KPN ontdekt kwetsbaarheden in eigen systemen na hack
KPN heeft nadat het gehackt was diverse kwetsbaarheden aangetroffen in eigen systemen. Dat zegt een topman van de provider. Het zou niet gaan om grote lekken. Om een nieuwe hack te voorkomen worden alle servers van updates voorzien.
KPN laat nu tests uitvoeren om gaten in de eigen beveiliging te vinden, zegt topman Joost Farwerck van KPN in een interview met NU.nl. In januari bleek dat KPN enkele weken lang was gehackt. De hack, die mogelijk was doordat een server verouderde software draaide, gaf de hacker toegang tot onder meer internetverkeer van klanten.
Nu worden alle servers voorzien van de nieuwste software om herhaling van de hack te voorkomen. In het onderzoek na de hack heeft KPN meer kwetsbaarheden aangetroffen. "Daarbij komen we geen grote gaten tegen", aldus Farwerck. Hackers proberen sinds de hack wel vaker binnen te komen. Farwerck claimt dat KPN per dag ongeveer honderd hackpogingen afslaat.
De provider wil om herhaling van de hack te voorkomen bovendien voortaan het eigen netwerk continu gaan monitoren. Dat gebeurt nu alleen op het mobiele netwerk, maar met 'vast internet' gebeurt dat nog niet. Zo'n 'crisiscentrum' moet zo snel mogelijk worden ingericht.
De provider gaat in de nasleep van de hack ongeveer 100.000 euro schadegeld aan klanten uitkeren, omdat het de e-maildienst een dag plat gooide. Een hacker zette privégegevens van 537 KPN-klanten online, maar later bleek dat het ging om gegevens die via een andere hack waren vergaard. Uit voorzorg had KPN de maildienst offline gehaald. Klanten konden een schademelding doen als ze aantoonbaar financiële schade hadden opgelopen wegens de downtime. Ongeveer 750 van de 1250 meldingen waren terecht en die klanten krijgen dus gemiddeld ongeveer 133 euro per persoon.
Reacties (37)
Goed dat ze alle servers van patches gaan voorzien... slecht dat dat nog niet gebeurd was.
Maar echt vreemd vind ik het niet, ruim een jaar bij KPN gewerkt en dan blijkt keer op keer dat security toch niet echt de allerhoogste priooriteit had. Wel de eigen positie van de manager in de organisatie, of het salaris of het humeur van zijn leidinggevende, maar security ... nee, niet echt.
Maar echt vreemd vind ik het niet, ruim een jaar bij KPN gewerkt en dan blijkt keer op keer dat security toch niet echt de allerhoogste priooriteit had. Wel de eigen positie van de manager in de organisatie, of het salaris of het humeur van zijn leidinggevende, maar security ... nee, niet echt.
[Reactie gewijzigd door tes_shavon op maandag 19 maart 2012 08:39]
Zullen we er maar vanuit gaan dat het om patches gaan die na aanleiding van de hack zijn geschreven?
Als dat niet zo is, wordt het wel tijd om aan patchmanagement te gaan doen. Elke maand patches draaien lijkt me wel op zijn plaats (dan loop je max. 2 maanden achter met patchen, omdat je de nieuwe patches van die maand eerst moet testen en de maand erop uitrolt)
Als dat niet zo is, wordt het wel tijd om aan patchmanagement te gaan doen. Elke maand patches draaien lijkt me wel op zijn plaats (dan loop je max. 2 maanden achter met patchen, omdat je de nieuwe patches van die maand eerst moet testen en de maand erop uitrolt)
Nu maar hopen dat ze in de toekomst standaard patches gaan uitvoeren en dat dit niet een éénmalige patchronde is.
Wat het eigenlijk wel laat zien is hoe lakoniek men in met het patchen van systemen. Patchen en updates lijkt me toch iets wat standaard is zeker voor een organisatie als kpn.
Wat het eigenlijk wel laat zien is hoe lakoniek men in met het patchen van systemen. Patchen en updates lijkt me toch iets wat standaard is zeker voor een organisatie als kpn.
Betekend dit dat we toch nog maar even moeten wachten met het aanvragen van bapi(belastingdienst api) certificaten? Ik snap niet waarom ze dat niet gewoon bij een not-for-profit organisatie zoals bv SURFnet of andere partij waarbij security wat hoger in het vaandel staat. 
[Reactie gewijzigd door Mr_Light op maandag 19 maart 2012 10:08]
Ongelofelijk eigenlijk dat ze nog niet alles op orde hebben na de grote commotie van een maand geleden. KPN heeft blijkbaar andere prioriteiten, maar ik had het wel geweten als ik de leiding had daar!
Denk jij dat men alle systemen op enkele uren kan nakijken op alle mogelijke fouten? Een degelijke audit duurt weken tot maanden. Van alle systemen moet men nagaan welke software erop staat en welke versie. Wanneer updates niet worden toegepast moet men bijvoorbeeld ook nagaan waarom dat zo is. En dan is nog niet alles op 1-2-3 up to date want als men dan gaat updaten moeten die updates eerst degelijk nagekeken en getest worden. Worst case haal je heel je netwerk onderuit door een slechte update, en dat is iets waar ze ook schrik van hebben.
De oude patches zouden al getest moeten zijn.
Nakijken van software en versies kan geautomatiseerd.
Wanneer oude patches in het verleden niet zijn toegepast zou dat ergens gedocumenteerd moeten zijn.
Dus als KPN zijn zaakjes gewoon goed gedocumenteerd heeft moet het redelijk snel kunnen gaan..... maar dan was waarschijnlijk ook nooit een hack geweest.
Nakijken van software en versies kan geautomatiseerd.
Wanneer oude patches in het verleden niet zijn toegepast zou dat ergens gedocumenteerd moeten zijn.
Dus als KPN zijn zaakjes gewoon goed gedocumenteerd heeft moet het redelijk snel kunnen gaan..... maar dan was waarschijnlijk ook nooit een hack geweest.
Dit is gewoon ouderwets configuration management. Als je dat goed inricht (iets dat KPN niet heeft gedaan) kan je op elk gewenst moment van de dag een rapportage uitdraaien over welke systemen welke software met welke versienummers draaien, eventueel met welke patches wel of niet (en waarom) geinstalleerd zijn.Denk jij dat men alle systemen op enkele uren kan nakijken op alle mogelijke fouten? Een degelijke audit duurt weken tot maanden. Van alle systemen moet men nagaan welke software erop staat en welke versie. Wanneer updates niet worden toegepast moet men bijvoorbeeld ook nagaan waarom dat zo is.
Dat is release management, wat gewoon als iteratief proces met regelmatige perioden ingericht kan worden voor normale updates en als spoedproces (waarin vanaf het moment dat het bekend en bevestigd is meteen tijd vrij gemaakt wordt om te testen en een implementatietraject op te richten) ingericht kan worden voor kritieke patches.En dan is nog niet alles op 1-2-3 up to date want als men dan gaat updaten moeten die updates eerst degelijk nagekeken en getest worden. Worst case haal je heel je netwerk onderuit door een slechte update, en dat is iets waar ze ook schrik van hebben.
[Reactie gewijzigd door The Zep Man op maandag 19 maart 2012 17:08]
Als je je zaken goed geïnventariseerd hebt, heb je maar enkele minuten nodig, aangezien je niet fysiek op de machines hoeft te zijn. Audits zijn gebaseerd op het feit dat je versie nummers kent. Als je gehardend install gedaan hebt, weet je WAT, WAAROM en welke versie je hebt geïnstalleerd. Als er vandaag een security bulleting uit komt, weet je meteen welke servers gevoelig zijn en kun je een risico inschatting maken, zonder dat je ooit op de machine bent ingelogged. Hierna ga je plannen, eerst patchen in acceptatie omgeving om te testen en daarna pas in productie met een roll-back procedure etc..
Het blind met een security scanner over machines heen gaan doe je niet in je productie omgeving, eigenlijk is er geen reden om een security scanner te gebruiken aangezien security bulletins veel nuttiger resultaat hebben. Niets alle vulnerabilities kan een scanner toepassen, terwijl je wel tegen alle bekende vulnerabilities beschermd wilt zijn.
In dit geval en alle voorgaande gevallen (het is niet de eerste keer dat er een router gehacked is bij KPN en ook niet de laatste keer) blijkt gewoon nalatigheid.
Verder snappen ze bij KPN nog steeds niet dat ze geen SECURITY probleem hebben, maar een beheer probleem. Dat is vele malen erger aangezien je tegen security problemen tot een zeker hoogte maar actie kunt ondernemen/voorbereiden.
Als je toestaat dat systemen jaren onbeheerd draaien, zal de volgende incident slechts een kwestie van tijd zijn. En het niet beheren/patchen na jaren is in de afgelopen paar decennia vaker gebeurd. Kennelijk is er ook geen lange termijn geheugen en hebben ze van incidenten uit het verleden nog steeds niet geleerd.
Het blind met een security scanner over machines heen gaan doe je niet in je productie omgeving, eigenlijk is er geen reden om een security scanner te gebruiken aangezien security bulletins veel nuttiger resultaat hebben. Niets alle vulnerabilities kan een scanner toepassen, terwijl je wel tegen alle bekende vulnerabilities beschermd wilt zijn.
In dit geval en alle voorgaande gevallen (het is niet de eerste keer dat er een router gehacked is bij KPN en ook niet de laatste keer) blijkt gewoon nalatigheid.
Verder snappen ze bij KPN nog steeds niet dat ze geen SECURITY probleem hebben, maar een beheer probleem. Dat is vele malen erger aangezien je tegen security problemen tot een zeker hoogte maar actie kunt ondernemen/voorbereiden.
Als je toestaat dat systemen jaren onbeheerd draaien, zal de volgende incident slechts een kwestie van tijd zijn. En het niet beheren/patchen na jaren is in de afgelopen paar decennia vaker gebeurd. Kennelijk is er ook geen lange termijn geheugen en hebben ze van incidenten uit het verleden nog steeds niet geleerd.
kpn heeft een security probleem hoor , en leuk dat je zegt ja je moet een gehardende install doen maar om eerlijk te zijn , it would not matter 1 bit. als je beetje goed kan praten heb je voor je het weet admin pw van alle computers op de afdeling daar omdat de managers gewoon niet opletten.
trust me , i used to work there ,and im sooooo happy im gone ;p
en ja , ze hebben wel een security probleem XD , bedoel als je met usb sticks naar binnen en buiten loopt en mensen met hele mappen vertrouwelijke informatie de deur uitlopen na hun dienst, sta je toch even te denken
, geef je er melding van vind de manager het niet belangrijk want die zit op ebay zijn auto te verkopen ;p
KPN is gewoon een bedrijf wat gewoon opgeheven moet worden.
ow ja p.s KPN levert nu NOG routers uit die je standaard via STKEYS.exe kan uitlezen (wpa key binnen minuut) . Heerlijk veilig he , ondanks dat ze er in 2008 al over zijn gewaarschuwd.
trust me , i used to work there ,and im sooooo happy im gone ;p
en ja , ze hebben wel een security probleem XD , bedoel als je met usb sticks naar binnen en buiten loopt en mensen met hele mappen vertrouwelijke informatie de deur uitlopen na hun dienst, sta je toch even te denken
, geef je er melding van vind de manager het niet belangrijk want die zit op ebay zijn auto te verkopen ;pKPN is gewoon een bedrijf wat gewoon opgeheven moet worden.
ow ja p.s KPN levert nu NOG routers uit die je standaard via STKEYS.exe kan uitlezen (wpa key binnen minuut) . Heerlijk veilig he , ondanks dat ze er in 2008 al over zijn gewaarschuwd.
lol. jij heb veiligheid ook niet echt hoog staan als je dit soort informatie naar buiten breng. lekker vertrouwelijk ben jij voor een bedrijf als je weg ben en interne informatie op straat gooi.
Zorg eerst maar dat je je feiten goed hebt voordat je onzin gaat blaten...ow ja p.s KPN levert nu NOG routers uit die je standaard via STKEYS.exe kan uitlezen (wpa key binnen minuut) . Heerlijk veilig he , ondanks dat ze er in 2008 al over zijn gewaarschuwd.
Ik had wel geweten dat jij dikke stress had gekregen omdat de organisatie er niet op ingericht is!
Dan was je er door jouw baas al lang uitgeschopt wegens te weinig prestaties. Het is nu even hot maar straks niet meer.
Aan servers updaten zit ook een keerzijde omdat een update regelmatig allerlei vervelende bijverschijnselen heeft die je niet verwacht.
Aan servers updaten zit ook een keerzijde omdat een update regelmatig allerlei vervelende bijverschijnselen heeft die je niet verwacht.
Beter te laat dan nooit. Maar het had inderdaad voorkomen kunnen worden.
En het maakt voor hackers veel uit of iets een "groot gat" is?In het onderzoek na de hack heeft KPN meer kwetsbaarheden aangetroffen. "Daarbij komen we geen grote gaten tegen".
Deze opmerkingen maakt me nog het meest bang. Er van uit gaan dat, omdat het maar een klein lek is, ze verder niet (veel) actie hoeven ondernemen.
Security en kwaliteit kosten geld, maar je moet vooral de aandeelhouders blij maken.
En Ach, het zal zo'n vaart niet lopen.
En Ach, het zal zo'n vaart niet lopen.
[Reactie gewijzigd door Jermak op maandag 19 maart 2012 08:59]
Hmmm, hoe juist is de inhoud van het artikel als de naam van deze beste man al niet goed geschreven wordt? (twee verschillende fouten zelfs)... Hij heet Joost Farwerck.
Dank voor de feedback, inmiddels gefikst. Mocht je verdere aanwijzingen hebben dat de inhoud van het artikel niet klopt, hoor ik dat graag. De link tussen spelling en inhoud van artikel is een losse: de auteur van het bronartikel, Brenno de Winter, is in 'het wereldje' niet bekend om zijn taalkundige nauwkeurigheid, maar is toch door collega's in 2011 gekozen tot 'Journalist van het Jaar' door zijn maatschappelijk belangrijke primeurs, onder meer over de ov-chipkaart.Hmmm, hoe juist is de inhoud van het artikel als de naam van deze beste man al niet goed geschreven wordt? (twee verschillende fouten zelfs)... Hij heet Joost Farwerck.
Ik lees nog een Ferweck in het artikel. Verder mag er best duidelijker bij dat de gegevens van die 537 klanten bij Babydump vandaan kwamen, als de blame kaart toch wordt gespeeld 
* Kingeling zal voortaan de "Feedback" gebruiken.
* Kingeling zal voortaan de "Feedback" gebruiken.
ene white-hat hacker verdient hier bakken geld aan en kpn denkt nu dat ze goed zitten en all hun systemen voor een jaar of twintig weer goed zijn.
maar helaas, de nieuwe exploit ligt al om de hoek.
maar helaas, de nieuwe exploit ligt al om de hoek.
Valt ook wel mee, tegenwoordig mogen ROC met een scanner over bakken heen crossen voor een tarief van 50 euro per uur.
De enige die het wel goed doen zijn ex-politie mensen. Kennelijk zit daar een geilheid overheen waarbij voormalige werkgever en functie (cybercrime) belangrijker is dan daadwerkelijke eigen parate kennis, ervaring en opleiding niveau.
Maar ze verdienen wel snel tegen een ton aan per jaar in de markt.
De enige die het wel goed doen zijn ex-politie mensen. Kennelijk zit daar een geilheid overheen waarbij voormalige werkgever en functie (cybercrime) belangrijker is dan daadwerkelijke eigen parate kennis, ervaring en opleiding niveau.
Maar ze verdienen wel snel tegen een ton aan per jaar in de markt.
[Reactie gewijzigd door totaalgeenhard op maandag 19 maart 2012 09:56]
KPN loopt jaren met alles wat zij doen en proberen achter de feiten aan. De technische kennis die zij in huis hebben is triest. Ik heb dmv een extern project mee gewerkt aan een systeem dat intern door KPN gebruikt wordt. Het is voor mij dan ook een wonder dat KPN niet veel eerder door hackers is aangevallen. De meeste systemen die zij gebruiken zijn primitief.
en is dat dan onwil of heeft dat budgettaire redenen?
De reden is denk ik.
Net als bij alle grote bedrijven en de overheid worden beslissingen genomen door mannen en vrouwen in grijze pakjes. Deze mensen hebben geen technische kennis maar beslissen wel over hoe systemen zouden moeten werken. Hierdoor worden te vaak foute keuzes gemaakt. ICT wordt nog steeds niet serieus genoeg bendaderd, terwijl zonder de ICT heel veel bedrijven niet zouden kunnen bestaan.
Net als bij alle grote bedrijven en de overheid worden beslissingen genomen door mannen en vrouwen in grijze pakjes. Deze mensen hebben geen technische kennis maar beslissen wel over hoe systemen zouden moeten werken. Hierdoor worden te vaak foute keuzes gemaakt. ICT wordt nog steeds niet serieus genoeg bendaderd, terwijl zonder de ICT heel veel bedrijven niet zouden kunnen bestaan.
Zoals ik dit lees, lijkt het alsof ze eenmalig de servers van de nieuwste updates voorzien en hierna niet meer. Ik ben geen beveiligingsexpert, maar dit lijkt me wel erg kort door de bocht. Denkend dat je niet gehackt wordt omdat je de servers gaat voorzien van de laatste patches. Wanneer patches uitkomen moet je die gewoon zo snel mogelijk testen en uitrollen. Hoop dat KPN dit structureel gaat veranderen.Nu worden alle servers voorzien van de nieuwste software om herhaling van de hack te voorkomen.
[Reactie gewijzigd door Archiebald op maandag 19 maart 2012 09:36]
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Asus Samsung Websites en communities Mobiele telefoons Laptops Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
