- Door
- Arnout Veenman
- geplaatst op
- 28 augustus 2015 10:00 uur
Onze minister van Buitenlandse Zaken Bert Koenders laat op kamervragen van Astrid Oosenbrug (PvdA) – een van de weinige kamerleden met écht verstand van IT – weten dat het ‘onbekenden’ zijn die de IP-adressen van het ministerie van Buitenlandse Zaken in 2014 korte tijd gekaapt hadden. De IP-adressen werden geannounced door AS62228 dat op naam staat van het Bulgaarse bedrijf Decision Marketing LTD. Dus hoezo zijn het ‘onbekenden’ die de IP-adressen hebben gekaapt?
De minister schrijft over de kaping:
Onderzoek heeft uitgewezen, dat een set IP-adressen van BZ door onbekenden tijdelijk is ‘gekaapt’. Daarbij is gebruik gemaakt van een methode, die BGP hijacking wordt genoemd, een vorm van adresvervalsing. Het betrof IP-adressen, die BZ op dat moment niet actief gebruikte. De kaping vond tussen 19 en 27 november 2014 plaats op het internet. Nadat op 27 november de kapingsmelding van het Nationaal Cyber Security Centrum (NCSC) is ontvangen door de interne ICT-dienstverlener van BZ is geconstateerd dat er geen dreiging is geweest voor het interne BZ-netwerk en dat de kaping definitief voorbij was.
Allereerst valt in de uitleg van de minister ‘door onbekenden’ op, want de IP-adressen zijn gewoon geannounced door AS62228 dat op naam staat van het Bulgaarse bedrijf Decision Marketing LTD. Daarnaast stelt de minister ook de kaping op 27 november definitief voorbij was. Dat is helemaal interessant. Hoe kon de interne ICT-dienstverlener van BZ vaststellen dat de kaping definitief voorbij was? Decision Marketing LTD (AS62228) had de IP-adressen toch gewoon opnieuw kunnen gaan announcen?
In een reactie laat Erik Bais van A2B Internet aan mij weten dat via de RIPE NCC gewoon te achterhalen is wie er achter AS62228 zit. Om lid te worden van de RIPE NCC moet je de nodige gegevens aanleveren over je bedrijf en personeel en die informatie is zelfs publiekelijk beschikbaar, stelt Bais. Daar voegt hij nog aan toe dat het bedrijf Decision Marketing LTD tot deze maand ook aangesloten was op de AMS-IX. Dus wanneer de gegevens niet bij de RIPE NCC beschikbaar zijn, dan zou de overheid ook nog bij de AMS-IX kunnen aankloppen. De vraag is daarom vooral of de overheid er tijd en moeite in wil steken om te achterhalen wie er precies achter de kaping zitten, aldus Bais.
Ook over opmerking over het feit dat de kaping definitief voorbij was, bevestigt Bais dat de IP-adressen een dag later gewoon weer opnieuw door AS62228 zouden kunnen worden geannounced. Niemand die ze daarbij tegen zou (kunnen) houden.
Zelf een oordeel vormen over het antwoord van de minister kan hier. Het antwoord van minister Koenders op de vragen van Astrid Oosenburg (PvdA) is dus op zijn zachtst gezegd merkwaardig of misschien is de duiding van Erik Bais op Twitter nog beter.
De 'inhoudelijke' reactie op de kamervragen mbt BGP Hijacking door @AstridOosenbrug lezen als de meeste RFO's … https://t.co/xmh1LMrHQl
— Erik Bais (@erikbais) August 27, 2015