Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 12 reacties

KPN begint weer voorzichtig beveiligingscertificaten uit te geven. Alleen huidige klanten kunnen echter certificaten aanvragen; nieuwe klanten moeten nog even wachten. Vrijdag stopte KPN om veiligheidsredenen met de uitgifte.

Vrijdag werd bekend dat een van de webservers van het voormalige Getronics mogelijk misbruikt was en dat KPN de uitgifte van beveiligingscertificaten stopzette. Op de getroffen server was code aangetroffen die mogelijk voor een ddos-aanval kon worden gebruikt. De server werd meteen vervangen, maar uit voorzorg werd een externe audit uitgevoerd voordat de uitgifte werd hervat.

Uit die audit blijkt dat de systemen 'geheel veilig' zijn, schrijft KPN. Bestaande klanten kunnen nu weer nieuwe certificaten aanvragen en bestaande certificaten weer beheren. Nieuwe klanten kunnen dat nog niet; de website waar zij terechtkunnen, wordt nog onderworpen aan 'extra tests' en moet begin volgende week weer online komen.

Aanvankelijk zei KPN niet te kunnen uitsluiten dat de omgeving voor het aanvragen van certificaten was getroffen, maar dat lijkt dus niet zo te zijn. "Tijdens zo’n onderzoek zijn in de server van de website waar bedrijven terechtkunnen voor informatie over certificaten, sporen ontdekt die kunnen duiden op misbruik, vier jaar geleden", schreef het bedrijf vrijdag.

Het is niet duidelijk of de getroffen server daadwerkelijk is misbruikt voor een ddos-aanval en waarom het vier jaar duurde voordat KPN achter het mogelijke misbruik kwam. Het mogelijke beveiligingsprobleem aan het licht bij een externe audit, die op initiatief van de overheid bij KPN werd uitgevoerd. Het onderzoek werd onder meer begonnen naar aanleiding van het DigiNotar-incident, waarbij een Beverwijkse certificaat-autoriteit na een hack honderden valse ssl-certificaten uitgaf. Waarom het mogelijke probleem pas na vier jaar aan het licht kwam, is onduidelijk.

Moderatie-faq Wijzig weergave

Reacties (12)

4 Jaar oude sporen??? Sjonge... Ach, ik heb vaak met KPN te maken gehad op zakelijk gebied en ken de IT dienst daar, dus eigenlijk zou het me niet eens moeten verbazen... Dikbetaalde systeembeheerders die niet eens wisten hoe ze een proxy in IE moeten instellen... Ben blij dat ik daar nu niet meer mee hoef te werken...

Toen ze ooit op een thuisservertje van mij een pubstro aan het bouwen waren, kwam ik daar eigenlijk direct achter... Heb ze rustig hun gang laten gaan, tot ze klaar waren met uploaden van de nieuwste spellen en films... Toen alle zooi verhuist naar een andere dir en een leuk bedank-berichtje achter gelaten... ;)
Net zoals zoveel dingen vind ik dat je hier op twee manieren naar kan kijken.

We kunnen de focus leggen op het feit dat KPN 4 jaar lang bepaalde sporen van hacking niet heeft kunnen ontdekken. We kunnen ook duidelijk maken dat KPN dit nu ontdekt heeft omdat zij het gehele IT landschap (waarschijnlijk) aan een grondige scan hebben onderworpen na het Diginotar drama.

De perikelen van de afgelopen maanden hebben verschillende organisaties ertoe gezet om goed te kijken naar het IT landschap ter ondersteuning van certificaat uitgaves en het aanmaken van deze certificaten. Ik vind het noemenswaardig dat men bij KPN in ieder geval heeft besloten om deze informatie naar buiten te brengen, in plaats van dit maanden onder de pet te houden, met alle mogelijke gevolgen van dien.

Hopelijk heeft dit alles tot resultaat dat men goed gaat nadenken over de security van dergelijke omgevingen, waarbij een periodieke (inhoudelijk) audit geintroduceerd wordt. Maar we weten als IT'ers ook allemaal dat een audit niet wil zeggen dat iets ook gelijk goed is. Een fout is zo gemaakt en je kijkt zo ergens overheen.

[Reactie gewijzigd door Prx op 9 november 2011 11:18]

We kunnen ook duidelijk maken dat KPN dit nu ontdekt heeft omdat zij het gehele IT landschap (waarschijnlijk) aan een grondige scan hebben onderworpen na het Diginotar drama.
FOUT

die kwam er enkel doordat de overheid hierachter heeft gevraagd, met andere woorden: Als het van KPN had afgehangen, dan hadden ze die audit nooit gedaan en waren de sporen niet ontdekt
Dat zijn aannames. Wie weet had KPN dit ook gedaan als de overheid daar niet naar had gevraagd.
En om welke reden vraagt de overheid dit aan KPN?
Omdat KPN (of eigenlijk Getronics, maar die naam word uitgefaseerd), een van de weinige partners van de overheid is voor certificaten.
Uit mijn hoofd waren dit alleen Diginotar en Getronics, dit kunnen er een paar meer zijn, maar niet heel veel in ieder geval.
Dat onder de pet houden is desastreus voor een bedrijf dat handelt in vertrouwen wanneer het alsnog naar buiten komt.
Dat is ook de grote fout van diginotar geweest, als ze direct aan de bel hadden getrokken en aan de slag waren gegaan, hadden ze nu nog gewoon werk gehad.
Het gaat in een dergelijk geval niet om het probleem, maar om de oplossing.

Daarom is het niet echt noemenswaardig, ze hebben recent zelfs een voorbeeld gehad hoe het niet moet.
Welke reden dan ook dat er nu een audit is uitgevoerd, is het slecht dat zo iets niet wekelijks, maandelijk of jaarlijks plaats vindt.

Dit wil dus wel stellen dat deze server al 4 jaar misbruikt had kunnen zijn. En dit is misschien een wake-up call, maar veelal gebeurd dit nog een of twee keer om vervolgens als vanouds verder te gaan.
Kan het niet eerder zo zijn dat dit lek "een erfenis" is uit de periode van voor de overname van Getronics door KPN? De overname was namelijk in 2007. http://nl.wikipedia.org/wiki/Getronics
En wat maakt dat uit? Denk je dat KPN bij de overname direct de hele organisatie aan de kant heeft geschoven bij Getronics?
De naam is puur een 'merknaam', dat staat los van de organisatie.
"Tijdens zo’n onderzoek zijn in de server van de website waar bedrijven terechtkunnen voor informatie over certificaten, sporen ontdekt die kunnen duiden op misbruik, vier jaar geleden"

En vier jaar geleden dan?
Ik geef KPN hier het voordeel van de twijfel, al zou het fijner zijn als ze bekend maken wat ze precies hebben gevonden en hoe ze het verklaren.

Ik kan het ze niet kwalijk nemen dat ze nu sporen ontdekken die ze eerder over het hoofd hebben gezien. Beveiliging is geen exacte wetenschap. Een bedrijf als KPN heeft zo veel informatie dat ze nooit alles kunnen volgen. Dat er dus nog steeds nieuwe sporen gevonden kunnen worden verbaasd me niks, we vinden ook nog steeds archeologische schatten in straten die al 100 keer zijn opengegraven.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True