Rapporten: Ransomwareramp bij Hof van Twente viel te voorkomen

Eerder zijn al enkele details naar buiten gekomen over de cyberaanval op Hof van Twente. Zo bleek de IT-dienstverlener die de servers en backups van de gemeente beheert zijn zaken niet goed op orde te hebben. Uit de onderzoeksrapporten naar de geslaagde versleuteling, met daarbij ook doelbewuste datavernietiging, komt dit ook naar voren. Maar daarnaast zijn er nog andere missers gemaakt, door de gemeente zelf en ook door de ingehuurde pentester.

FTP-server wel bekeken

Eind mei 2020 is er namelijk door IT-dienstverlener Sogeti een pentest uitgevoerd, op aanvraag van de gemeente. Dat heeft medio juni een definitieve rapportage opgeleverd, waarin echter geen grote beveiligingsproblemen zijn geconstateerd. Wel zijn daarin punten ter verbetering van de IT-omgeving aangegeven. Opvallend is dat de FTP-server waarlangs de afpersers zijn binnengekomen wel is meegenomen in de pentest.

“In het onderzoek wordt de server onderzocht, waarop later door de aanvaller zal worden ingebroken. Het doel van de rapportage is een onderzoek naar de externe infrastructuur”, valt te lezen in de duidingsrapportage ‘Te goed van vertrouwen?’. Dit rapport naar de ransomware-aanval is opgesteld door security-expert Brenno de Winter, die eerder de gehackte gemeente Lochem heeft bijgestaan.

Pentest: geen grote risico’s

“Uit de rapportage [van de pentest - red.] valt niet op te maken dat er problemen spelen met de FTP-server. Het hele beeld van de pentest geeft geen hoge bevindingen (ernstige risico's), maar wel verbeterpunten. Het betreft elf bevindingen, waarvan één een middelgroot risico is, vijf de inschatting laag risico krijgen en vijf als informatief worden aangemerkt.”

De opstellers van het pentestrapport geven aan handmatig te hebben gewerkt met een eigen ontwikkelde methodiek. Wat dit precies behelst, is niet duidelijk gemaakt, schrijft De Winter in zijn rapport nu. De vorig jaar uitgevoerde securitytest valt daardoor moeilijk of zelfs niet te controleren of te reproduceren.

Alles bereikbaar

Een ander opvallend punt is dat er over de pentest gemeld is dat daarbij expliciet is gekeken naar toegang tot achterliggende systemen, maar dat daar geen bevindingen over zijn gedaan. De Winter weet nu te melden dat er “nagenoeg alle systemen bereikbaar zijn vanaf nagenoeg iedere machine”. Van netwerksegmentering was bij Hof van Twente geen sprake, maar die best practice voor IT-security is ook niet als advies door het pentestrapport gegeven.

“Op de server waar uiteindelijk op zal worden ingebroken worden geen bevindingen gedaan. Uit open bronnen (vanaf het internet) valt echter op te maken dat in mei en juni 2020 de RDP-poort (Remote Desktop Protocol) openstaat.” Deze open bronnen betreffen de bekende zoekmachine Shodan waarmee openstaande poorten en toegankelijke systemen zijn te vinden. In een vandaag gegeven persconferentie meldt forensisch securitybedrijf NFIR dat die open RDP-poort sinds 29 oktober 2019 bekend was in Shodan.

Score van 0,0

De pentest heeft wel bevonden dat de gemeente twee testomgevingen heeft openstaan naar het internet. “Voor risico's wordt gewerkt met een zogenaamde CVSS-score dat de ernst van de bevindingen duidt op een schaal tot 10. Deze score krijgt de waarde 0.0”, aldus het onderzoeksrapport ‘Te goed van vertrouwen?’.

“Daarmee wordt niet het signaal afgegeven dat hier nader naar gekeken zou moeten worden. Er staat immers een score van 0.0 en dat wekt de indruk dat het een verwaarloosbaar risico betreft.” Eind oktober 2020 hebben aanvallers echter met een bruteforce-aanval een zwak wachtwoord (Welkom2020) gewijzigd, waarna ze eind november een verkenning van het interne netwerk hebben ondernomen.

De Winter schrijft over de eind mei gedane ‘ontdekking’ van twee openstaande testsystemen dat de pentester niet duidelijk maakt waar die omgevingen op zijn aangesloten. Ook is uit die testrapportage niet duidelijk of een inbraak op die systemen invloed kan hebben op de rest van het netwerk. De geslaagde hackaanval van december 2020 heeft aangetoond dat die invloed enorm was.