Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 95 reacties

De hackers die inbraken bij KPN, hebben mogelijk ook ingebroken op een of meer core-routers. Daardoor was het in theorie mogelijk om internetverkeer van KPN-klanten te onderscheppen, maar de aanvallers zouden dat niet hebben gedaan.

KPNDat zegt een bron rond de hackers die systemen van KPN hebben gekraakt tegenover Tweakers.net. De hackers zouden middels een exploit zijn binnengedrongen op een core-router van KPN die wordt gebruikt om het dataverkeer van klanten te routeren. Mogelijk ging het om een zero day: een exploit die nog niet bekend was.

De router van het merk Juniper draaide als besturingssysteem Junos 10.4 R5.5; een verouderde versie van Junos, dat tijdens de hack al op versie 10.4 R8 was aanbeland. Mogelijk was de gekraakte router niet de enige node die kwetsbaar was, zo denkt een andere bron, die bekend is met de materie.

Voor zover bekend is er geen internetverkeer van KPN-klanten onderschept; dat was in theorie echter mogelijk geweest. Wel is de gehackte router gebruikt om verder in het KPN-netwerk binnen te dringen; mogelijk is daarvoor een recent ontdekte kwetsbaarheid misbruikt die het mogelijk maakt om in Junos tcp-verkeer via een ssh-tunnel door te sluizen. Normaliter zou dat op een router in een dergelijke positie niet mogelijk moeten zijn.

Woordvoerster Simona Petescu van KPN wil de beweringen van de bron bevestigen noch ontkennen. "Wij zijn nog volop bezig met het onderzoek naar de hack, dus hier kunnen we niets over zeggen." KPN maakte de hack op zijn systemen donderdag bekend. Tot nu toe was echter nog niet bekend dat er mogelijk ook core-routers gehackt zijn: het bedrijf spreekt enkel over gehackte servers met klantgegevens.

Opvallend is dat op de dag dat KPN de hack bekendmaakte, afgelopen woensdag, een software-update van Junos 10.4 verscheen. Het is niet ongebruikelijk dat de dag dat een hack wordt geopenbaard wordt afgestemd met de leverancier van de software. Of dit echt zo is, is echter onduidelijk.

Volgens de bron, die anoniem wil blijven, is ook geprobeerd om de computer onder te brengen in een botnet. Eerder bleek uit onderzoek van Nu.nl al dat de gehackte server met klantgegevens van KPN verouderde software bevatte en mogelijk ook toegang gaf tot een dns-server. Volgens KPN is er bij de hack geen klantinformatie ontfutseld, maar een bron van Nu.nl beweert 16GB aan informatie te hebben gedownload. Die zou inmiddels weer zijn verwijderd. Wel bevestigde KPN dat InternetPlus Bellen door de hack problemen op had kunnen lopen; dan zouden mensen bijvoorbeeld geen 112 kunnen bellen.

Het is onduidelijk wie er precies achter de aanval zit. Beveiligingsonderzoeker Rickey Gevers stelt aanwijzingen te hebben dat leden van het los-vaste verband Anonymous achter de aanval zitten. KPN werkt samen met onder meer de politie en het Cyber Security Centrum om de hackers te vinden.

Gerelateerde content

Alle gerelateerde content (23)

Reacties (95)

Reactiefilter:-195094+143+21+30
Moderatie-faq Wijzig weergave
Het ziet er wel legitiem uit. Het pastebin bericht is vandaag gepost en één van de wachtwoorden bevat de referentie '2011'. Als het niet van deze hack afkomstig is, moet het overigens van een vorige hack zijn, niet iedereen heeft een lijst met gebruikersnamen en bijhorende adresgegevens.

[Reactie gewijzigd door Petervanakelyen op 10 februari 2012 16:00]

Een deel van de wachtwoorden werkt in ieder geval gewoon. @Daanno heeft er zes uitgeprobeerd, waarvan er drie nog actueel waren.

Interessanter en misschien zelfs nog kwalijker is dat, als dit inderdaad een legitieme lijst van de KPN hack is, de wachtwoorden gewoon plaintext in de database staan. Iedere huis-tuin-en-keukenprogrammeur heeft tegenwoordig zelfs al geleerd dat dit een absolute no-go is, maar een groot bedrijf als KPN slaagt er weer in om een van de meest basale regels compleet te negeren.

De mailservers lijken momenteel overigens offline te zijn. Danwel vanwege extreme belangstelling, danwel (en hopenlijk dit laatste) doordat de KPN ze zelf offline heeft gehaald.

Ben reuze benieuwd naar de vervolgactie. De enige juiste actie lijkt mij om de wachtwoorden van alle accounts te resetten en de klanten per brief op de hoogte te stellen van een nieuw wachtwoord. Maar dat zal zo veel werk met zich meebrengen dat ik betwijfel of ze deze weg wel zullen kiezen...
Nah, John the ripper doet ook wonderen hoor, voor het ontsleutelen. Hoeft niet persé in plaintext in een bestand te hebben gestaan.

[Reactie gewijzigd door Henk Poley op 10 februari 2012 20:46]

Blijkbaar werden gebruikersnaam/wachtwoord per geautomatiseerde brief verstuurd naar de klant in kwestie. Als er enkel hashes in het systeem stonden, had dat niet mogelijk geweest. Grote bedrijven zoals Sony en KPN lijken het moeilijk te hebben met het hashen (en salten) van de wachtwoorden in hun database(s).
wtf, unhashed passwords? :/ Ook nog. :X
Kan zijn dat ze er al John the ripper overheen gehaald hebben, zodat ze nu plaintext wachtwoorden hebben vanuit een bestand met gehashte wachtwoorden.

[Reactie gewijzigd door Henk Poley op 10 februari 2012 20:41]

toch maar ff gekeken.
Viel me al op dat er toch een paar in de buurt zaten van postcode en plaats.

Zoals ik al bij de andere topic posten. tja wat zou je nu doen als je klant bent van kpn?!
Je kan wel iets te verzinnen wat moeilijk is te kraken, maar als dit vervolgens in plain text wordt opgeslagen heb je daar bij zo'n hack alsnog niks aan.

En het risico dat een hacker zo'n hele database aanvalt lijkt groter dan dat ze je individuele account gaan dictionary-attacken of brute-forcen.
Voor mijn beeldvorming; Heeft iemand een idee hoeveel mensen er kennis hebben van de architectuur en apparatuur van het kpn-netwerk? Oftewel; hoeveel mensen kunnen dit nou?

[Reactie gewijzigd door db024 op 10 februari 2012 15:20]

Alle technische mensen. Maar zo erg bijzonder zijn die architecturen en apparatuur niet hoor. Dat is bij veel providers hetzelfde en als je eenmaal binnen zit is het niet zo moeilijk voor een goede hacker om veel informatie over het netwerk te achterhalen.
Alle technische mensen?
Ik denk dat er aardig wat mensen hebben rondgelopen, door de jaren heen, in die grote server omgeving ...
Tja, dan ligt de kennis van de server- en netwerkomgeving wel vrij gemakkelijk letterlijk "op straat" ...
En als het dan nauwelijks wordt geupdate, zoals op webwereld.nl wordt gemeld, en logins en wachtwoorden ook wat aan de "simpele" kant zijn, en misschien niet al te vaak veranderen ... dan maak je het hackers wel erg gemakkelijk.
Jaren niet geupdate, stond er op webwereld ... na ja, met 100 man 24 uur rond de klok, kun je in een meerdere dagen aardig wat patches en updates "inhalen" ... :+
Dat lijkt me ook erg optimistisch.
Wellicht dat de storingen in het netwerk bij diverse providers de afgelopentijd, is ontstaan door deze hack. Wie zal het zeggen?

De oorzaak van de storingen op gebied van internetbankieren worden ook verdacht stil gehouden. ik heb een donker bruin vermoeden dat niet alleen kpn te maken heeft gehad met hack pogingen.

Ligt het aan mij of wordt er de afgelopen tijd wel erg veel gehacked overal?
Met een beetje cisco en andere netwerk achtergrond kom je al een heel eind ;)
Met een beetje cisco en andere netwerk achtergrond kom je al een heel eind ;)
...en gelijk 2x zo duur uit. Waardoor de concurrentie voordeel krijgt.
Oftewel: dit alles is een symptoon van vrije marktwerking te noemen.
Lijkt me meer een symptoom van op kwaliteit besparen.
Vrije marktwerking is imo meer dat producenten hun producten proberen beter en/of goedkoper te maken dan die van de concurrent. (dus minder kwaliteit is in de meeste gevallen gewoon een te klein budget volgens deze redenering)
Cisco is geen synoniem voor 'beter' of 'stoerder'.
db024 , En vrijwel iedereen met technische kennis en op één of andere manier toegang kan krijgen tot het interne netwerk is instaat dergelijke hacks daar uit te voeren. (zoals te lezen is in de reactie van de hackers, ongepatchte systemen. wat suggereert dat er updates voor beschikbaar zijn.)

KPN besteed zelf echter geen of (te) weinig aandacht aan de interne beveiliging van het netwerk.

KPN zal haar beheer op de beveiliging natuurlijk moeten verbeteren maar ik denk dat er op meerder fronten als alleen de IT winst te behalen valt.

edit: nuance aangebracht.

[Reactie gewijzigd door herbalx op 10 februari 2012 20:39]

ik bedoelde natuurlijk alle technische mensen die bij providers hebben gewerkt :P en zowiezo bij kpn hebben gewerkt ;).
Educated guess: iets van 100 a 200; de omgeving, als het degene is die ik denk, bestaat een jaar of 10 en met een gokje over het verloop en hoeveel mensen de infrastructuur en de apparaten goed genoeg kennen op een willekeurig moment kom je ongeveer op dat getal.
Als je junipers experts van buiten erbij pakt loopt het aantal enorm op. Die hoeven alleen maar de core router op te komen om inzicht te krijgen in de rest.

Maar ik ben al een flink aantal jaren daar weg en heb me nooit actief tegen die junipers aanbemoeid dus ik kan de verkeerde omgeving in gedachten hebben en er gewoon flink naastzitten.

Dus je hebt er helemaal niets aan. :)
Ik vind het eerder apart dat zodra er een hack wordt uitgevoerd, altijd anonymous wordt aangewezen.
Zover ik begreep willen hun met hun daden iets duidelijk maken. Zij zouden nooit gegevens publiceren en wat willen ze mogelijk duidelijk maken met deze aanval?

Ik denk dat het erg makkelijk is om Anonymous de schuld te geven.

Echter schrok ik wel toen ik die 300+ gegevens op pastebin voorbij zag komen!
Hoppa, KPN aanklagen wegens nalachtigheid. Beetje code rood afgeven en aangifte doen wegen hacken... . Knuppels. Het is dus andersom. Stel dat dit een vijandige overheid/bewind geweest zou zijn... .

Hoewel er toch aardig wat talent wordt ingehuurd bij KPN zitten er dus blijkbaar toch fouten in procedures. Laat het ook een wake-up call zijn voor de andere telecombedrijven. Het lijkt me sterk dat KPN de enige is.
Zou nog best kunnen ook dat het een vijandige overheid of iets was. Namelijk de gehele Nederlandse overheid zit bij KPN met hun telefoon en internet.
Zou nog best kunnen ook dat het een vijandige overheid of iets was. Namelijk de gehele Nederlandse Rijksoverheid zit bij KPN met hun telefoon en internet.
Defensie heeft zijn eigen netwerk. Maar telefonie naar 'buiten' maakt inderdaad gebruik van KPN lijnen.
Opvallend is dat op de dag dat KPN de hack bekendmaakte, afgelopen woensdag, een software-update van Junos 10.4 verscheen. Het is niet ongebruikelijk dat de dag dat een hack wordt geopenbaard wordt afgestemd met de leverancier van de software.
Ik geloof niet dat enig bedrijf de nieuwe software heeft draaien binnen een paar uur na het vrijkomen van de update. Het lijkt me dat je eerst test, en vaak is er ook nog niet standaard code aanwezig die eventueel moet worden aangepast?
Dit soort omgevingen zijn behoorlijk complex en als je dom updates gaat installeren kan het zomaar zijn dat er een specifieke optie die voor jouw omgeving erg belangrijk is opeens zomaar verdwenen is.
Ik zou zeggen dat je al snel een dag of 4 aan het testen bent op een beetje complexe omgeving en dan ga ik er vanuit dat je die dagen niet heel veel andere dingen te doen hebt wat nogal onrealistisch is.
Dus ik zou zeggen; anderhalve week doorlooptijd, vanaf het inplannen, voor een update op productie komt.

KPN heeft heus niet een mannetje (M/V) op een stoel klaarzitten voor het moment dat Juniper een update uitspuugt. :)
Mwa, voor een update die een half jaar oud is... Dan gaat die vlieger niet op he...
Maar als je kijkt naar naar de releases op:

http://www.juniper.net/support/products/junos/ww/10.4/#sw

zie je dat R5.5 op 16 juni is uitgebracht en dat men bijna een half jaar geen updates heeft gedraaid. Dat er tijd nodig is om te testen snap ik, maar een half jaar?
Kpn heeft daar zeker mensen voor. Dat zijn de NOC beheerders en ja, dat is hun werk.
De hack wordt wel steeds uitgebreider van aard he? Eerst was het "een enkele server", toen werd het "meerdere servers" en nu zijn het al core routers...
dezelfde tactiek als Sony.

Eerst verbloemen en mondjesmaat de werkelijke schaal aangeven.
Ben benieuwd hoeveel klantgegevens KPN kwijt is geraakt... 16 gig is een aardig databeesje...
Ja inderdaad en ze gaan er vast nog van alles en nog wat bijslepen om de aandacht van de feitelijkheden af te leiden: een slecht geleid bedrijf dat een nieuwe weg in dient te slaan, daarbij steeds weer aantonend dat het in de basis nog steeds het logge staatsbedrijf is dat niet mee kan komen met de snelle ontwikkelingen. Daarnaast maakt het feit dat ze zo'n grote en belangrijke speler zijn dat dit vast niet zonder gevolgen gaat blijven.

Ik voorspel:

-KPN in de etalage komend jaar
-Nog sneller ingevoerde wetten om ons internetgebruik aan banden te leggen
En wederom even huilen over 112 in mijn ogen een middel om er voor te zorgen dat elke aanpak van de hackers nu legitiem is. Vanwege de "levens bedreigende" situatie die is ontstaan.

[Reactie gewijzigd door jbhc op 10 februari 2012 15:39]

het valt op inderdaad.
Mistplaatste damagecontrol...
Valt mij ook op. Nog even en-passant de hacker criminaliseren. Nee, hacken mag niet. Maar je achterdeur wijd openzetten mag wel? Lekker hypocriet, KPN zou beter heeeeel stil kunnen blijven zitten tijdens het scheren.
Sinds anonymous redelijk bekend is geworden, hebben zij het ook maar altijd gedaan?
Ik zie niet in waarom anonymous hierachter zou zitten. Puur omdat de hacker (voorlopig nog) anoniem is maakt hem geen lid van anonymous :F
Maar je weet niet wie 'lid' is van Anonymous. Je kan je zelfs afvragen of het woord 'lid' wel past in een context zoals die van Anonymous, ze worden op tweakers niet voor niets omschreven als 'losvast verband'.
Ik heb uit de lijst op Pastebin het e-mail wachtwoord van mijn buurman weten te halen. Echter blijkt hij dit wachtwoord al jaren niet meer te gebruiken. Misschien is die lijst verouderd? Heb hem wel aangeraden zijn wachtwoord te veranderen, aangezien die 500 gegevens op Pastebin vast geen 16GB zijn
Dit is van alle bla bla vla posts wel een uitzondering en van nieuwswaarde.
Of ze hebben een oud bestand, of KPN bewaard password historie ... beide zijn natuurlijk betreurenswaardig. Lijkt me iets om uit te zoeken.
Natuurlijk wel weer heerlijke stemmingmakerij om Anonymous erbij te halen. Je kan wel mooi stellen dat een aantal mensen binnen 'Anonymous' een geintje hebben uitgehaald, maar is dat reden genoeg om heel Anonymous er gelijk weer even bij te halen?

Ik heb soms het idee dat er gauw 'Anonymous' wordt geroepen om even populair in het nieuws te kunnen komen en een zondebok aan te kunnen wijzen voor zinloze hacks. Immers, iedereen kan zich Anonymous noemen en er net zo snel weer uit stappen, dus het is makkelijk genoeg om te zeggen: "Anonymous did it!", waarmee je eigenlijk zegt dat niemand het heeft gedaan.
Een mooie gelegenheid voor Anonymous om zich bekend te maken om zo elke twijfel in de toekomst weg te nemen of iets wel of niet door ze gedaan is. Zolang ze anoniem blijven kunnen ze overal de schuld van gegeven worden, dat is de consequentie van hun keuze anoniem te zijn.
en ook in lijn met de denkwijze van anon.

Er is in feite geen anon :-)
het is niets meer dan een los vast verband van gelijkgestemde mensen, meelopers en wannabees.
Wie zegt dat Anonymous niet door de CIA zelf is bedacht om een cover te hebben om onder te kunnen opereren? Hoe meer mensen er mee doen hoe beter.

Anonymous doet mij erg denken aan als de man met de baard. De VS scheppen dit soort volksvijanden om publieke support voor hun eigen operaties te krijgen. Avontuurlijke lieden die denken de "vijand" te denken bestrijden doen mee en zo hebben ze als het moet wat slachtoffers om op te pakken en aan het publiek te tonen.

John Le Carré een bekende schrijver van spionage romans en vertrouwd met het wereldje gaf als advies aan would be spionnen: Doe het alleen voor het geld, want je weet nooit voor wiens belang je werkt.

Als ik oprechte hacker was zou ik nu toch heel voorzichtig worden want het hacken is nu echt een zaak geworden van criminelen en spionagediensten en daar wil je niet meer tussen lopen.

Er zijn de laatste tijd opvallend veel meldingen en ik krijg het idee dat er inderdaad een nieuwe terrein van oorlogsvoering is ontstaan. De VS? hebben de Iraanse kerncentrales aangevallen en de Iraniers hebben terug geslagen door certificaten te saboteren en dat is alleen maar het topje van de ijsberg waar wij weet van hebben. Ongetwijfeld wordt er tussen Rusland, China en de VS ook een oorlogje uitgevochten. En wie krijgen de schuld? "de hackers"

Het zou me niets verbazen dat na "de terroristen" nu "de hackers" tot nieuwe ideologische staatsvijand worden uitgeroepen. Het feit dat ze in het verborgene opereren maakt ze uiterst geschikt en kwetsbaar. Je kan ze letterlijk alles in de schoenen schuiven. (aanvallen op kerncentrales?) Ze kunnen zich niet verdedigen en je kan ze voorstellen als het grote gevaar. De ideale vijand dus.

Net zoals de Amerikanen zelf Al Queda opgericht hebben door geloofsfanatici te ronselen in het Midden Oosten en daarna de Taliban door jongeren in vluchtelingen kampen klaar te stomen als Koran geleerde, zou het me verbazen als ze niet een zelfde programma voor hackers hebben opgezet.

Dat is alleen maar logisch want voor geheime diensten zijn hackers een gevaar omdat ze geheime gegevens kunnen verzamelen. Nu zullen mensen zeggen, ja maar dat doen ze toch niet? Maar zo wordt niet met risico's omgegaan. De Amerikanen en anderen hanteren de principes die mooi in de Tsun Tsu zijn beschreven: Ga nooit uit van de kans dat je tegenstander iets zal doen, maar ga er altijd van uit dat hij het zal doen. Of zoals de Amerikanen zeggen: Wij gaan niet uit van possibilities (kansen )maar capabilities (vermogen).

Hackers hebben het vermogen om systemen binnen te dringen en informatie te stelen en dus zijn ze een vijand waartegen men zich te weer zal stellen. En hoe doen ze dat? Nou door ze voor zich te laten werken. Laat ze voor jou inbreken en later kan je ze weer chanteren en voor je laten werken.

Hacken? Ik zou er maar lekker buiten blijven.

Duizend keer interessanter en effectiever is wat wikileaks deed. Vrije nieuwsgaring. Legaal en duizend keer effectiever dan al dat gehack bij elkaar dat uiteindelijk alleen maar helpt om informatie geheim te houden voor het publiek. Daarom zitten ze achter mensen als Rop Gonggrijp aan, niet vanwege zijn hacker verleden, maar zijn medewerking aan deze video

[Reactie gewijzigd door Magalaan op 10 februari 2012 19:10]

Ach ja dat heb je overall... Elke hooligan is voetbal supporter maar niet elke voetbal supporter is hooligan. Maar om een punt te maken is het makkelijker om te generaliseren. Wanneer ik dus op 1 of andere reden in het nieuws zo komen ben ik een hooligan.

Zelfde gaat in dit verhaal op... Helaas houd de media van dit soort mode woordjes
Elke hooligan is voetbal supporter...
Een hooligan mag je van mij nimmer een voetbalsupporter noemen.
Een hooligan is gewoon een zware crimineel. Een betere titel verdienen ze niet.
Ik begin bij het "Anonymous did it" gelijk aan de oude Terence Hill film My Name is Nobody te denken http://www.imdb.com/title/tt0070215/

Nobody flikt een kunstje: "who did it?" "Nobody did"
offtopic:
Het genoemde "trucje" zat al in de odyssee 2000 jaar gelden. om dat nou met deze film te verbinden
Het is onduidelijk wie er precies achter de aanval zit. Beveiligingsonderzoeker Rickey Gevers stelt aanwijzingen te hebben dat leden van het losvaste verband Anonymous achter de aanval zitten.
Zucht, daar gaan we weer...

Hebben ze net zulk goed bewijs als met de PSN hack dat het anon was?
Op een van de servers van de MMORPG-dienst Sony Online Entertainment ontdekten de beveiligingsspecialisten die Sony inhuurde een bestand met de naam Anonymous, en binnenin de strijdkreet ‘We Are Legion’.
ja dus...
Enfin, ik kan met de hints het bewijs niet sluitend krijgen en dit is dus puur suggestief. Ik moet er wel bij opmerken dat het zeer aparte details zijn om te geven voor iemand die er compleet niets mee te maken heeft, en mijn instinct zegt dan dus ook dat men hier wel degelijk mee te maken moet hebben.
Hoera voor gedegen journalistiek onderzoek waar je gefundeerde conclusies aan kan verbinden!

[Reactie gewijzigd door Jumparound op 10 februari 2012 15:23]

Is het nu bluf van de hackers, slechte damage-control van KPN of pure onkunde? Natuurlijk is het, op zijn zachtst gezegd, vervelend dat KPN is gehackt maar is het niet beter om gewoon eerlijk en open hierover te zijn? Eerst ontkent KPN dat er gegevens zijn buit gemaakt en nu blijkt dat het zelfs mogelijk was om internetverkeer af te luisteren?

Is zoiets lastig te achterhalen of probeert KPN dit in de doofpot te stoppen? Openheid, hoe vervelend ook, lijkt mij toch veel beter?
Na de vorige prijsstijging naar buiten komen met het slechte nieuws dat 2 miljoen klanten op straat liggen dat niet al te beste damage control is.

Ze hadden niet verwacht dat op Pastebin een zooi gegevens zouden komen te liggen. Ik snap dat zoiets ook niet versleuteld staat ergens... De pastebin gegevens staat alles schijnbaar gewoon zonder encodering op straat.

Daarnaast HAD er actief meegekeken kunnen worden in email verkeer. Fijn als je zeer gevoelige (bedrijfs)informatie verstuurd dagelijks.

Dit is nalatigheid en komt duur te staan voor KPN, al dan niet diegene die verantwoordelijk waren voor het beheren van de core-apparatuur en updates.

Moet wel toegeven dat sinds vanmiddag er vanuit hier niet meer gemailed kon worden. KPN had dus de uitgaande SMTP uitgeschakeld tesamen met de webmail. En ja de kans dat ook mijn gegevens nu op straat liggen dankzij deze hack is groot.

Op dit item kan niet meer gereageerd worden.



LG Nexus 5X Apple iPhone 6s FIFA 16 Microsoft Windows 10 Home NL Star Wars: Battlefront (2015) Samsung Gear S2 Skylake Samsung Galaxy S6 edge+

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True