Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

×

Help jij Tweakers Website van het Jaar te worden?

Tweakers is genomineerd voor beste website 2014 in de categorieën Nieuws & Informatie, Community en Vergelijking. Stem nu en maak kans op mooie prijzen!

Door , , reacties: 44, views: 29.190 •

KPN heeft vrijdag in allerijl besloten de uitgifte van certificaten te staken nadat duidelijk werd dat een van de webservers van het voormalige Getronics mogelijk misbruikt was. Volgens KPN is de server geprepareerd voor een ddos-aanval.

KPN heeft een externe partij opdracht gegeven de logfiles van de server verder te analyseren. De mogelijk gecompromitteerde webserver is inmiddels vervangen. Volgens KPN heeft het bedrijf tijdens een controle sporen gevonden dat de server mogelijk is geprepareerd voor een ddos-aanval. Het is niet bekend of die aanval daadwerkelijk is uitgevoerd via de server van het bedrijf.

De sporen werden ontdekt tijdens een onderzoek. "In het licht van de recente ontwikkelingen rondom de veiligheid van websites, digitale loketten en internetcertificaten zijn door KPN en door externe partijen extra onderzoeken verricht, waarbij op een steeds dieper niveau is geanalyseerd", aldus KPN in een vrijdagmiddag uitgegeven verklaring. "Tijdens zo’n onderzoek zijn in de server van de website waar bedrijven terecht kunnen voor informatie over certificaten, sporen ontdekt die zouden kunnen duiden op misbruik, vier jaar geleden."

Het telecombedrijf zegt geen aanwijzingen te hebben dat de productie-omgeving van de certificaten is gecompromitteerd, maar zegt het ook nog niet volledig uit te kunnen sluiten. Het onderzoek moet hier meer uitsluitsel over geven. Reeds uitgegeven certificaten, waaronder de recent uitgegeven certificaten voor DigiD na het DigiNotar-debacel, blijven vooralsnog geldig. KPN heeft naar eigen zeggen enkele honderden certificaten uitgegeven. Bedrijven die een certificaat hadden aangevraagd, worden over de ontwikkelingen geïnformeerd.

Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en overheidsautomatiseerder Logius zijn nauw betrokken bij het onderzoek, dat de komende dagen zal worden uitgevoerd. De uitkomsten van het onderzoek worden in de eerste helft van volgende week verwacht.

Eerder ontstond veel ophef toen bleek dat aanvallers er via het Beverwijkse bedrijf DigiNotar in waren geslaagd valse certificaten uit te geven. Een Iraanse hacker kraakte dit jaar de Nederlandse ssl-autoriteit DigiNotar en wist daardoor honderden vervalste certificaten aan te maken. De kritiek op het handelen van DigiNotar was groot en het bedrijf ging uiteindelijk failliet.

Securitybedrijven pleiten als reactie op de problemen voor beveiligingsstandaarden. Verder denkt het Nederlandse parlement na over de oprichting van een zogeheten 'ict-brandweer'.

Reacties (44)

Ik had dit niet verwacht van KPN. Als je ziet hoe agressief ze hun producten en diensten voor consumenten dichttimmeren dan zou je toch denken dat ze dat ook wel bij hun eigen servers zouden doen :+
Integendeel, het dichttimmeren van de diensten bewijst juist dat de netwerken NIET goed op orde zijn. Waarom zou je alles dichttimmeren wanneer je eigen netwerk tiptop in orde is en derden niet naar binnen hoeven te komen vanuit zwakke plekken van het netwerk?

Dit was absoluut een kwestie van tijd! Zo op het oog lijkt het in orde, maar de gang van zaken bij KPN is in een aantal gevallen ronduit bizar te noemen! Volledig geautomatiseerde leverstraten die uit komen bij een rij aan bureau's met daarachter mensen die de order allemaal op een andere manier beoordelen is daar een voorbeeld van.
Integendeel, het dichttimmeren van de diensten bewijst juist dat de netwerken NIET goed op orde zijn. Waarom zou je alles dichttimmeren wanneer je eigen netwerk tiptop in orde is en derden niet naar binnen hoeven te komen vanuit zwakke plekken van het netwerk?
Ik doelde in dit geval op de KPN Experiabox en de Verimatrix op tenminste het IPTV basispakket bij ADSL en glasvezel.
KPN timmert alles dicht omdat het een consumentonvriendelijk bedrijf is. Als alles statisch wordt dichtgetimmert en alleen op de KPN manier met KPN apparatuur te gebruiken is denkt KPN daarmee meer winst te kunnen maken (scheelt zogenaamde support calls). Dit is onzin natuurlijk en niet meer van deze tijd.

[Reactie gewijzigd door Alexander01 op 4 november 2011 18:49]

Wederom niet correct. KPN serveert onwijs veel zakelijke klanten. Per stuk leveren die klanten een veelvoud op van wat de particuliere klanten maandelijks inleveren. Vergeet ook niet de Wholesale partners van KPN, die per stuk ook allemaal zakelijke en particuliere klanten bedienen op het netwerk van KPN.

De kwaliteit en veveiliging van het netwerk staat overigens los van de inbraak die in dit bericht beschreven wordt. Het dicht timmeren van routers zou deze hack nooit tegen gehouden hebben.

edit: je heb je bericht al aangepast zie ik net

[Reactie gewijzigd door Carino op 4 november 2011 19:14]

[...]

KPN timmert alles dicht omdat het een consumentonvriendelijk bedrijf is.
In tegendeel. Dat is tweakeronvriendelijk, maar de gemiddelde consument vindt 't prachtig want het werkt gewoon.
Als alles statisch wordt dichtgetimmert en alleen op de KPN manier met KPN apparatuur te gebruiken is denkt KPN daarmee meer winst te kunnen maken (scheelt zogenaamde support calls). Dit is onzin natuurlijk en niet meer van deze tijd.
Minder support calls == minder kosten == lagere prijs voor de consument.

Sorry, maar zo werkt het. Ik vind 't ook irritant (en daarom gebruik ik geen experiabox en heb ik geen IPB of IPTV, maar een normale Thomson met een Juniper router) maar ik snap wel waarom ze 't doen.
Ik vraag me af of de gemiddelde consument beter af is met een verouderde KPN Experiabox waarbij PPPoE encapsulation wordt gebruikt (= extra overhead op de verbinding) of met een recente gekochte router die hij gewoon inplugt op zijn CPE/Glasvezelkastje en out-of-the-box waarschijnlijk sowieso al een betere wireless heeft dan de Experiabox.

Verder moet je je afvragen of dat die toename in support calls nog wel van deze tijd is. Kijk bijvoorbeeld naar de WGDO glasvezelnetwerken van Reggefiber. Die hebben al dit soort dingen echt 10x beter geregeld (transparanter en opener) zonder dat het voor de gemiddelde consument ook maar een haar moeilijker wordt.

Ik durf te wedden dat zij niet meer support calls hebben dan KPN. Ik denk zelfs minder omdat zij het technisch veel beter aanpakken en er dus minder problemen kunnen ontstaan. Bijvoorbeeld omdat ze dus geen PPPoE encapsulation gebruiken + omdat ze geen eigen router meeleveren (en daar dus geen verantwoordelijkheid voor hebben) + omdat ze de multicast feeds bij IPTV 1-op-1 van de Mediagateway doorzetten (maakt de kans op problemen ook kleiner dan dat je er zelf nog aan gaat prutsen).

[Reactie gewijzigd door Alexander01 op 5 november 2011 00:24]

Geen router leveren en dan bij problemen zeggen, tja dat is niet ons probleem, kom je niet weg mee als grote partij.
't Is ook bijzonder klant onvriendelijk, dus zit je uiteindelijk de meest vage constructies te supporten, met dus veel overhead.
Elke nieuwe router die je tegenwoordig koopt werkt gewoon meteen out-of-the-box als je hem aansluit. Problemen met eigen gekochte routers lijken mij dan ook hoogst uitzondelijk. Of de consument moet er naderhand zelf aan gaan lopen prutsen.

[Reactie gewijzigd door Alexander01 op 5 november 2011 17:36]

Je zegt het daar zelf al: als je de apparatuur zelf koopt, kan je wel beroep proberen doen op hun support, maar dan ben je ook aangewezen op een aantal partijen omgeholpen te worden en dan is het niet onmogelijk dat je van het kastje naar de muur gestuurd wordt.

KPN probeert dat alles-in-één te leveren omdat dat enerzijds vertrouwen uitstraalt naar de consumenten die er iets minder van begrijpen. Voor hen is er dan één aanspreekpunt en dat is KPN, als er iets mis is, weet je waar je moet gaan klagen en kunnen ze je niet zo makkelijk met een kluitje in het riet sturen. En anderzijds probeer je de klachten die je zo binnenkrijgt te vergemakkelijken: de minder geavanceerde gebruiker heeft een uniforme omgeving, een beetje zoals Apple hun zaakjes aanpakt, eigenlijk. Bied het totaalpakket aan, het aantal variabelen is dan sterk gereduceerd en dus ook de kans op problemen (of dat is toch de theorie).
Maar het punt is: Als je als networkoperator zoals Reggefiber je zaakjes goed geregeld hebt dan kan er dus weinig mis gaan. Als jij bijvoorbeeld een standaard onversleuteld DVB-C signaal levert dan geeft dat, net als een standaard analoog signaal, veel minder problemen wanneer er allerlei vage (CI+) CAM modules en smartcards aan te pas komen.

Je maakt het er als netwerkoperator zelf naar. Als je je Techniek goed voor elkaar hebt en alles transparant en open geregeld is en ook alles aan de voorgeschreven standaarden voldoet, dan hoort elk 3rd party apparaat gewoon probleemloos te werken.

En natuurlijk moet je geen dingen als draadloze verbindingssets gaan faciliteren (of ondersteunen) zoals KPN doet. Want dan roep je die support calls dus ook gewoon echt zelf op je af. Van dit soort oplossingen kan nooit gegarandeerd worden dat ze bij iedereen goed werken.

[Reactie gewijzigd door Alexander01 op 6 november 2011 02:15]

Constumentonvriendelijk? Wat ben jij voor clown?
Verdiep je eens in de geleverde kwaliteit, openheid en transparantie van KPN's glasvezeldiensten en producten voor consumenten. Dan snap je wat ik bedoel.
als de externe partij maar geen mindtree is....
de ervaring met hun leert dat je dan verder van huis bent
Hahahaha Mindtree... O+
Vier jaar lang logs bewaren. Dat is vrij opmerkelijk. Helemaal als je nagaat dat een niet ongebruikelijke afschrijftermijn voor de hardware zelf 3 jaar is.

Overigens dat een webserver gecompromitteerd is, wil vaak nog niks zeggen over allerlei gerelateerde systemen. (Dit maakt het ook weer logisch dat de server niet vervangen is in de tussentijd. Van een webservertje, die alleen maar de HTML serveert, wordt doorgaans niet zo veel gevraagd, dus dan kun je ook wel met een ouder bakkie toe. Wel software updaten natuurlijk!)

Een webserver is vaak puur een interface met buiten. De omgeving die daadwerkelijk certificaten uitgeeft, zoals de applicatieservers en databaseservers zijn vaak weer op veel manieren geisoleerd, met bijvoorbeeld ook weer eigen netwerken, eigen firewalls, eigen wachtwoorden, etc.

Tenminste, als je een klein beetje je beveiliging serieus neemt, en niet alles op zijn Diginotar aanpakt.

[Reactie gewijzigd door Keypunchie op 4 november 2011 17:45]

Vier jaar lang logs bewaren. Dat is vrij opmerkelijk. Helemaal als je nagaat dat een niet ongebruikelijke afschrijftermijn voor de hardware zelf 3 jaar is.
Een goede sysadmin zorgt er dan ook voor dat logs niet op de server zelf bewaard worden, maar centraal. Dat maakt het analyseren van de logs en het correleren van data ook stukken makkelijker. Daarnaast kan je logs die op een potentieel gecompromitteerde server absoluut niet vertrouwen.

Verder vind ik het een nette reactie van KPN.
Vier jaar lang logs bewaren. Dat is vrij opmerkelijk.
Inderdaad. Ik denk ook niet dat 't uit logs kwam maar dat ze sporen hebben gevonden met timestamps eraan.
Helemaal als je nagaat dat een niet ongebruikelijke afschrijftermijn voor de hardware zelf 3 jaar is.
De belastingdienst wil graag dat we vijf jaar met computers doen. Voor sommige situaties onrealistisch maar in dit geval denk ik 't niet.
Een tijdje terug gingen er al wat geluiden over een sysadmin die een gehackte machine onder de pet moest houden van hogerhand. Geen idee wat er van waar is, maar omdat er hier gesproken wordt over een langdurige hack, zou het best eens kunnen.
https://secure.security.n...ehackte_servers_stil.html
ik begrijp de zin:Volgens KPN is de server geprepareerd voor een ddos-aanval. niet helemaal. Is deze server gehacked en wilde ze er een DDOS mee uitvoeren of is er op de server een DDOS uitgevoerd of is er indicatie geweest dat er een DDOS op de server uitgevoerd ging worden.
Dat eerste. Blijkbaar is iemand door een scan van de logs iets opgevallen wat nu herkend wordt als entries van bvb. malware.

Beetje raar dat dat 4 jaar onopgemerkt is gebleven, maar misschien dat er nu pas een dusdanig grondige audit is gedaan. Of dat dit log hiervoor nooit automatisch werd gescand en een beheerder nu toevallig iets zag.
Wel goed om te lezen dat kpn bezig is om alles door te lichten op het gebied van beveiligings issues en dat ze steeds dieper "graven".

Dit geeft wel aan dat ze serieus bezig zijn met hun beveiliging.
4 jaar geleden, lekker op tijd ook. Goed dat ze het uiteindelijk gevodnen hebben.

Vraag me dan toch ook af of ze niet iets van IDS ofzo hebben, lijkt me wel zo handig.
Dat zit meestal in de router, en verder kan je tegen ddos niet zoveel doen; je router beschermt je achterliggende servers maar je link raakt toch vol zodat normale gebruikers toch geen service meer hebben. Je kan niet beïnvloeden wat en hoeveel data ddosers naar je sturen.

Een ddos is vervelend maar geen reden tot paniek, gehackte servers en valse certificaten wel. Een beetje router gaat niet kapot door een ddos dus zie de paniek niet echt.
De server zelf is niet geddost, maar zo geprepareerd dat hij kan bijdragen aan een DDOS-aanval.
Beter laat dan nooit :)
"Tijdens zo’n onderzoek zijn in de server van de website waar bedrijven terecht kunnen voor informatie over certificaten, sporen zijn ontdekt die zouden kunnen duiden op misbruik, vier jaar geleden."
4 jaar, 4 JAAR, hoe kan je jezelf als isp nog serieus nemen als je pas na 4 jaar ontdekt dat er iets mis is met een systeem. Als je regelmatig server goed onderhoud geeft controleer je toch ook altijd de logfiles en zoek je naar sporen van inbraak?

Doet mij denken aan een sysadmin zo'n 10 jaar geleden die wist dat zijn server gehacked was maar dat niet erg vond want de hacker hield het systeem up2date.

Toch goed dat er nu goede security-audits gebeuren en dat ze hun systemen eindelijk opschonen.
[...]


4 jaar, 4 JAAR, hoe kan je jezelf als isp nog serieus nemen als je pas na 4 jaar ontdekt dat er iets mis is met een systeem. Als je regelmatig server goed onderhoud geeft controleer je toch ook altijd de logfiles en zoek je naar sporen van inbraak?
Wel, de meeste haxx0rers proberen zichzelf te verstoppen en als een machine niets vreemds lijkt te doen is 't soms verdomd lastig om erachter te komen...
Dit zegt meer over de toenmalige kwaliteit van Getronics (nog net geen vier jaar geleden door KPN overgenomen) dan over KPN. Als je niet weet waar je naar moet zoeken, ga je het ook niet vinden.

Na het gedoe met Diginotar ligt dat heel anders. Elke certificatenboer (en ik hoop ook de niet-certificatenboeren) zijn heel hard wakker geschud en zijn min of meer verplicht om hun ICT tot op de onderste lagen door te lichten. En KPN doet dat nu, heeft een probleem ontdekt (waarvan nog niet eens vaststaat dat het impact heeft over de betrouwbaarheid van certificaten) en communiceert daar luid en duidelijk over. Waarvoor hulde.

Wat ik eigenlijk het meest zorgelijke vind is dat bedrijven blijkbaar hun eigen ICT aan het onderzoeken zijn volgens zelf bedachte standaarden. En niet volgens een onafhankelijk internationaal verplicht audit-traject. Dus elke certificatenboer keurt zijn eigen vlees en je mag hopen dat over problemen eerlijk gecommuniceerd wordt.

Diginotar was slechts een waarschuwingsschot. Het is wachten op de eerste echte ramp.
Er waren aanwijzingen dat in het middenoosten mensen zijn gedood als gevolg van communicatie die niet die meer secure was.

'Waarschuwingsschot' voor wie precies?
Het zou ook nog het voormalige Gemnet kunnen zijn ipv Getronics. Gemnet geeft ook certificaten uit. Is ongeveer vier jaar geleden overgenomen van de Vereniging Nederlandse Gemeentes.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneAsus

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013