KPN staakt uitgifte certificaten na ontdekking verdachte sporen
KPN heeft vrijdag in allerijl besloten de uitgifte van certificaten te staken nadat duidelijk werd dat een van de webservers van het voormalige Getronics mogelijk misbruikt was. Volgens KPN is de server geprepareerd voor een ddos-aanval.
KPN heeft een externe partij opdracht gegeven de logfiles van de server verder te analyseren. De mogelijk gecompromitteerde webserver is inmiddels vervangen. Volgens KPN heeft het bedrijf tijdens een controle sporen gevonden dat de server mogelijk is geprepareerd voor een ddos-aanval. Het is niet bekend of die aanval daadwerkelijk is uitgevoerd via de server van het bedrijf.
De sporen werden ontdekt tijdens een onderzoek. "In het licht van de recente ontwikkelingen rondom de veiligheid van websites, digitale loketten en internetcertificaten zijn door KPN en door externe partijen extra onderzoeken verricht, waarbij op een steeds dieper niveau is geanalyseerd", aldus KPN in een vrijdagmiddag uitgegeven verklaring. "Tijdens zo’n onderzoek zijn in de server van de website waar bedrijven terecht kunnen voor informatie over certificaten, sporen ontdekt die zouden kunnen duiden op misbruik, vier jaar geleden."
Het telecombedrijf zegt geen aanwijzingen te hebben dat de productie-omgeving van de certificaten is gecompromitteerd, maar zegt het ook nog niet volledig uit te kunnen sluiten. Het onderzoek moet hier meer uitsluitsel over geven. Reeds uitgegeven certificaten, waaronder de recent uitgegeven certificaten voor DigiD na het DigiNotar-debacel, blijven vooralsnog geldig. KPN heeft naar eigen zeggen enkele honderden certificaten uitgegeven. Bedrijven die een certificaat hadden aangevraagd, worden over de ontwikkelingen geïnformeerd.
Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en overheidsautomatiseerder Logius zijn nauw betrokken bij het onderzoek, dat de komende dagen zal worden uitgevoerd. De uitkomsten van het onderzoek worden in de eerste helft van volgende week verwacht.
Eerder ontstond veel ophef toen bleek dat aanvallers er via het Beverwijkse bedrijf DigiNotar in waren geslaagd valse certificaten uit te geven. Een Iraanse hacker kraakte dit jaar de Nederlandse ssl-autoriteit DigiNotar en wist daardoor honderden vervalste certificaten aan te maken. De kritiek op het handelen van DigiNotar was groot en het bedrijf ging uiteindelijk failliet.
Securitybedrijven pleiten als reactie op de problemen voor beveiligingsstandaarden. Verder denkt het Nederlandse parlement na over de oprichting van een zogeheten 'ict-brandweer'.
Reacties (44)
Dit was absoluut een kwestie van tijd! Zo op het oog lijkt het in orde, maar de gang van zaken bij KPN is in een aantal gevallen ronduit bizar te noemen! Volledig geautomatiseerde leverstraten die uit komen bij een rij aan bureau's met daarachter mensen die de order allemaal op een andere manier beoordelen is daar een voorbeeld van.
Ik doelde in dit geval op de KPN Experiabox en de Verimatrix op tenminste het IPTV basispakket bij ADSL en glasvezel.Integendeel, het dichttimmeren van de diensten bewijst juist dat de netwerken NIET goed op orde zijn. Waarom zou je alles dichttimmeren wanneer je eigen netwerk tiptop in orde is en derden niet naar binnen hoeven te komen vanuit zwakke plekken van het netwerk?
KPN timmert alles dicht omdat het een consumentonvriendelijk bedrijf is. Als alles statisch wordt dichtgetimmert en alleen op de KPN manier met KPN apparatuur te gebruiken is denkt KPN daarmee meer winst te kunnen maken (scheelt zogenaamde support calls). Dit is onzin natuurlijk en niet meer van deze tijd.
[Reactie gewijzigd door Alexander01 op vrijdag 4 november 2011 18:49]
De kwaliteit en veveiliging van het netwerk staat overigens los van de inbraak die in dit bericht beschreven wordt. Het dicht timmeren van routers zou deze hack nooit tegen gehouden hebben.
edit: je heb je bericht al aangepast zie ik net
[Reactie gewijzigd door Carino op vrijdag 4 november 2011 19:14]
In tegendeel. Dat is tweakeronvriendelijk, maar de gemiddelde consument vindt 't prachtig want het werkt gewoon.[...]
KPN timmert alles dicht omdat het een consumentonvriendelijk bedrijf is.
Minder support calls == minder kosten == lagere prijs voor de consument.Als alles statisch wordt dichtgetimmert en alleen op de KPN manier met KPN apparatuur te gebruiken is denkt KPN daarmee meer winst te kunnen maken (scheelt zogenaamde support calls). Dit is onzin natuurlijk en niet meer van deze tijd.
Sorry, maar zo werkt het. Ik vind 't ook irritant (en daarom gebruik ik geen experiabox en heb ik geen IPB of IPTV, maar een normale Thomson met een Juniper router) maar ik snap wel waarom ze 't doen.
Verder moet je je afvragen of dat die toename in support calls nog wel van deze tijd is. Kijk bijvoorbeeld naar de WGDO glasvezelnetwerken van Reggefiber. Die hebben al dit soort dingen echt 10x beter geregeld (transparanter en opener) zonder dat het voor de gemiddelde consument ook maar een haar moeilijker wordt.
Ik durf te wedden dat zij niet meer support calls hebben dan KPN. Ik denk zelfs minder omdat zij het technisch veel beter aanpakken en er dus minder problemen kunnen ontstaan. Bijvoorbeeld omdat ze dus geen PPPoE encapsulation gebruiken + omdat ze geen eigen router meeleveren (en daar dus geen verantwoordelijkheid voor hebben) + omdat ze de multicast feeds bij IPTV 1-op-1 van de Mediagateway doorzetten (maakt de kans op problemen ook kleiner dan dat je er zelf nog aan gaat prutsen).
[Reactie gewijzigd door Alexander01 op zaterdag 5 november 2011 00:24]
't Is ook bijzonder klant onvriendelijk, dus zit je uiteindelijk de meest vage constructies te supporten, met dus veel overhead.
[Reactie gewijzigd door Alexander01 op zaterdag 5 november 2011 17:36]
KPN probeert dat alles-in-één te leveren omdat dat enerzijds vertrouwen uitstraalt naar de consumenten die er iets minder van begrijpen. Voor hen is er dan één aanspreekpunt en dat is KPN, als er iets mis is, weet je waar je moet gaan klagen en kunnen ze je niet zo makkelijk met een kluitje in het riet sturen. En anderzijds probeer je de klachten die je zo binnenkrijgt te vergemakkelijken: de minder geavanceerde gebruiker heeft een uniforme omgeving, een beetje zoals Apple hun zaakjes aanpakt, eigenlijk. Bied het totaalpakket aan, het aantal variabelen is dan sterk gereduceerd en dus ook de kans op problemen (of dat is toch de theorie).
Je maakt het er als netwerkoperator zelf naar. Als je je Techniek goed voor elkaar hebt en alles transparant en open geregeld is en ook alles aan de voorgeschreven standaarden voldoet, dan hoort elk 3rd party apparaat gewoon probleemloos te werken.
En natuurlijk moet je geen dingen als draadloze verbindingssets gaan faciliteren (of ondersteunen) zoals KPN doet. Want dan roep je die support calls dus ook gewoon echt zelf op je af. Van dit soort oplossingen kan nooit gegarandeerd worden dat ze bij iedereen goed werken.
[Reactie gewijzigd door Alexander01 op zondag 6 november 2011 02:15]
Verdiep je eens in de geleverde kwaliteit, openheid en transparantie van KPN's glasvezeldiensten en producten voor consumenten. Dan snap je wat ik bedoel.Constumentonvriendelijk? Wat ben jij voor clown?
de ervaring met hun leert dat je dan verder van huis bent
Overigens dat een webserver gecompromitteerd is, wil vaak nog niks zeggen over allerlei gerelateerde systemen. (Dit maakt het ook weer logisch dat de server niet vervangen is in de tussentijd. Van een webservertje, die alleen maar de HTML serveert, wordt doorgaans niet zo veel gevraagd, dus dan kun je ook wel met een ouder bakkie toe. Wel software updaten natuurlijk!)
Een webserver is vaak puur een interface met buiten. De omgeving die daadwerkelijk certificaten uitgeeft, zoals de applicatieservers en databaseservers zijn vaak weer op veel manieren geisoleerd, met bijvoorbeeld ook weer eigen netwerken, eigen firewalls, eigen wachtwoorden, etc.
Tenminste, als je een klein beetje je beveiliging serieus neemt, en niet alles op zijn Diginotar aanpakt.
[Reactie gewijzigd door Keypunchie op vrijdag 4 november 2011 17:45]
Een goede sysadmin zorgt er dan ook voor dat logs niet op de server zelf bewaard worden, maar centraal. Dat maakt het analyseren van de logs en het correleren van data ook stukken makkelijker. Daarnaast kan je logs die op een potentieel gecompromitteerde server absoluut niet vertrouwen.Vier jaar lang logs bewaren. Dat is vrij opmerkelijk. Helemaal als je nagaat dat een niet ongebruikelijke afschrijftermijn voor de hardware zelf 3 jaar is.
Verder vind ik het een nette reactie van KPN.
Inderdaad. Ik denk ook niet dat 't uit logs kwam maar dat ze sporen hebben gevonden met timestamps eraan.Vier jaar lang logs bewaren. Dat is vrij opmerkelijk.
De belastingdienst wil graag dat we vijf jaar met computers doen. Voor sommige situaties onrealistisch maar in dit geval denk ik 't niet.Helemaal als je nagaat dat een niet ongebruikelijke afschrijftermijn voor de hardware zelf 3 jaar is.
https://secure.security.n...ehackte_servers_stil.html
Beetje raar dat dat 4 jaar onopgemerkt is gebleven, maar misschien dat er nu pas een dusdanig grondige audit is gedaan. Of dat dit log hiervoor nooit automatisch werd gescand en een beheerder nu toevallig iets zag.
Dit geeft wel aan dat ze serieus bezig zijn met hun beveiliging.
Vraag me dan toch ook af of ze niet iets van IDS ofzo hebben, lijkt me wel zo handig.
Een ddos is vervelend maar geen reden tot paniek, gehackte servers en valse certificaten wel. Een beetje router gaat niet kapot door een ddos dus zie de paniek niet echt.
4 jaar, 4 JAAR, hoe kan je jezelf als isp nog serieus nemen als je pas na 4 jaar ontdekt dat er iets mis is met een systeem. Als je regelmatig server goed onderhoud geeft controleer je toch ook altijd de logfiles en zoek je naar sporen van inbraak?"Tijdens zo’n onderzoek zijn in de server van de website waar bedrijven terecht kunnen voor informatie over certificaten, sporen zijn ontdekt die zouden kunnen duiden op misbruik, vier jaar geleden."
Doet mij denken aan een sysadmin zo'n 10 jaar geleden die wist dat zijn server gehacked was maar dat niet erg vond want de hacker hield het systeem up2date.
Toch goed dat er nu goede security-audits gebeuren en dat ze hun systemen eindelijk opschonen.
Wel, de meeste haxx0rers proberen zichzelf te verstoppen en als een machine niets vreemds lijkt te doen is 't soms verdomd lastig om erachter te komen...[...]
4 jaar, 4 JAAR, hoe kan je jezelf als isp nog serieus nemen als je pas na 4 jaar ontdekt dat er iets mis is met een systeem. Als je regelmatig server goed onderhoud geeft controleer je toch ook altijd de logfiles en zoek je naar sporen van inbraak?
Na het gedoe met Diginotar ligt dat heel anders. Elke certificatenboer (en ik hoop ook de niet-certificatenboeren) zijn heel hard wakker geschud en zijn min of meer verplicht om hun ICT tot op de onderste lagen door te lichten. En KPN doet dat nu, heeft een probleem ontdekt (waarvan nog niet eens vaststaat dat het impact heeft over de betrouwbaarheid van certificaten) en communiceert daar luid en duidelijk over. Waarvoor hulde.
Wat ik eigenlijk het meest zorgelijke vind is dat bedrijven blijkbaar hun eigen ICT aan het onderzoeken zijn volgens zelf bedachte standaarden. En niet volgens een onafhankelijk internationaal verplicht audit-traject. Dus elke certificatenboer keurt zijn eigen vlees en je mag hopen dat over problemen eerlijk gecommuniceerd wordt.
Diginotar was slechts een waarschuwingsschot. Het is wachten op de eerste echte ramp.
'Waarschuwingsschot' voor wie precies?
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Android Tablets Samsung Websites en communities Mobiele telefoons Google Microsoft Sony Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
