Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 71 reacties

KPN gaat zelf honeypots inzetten om internetcriminelen te lokken. De systemen worden vooral ingezet om informatie in te winnen over hoe criminelen te werk gaan en de beveiliging van de KPN-systemen daarop aan te passen.

Honeypots worden vooral door beveiligingsbedrijven ingezet, maar Jaya Baloo, chief information security officer van KPN, verklaart dat haar bedrijf er ook mee op de hoogte wil blijven van de technieken van aanvallers. "Als we weten hoe en waarom criminelen en hackers onze systemen binnendringen, kunnen we maatregelen nemen." Ze benadrukt dat KPN de systemen alleen inzet voor informatievergaring, niet voor opsporing.

Honeypots zien eruit als de kwetsbare systemen waar internetcriminelen naar zoeken. De werking van de honeypots en de manier waarop ze door KPN ingezet gaan worden, worden beschreven in het rapport European Cyber Security Perspectives 2015. Het rapport is het resultaat van een samenwerkingsverband van de Nationale Politie, TNO, het National Cyber Security Centre van het ministerie van Veiligheid en Justitie en KPN.

KPN zet verschillende honeypots in. Zo gaat het onder andere om honeypots met een lage interactie, ofwel systemen die er op afstand interessant genoeg uitzien om toch wat beter te kijken. Een dergelijk systeem is vergelijkbaar met een nepfiets; een dief zal ernaartoe lopen en dichterbij gekomen constateren dat het geen echte fiets is. Zo wordt bekend wie er wellicht geïnteresseerd is in kwetsbare systemen. Een volgend niveau geeft iets meer interactie om uit te vinden wie werkelijk kwaad kan. Het hoogste niveau geeft veel interactie, zodat bekend wordt wat de crimineel er werkelijk mee wil doen.

In een bericht op de site van KPN geeft een beveiligingsexpert nog een voorbeeld van een vondst die in het rapport wordt beschreven: de wereldwijde kwetsbaarheid in het GPRS Roaming Exchange-netwerk GRX. Gebleken is dat de verplichte gesloten mobiele netwerken van diverse providers een stuk minder gesloten zijn dan zou moeten. Zo is onder andere te achterhalen waar een telefoon zich bevindt.

Moderatie-faq Wijzig weergave

Reacties (71)

Waarom doet KPN dit en niet de politie? Ik kan me voorstellen dat KPN op veel gebieden minder regels heeft dan de politie, en daarom bevalt het me niet dat zij zomaar even "data gaan vergaren."
In belgie bijvoorbeeld is het uitlokken verboden. Dus een afgesloten wagen met dure laptop open bloot mag de politie niet zomaar gebruiken om dieven te vangen. Dit is eigenlijk niet anders .
Er is een verschil tussen gerichte en ongerichte uitlokking.

Ik weet niet precies hoe het in BelgiŽ is, maar in Nederland is ongerichte uitlokking toegestaan (bijvoorbeeld het plaatsen van een afgesloten fiets in een fietsenstalling, en wachten tot deze gestolen wordt). Dat is namelijk niet gericht aan een specifiek persoon, en mag ook enkel als de situatie niet te uitnodigend is. Een lokauto mag dus wel gebruikt worden als die afgesloten op een parkeerplaats staat, maar niet als die met draaiende motor en open deur op de weg achtergelaten wordt zoals je in Amerikaanse series wel eens ziet.

Gerichte uitlokking is niet toegestaan. Bijvoorbeeld infiltreren in een organisatie, en daar iemand overhalen een overval te plegen.

Wat KPN hier doet, is dus ongerichte uitlokking. Ze zetten een server neer, die tussen alle andere servers op het internet niet perse opvalt. En ze wachten tot een willekeurig persoon daarop probeert in te breken.

Zie bijvoorbeeld:
http://www.rechtsvordering.nl/lokmiddelen
https://www.vanveen.com/artikelen/uitlokking-en-lokmiddelen/
Verschil is dat de server juist wťl opvalt tussen de andere servers omdat deze bekende lekken bevat en dus eerder onder gerichte uitlokking valt. Lijkt me een lastige scheidslijn.
Dat is inderdaad een lastige scheidingslijn. Een auto is simpel gezegd op slot of niet, en is te 'hacken' door een raampje in te slaan. Bij een computer is natuurlijk wat meer mogelijk. Als de ene service beveiligd is met een wachtwoord, kan de computer via andere services nog gewoon open staan, en kan ook de beveiligde service via een omweg (bug/hack) wellicht benaderd worden.

Of de server opvalt is ook voor discussie vatbaar. Een quote uit mijn tweede link:
Het criterium om ongerichte uitlokking toe te staan, is dat het lokmiddel de situatie ter plaatse niet wezenlijk verandert. Het lokmiddel, in dit geval dus de fiets, mag niet afwijken van wat ter plaatse normaal aan objecten aanwezig is. Op deze manier kan namelijk niet gezegd worden dat het plaatsen van het lokmiddel het gedrag van de dader aanmerkelijk heeft beÔnvloed. Het is dan min of meer toevallig, als de dader zich aan het lokmiddel vergrijpt en niet aan een object van een willekeurige derde.
Het internet staat natuurlijk vol met servers, dus dat is niet echt een afwijking. Ook zijn er vast voldoende servers (of thuiscomputers met bijv. winXP) met bekende lekken te vinden. Dus is deze aantrekkelijk genoeg om echt op te vallen? Dat is dus inderdaad een lastige scheidingslijn.
Maar ze zetten dus bewust een slecht beveiligde server neer waarvan bekend is dat er op die poorten, bugs en backdoors wordt ingebroken. Zou je het anders kunnen vergelijken door een type fiets met slot neer te zetten wat redelijk brak is, maar wel op slot maar voor fietsendieven de meest interessante optie?
Dat KPN die server er bewust neerzet weten de hackers natuurlijk (nog) niet als ze deze proberen te hacken. En dat die bewust lek is ook niet. Er zullen ook veel servers met internet verbonden zijn die bewust of onbewust dezelfde lekken bevatten.

De vergelijking met de fiets gaat denk ik al beter op, maar het is nooit helemaal goed met elkaar te vergelijken. Je bent in Nederland overigens niet eens verplicht je fiets op slot te zetten (hoewel je verzekering dat wel kan eisen). Het meenemen van een fiets zonder slot is evengoed diefstal. Een fiets zonder slot mag de politie dan weer niet als lokfiets gebruiken omdat dat te veel afwijkt tussen de andere fietsen. Maar KPN is niet de politie, en ze zouden dus best een server zonder beveiliging neer mogen zetten. Maar omdat servers, in tegenstelling tot een fiets, juist over het algemeen voor 'onbekenden' toegankelijk zijn is de vergelijking met een fiets (of ander fysiek object) lastig te maken.
Ik kan me voorstellen dat er misschien ook juist goed beveiligde servers worden neergezet waarbij de suggestie wordt gewekt dat er iets heel interessants te halen valt. Als je brakke fietsen met slechte sloten neerzet ga je alleen junks vangen, op een Ferrari met een geavanceerd alarmsysteem komen wat zwaardere criminelen af.
Tja. Gezien de belabberde beveiliging van het overgrote deel van het internet, lijkt me dat nu niet echt de situatie wezenlijk te veranderen.
Ik zie niet in waarom het uitlokking is.

Heel simpel als ik mijn auto ergens neer zet en niet op slot doe hoort iedereen daar gewon met zijn poten af te blijven.

Het is de wereld op zijn kop te stellen dat als je iets niet afsluit je aan het uitlokken bent.
Het feit alleen al dat je het over uitlokken hebt komt er op neer dat het schijn baar heel normaal is dat je mag verwachten als je een auto niet afsluit of er iets in laat liggen dat waardevol is dat je er vanuit moet gaan dat het gestolen kan worden.

Nogmaals je moet gewoon met je poten van andermans spullen afblijven.
als kpn een server niet patcht is dan hun keuze, als alle anderen wel gepatched zijn is dat geen uitlokking.
Een lokauto mag dus wel gebruikt worden als die afgesloten op een parkeerplaats staat, maar niet als die met draaiende motor en open deur op de weg achtergelaten wordt zoals je in Amerikaanse series wel eens ziet.
Dit laatste is net wat er virtueel gebeurt.
KPN zet verschillende honeypots in. Zo gaat het onder andere om honeypots met een lage interactie, ofwel systemen die er op afstand interessant genoeg uitzien om toch wat beter te kijken.
En ze brengen de personen in kaart.
Zo wordt bekend wie er wellicht geÔnteresseerd is in kwetsbare systemen.
Ik betwijfel of dit mag.
Als ik het me goed herinner was een honeypot in het verleden ook helemaal verboden.
Want je lokt iets uit je zet bewust een systeem op het internet dat niet gepatched is ipv een volledig gepatched systeem.

Edit: quote [/q[ typo

[Reactie gewijzigd door worldcitizen op 16 maart 2015 16:14]

Volgens mij is er een verschil tussen wat de politie mag doen en wat een prive persoon mag doen (of bedrijf)

Ik denk dat KPN dit wel mag doen. echter wat het daarna met deze gegevens gaat doen is een tweede.

als KPN aan de hand van deze ingezamelde gegevens hun beveiliging verscherpt op de punten die kwetsbaar leken te zijn, is hier niets mis mee.

Echter als KPN naar de officier van Justitie stapt om bepaalde personen te laten vervolgen dan heeft de officier van justitie nog steeds te maken met de voorwaarden van wat wel en niet gebruikt mag worden voor vervolging.
Want je lokt iets uit je zet bewust een systeem op het internet dat niet gepatched is ipv een volledig gepatched systeem.
Ik wist niet dat er een verplichting was dat je gepatchte servers moest uitrollen? Ook al doe je dit bewust, met zelfs nog het doel om kennis te vergaren, mag dit gewoon.

Ik mag mijn fiets onafgesloten op de dam neerzetten, een stoeltje pakken en gaan kijken wie mijn fiets wil stelen. Aantekeningetjes ervan maken, waarschijnlijk zelfs nog foto'tjes van nemen etc.... Waarom zou ik dit niet mogen? Mijn fiets, mijn tijd, mijn ding.

Ik mag niet als politieagent eenzelfde stunt uithalen om criminelen op te pakken. Dat is uitlokking.
Zoals Kurai Hoshi ook aangeeft, is dit een lastige scheidingslijn. Bij een computer kun je natuurlijk niet op afstand en wat dichterbij kijken. Je hebt verbinding, of je hebt het niet. Wat je met die verbinding doet is wat het verschil maakt. Even pingen zal niet zo'n probleem zijn. Maar verder? Mag je bijvoorbeeld op ftp inloggen als die per ongeluk open staat en daar geen wachtwoord op zit? Je mag in Nederland ook niet zomaar een woonhuis binnenlopen als de deur toevallig niet op slot is. Uit de quote van KPN is dus lastig te achterhalen waar 'op afstand interessant' en 'wat beter kijken' precies onder vallen.
Ben ik niet met je eens- huisvredebreuk treed pas op, als iemand na min. 2x vorderen geen aanstalten maakt om weg te gaan. Is het in de nacht, wordt het alweer anders. Als niet heel duidelijk is dat je niet binnen mag lopen, is het niet per se strafbaar om zomaar binnen te lopen, als een deur niet op slot zit.

Er zijn genoeg winkeltjes/boerderijen, waar je eerst door iemand zijn/haar gang loopt, de kamer door, voordat je in de verkoopruimte terecht komt. Bij niemand aanwezig, klop je even, roep je "volk?" en loop je door, totdat je in de shop bent. Er is niet echt een art. in het W.v.Sr. waarin het expliciet verboden is, om zomaar een huis binnen te lopen. Nachtelijke uren is iets anders, kan zelfs in de APV iets over staan, het begeven of binnen-gluren van na bepaalde tijden.
Mijn reactie had betrekking op het eerste gedeelte van je reactie: 'Dit laatste is net wat er virtueel gebeurt.' Waar bij een auto een deur open of dicht is, is dat bij een computer niet zo zwart/wit. Dat probeerde ik met mijn reactie duidelijk te maken.

Verder is KPN zover ik niet weet niet verplicht de systemen te patchen. Een systeem met lekken aan het internet hangen is niet direct uitlokking. Wel ben ik het met je eens dat het te betwijfelen is of het verzamelen van gegevens over wie er geÔnteresseerd is in de systemen wel mag. Afhankelijk van welke gegevens ze verzamelen/bewaren kunnen die gegevens mogelijk onder de wpb vallen.
er is niets mis met een honeypot als die niet dient voor gerechterlijke vervolging...

zelf heb ik ook een honeypot draaien; op mijn ftp kan je met alle accounts (SU, administrator, admin, ftp, god, ...) inloggen en uploaden zonder wachtwoord... ik zie soms nogal wat bizarre uploads verschijnen; maar de ťchte ftp server draait enkel op de sslpoort (995 als ik me niet vergis (ftps)) en daar werken de echte accounts... wie dus gťťn ssl gebruikt om te ftp'en ziet enkel een paar folders met bestanden die niet bestaan (het LIJKT of mijn windowsfolder geshared is; maar dat zijn dus dummy bestanden... het is daarom ook dat die uploaders in de honeypot regelmatig dll bestanden enzo uploaden in de hoop dat mijn server via de ftp besmet wordt... maar ze uploaden in een onzichtbare folder voor de ftp en kunnen achteraf niet zien wat er nog geupload is)
ik denk dan ook dat er regelmatig een "woot kijk windowsfolder shared op ftp!!!! roflolzmaniak" met daarna een teleurstelling dat het toch niet is wat het lijkt (na geupload te hebben en niets terug te vinden).

wat kpn doet vind ik goed, ze hadden het hier in belgie beter ook gedaan bij belgacom, dan hadden ze de gaten kunnen dichten dewelke de laatste jaren misbruikt zijn door de verschillende intelligence-diensten (onder andere gchq).

bovendien is dit geen uitlokking; men moet nog altijd naar de server toegaan, inloggen (meestal scripted) en dan handelingen uitvoeren... het is niet dat de server via een webpagina toegankelijk is en zonder wachtwoord oid je een vnc-scherm krijgt met SU of Admin-toegang en je dus zomaar ermee kan doen wat je wil.
Ook hoeft een honeypot helemaal niet 'ongepatcht' te zijn; dat is enkel interessant als je het verschil wenst te meten tussen gepatcht en ongepatcht om binnen te raken. Het is ook niet representatief; want welke patches ga je laten vallen? Hoe 'oud' moet de server zich voordoen dan?? de meeste bedrijven patchen alle kritieke patches; zij die niet patchen hebben meestal geen IT-Beheer.
zelf heb ik ook een honeypot draaien; op mijn ftp kan je met alle accounts (SU, administrator, admin, ftp, god, ...) inloggen en uploaden zonder wachtwoord... ik zie soms nogal wat bizarre uploads verschijnen; maar de ťchte ftp server draait enkel op de sslpoort (995 als ik me niet vergis (ftps)) en daar werken de echte accounts..
Dat is jouw keuze, maar IMO niet slim.
Jij bent verantwoordelijk voor wat op je server staat. Als iemand daar kinderporno of iets t.a.v. terroristische activiteiten opzet kun je een probleem hebben.
wat men upload is achteraf onzichtbaar, en kan dus niet door anderen worden gedownload....

ik kan wel zien wat er geupload wordt, en die 5 jaar dat die honeypot ondertussen openstaat heb ik nog nooit porno binnen gehad; zelfs geen fotootje...

wel tonnen exe's, een pakje zips en een redelijk aantal dll bestanden, ook inf bestanden en volledige drivers (achteraf fake gebleken met virussen erin)
Verder is KPN zover ik niet weet niet verplicht de systemen te patchen. Een systeem met lekken aan het internet hangen is niet direct uitlokking. Wel ben ik het met je eens dat het te betwijfelen is of het verzamelen van gegevens over wie er geÔnteresseerd is in de systemen wel mag. Afhankelijk van welke gegevens ze verzamelen/bewaren kunnen die gegevens mogelijk onder de wpb vallen.
Dat klopt zo wordt het in de huidige wereld helaas niet gezien.
Ik vind dat niet patchen een reden mag zijn waarom een hacker niet vervolgd wordt en net de gehackte vervolgd wordt.
Ookal mag het niet.
Het word door een bedrijf gebruikt om te leren wat hackers doen. Niet om de hackers zelf op te pakken.

Stel de politie zou het doen en iemand krijgt toegang tot de server en pakt ze dan op. Dat mag dus niet. Maar ze mogen wel gewoon kijken wat er gebeurd, en daarop hun systemen verbeteren.

Ander zou het illigaal zijn om voor jou een fiets niet op slot te doen.. dat slaat natuurlijk helemaal nergens op.
De politie mag je bij wijze van niet op pakken mocht je hem wel mee nemen.

Kortom, het mag hoe dan ook, echter of het gebruikt mag worden om die persoon aan te klagen, dat is weer een ander verhaal.
Stel de politie zou het doen en iemand krijgt toegang tot de server en pakt ze dan op. Dat mag dus niet. Maar ze mogen wel gewoon kijken wat er gebeurd, en daarop hun systemen verbeteren.
Ik ben geen jurist, maar ik betwijfel of dat niet mag. De politie mag niet uitlokken, maar een server aan het internet hangen is niet per definitie uitlokken. Als ze nu mailtjes naar hackers zouden sturen met de tekst 'Hey, kijk deze server eens open staan!' dan is het zeker uitlokking, en dat mag dus niet.
Het word door een bedrijf gebruikt om te leren wat hackers doen. Niet om de hackers zelf op te pakken.
Dat dat lijken sommigen te vergeten.

Het lijkt meer op een interessante fiets neerzetten met een slecht slot en vervolgens kijken welke gereedschappen er gebruikt worden om de fiets te stelen. Enkel om van te leren.

Het lijkt me eerlijkgezegd zelfs legaal als de politie dat zou doen met een fiets. Enkel om te kijken welke technieken gebruikt worden bij het verwijderen van het slot.

[Reactie gewijzigd door teun95 op 16 maart 2015 22:04]

Er is een verschil tussen wat een opsporingsinstantie mag doen (en wat later als bewijs mag worden gebruikt in het strafrecht) en wat een particulier bedrijf mag doen. Als KPN een open systeem aan het internet hangt (Windows XP met een ongepatchte SQL sever ofzo) dan is zij daar volkomen vrij in.
Klopt, ben ik met je eens. Mijn reactie was ook vooral gericht op het voorbeeld van de afgesloten auto. Overigens is KPN vrij om een lekke machine aan het internet te hangen (er is zover ik weet geen patch-verplichting), maar dat geeft hackers uiteraard geen vrijbrief om daarop in te breken.
Wat waarheid is in Amerika: De politie legt een portomone in een telefooncel (bv op een luchthaven), neem je de portomone mee, en ga je niet direct naar het dichtstbijzijnde politie bureau (wat daar natuurlijk niet ver vandaan zit), maar stel dat je direct door loopt naar buiten en de portomone in je zak steekt.

Dan pakken ze je gewoon op en ben je de sjaak. Dat is pure uitlokking.
Maar, zoals in het artikel staat, wordt dit niet gebruikt om dieven te vangen, maar alleen om te kijken hoe dieven proberen binnen te komen:
Hij benadrukt dat KPN de systemen alleen inzet voor informatievergaring, niet voor opsporing.
dit is compleet anders, dit is namelijk niet de politie, maar een commercieel berijd, dat haar eigen netwerk in de gaten houdt!
KPN is niet de politie dus is er geen sprake van uitlokking.
In Nederland is uitlokken ook verboden. Maar daar valt dit niet onder. Uitlokking in juridische kringen moet je denken aan hoe de Amerikanen handelen. "Wil je drugs kopen?" En ze dan oppakken voor drugsbezit.
Je mag natuurlijk zelf ook zo'n systeem neerzetten (er zijn best een paar tweakers die dat interessant vinden). Je kunt het alleen niet gebruiken om de criminelen aan te pakken, maar als dat niet je doel is...
Je mag natuurlijk zelf ook zo'n systeem neerzetten (er zijn best een paar tweakers die dat interessant vinden). Je kunt het alleen niet gebruiken om de criminelen aan te pakken, maar als dat niet je doel is...
Uiteindelijk dus wel, want ondanks dat je niet mag uitlokken, is de wetgeving best duidelijk.

"Hij die op enig manier toegang probeert te verkrijgen tot eigendommen niet de zijne, met behulp van ontvreemde of nagemaakte hulpmiddelen ...."
Zowel in het 'echt' als in de computersystemen MAG je niet inbreken, ondanks dat het afgesloten is of niet / nauwelijks.

Honeypot of niet, een rechter zal dit in de veroordeling zeker meenemen.
( zeker omdat je een degelijk betere verdediging zal moeten hebben, dan "maar het was open toegang" )
Je mag en kan zelf inderdaad zo'n systeem opzetten. Er bestaan al diverse kant en klare honeypots voor diverse besturingssystemen, maar je kan natuurlijk zelf ook wat knutselen.
Je kan dan niet direct criminelen vangen, maar wat je wel kan doen is alle informatie die je over de hacker verzamelt gebruiken om patronen achter een aanval te herkennen.
Wat nog veel gekker klinkt, maar zeker realiteit is, is dat je een profiel kan opstellen van elke individuele hacker aan de hand van het in kaart brengen van bijvoorbeeld zijn toetsaanslagen en typo's. Dit soort dingen worden nu al toegepast waardoor men niet alleen kan achterhalen waar hackers zich bevinden, maar zelfs individuele hackers op dezelfde locatie van elkaar kunnen onderscheiden.

Om nog eens terug te komen op het "Je kunt het alleen niet gebruiken om de criminelen aan de pakken"; er bestaan zelfs communities die threats bijhouden en de informatie hierover aanbieden, gewoon open source dus! Wie weet is het zelfs mogelijk om deel uit te maken van zo'n community.
De gang van zaken in grote bedrijven is nu vaak dat ze een aanval over zich heen moeten krijgen voor ze er iets tegen kunnen doen. Echter bestaan er ook dingen als Taxii(https://taxii.mitre.org/) waarmee informatie over threats tussen bedrijven kan worden gedeeld en bedrijven binnen enkele seconden al kunnen reageren op een aanval, enkel omdat een ander bedrijf vlak ervoor dezelfde aanval over zich heen heeft gehad.
Ik weet niet of er al zoiets bestaat voor individuŽn, maar dat zou zeker een leuke toepassing zijn;)
als jij een camera voor je deur hangt vergaar je ook een beeld van wie er bij jou in wil breken.
Sterker nog zet de deur op een kier en zorg dat de deur daarachter gesloten is en je kan op jou webcam zien wie er allemaal binnen wil komen en of komt.

Dat men data vergaart en het jou niet bevalt slaat dus gewoon nergens op. Dat is hetzelfde als ik zeg jij mag je camera niet voor je deur op je eigen grondstuk hangen want dat bevalt mij niet.
als jij een camera voor je deur hangt vergaar je ook een beeld van wie er bij jou in wil breken.
Sterker nog zet de deur op een kier en zorg dat de deur daarachter gesloten is en je kan op jou webcam zien wie er allemaal binnen wil komen en of komt.

Dat men data vergaart en het jou niet bevalt slaat dus gewoon nergens op. Dat is hetzelfde als ik zeg jij mag je camera niet voor je deur op je eigen grondstuk hangen want dat bevalt mij niet.
Zolang het je eigen grond is, waar je de opname van maakt, is het prima.
Maar zodra er ook maar een fractie openbare weg op te zien is, zul je te maken hebben met de wet op cameratoezicht.
In de meeste gevallen is alleen maar de schijn van opnames op de openbare weg al een issue, en zal je een aantal claims tegemoet kunnen zien om de camera weg te halen.

Ik ken een geval in het openbare cameratoezicht waar notabene bewoners van een pleintje ZELF vragen om cameratoezicht, en vervolgens bij de plaatsing claims indienen bij de gemeente want "de camera zou zomaar bij iemand binnen kunnen kijken"
Maar zodra er ook maar een fractie openbare weg op te zien is, zul je te maken hebben met de wet op cameratoezicht.
Onzin. Het gaat er om dat je zwaarwegend belang hebt bij het hoofddoel dat gefilmd. Bijvoorbeeld je auto die aan de straat staat en waar al een keertje is ingebroken. Leesvoer
Geen onzin, je komt in aanraking met de betreffende wetgeving.

Dat het uiteindelijk wel of niet is/wordt toegestaan ligt aan de behandeling van de case, en de daaruit vloeiende verwerking van de beelden.
Kpn is eigenaar en beheerder van haar eigen systemen.

De informatie die KPN verzamelt is bedoeld om ervoor te zorgen dat KPN minder kwetsbaar wordt voor hacks, zodat vage bedrijfjes/criminelen dbhuis' lokatie permanent kunnen volgen via het kpnnetwerk.

[Reactie gewijzigd door nul07 op 16 maart 2015 14:44]

Ze vergaren data op een eigen systeem.
Als ik jou deur probeer open te breken mag jij toch ook zelf bekijken wat ik geprobeerd heb?
Ik lees in het artikel nergens dat de Politie dat niet doet.

Dit is een verstandige stap van KPN, al komt het een jaar of 15 te laat. Door zelf onderzoek te doen ben kun je net wat sneller reageren dan wanneer je informatie van derden af moet wachten.

edit: voor wat betreft je opmerking "data vergaren": dit zijn geen systemen waar je als consument of bedrijf op terecht komt wanneer je wil inloggen om te telebankieren. Hier moet je echt actief naar op zoek zijn om ze te vinden.

[Reactie gewijzigd door guapper op 16 maart 2015 14:39]

Een jaar of 15 te laat? Ik denk niet dat veel bedrijven dit doen, laat staan al 15 jaar.
Als je een netwerk beheert, en je wil weten met wat voor bedreigingen je te maken hebt, is een honingpot altijd al interressant geweest als studie object. Daar kun je expirimenteren, iets wat je op je serieuze netwerk niet kunt.
Duh!? Ik zeg alleen: denk niet dat veel bedrijven dit gedaan hebben. Security is pas het laatste jaar echt flink in de picture geweest, etc.
Dus 15 jaar te laat is gewoon zwaar overdreven.
Beetje vals van je.
KPN bekijkt met een 'camera' wat er gebeurt als er een 'auto' op hun besloten parkeerplaats wordt benaderd.

De politie komt pas aan de orde als er werkelijk een inbraak is. (en soms als er een poging tot, is)
Omdat KPN misschien hier meer ervaring mee heeft? En omdat de systemen van hun zijn en niet van de politie.

[Reactie gewijzigd door AnonymousWP op 16 maart 2015 14:41]

Omdat KPN belang heeft bij het weten hoe hackers binnenkomen om hun eigen netwerk beter te kunnen beveiligen, en de politie graag de hackers wil pakken (en vaak achter de feiten aan loopt).

En ze gaan niet "zomaar even data vergaren". Ze gaan specifiek kijken naar de werkwijze van hackers. En dan ook nog eens op door henzelf ingerichte honey-pots. Ik snap best dat het erg populair is om dit soort uitspraken te doen omdat "privacy" een buzzword is tegenwoordig, maar dat heeft helemaal niks te maken met dit onderwerp.

Dat is net zoiets als roepen dat de politie geen lokfiets mag inzetten omdat het inbreuk zou maken op jouw privacy.
[quote]"Waarom doet KPN dit en niet de politie? Ik kan me voorstellen dat KPN op veel gebieden minder regels heeft dan de politie, en daarom bevalt het me niet dat zij zomaar even "data gaan vergaren." ['/quote]

Wat bedoel je, 'zomaar'? Mensen die bij bedrijven aan de sloten gaan lopen morrelen kunnen rekenen op wat aandacht ja. Beetje gek om zodra een bedrijf aankondigt dat ze willen weten wie er op wat voor manier probeert bij ze in te breken te gaan klagen over dat ze 'zomaar' aan privacyschending doen.
Het verschil is dat KPN ze gaat gebruiken om op de hoogte te blijven van de nieuwste technieken die kwaadwillenden gebruiken, niet om boeven op te sporen.
Ze benadrukt dat KPN de systemen alleen inzet voor informatievergaring, niet voor opsporing.
art. 47 lid 1 sub 2 Sr – Uitlokken van een strafbaar feit...

bron: http://nl.wikipedia.org/wiki/Deelneming_%28misdrijf%29
art. 47 lid 1 sub 2 Sr – Uitlokken van een strafbaar feit...

bron: http://nl.wikipedia.org/wiki/Deelneming_%28misdrijf%29
- Van uitlokking is sprake als iemand een ander aanzet tot het plegen van een delict, waarbij die ander wel zelf verantwoordelijk is voor zijn daden. -

Er is niet direct uitlokking, er wordt nergens gesteld "je moet dit, of dat doen"
Er staat een server 'open' waar je geen toegang toe hebt ( onder normale omstandigheden ) dus degene die er in probeert te komen, pleegt ZELF het misdrijf.

* FreshMaker heeft ooit geleerd het verschil tussen mijn, en dijn ....
Je blijft van andermans spullen af, en als er iets mee mis is, waarschuw je de eigenaar.
Mijn buurman vergeet regelmatig zijn auto af te sluiten, moet ik dan maar met zijn cabrio gaan rijden, omdat hij het uitlokt ?
Ik heb de wet niet gemaakt, interpertatie is aan de rechter, toch zie ik het feit, een server met opzet niet goed gepatched te hebben, als risico om als uitlokking beschouwd te worden. Net zoals een bedrijf verantwoordelijk gesteld kan worden voor data welk gestolen is bij een hack, waarbij het bedrijf niet voldoende heeft ingezet deze te beveiligen.

Persoonlijk vind ik het een actie die zeker veel informatie kan geven, maar er zijn altijd advocaten die iets kunnen met dit artikelen... vandaar.

[Reactie gewijzigd door kritischelezer op 17 maart 2015 01:03]

Unrelated thought: Als ik een honeypot opzet, zou ik daaruit kunnen leren wat voor exploits er gebruikt worden en die vervolgens zelf toepassen om andere mensen aan te vallen?
Over het algemeen gedeeltelijk. Een honeypot "emuleert" vaak een aantal kwetsbaarheden. Met andere woorden; je lokt een aantal (pogingen tot) exploits uit. Dit doe je doorgaans op een manier die niet te erg voor de hand ligt zodat de honeypot langere tijd interessant blijft. De daadwerkelijke exploits werken natuurlijk niet hoewel het effect voor de gebruiker wel natuurgetrouw over moet komen.
Een linux machine aan het net hangen en iptables loggen. Krijg je al een pak aanvallen te zien. Genoeg om het nut van iptables te zien :-)

Het gaat natuurlijk over complexere aanvallen dan puur tests.
Dat hangt van veel factoren af. Als bij jou net diť ene patch ontbreekt die bij iemand wel is geÔnstalleerd, kan het zijn dat een exploit al niet meer werkt. Daarom altijd eerst een "Reconnaissance" fase, waarin je eerst kijkt wat voor kwetsbaarheden je ZOU kunnen gebruiken, alvorens tot de daadwerkelijke actie over te gaan. Als iemand een goede firewall gebruikt, en niet een patch heeft, zou jouw exploit kunnen werken. Maar de firewall zou hem al wel kunnen detecteren, dus werkt jouw exploit alsnog niet.

Concreet antwoord op jouw vraag: Ja, maar hangt van zeer veel factoren af.
Ook slim van ze het vast aan te kondigen. PotentiŽle hackers gaan met een grote boog om potentieel kwetsbare systemen heenlopen, omdat ze denken dat het een honey pot is.
Een onkwetsbaar systeem (voor zover dat kan) is toch compleet nutteloos :-) Ik neem aan dat ze het niet onder ip.kpn.nl zullen lopen ...
Misschien is dat het doel wel, van deze bekendmaking.

Het niveau van deze artikelen is nogal treurig namelijk. Gewoon niet heel erg high-tech (maar houtje-touwtje).
Bedrijven achter virusscanners sluiten ook "honey pots" op het Internet voor onderzoek en herkennen van nieuwe virussen. Een documentaire dat ik eerder zag op tv lieten ze dat zien. Er werd gewoon een Windows systeem ongepatch op het Internet aangesloten: zonder bescherming en alle poorten open. Die worden na een tijdje weer eruit gehaald en onderzocht in een laboratorium.

[Reactie gewijzigd door robertpNL op 16 maart 2015 14:54]

Een honeypot is al tijden geen osbsuur iets meer. Meerdere bedrijven hebben dit soort systemen om mogelijke inbraken te identificeren maar ook om aanvallers van de echt interessante systemen weg te locken. Een beetje honey pot houdt de aanvaller langere tijd geÔnteresseerd en biedt alarmering / logging op basis waarvan andere systemen beschermd kunnen worden. Er zijn ook gewoon opensource projecten beschikbaar om zelf een dergelijk systeem op te zetten. Let wel dat dit een juridisch grijs gebied is wanneer je dit bijvoorbeeld aan het publieke Internet gaat hangen.
Voor de geÔnteresseerde die wat meer achtergrond willen.

Tijdens de Chaos Computer Club (CCC) conferentie van afgelopen december wordt in twee praatjes duidelijk uitleg gegeven over de kwetsbaarheden SS7 (the global telecommunications backbone network) door Tobias Engel en Karsten Nohl. Ook laten zij de mogelijkheden zien om telefoons te vinden, volgen en manipuleren:
https://www.youtube.com/watch?v=lQ0I5tl0YLY
https://www.youtube.com/watch?v=GeCkO0fWWqc
Kun je dit bijvoorbeeld ook zelf doen ? http://kojoney.sourceforge.net/ bijvoorbeeld ?
Kun je dit bijvoorbeeld ook zelf doen ? http://kojoney.sourceforge.net/ bijvoorbeeld ?
Natuurlijk kan je dit zelf ook doen. KPN heeft alleen wel iets meer geld/bandbreedte/resources om dit te doen. Daarbij, stel dat iemand illegale activiteiten gaat bezigen op zo'n honeypot (spam, warez, ddos, etc) dan ben je als particulier mogelijk wel de sjaak. KPN kan daar wat makkelijker mee omgaan.

Volgens Wikipedia heeft KPN zich juist weer uit de ICT-dienstverlening teruggetrokken. Ik vind dit dan ook een opvallende zet.
Tsja.... wikipedia...
Voor zover ik weet zit KPN volop in de ICT dienstverlening.

En verder, de samenwerking met de andere partners die het in het artikel genoemde report mede samenstelden zal niet alleen maar op het gebied van MS-Word gebruik geweest zijn ;-)
Kippo is een honeypot die prima draait op een Raspberry Pi. Port 22 forwarden en klaar.
Erg grappig om te zien wie je vast bezoekers zijn en welke standaard-combinaties vaak gebruikt worden.
Uitlokking is niet toegestaan toch?...
Ten eerste, als je een volledig afgesloten auto in een slechte buurt neerzet waar zichtbaar een iPad in ligt (zulke dingen heeft Powned gedaan met het programma Powlitie), dan is dat geen uitlokking. Uitlokking is het pas als je dingen doet waardoor iemand een misdaad begaat die dat anders waarschijnlijk niet had gedaan. Out of the blue "eej, fiets kopen?" zeggen en dan arresteren als iemand wil, dat is uitlokking.

Servers waar het hier om gaat zijn gewoon systemen die bewust geen perfecte beveiliging hebben. Het is niet zo dat je een mailtje krijgt "hee, ik heb deze server gevonden, kan je makkelijk hacken!" (dat zou wel uitlokking zijn).

Nog belangrijker: uitlokking an sich mag wel. Je mag het alleen niet gebruiken bij het vervolgen van mensen. Dus je mag best met je (eigen) fiets de straat op en mensen vragen of ze voor 5 euro je fiets willen kopen. Je kan instemmers op basis daarvan alleen niet veroordelen. Dus ja, KPN mag best lekke servers opzetten. KPN zou zelfs mailtjes rond mogen sturen dat er een lekke server is die lekker misbruikt kan worden. Alleen kan je op basis daarvan niet vervolgen.
Jaya Baloo is een dame overigens... "verklaart dat zijn bedrijf er ook mee"
Die Feedback knop staat niet voor niets bij het artikel.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True