehouden, daar ik geen journalist ben.