Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 44 reacties, 29.278 views •

KPN heeft vrijdag in allerijl besloten de uitgifte van certificaten te staken nadat duidelijk werd dat een van de webservers van het voormalige Getronics mogelijk misbruikt was. Volgens KPN is de server geprepareerd voor een ddos-aanval.

KPN heeft een externe partij opdracht gegeven de logfiles van de server verder te analyseren. De mogelijk gecompromitteerde webserver is inmiddels vervangen. Volgens KPN heeft het bedrijf tijdens een controle sporen gevonden dat de server mogelijk is geprepareerd voor een ddos-aanval. Het is niet bekend of die aanval daadwerkelijk is uitgevoerd via de server van het bedrijf.

De sporen werden ontdekt tijdens een onderzoek. "In het licht van de recente ontwikkelingen rondom de veiligheid van websites, digitale loketten en internetcertificaten zijn door KPN en door externe partijen extra onderzoeken verricht, waarbij op een steeds dieper niveau is geanalyseerd", aldus KPN in een vrijdagmiddag uitgegeven verklaring. "Tijdens zo’n onderzoek zijn in de server van de website waar bedrijven terecht kunnen voor informatie over certificaten, sporen ontdekt die zouden kunnen duiden op misbruik, vier jaar geleden."

Het telecombedrijf zegt geen aanwijzingen te hebben dat de productie-omgeving van de certificaten is gecompromitteerd, maar zegt het ook nog niet volledig uit te kunnen sluiten. Het onderzoek moet hier meer uitsluitsel over geven. Reeds uitgegeven certificaten, waaronder de recent uitgegeven certificaten voor DigiD na het DigiNotar-debacel, blijven vooralsnog geldig. KPN heeft naar eigen zeggen enkele honderden certificaten uitgegeven. Bedrijven die een certificaat hadden aangevraagd, worden over de ontwikkelingen geïnformeerd.

Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en overheidsautomatiseerder Logius zijn nauw betrokken bij het onderzoek, dat de komende dagen zal worden uitgevoerd. De uitkomsten van het onderzoek worden in de eerste helft van volgende week verwacht.

Eerder ontstond veel ophef toen bleek dat aanvallers er via het Beverwijkse bedrijf DigiNotar in waren geslaagd valse certificaten uit te geven. Een Iraanse hacker kraakte dit jaar de Nederlandse ssl-autoriteit DigiNotar en wist daardoor honderden vervalste certificaten aan te maken. De kritiek op het handelen van DigiNotar was groot en het bedrijf ging uiteindelijk failliet.

Securitybedrijven pleiten als reactie op de problemen voor beveiligingsstandaarden. Verder denkt het Nederlandse parlement na over de oprichting van een zogeheten 'ict-brandweer'.

Reacties (44)

Reactiefilter:-144040+121+25+30
Moderatie-faq Wijzig weergave
Dit zegt meer over de toenmalige kwaliteit van Getronics (nog net geen vier jaar geleden door KPN overgenomen) dan over KPN. Als je niet weet waar je naar moet zoeken, ga je het ook niet vinden.

Na het gedoe met Diginotar ligt dat heel anders. Elke certificatenboer (en ik hoop ook de niet-certificatenboeren) zijn heel hard wakker geschud en zijn min of meer verplicht om hun ICT tot op de onderste lagen door te lichten. En KPN doet dat nu, heeft een probleem ontdekt (waarvan nog niet eens vaststaat dat het impact heeft over de betrouwbaarheid van certificaten) en communiceert daar luid en duidelijk over. Waarvoor hulde.

Wat ik eigenlijk het meest zorgelijke vind is dat bedrijven blijkbaar hun eigen ICT aan het onderzoeken zijn volgens zelf bedachte standaarden. En niet volgens een onafhankelijk internationaal verplicht audit-traject. Dus elke certificatenboer keurt zijn eigen vlees en je mag hopen dat over problemen eerlijk gecommuniceerd wordt.

Diginotar was slechts een waarschuwingsschot. Het is wachten op de eerste echte ramp.
Er waren aanwijzingen dat in het middenoosten mensen zijn gedood als gevolg van communicatie die niet die meer secure was.

'Waarschuwingsschot' voor wie precies?
Het zou ook nog het voormalige Gemnet kunnen zijn ipv Getronics. Gemnet geeft ook certificaten uit. Is ongeveer vier jaar geleden overgenomen van de Vereniging Nederlandse Gemeentes.
Vier jaar lang logs bewaren. Dat is vrij opmerkelijk. Helemaal als je nagaat dat een niet ongebruikelijke afschrijftermijn voor de hardware zelf 3 jaar is.

Overigens dat een webserver gecompromitteerd is, wil vaak nog niks zeggen over allerlei gerelateerde systemen. (Dit maakt het ook weer logisch dat de server niet vervangen is in de tussentijd. Van een webservertje, die alleen maar de HTML serveert, wordt doorgaans niet zo veel gevraagd, dus dan kun je ook wel met een ouder bakkie toe. Wel software updaten natuurlijk!)

Een webserver is vaak puur een interface met buiten. De omgeving die daadwerkelijk certificaten uitgeeft, zoals de applicatieservers en databaseservers zijn vaak weer op veel manieren geisoleerd, met bijvoorbeeld ook weer eigen netwerken, eigen firewalls, eigen wachtwoorden, etc.

Tenminste, als je een klein beetje je beveiliging serieus neemt, en niet alles op zijn Diginotar aanpakt.

[Reactie gewijzigd door Keypunchie op 4 november 2011 17:45]

Vier jaar lang logs bewaren. Dat is vrij opmerkelijk. Helemaal als je nagaat dat een niet ongebruikelijke afschrijftermijn voor de hardware zelf 3 jaar is.
Een goede sysadmin zorgt er dan ook voor dat logs niet op de server zelf bewaard worden, maar centraal. Dat maakt het analyseren van de logs en het correleren van data ook stukken makkelijker. Daarnaast kan je logs die op een potentieel gecompromitteerde server absoluut niet vertrouwen.

Verder vind ik het een nette reactie van KPN.
Vier jaar lang logs bewaren. Dat is vrij opmerkelijk.
Inderdaad. Ik denk ook niet dat 't uit logs kwam maar dat ze sporen hebben gevonden met timestamps eraan.
Helemaal als je nagaat dat een niet ongebruikelijke afschrijftermijn voor de hardware zelf 3 jaar is.
De belastingdienst wil graag dat we vijf jaar met computers doen. Voor sommige situaties onrealistisch maar in dit geval denk ik 't niet.
Een tijdje terug gingen er al wat geluiden over een sysadmin die een gehackte machine onder de pet moest houden van hogerhand. Geen idee wat er van waar is, maar omdat er hier gesproken wordt over een langdurige hack, zou het best eens kunnen.
https://secure.security.n...ehackte_servers_stil.html
4 jaar geleden, lekker op tijd ook. Goed dat ze het uiteindelijk gevodnen hebben.

Vraag me dan toch ook af of ze niet iets van IDS ofzo hebben, lijkt me wel zo handig.
Dat zit meestal in de router, en verder kan je tegen ddos niet zoveel doen; je router beschermt je achterliggende servers maar je link raakt toch vol zodat normale gebruikers toch geen service meer hebben. Je kan niet be´nvloeden wat en hoeveel data ddosers naar je sturen.

Een ddos is vervelend maar geen reden tot paniek, gehackte servers en valse certificaten wel. Een beetje router gaat niet kapot door een ddos dus zie de paniek niet echt.
De server zelf is niet geddost, maar zo geprepareerd dat hij kan bijdragen aan een DDOS-aanval.
"Tijdens zo’n onderzoek zijn in de server van de website waar bedrijven terecht kunnen voor informatie over certificaten, sporen zijn ontdekt die zouden kunnen duiden op misbruik, vier jaar geleden."
4 jaar, 4 JAAR, hoe kan je jezelf als isp nog serieus nemen als je pas na 4 jaar ontdekt dat er iets mis is met een systeem. Als je regelmatig server goed onderhoud geeft controleer je toch ook altijd de logfiles en zoek je naar sporen van inbraak?

Doet mij denken aan een sysadmin zo'n 10 jaar geleden die wist dat zijn server gehacked was maar dat niet erg vond want de hacker hield het systeem up2date.

Toch goed dat er nu goede security-audits gebeuren en dat ze hun systemen eindelijk opschonen.
[...]


4 jaar, 4 JAAR, hoe kan je jezelf als isp nog serieus nemen als je pas na 4 jaar ontdekt dat er iets mis is met een systeem. Als je regelmatig server goed onderhoud geeft controleer je toch ook altijd de logfiles en zoek je naar sporen van inbraak?
Wel, de meeste haxx0rers proberen zichzelf te verstoppen en als een machine niets vreemds lijkt te doen is 't soms verdomd lastig om erachter te komen...
Wel goed om te lezen dat kpn bezig is om alles door te lichten op het gebied van beveiligings issues en dat ze steeds dieper "graven".

Dit geeft wel aan dat ze serieus bezig zijn met hun beveiliging.
Getronics is altijd al zo'n verschrikkelijke faal geweest dat KPN ongetwijfeld nog een hele hoop meer problemen gaat tegenkomen of allang gevonden heeft in hun systemen.

Er zou ook eerst sprake van zijn geweest dat KPN zijn naam zou gaan veranderen naar Getronics, maar uiteindelijk is toch besloten dit niet te doen, omdat het merk Getronics niet zo betrouwbaar bleek als het merk KPN. Vond het nogal vreemd dat hier onderzoek voor nodig was, want iedereen wist dat eigenlijk wel :')
Inderdaad, denk dat kpn wel spijt krijgt van het overnemen van getronics. Zou me niks verbazen als ze het werk afstoten. Kpn is immers hoofdzakelijk een telecom bedrijf, en geen hardware boer.
ik begrijp de zin:Volgens KPN is de server geprepareerd voor een ddos-aanval. niet helemaal. Is deze server gehacked en wilde ze er een DDOS mee uitvoeren of is er op de server een DDOS uitgevoerd of is er indicatie geweest dat er een DDOS op de server uitgevoerd ging worden.
Dat eerste. Blijkbaar is iemand door een scan van de logs iets opgevallen wat nu herkend wordt als entries van bvb. malware.

Beetje raar dat dat 4 jaar onopgemerkt is gebleven, maar misschien dat er nu pas een dusdanig grondige audit is gedaan. Of dat dit log hiervoor nooit automatisch werd gescand en een beheerder nu toevallig iets zag.
hahahaha, hier kan ik dus echt van in een deuk liggen.. juist omdat het dus voor eind juni volgend jaar alle certificaten van diginotar die voor de belastingdienst gebruikt worden dus vervangen diende te worden door die van KPN/G, maar nu staan die certificaten dus ook al ter discussie.. Dat wordt weer dikke lol...
Dat doen ze uit voorzorg ;-)! Wees blij het was pas echt erg geweest als dit NIET gebeurt was en hier GEEN actie was op uit gezet
als de externe partij maar geen mindtree is....
de ervaring met hun leert dat je dan verder van huis bent
Hahahaha Mindtree... O+
Beter laat dan nooit :)

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True