KPN staakt uitgifte certificaten na ontdekking verdachte sporen

KPN heeft vrijdag in allerijl besloten de uitgifte van certificaten te staken nadat duidelijk werd dat een van de webservers van het voormalige Getronics mogelijk misbruikt was. Volgens KPN is de server geprepareerd voor een ddos-aanval.

KPN heeft een externe partij opdracht gegeven de logfiles van de server verder te analyseren. De mogelijk gecompromitteerde webserver is inmiddels vervangen. Volgens KPN heeft het bedrijf tijdens een controle sporen gevonden dat de server mogelijk is geprepareerd voor een ddos-aanval. Het is niet bekend of die aanval daadwerkelijk is uitgevoerd via de server van het bedrijf.

De sporen werden ontdekt tijdens een onderzoek. "In het licht van de recente ontwikkelingen rondom de veiligheid van websites, digitale loketten en internetcertificaten zijn door KPN en door externe partijen extra onderzoeken verricht, waarbij op een steeds dieper niveau is geanalyseerd", aldus KPN in een vrijdagmiddag uitgegeven verklaring. "Tijdens zo’n onderzoek zijn in de server van de website waar bedrijven terecht kunnen voor informatie over certificaten, sporen ontdekt die zouden kunnen duiden op misbruik, vier jaar geleden."

Het telecombedrijf zegt geen aanwijzingen te hebben dat de productie-omgeving van de certificaten is gecompromitteerd, maar zegt het ook nog niet volledig uit te kunnen sluiten. Het onderzoek moet hier meer uitsluitsel over geven. Reeds uitgegeven certificaten, waaronder de recent uitgegeven certificaten voor DigiD na het DigiNotar-debacel, blijven vooralsnog geldig. KPN heeft naar eigen zeggen enkele honderden certificaten uitgegeven. Bedrijven die een certificaat hadden aangevraagd, worden over de ontwikkelingen geïnformeerd.

Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en overheidsautomatiseerder Logius zijn nauw betrokken bij het onderzoek, dat de komende dagen zal worden uitgevoerd. De uitkomsten van het onderzoek worden in de eerste helft van volgende week verwacht.

Eerder ontstond veel ophef toen bleek dat aanvallers er via het Beverwijkse bedrijf DigiNotar in waren geslaagd valse certificaten uit te geven. Een Iraanse hacker kraakte dit jaar de Nederlandse ssl-autoriteit DigiNotar en wist daardoor honderden vervalste certificaten aan te maken. De kritiek op het handelen van DigiNotar was groot en het bedrijf ging uiteindelijk failliet.

Securitybedrijven pleiten als reactie op de problemen voor beveiligingsstandaarden. Verder denkt het Nederlandse parlement na over de oprichting van een zogeheten 'ict-brandweer'.

Door Wilbert de Vries

Feedback • 04-11-2011 17:35 44

04-11-2011 • 17:35

44

Lees meer

Certificaatautoriteit ANSSI verstrekte vals Google-certificaat
Certificaatautoriteit ANSSI verstrekte vals Google-certificaat Nieuws van 8 december 2013
Ministerie: DigiD is weer ddos-vrij
Ministerie: DigiD is weer ddos-vrij Nieuws van 2 mei 2013
PvdA wil digitale loketten gemeenten centraal hosten
PvdA wil digitale loketten gemeenten centraal hosten Nieuws van 3 april 2013
Overheid haalt DigiD offline vanwege ernstig beveiligingsprobleem - update
Overheid haalt DigiD offline vanwege ernstig beveiligingsprobleem - update Nieuws van 9 januari 2013
Verdachte KPN-hack vrijgelaten maar hij mag niet internetten
Verdachte KPN-hack vrijgelaten maar hij mag niet internetten Nieuws van 2 mei 2012
Politie arresteert zeventienjarige verdachte KPN-hack
Politie arresteert zeventienjarige verdachte KPN-hack Nieuws van 26 maart 2012
KPN: 450 schadeclaims ingediend bij meldpunt
KPN: 450 schadeclaims ingediend bij meldpunt Nieuws van 16 februari 2012
'Hack bij KPN kinderlijk eenvoudig door verouderde software'
'Hack bij KPN kinderlijk eenvoudig door verouderde software' Nieuws van 9 februari 2012
KPN haalt site Gemnet offline na beveiligingsprobleem - update
KPN haalt site Gemnet offline na beveiligingsprobleem - update Nieuws van 8 december 2011
Fox-IT: elf gegenereerde RSA 512-certificaten al lang misbruikt
Fox-IT: elf gegenereerde RSA 512-certificaten al lang misbruikt Nieuws van 22 november 2011
Overheid stapt over op opensource-vpn-pakket
Overheid stapt over op opensource-vpn-pakket Nieuws van 22 november 2011
KPN hervat uitgifte van certificaten aan nieuwe klanten
KPN hervat uitgifte van certificaten aan nieuwe klanten Nieuws van 16 november 2011
Terrorismebestrijder: reactie overheid op DigiNotar niet adequaat
Terrorismebestrijder: reactie overheid op DigiNotar niet adequaat Nieuws van 15 november 2011
KPN begint voorzichtig weer met uitgeven certificaten
KPN begint voorzichtig weer met uitgeven certificaten Nieuws van 9 november 2011
Overheid zoekt Directeur Cyber Security
Overheid zoekt Directeur Cyber Security Nieuws van 5 november 2011
Vasco ziet winst flink afnemen door DigiNotar-faillissement
Vasco ziet winst flink afnemen door DigiNotar-faillissement Nieuws van 27 oktober 2011
Kroes wil meldplicht en richtlijnen na DigiNotar-blunder
Kroes wil meldplicht en richtlijnen na DigiNotar-blunder Nieuws van 20 oktober 2011
Roep om standaard voor securitybedrijven die voor overheid werken
Roep om standaard voor securitybedrijven die voor overheid werken Nieuws van 19 oktober 2011
Tweede Kamer wil 'ict-brandweer'
Tweede Kamer wil 'ict-brandweer' Nieuws van 14 oktober 2011
Nederlandse hackers willen meer bevoegdheden voor Govcert
Nederlandse hackers willen meer bevoegdheden voor Govcert Nieuws van 15 september 2011
Meer producten en artikelen
Netwerk en systeembeheer KPN Beveiliging

Reacties (44)

-Moderatie-faq
44
40
21
5
0
3
Wijzig sortering

Sorteer op:

Weergave:
roeptoetert 4 november 2011 21:10
Dit zegt meer over de toenmalige kwaliteit van Getronics (nog net geen vier jaar geleden door KPN overgenomen) dan over KPN. Als je niet weet waar je naar moet zoeken, ga je het ook niet vinden.

Na het gedoe met Diginotar ligt dat heel anders. Elke certificatenboer (en ik hoop ook de niet-certificatenboeren) zijn heel hard wakker geschud en zijn min of meer verplicht om hun ICT tot op de onderste lagen door te lichten. En KPN doet dat nu, heeft een probleem ontdekt (waarvan nog niet eens vaststaat dat het impact heeft over de betrouwbaarheid van certificaten) en communiceert daar luid en duidelijk over. Waarvoor hulde.

Wat ik eigenlijk het meest zorgelijke vind is dat bedrijven blijkbaar hun eigen ICT aan het onderzoeken zijn volgens zelf bedachte standaarden. En niet volgens een onafhankelijk internationaal verplicht audit-traject. Dus elke certificatenboer keurt zijn eigen vlees en je mag hopen dat over problemen eerlijk gecommuniceerd wordt.

Diginotar was slechts een waarschuwingsschot. Het is wachten op de eerste echte ramp.
sarcast @roeptoetert4 november 2011 22:29
Er waren aanwijzingen dat in het middenoosten mensen zijn gedood als gevolg van communicatie die niet die meer secure was.

'Waarschuwingsschot' voor wie precies?
Batje4 @roeptoetert5 november 2011 07:12
Het zou ook nog het voormalige Gemnet kunnen zijn ipv Getronics. Gemnet geeft ook certificaten uit. Is ongeveer vier jaar geleden overgenomen van de Vereniging Nederlandse Gemeentes.
Keypunchie
4 november 2011 17:44
Vier jaar lang logs bewaren. Dat is vrij opmerkelijk. Helemaal als je nagaat dat een niet ongebruikelijke afschrijftermijn voor de hardware zelf 3 jaar is.

Overigens dat een webserver gecompromitteerd is, wil vaak nog niks zeggen over allerlei gerelateerde systemen. (Dit maakt het ook weer logisch dat de server niet vervangen is in de tussentijd. Van een webservertje, die alleen maar de HTML serveert, wordt doorgaans niet zo veel gevraagd, dus dan kun je ook wel met een ouder bakkie toe. Wel software updaten natuurlijk!)

Een webserver is vaak puur een interface met buiten. De omgeving die daadwerkelijk certificaten uitgeeft, zoals de applicatieservers en databaseservers zijn vaak weer op veel manieren geisoleerd, met bijvoorbeeld ook weer eigen netwerken, eigen firewalls, eigen wachtwoorden, etc.

Tenminste, als je een klein beetje je beveiliging serieus neemt, en niet alles op zijn Diginotar aanpakt.

[Reactie gewijzigd door Keypunchie op 24 juli 2024 12:49]

Whieee Moderator Apple Talk @Keypunchie4 november 2011 18:48
Vier jaar lang logs bewaren. Dat is vrij opmerkelijk. Helemaal als je nagaat dat een niet ongebruikelijke afschrijftermijn voor de hardware zelf 3 jaar is.
Een goede sysadmin zorgt er dan ook voor dat logs niet op de server zelf bewaard worden, maar centraal. Dat maakt het analyseren van de logs en het correleren van data ook stukken makkelijker. Daarnaast kan je logs die op een potentieel gecompromitteerde server absoluut niet vertrouwen.

Verder vind ik het een nette reactie van KPN.
CyBeR @Keypunchie4 november 2011 22:09
Vier jaar lang logs bewaren. Dat is vrij opmerkelijk.
Inderdaad. Ik denk ook niet dat 't uit logs kwam maar dat ze sporen hebben gevonden met timestamps eraan.
Helemaal als je nagaat dat een niet ongebruikelijke afschrijftermijn voor de hardware zelf 3 jaar is.
De belastingdienst wil graag dat we vijf jaar met computers doen. Voor sommige situaties onrealistisch maar in dit geval denk ik 't niet.
TDeK
@Keypunchie5 november 2011 01:43
Een tijdje terug gingen er al wat geluiden over een sysadmin die een gehackte machine onder de pet moest houden van hogerhand. Geen idee wat er van waar is, maar omdat er hier gesproken wordt over een langdurige hack, zou het best eens kunnen.
https://secure.security.n...ehackte_servers_stil.html
Verwijderd 4 november 2011 17:54
4 jaar geleden, lekker op tijd ook. Goed dat ze het uiteindelijk gevodnen hebben.

Vraag me dan toch ook af of ze niet iets van IDS ofzo hebben, lijkt me wel zo handig.
Soldaatje @Verwijderd4 november 2011 18:32
Dat zit meestal in de router, en verder kan je tegen ddos niet zoveel doen; je router beschermt je achterliggende servers maar je link raakt toch vol zodat normale gebruikers toch geen service meer hebben. Je kan niet beïnvloeden wat en hoeveel data ddosers naar je sturen.

Een ddos is vervelend maar geen reden tot paniek, gehackte servers en valse certificaten wel. Een beetje router gaat niet kapot door een ddos dus zie de paniek niet echt.
mr_obb @Soldaatje4 november 2011 19:19
De server zelf is niet geddost, maar zo geprepareerd dat hij kan bijdragen aan een DDOS-aanval.
dusti 4 november 2011 19:24
"Tijdens zo’n onderzoek zijn in de server van de website waar bedrijven terecht kunnen voor informatie over certificaten, sporen zijn ontdekt die zouden kunnen duiden op misbruik, vier jaar geleden."
4 jaar, 4 JAAR, hoe kan je jezelf als isp nog serieus nemen als je pas na 4 jaar ontdekt dat er iets mis is met een systeem. Als je regelmatig server goed onderhoud geeft controleer je toch ook altijd de logfiles en zoek je naar sporen van inbraak?

Doet mij denken aan een sysadmin zo'n 10 jaar geleden die wist dat zijn server gehacked was maar dat niet erg vond want de hacker hield het systeem up2date.

Toch goed dat er nu goede security-audits gebeuren en dat ze hun systemen eindelijk opschonen.
CyBeR @dusti4 november 2011 22:12
[...]


4 jaar, 4 JAAR, hoe kan je jezelf als isp nog serieus nemen als je pas na 4 jaar ontdekt dat er iets mis is met een systeem. Als je regelmatig server goed onderhoud geeft controleer je toch ook altijd de logfiles en zoek je naar sporen van inbraak?
Wel, de meeste haxx0rers proberen zichzelf te verstoppen en als een machine niets vreemds lijkt te doen is 't soms verdomd lastig om erachter te komen...
PeterThePirate 4 november 2011 17:53
Wel goed om te lezen dat kpn bezig is om alles door te lichten op het gebied van beveiligings issues en dat ze steeds dieper "graven".

Dit geeft wel aan dat ze serieus bezig zijn met hun beveiliging.
AlBundy 5 november 2011 00:05
Getronics is altijd al zo'n verschrikkelijke faal geweest dat KPN ongetwijfeld nog een hele hoop meer problemen gaat tegenkomen of allang gevonden heeft in hun systemen.

Er zou ook eerst sprake van zijn geweest dat KPN zijn naam zou gaan veranderen naar Getronics, maar uiteindelijk is toch besloten dit niet te doen, omdat het merk Getronics niet zo betrouwbaar bleek als het merk KPN. Vond het nogal vreemd dat hier onderzoek voor nodig was, want iedereen wist dat eigenlijk wel :')
bones @AlBundy5 november 2011 08:03
Inderdaad, denk dat kpn wel spijt krijgt van het overnemen van getronics. Zou me niks verbazen als ze het werk afstoten. Kpn is immers hoofdzakelijk een telecom bedrijf, en geen hardware boer.
still_the_same 4 november 2011 17:45
ik begrijp de zin:Volgens KPN is de server geprepareerd voor een ddos-aanval. niet helemaal. Is deze server gehacked en wilde ze er een DDOS mee uitvoeren of is er op de server een DDOS uitgevoerd of is er indicatie geweest dat er een DDOS op de server uitgevoerd ging worden.
Keypunchie
@still_the_same4 november 2011 17:47
Dat eerste. Blijkbaar is iemand door een scan van de logs iets opgevallen wat nu herkend wordt als entries van bvb. malware.

Beetje raar dat dat 4 jaar onopgemerkt is gebleven, maar misschien dat er nu pas een dusdanig grondige audit is gedaan. Of dat dit log hiervoor nooit automatisch werd gescand en een beheerder nu toevallig iets zag.
SuperDre 4 november 2011 21:34
hahahaha, hier kan ik dus echt van in een deuk liggen.. juist omdat het dus voor eind juni volgend jaar alle certificaten van diginotar die voor de belastingdienst gebruikt worden dus vervangen diende te worden door die van KPN/G, maar nu staan die certificaten dus ook al ter discussie.. Dat wordt weer dikke lol...
Spookie @SuperDre4 november 2011 21:41
Dat doen ze uit voorzorg ;-)! Wees blij het was pas echt erg geweest als dit NIET gebeurt was en hier GEEN actie was op uit gezet
dimocash 4 november 2011 17:42
als de externe partij maar geen mindtree is....
de ervaring met hun leert dat je dan verder van huis bent
Verwijderd @dimocash4 november 2011 22:12
Hahahaha Mindtree... O+
InFrA-WiZ 4 november 2011 18:50
Beter laat dan nooit :)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq