30 september 2005
Een hacker is er in geslaagd een server bij Novell binnen te dringen en
heeft vanaf daar waarschijnlijk miljoenen computers gescand op zoek
naar lekken. De scans, die vanaf 21 september gaande waren, waren
gericht op TCP poort 22, de default poort voor Secure Shell (SSH)
services. SSH programma’s worden gebruikt om via een netwerk op andere
computers in te loggen, om vanaf afstand commando’s uit te voeren en op
een veilige manier bestanden uit te wisselen tussen verschillende
computers. Scans van deze poort zijn vaak een indicatie dat hackers op
zoek zijn naar kwetsbare SSH systemen, zodat ze deze over kunnen nemen
en het systeem vervolgens (voor wat voor doel dan ook) kunnen
gebruiken. Kevan Barney, woordvoerder van Novell, bevestigde dat een
van de servers van het bedrijf werd misnruikt. Maar hij voegde er aan
toe dat de server geen deel uitmaakte van het bedrijfsnetwerk en zeker
geen productieserver was. De gecompromitteerde server bij Novell werd
door werknemers gebruikt als mailserver voor een gameswebsite. De hack
is ontdekt door Chris Brandon, directeur van het gelijknamige
beveiligingsbedrijf Brandon Internet Services.
Brandon werd op het probleem gewezen door een klant dieeen aanzienlijke
scan-activiteit meldde op zijn netwerk. Volgens de
beveiligingsspecialist heeft de server dermate veel IP-blokken gescand,
dat aangenomen mag worden dat er bij miljoenen systemen is geprobeerd
binnen te komen. ‘The employees that set it up apparently had no idea
of security’, zo stelde Brandon ‘But what is really surprising is that
Novell would allow employees to set up game servers on their corporate
network and then allow the public to access it.’ Volgens Barney bevond
het gekaapte systeem zich buiten de firewall. Op het systeem draaide
een mailpakket voor een gamessite genaamd Neticus.com. De website van
de gamessite zelf werd op een ander systeem in eigendom van Novell
gehost. Een logfile die de sans documenteerde van de Novell-server is
hier te vinden. Het source-IP-adres behoort aan Novell, gebaseerd op de
Network WhoIS-bestanden. Volgens Barney wren zowel de hostserver van de
website als de mailserver die de scans veroorzaakte testsystemen buiten
de firewalls van het bedrijf. ‘There was no major breach of security
here. Needless to say, we are taking the appropriate steps to address
the situation.’