Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 95, views: 51.604 •

De hackers die inbraken bij KPN, hebben mogelijk ook ingebroken op een of meer core-routers. Daardoor was het in theorie mogelijk om internetverkeer van KPN-klanten te onderscheppen, maar de aanvallers zouden dat niet hebben gedaan.

KPNDat zegt een bron rond de hackers die systemen van KPN hebben gekraakt tegenover Tweakers.net. De hackers zouden middels een exploit zijn binnengedrongen op een core-router van KPN die wordt gebruikt om het dataverkeer van klanten te routeren. Mogelijk ging het om een zero day: een exploit die nog niet bekend was.

De router van het merk Juniper draaide als besturingssysteem Junos 10.4 R5.5; een verouderde versie van Junos, dat tijdens de hack al op versie 10.4 R8 was aanbeland. Mogelijk was de gekraakte router niet de enige node die kwetsbaar was, zo denkt een andere bron, die bekend is met de materie.

Voor zover bekend is er geen internetverkeer van KPN-klanten onderschept; dat was in theorie echter mogelijk geweest. Wel is de gehackte router gebruikt om verder in het KPN-netwerk binnen te dringen; mogelijk is daarvoor een recent ontdekte kwetsbaarheid misbruikt die het mogelijk maakt om in Junos tcp-verkeer via een ssh-tunnel door te sluizen. Normaliter zou dat op een router in een dergelijke positie niet mogelijk moeten zijn.

Woordvoerster Simona Petescu van KPN wil de beweringen van de bron bevestigen noch ontkennen. "Wij zijn nog volop bezig met het onderzoek naar de hack, dus hier kunnen we niets over zeggen." KPN maakte de hack op zijn systemen donderdag bekend. Tot nu toe was echter nog niet bekend dat er mogelijk ook core-routers gehackt zijn: het bedrijf spreekt enkel over gehackte servers met klantgegevens.

Opvallend is dat op de dag dat KPN de hack bekendmaakte, afgelopen woensdag, een software-update van Junos 10.4 verscheen. Het is niet ongebruikelijk dat de dag dat een hack wordt geopenbaard wordt afgestemd met de leverancier van de software. Of dit echt zo is, is echter onduidelijk.

Volgens de bron, die anoniem wil blijven, is ook geprobeerd om de computer onder te brengen in een botnet. Eerder bleek uit onderzoek van Nu.nl al dat de gehackte server met klantgegevens van KPN verouderde software bevatte en mogelijk ook toegang gaf tot een dns-server. Volgens KPN is er bij de hack geen klantinformatie ontfutseld, maar een bron van Nu.nl beweert 16GB aan informatie te hebben gedownload. Die zou inmiddels weer zijn verwijderd. Wel bevestigde KPN dat InternetPlus Bellen door de hack problemen op had kunnen lopen; dan zouden mensen bijvoorbeeld geen 112 kunnen bellen.

Het is onduidelijk wie er precies achter de aanval zit. Beveiligingsonderzoeker Rickey Gevers stelt aanwijzingen te hebben dat leden van het los-vaste verband Anonymous achter de aanval zitten. KPN werkt samen met onder meer de politie en het Cyber Security Centrum om de hackers te vinden.

Gerelateerde content

Alle gerelateerde content (22)

Reacties (95)

Voor mijn beeldvorming; Heeft iemand een idee hoeveel mensen er kennis hebben van de architectuur en apparatuur van het kpn-netwerk? Oftewel; hoeveel mensen kunnen dit nou?

[Reactie gewijzigd door db024 op 10 februari 2012 15:20]

Alle technische mensen. Maar zo erg bijzonder zijn die architecturen en apparatuur niet hoor. Dat is bij veel providers hetzelfde en als je eenmaal binnen zit is het niet zo moeilijk voor een goede hacker om veel informatie over het netwerk te achterhalen.
Alle technische mensen?
Dat lijkt me ook erg optimistisch.
Wellicht dat de storingen in het netwerk bij diverse providers de afgelopentijd, is ontstaan door deze hack. Wie zal het zeggen?

De oorzaak van de storingen op gebied van internetbankieren worden ook verdacht stil gehouden. ik heb een donker bruin vermoeden dat niet alleen kpn te maken heeft gehad met hack pogingen.

Ligt het aan mij of wordt er de afgelopen tijd wel erg veel gehacked overal?
Ik denk dat er aardig wat mensen hebben rondgelopen, door de jaren heen, in die grote server omgeving ...
Tja, dan ligt de kennis van de server- en netwerkomgeving wel vrij gemakkelijk letterlijk "op straat" ...
En als het dan nauwelijks wordt geupdate, zoals op webwereld.nl wordt gemeld, en logins en wachtwoorden ook wat aan de "simpele" kant zijn, en misschien niet al te vaak veranderen ... dan maak je het hackers wel erg gemakkelijk.
Jaren niet geupdate, stond er op webwereld ... na ja, met 100 man 24 uur rond de klok, kun je in een meerdere dagen aardig wat patches en updates "inhalen" ... :+
db024 , En vrijwel iedereen met technische kennis en op één of andere manier toegang kan krijgen tot het interne netwerk is instaat dergelijke hacks daar uit te voeren. (zoals te lezen is in de reactie van de hackers, ongepatchte systemen. wat suggereert dat er updates voor beschikbaar zijn.)

KPN besteed zelf echter geen of (te) weinig aandacht aan de interne beveiliging van het netwerk.

KPN zal haar beheer op de beveiliging natuurlijk moeten verbeteren maar ik denk dat er op meerder fronten als alleen de IT winst te behalen valt.

edit: nuance aangebracht.

[Reactie gewijzigd door herbalx op 10 februari 2012 20:39]

Met een beetje cisco en andere netwerk achtergrond kom je al een heel eind ;)
Met een beetje cisco en andere netwerk achtergrond kom je al een heel eind ;)
...en gelijk 2x zo duur uit. Waardoor de concurrentie voordeel krijgt.
Oftewel: dit alles is een symptoon van vrije marktwerking te noemen.
Lijkt me meer een symptoom van op kwaliteit besparen.
Vrije marktwerking is imo meer dat producenten hun producten proberen beter en/of goedkoper te maken dan die van de concurrent. (dus minder kwaliteit is in de meeste gevallen gewoon een te klein budget volgens deze redenering)
Cisco is geen synoniem voor 'beter' of 'stoerder'.
ik bedoelde natuurlijk alle technische mensen die bij providers hebben gewerkt :P en zowiezo bij kpn hebben gewerkt ;).
Educated guess: iets van 100 a 200; de omgeving, als het degene is die ik denk, bestaat een jaar of 10 en met een gokje over het verloop en hoeveel mensen de infrastructuur en de apparaten goed genoeg kennen op een willekeurig moment kom je ongeveer op dat getal.
Als je junipers experts van buiten erbij pakt loopt het aantal enorm op. Die hoeven alleen maar de core router op te komen om inzicht te krijgen in de rest.

Maar ik ben al een flink aantal jaren daar weg en heb me nooit actief tegen die junipers aanbemoeid dus ik kan de verkeerde omgeving in gedachten hebben en er gewoon flink naastzitten.

Dus je hebt er helemaal niets aan. :)
Ik vind het eerder apart dat zodra er een hack wordt uitgevoerd, altijd anonymous wordt aangewezen.
Zover ik begreep willen hun met hun daden iets duidelijk maken. Zij zouden nooit gegevens publiceren en wat willen ze mogelijk duidelijk maken met deze aanval?

Ik denk dat het erg makkelijk is om Anonymous de schuld te geven.

Echter schrok ik wel toen ik die 300+ gegevens op pastebin voorbij zag komen!
Dit is wel een flinke domper voor KPN, de core routers compromised en klantgegevens gedownload in een week tijd. Ik ben benieuwd hoe KPN dit onder controle gaat krijgen!

[Reactie gewijzigd door RobTweaks op 10 februari 2012 15:26]

Er staat Juniper in het artikel... Meerdere malen.
Ik denk dat ze Huawei gebruiken.
Ik denk dat ze Huawei gebruiken.
waren dat niet de DSLAM's ?
Lees het bericht: Ze gebruiken Juniper routers. I.i.g. degene die gehackt is/was.

Ook enigzins slecht dat KPN niet op het nieuwste OS zat/zit voor die routers. Is waarschijnlijk wel een reden voor, en daar het mogelijk een zero-day is had het toch niet veel uitgemaakt, maar toch.
KPN is wel vaker laat met updates... ik denk dat kpn niet zo gelooft in updates... mobiele telefoons met KPN software en lock duren ook een eeuwigheid voordat de KPN branded updates komen.

Ik snap niet dat bedrijven waar wij miljarden euro's naar toe brengen zo'n oude troep gebruiken om onze data te beschermen! dat kan toch niet! waarom pikken we dit nog?
De data werd uberhaupt niet beschermd lijkt mij. Of niet goed beschermd, want het is blijkbaar doodsimpel om de wachtwoorden uit te lezen (zie andere post over webmail). Ik zou toch verwachten dat er op z'n minst Blowfish (dat is dus met salt) gebruikt wordt voor encryptie, zodat je niet gelijk alle webmail kan openen (wat nu dus blijkbaar wel kan). Daarnaast hoop ik dat KPN binnenkort de waarheid durft te vertellen, want mijn inziens willen ze nog steeds claimen dat er geen data buitgemaakt is ;-).

[Reactie gewijzigd door Xirt op 10 februari 2012 17:07]

Een update van een mobiele telefoon van 500 euro, of een update van een JUNOS apparaat van waarschijnlijk meer dan een ton, je denkt toch niet dat dezelfde mensen hierover beslissen?!

Oude troep? Weet je wat zo´n JuNOS router(tje) kost? Een EX820x (is eigenlijk een switch) zit over de 60.000 euro, als je de M series wilt hebben praat je al over dat soort bedragen in de kleinere klassen. Die schrijf je niet binnen 3 jaar af, en die wil je zeker niet elke 3 maanden (update cycles van JuNOS) van nieuwe software voorzien.
Blijkbaar wil je die updates wel, schade is nu wel wat groter dan 60k
Nee, blijkbaar wil je die niet. Dacht je echt dat niemand bij KPN ooit heeft voorgerekend wat deze ellende zo ongeveer kost versus de vaste kosten voor upgrades?

Nuf said
En welke status dichten jullie Ricky gevers toe?
Het is onduidelijk wie er precies achter de aanval zit. Beveiligingsonderzoeker Rickey Gevers stelt aanwijzingen te hebben dat leden van het losvaste verband Anonymous achter de aanval zitten.
Zucht, daar gaan we weer...

Hebben ze net zulk goed bewijs als met de PSN hack dat het anon was?
Op een van de servers van de MMORPG-dienst Sony Online Entertainment ontdekten de beveiligingsspecialisten die Sony inhuurde een bestand met de naam Anonymous, en binnenin de strijdkreet ‘We Are Legion’.
ja dus...
Enfin, ik kan met de hints het bewijs niet sluitend krijgen en dit is dus puur suggestief. Ik moet er wel bij opmerken dat het zeer aparte details zijn om te geven voor iemand die er compleet niets mee te maken heeft, en mijn instinct zegt dan dus ook dat men hier wel degelijk mee te maken moet hebben.
Hoera voor gedegen journalistiek onderzoek waar je gefundeerde conclusies aan kan verbinden!

[Reactie gewijzigd door Jumparound op 10 februari 2012 15:23]

Natuurlijk wel weer heerlijke stemmingmakerij om Anonymous erbij te halen. Je kan wel mooi stellen dat een aantal mensen binnen 'Anonymous' een geintje hebben uitgehaald, maar is dat reden genoeg om heel Anonymous er gelijk weer even bij te halen?

Ik heb soms het idee dat er gauw 'Anonymous' wordt geroepen om even populair in het nieuws te kunnen komen en een zondebok aan te kunnen wijzen voor zinloze hacks. Immers, iedereen kan zich Anonymous noemen en er net zo snel weer uit stappen, dus het is makkelijk genoeg om te zeggen: "Anonymous did it!", waarmee je eigenlijk zegt dat niemand het heeft gedaan.
Een mooie gelegenheid voor Anonymous om zich bekend te maken om zo elke twijfel in de toekomst weg te nemen of iets wel of niet door ze gedaan is. Zolang ze anoniem blijven kunnen ze overal de schuld van gegeven worden, dat is de consequentie van hun keuze anoniem te zijn.
en ook in lijn met de denkwijze van anon.

Er is in feite geen anon :-)
het is niets meer dan een los vast verband van gelijkgestemde mensen, meelopers en wannabees.
Wie zegt dat Anonymous niet door de CIA zelf is bedacht om een cover te hebben om onder te kunnen opereren? Hoe meer mensen er mee doen hoe beter.

Anonymous doet mij erg denken aan als de man met de baard. De VS scheppen dit soort volksvijanden om publieke support voor hun eigen operaties te krijgen. Avontuurlijke lieden die denken de "vijand" te denken bestrijden doen mee en zo hebben ze als het moet wat slachtoffers om op te pakken en aan het publiek te tonen.

John Le Carré een bekende schrijver van spionage romans en vertrouwd met het wereldje gaf als advies aan would be spionnen: Doe het alleen voor het geld, want je weet nooit voor wiens belang je werkt.

Als ik oprechte hacker was zou ik nu toch heel voorzichtig worden want het hacken is nu echt een zaak geworden van criminelen en spionagediensten en daar wil je niet meer tussen lopen.

Er zijn de laatste tijd opvallend veel meldingen en ik krijg het idee dat er inderdaad een nieuwe terrein van oorlogsvoering is ontstaan. De VS? hebben de Iraanse kerncentrales aangevallen en de Iraniers hebben terug geslagen door certificaten te saboteren en dat is alleen maar het topje van de ijsberg waar wij weet van hebben. Ongetwijfeld wordt er tussen Rusland, China en de VS ook een oorlogje uitgevochten. En wie krijgen de schuld? "de hackers"

Het zou me niets verbazen dat na "de terroristen" nu "de hackers" tot nieuwe ideologische staatsvijand worden uitgeroepen. Het feit dat ze in het verborgene opereren maakt ze uiterst geschikt en kwetsbaar. Je kan ze letterlijk alles in de schoenen schuiven. (aanvallen op kerncentrales?) Ze kunnen zich niet verdedigen en je kan ze voorstellen als het grote gevaar. De ideale vijand dus.

Net zoals de Amerikanen zelf Al Queda opgericht hebben door geloofsfanatici te ronselen in het Midden Oosten en daarna de Taliban door jongeren in vluchtelingen kampen klaar te stomen als Koran geleerde, zou het me verbazen als ze niet een zelfde programma voor hackers hebben opgezet.

Dat is alleen maar logisch want voor geheime diensten zijn hackers een gevaar omdat ze geheime gegevens kunnen verzamelen. Nu zullen mensen zeggen, ja maar dat doen ze toch niet? Maar zo wordt niet met risico's omgegaan. De Amerikanen en anderen hanteren de principes die mooi in de Tsun Tsu zijn beschreven: Ga nooit uit van de kans dat je tegenstander iets zal doen, maar ga er altijd van uit dat hij het zal doen. Of zoals de Amerikanen zeggen: Wij gaan niet uit van possibilities (kansen )maar capabilities (vermogen).

Hackers hebben het vermogen om systemen binnen te dringen en informatie te stelen en dus zijn ze een vijand waartegen men zich te weer zal stellen. En hoe doen ze dat? Nou door ze voor zich te laten werken. Laat ze voor jou inbreken en later kan je ze weer chanteren en voor je laten werken.

Hacken? Ik zou er maar lekker buiten blijven.

Duizend keer interessanter en effectiever is wat wikileaks deed. Vrije nieuwsgaring. Legaal en duizend keer effectiever dan al dat gehack bij elkaar dat uiteindelijk alleen maar helpt om informatie geheim te houden voor het publiek. Daarom zitten ze achter mensen als Rop Gonggrijp aan, niet vanwege zijn hacker verleden, maar zijn medewerking aan deze video

[Reactie gewijzigd door Magalaan op 10 februari 2012 19:10]

Ach ja dat heb je overall... Elke hooligan is voetbal supporter maar niet elke voetbal supporter is hooligan. Maar om een punt te maken is het makkelijker om te generaliseren. Wanneer ik dus op 1 of andere reden in het nieuws zo komen ben ik een hooligan.

Zelfde gaat in dit verhaal op... Helaas houd de media van dit soort mode woordjes
Elke hooligan is voetbal supporter...
Een hooligan mag je van mij nimmer een voetbalsupporter noemen.
Een hooligan is gewoon een zware crimineel. Een betere titel verdienen ze niet.
Ik begin bij het "Anonymous did it" gelijk aan de oude Terence Hill film My Name is Nobody te denken http://www.imdb.com/title/tt0070215/

Nobody flikt een kunstje: "who did it?" "Nobody did"
offtopic:
Het genoemde "trucje" zat al in de odyssee 2000 jaar gelden. om dat nou met deze film te verbinden
Hoppa, KPN aanklagen wegens nalachtigheid. Beetje code rood afgeven en aangifte doen wegen hacken... . Knuppels. Het is dus andersom. Stel dat dit een vijandige overheid/bewind geweest zou zijn... .

Hoewel er toch aardig wat talent wordt ingehuurd bij KPN zitten er dus blijkbaar toch fouten in procedures. Laat het ook een wake-up call zijn voor de andere telecombedrijven. Het lijkt me sterk dat KPN de enige is.
Zou nog best kunnen ook dat het een vijandige overheid of iets was. Namelijk de gehele Nederlandse overheid zit bij KPN met hun telefoon en internet.
Zou nog best kunnen ook dat het een vijandige overheid of iets was. Namelijk de gehele Nederlandse Rijksoverheid zit bij KPN met hun telefoon en internet.
Defensie heeft zijn eigen netwerk. Maar telefonie naar 'buiten' maakt inderdaad gebruik van KPN lijnen.
Opvallend is dat op de dag dat KPN de hack bekendmaakte, afgelopen woensdag, een software-update van Junos 10.4 verscheen. Het is niet ongebruikelijk dat de dag dat een hack wordt geopenbaard wordt afgestemd met de leverancier van de software.
Ik geloof niet dat enig bedrijf de nieuwe software heeft draaien binnen een paar uur na het vrijkomen van de update. Het lijkt me dat je eerst test, en vaak is er ook nog niet standaard code aanwezig die eventueel moet worden aangepast?
Dit soort omgevingen zijn behoorlijk complex en als je dom updates gaat installeren kan het zomaar zijn dat er een specifieke optie die voor jouw omgeving erg belangrijk is opeens zomaar verdwenen is.
Ik zou zeggen dat je al snel een dag of 4 aan het testen bent op een beetje complexe omgeving en dan ga ik er vanuit dat je die dagen niet heel veel andere dingen te doen hebt wat nogal onrealistisch is.
Dus ik zou zeggen; anderhalve week doorlooptijd, vanaf het inplannen, voor een update op productie komt.

KPN heeft heus niet een mannetje (M/V) op een stoel klaarzitten voor het moment dat Juniper een update uitspuugt. :)
Mwa, voor een update die een half jaar oud is... Dan gaat die vlieger niet op he...
Maar als je kijkt naar naar de releases op:

http://www.juniper.net/support/products/junos/ww/10.4/#sw

zie je dat R5.5 op 16 juni is uitgebracht en dat men bijna een half jaar geen updates heeft gedraaid. Dat er tijd nodig is om te testen snap ik, maar een half jaar?
Kpn heeft daar zeker mensen voor. Dat zijn de NOC beheerders en ja, dat is hun werk.
Is het nu bluf van de hackers, slechte damage-control van KPN of pure onkunde? Natuurlijk is het, op zijn zachtst gezegd, vervelend dat KPN is gehackt maar is het niet beter om gewoon eerlijk en open hierover te zijn? Eerst ontkent KPN dat er gegevens zijn buit gemaakt en nu blijkt dat het zelfs mogelijk was om internetverkeer af te luisteren?

Is zoiets lastig te achterhalen of probeert KPN dit in de doofpot te stoppen? Openheid, hoe vervelend ook, lijkt mij toch veel beter?
Na de vorige prijsstijging naar buiten komen met het slechte nieuws dat 2 miljoen klanten op straat liggen dat niet al te beste damage control is.

Ze hadden niet verwacht dat op Pastebin een zooi gegevens zouden komen te liggen. Ik snap dat zoiets ook niet versleuteld staat ergens... De pastebin gegevens staat alles schijnbaar gewoon zonder encodering op straat.

Daarnaast HAD er actief meegekeken kunnen worden in email verkeer. Fijn als je zeer gevoelige (bedrijfs)informatie verstuurd dagelijks.

Dit is nalatigheid en komt duur te staan voor KPN, al dan niet diegene die verantwoordelijk waren voor het beheren van de core-apparatuur en updates.

Moet wel toegeven dat sinds vanmiddag er vanuit hier niet meer gemailed kon worden. KPN had dus de uitgaande SMTP uitgeschakeld tesamen met de webmail. En ja de kans dat ook mijn gegevens nu op straat liggen dankzij deze hack is groot.
De hack wordt wel steeds uitgebreider van aard he? Eerst was het "een enkele server", toen werd het "meerdere servers" en nu zijn het al core routers...
Ja inderdaad en ze gaan er vast nog van alles en nog wat bijslepen om de aandacht van de feitelijkheden af te leiden: een slecht geleid bedrijf dat een nieuwe weg in dient te slaan, daarbij steeds weer aantonend dat het in de basis nog steeds het logge staatsbedrijf is dat niet mee kan komen met de snelle ontwikkelingen. Daarnaast maakt het feit dat ze zo'n grote en belangrijke speler zijn dat dit vast niet zonder gevolgen gaat blijven.

Ik voorspel:

-KPN in de etalage komend jaar
-Nog sneller ingevoerde wetten om ons internetgebruik aan banden te leggen
dezelfde tactiek als Sony.

Eerst verbloemen en mondjesmaat de werkelijke schaal aangeven.
Ben benieuwd hoeveel klantgegevens KPN kwijt is geraakt... 16 gig is een aardig databeesje...
Zou deze melding er iets mee te maken kunnen hebben?
On the 8th of February we (KPN AS286) have scheduled maintenance on our network at
Amsterdam SARA.
This maintenance will have impact for all AS286 public peers:

Date of maintenance : 08/02/2012
Start time : 00:00 (CET)
End time : 07:00 (CET)
Expected downtime : 180 min.

ASN : 286
Reference number : CC0000009133423
NOC :
mailto:noc@kpn.com<mailto:noc@kpn.com>
Peering & Transit :
mailto:peering@kpn.net<mailto:peering@kpn.net>

Impact AMS-IX peers : All AS286 public Peers
with 195.69.144.144/23
Scheduled maintenance, lijkt me sterk dat dit scheduled was.
Ik dacht altijd dat Anonymous meer een grote groep kinderen waren die simpele DDOS aanvallen deden, dus geen mensen met kennis van dit soort zaken.
En waar heb je die kennis op gebaseerd?

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013