De Citrix-hack maakte duidelijk dat het échte puinruimen op internet alleen gaat met hulp van helpende hackers.
Januari was de maand van kwetsbare Citrix-servers. Veel organisaties bleken kwetsbaar voor dit lek. Wie is nu eigenlijk verantwoordelijk om gebruikers hierover te waarschuwen? Iedereen en tegelijk niemand. Totdat een groep vrijwilligers er bovenop dook, heel Nederland scande en de getroffenen informeerde.
Op 17 december 2019 maakte Citrix bekend dat haar Citrix Application Delivery Controller (ADC) producten een kwetsbaarheid bevatten. Deze producten staan ook bekend onder de naam NetScaler ADC, Citrix Gateway en Netscaler Gateway. Misbruik van deze kwetsbaarheid stelt een aanvaller in staat om, zonder zich te authentiseren, willekeurige commando’s uit te voeren op deze apparaten, waardoor gebruikers slachtoffer kunnen worden van bijvoorbeeld datalekken, spionage en gijzelsoftware (ransomware).
Begin januari werd bekend dat kwaadwillende actief op zoek waren naar kwetsbare servers. Op 11 januari maakte onder meer Project Zero Day India en Trusted Sec code openbaar die liet zien dat misbruik van deze kwetsbaarheid kinderlijk eenvoudig was. Vervolgens werden uit voorzorg netwerken bij onder meer de Tweede Kamer en de ministeries platgelegd en hadden we een heuse Citrix-file.
Toen deze kwetsbaarheid naar buiten kwam waren alle ogen voornamelijk gericht op het NCSC (Nationaal Cyber Security Centrum). In december wist het NCSC al van de kwetsbaarheid in Citrix. De vitale organisaties werden daarvoor actief gewaarschuwd, maar niet-vitale organisaties niet. Ondanks de ferme taal van minister Grapperhaus (Justitie en Veiligheid), dat ‘wie niet patched, een oliebol is’, bleek toen pijnlijk dat het NCSC niet heel Nederland kan en mag scannen en waarschuwen. Zelfs een coördinerende rol bleek niet mogelijk. Dus organiseerde het digitale polderlandschap zichzelf.
Daarop stond een aantal vrijwilligers op om de hele Nederlandse IP-range te scannen op de kwetsbaarheid. Dat bleken 543 servers te zijn, waarvan de eigenaren benaderd werden. Daarmee was hun net opgerichte Nederlandse securitymeldpunt een feit. Ze werken onder de stichting Dutch Institute for Vulnerability Disclosure en heeft zich tot taak gesteld eigenaren van Nederlandse netwerkblokken en websites te informeren over kwetsbaarheden die bij het securitymeldpunt gemeld worden.
Met name onderzoekers Matthijs Koot en Frank Breedijk kwamen regelmatig in het nieuws. Zij en vele andere vrijwilligers hebben de afgelopen weken transparant, eerlijk, in goede samenwerking en vrijwillig keihard gewerkt. Begin februari waren er nog maar 70 servers kwetsbaar. Grapperhaus kreeg internationaal veel lof, over hoe Nederland dit heeft opgelost. Wat mij betreft gaat de lof vooral naar deze vrijwilligers.
In het kader van het Landelijk Dekkende Stelsel van cybersecurity samenwerkingsverbanden (PDF), begint langzaamaan een netwerk te ontstaan waar meldingen van kwetsbaarheden kunnen worden neergelegd, maar dat is nog gefragmenteerd. Willen we écht serieus gaan puinruimen op internet, dan gaat dat niet zonder de hulp van helpende hackers, want kwetsbaarheden wachten daar niet op. Laat de Citrix-hack een goede les voor ons zijn!
Astrid Oosenbrug is bestuurslid van het Dutch Institute for Vulnerability Disclosure, bestuursvoorzitter van stichting Open Source & Overheid, voormalig lid van de Tweede Kamer en werkte eerder bij een aantal organisaties en bedrijven als systeembeheerder
