KPN ontdekt kwetsbaarheden in eigen systemen na hack

KPN heeft nadat het gehackt was diverse kwetsbaarheden aangetroffen in eigen systemen. Dat zegt een topman van de provider. Het zou niet gaan om grote lekken. Om een nieuwe hack te voorkomen worden alle servers van updates voorzien.

KPN laat nu tests uitvoeren om gaten in de eigen beveiliging te vinden, zegt topman Joost Farwerck van KPN in een interview met NU.nl. In januari bleek dat KPN enkele weken lang was gehackt. De hack, die mogelijk was doordat een server verouderde software draaide, gaf de hacker toegang tot onder meer internetverkeer van klanten.

Nu worden alle servers voorzien van de nieuwste software om herhaling van de hack te voorkomen. In het onderzoek na de hack heeft KPN meer kwetsbaarheden aangetroffen. "Daarbij komen we geen grote gaten tegen", aldus Farwerck. Hackers proberen sinds de hack wel vaker binnen te komen. Farwerck claimt dat KPN per dag ongeveer honderd hackpogingen afslaat.

De provider wil om herhaling van de hack te voorkomen bovendien voortaan het eigen netwerk continu gaan monitoren. Dat gebeurt nu alleen op het mobiele netwerk, maar met 'vast internet' gebeurt dat nog niet. Zo'n 'crisiscentrum' moet zo snel mogelijk worden ingericht.

De provider gaat in de nasleep van de hack ongeveer 100.000 euro schadegeld aan klanten uitkeren, omdat het de e-maildienst een dag plat gooide. Een hacker zette privégegevens van 537 KPN-klanten online, maar later bleek dat het ging om gegevens die via een andere hack waren vergaard. Uit voorzorg had KPN de maildienst offline gehaald. Klanten konden een schademelding doen als ze aantoonbaar financiële schade hadden opgelopen wegens de downtime. Ongeveer 750 van de 1250 meldingen waren terecht en die klanten krijgen dus gemiddeld ongeveer 133 euro per persoon.

IT-banen

Reacties (37)

LopendeVogel 19 maart 2012 10:39

Ik weet niet of iemand het al in de reactie geplaatst heeft. maar volgens mij is kpn bezig om een heel bewakingcentrum op te richten wat de info in dit artikel moet naleven. Ik zit nu op me tel dus kan even niet de moeite doen om de link van nu.nl te kopieren. maar daar heb ik dat zojuist gelezen.

Armin @LopendeVogel • 19 maart 2012 18:34

Ik las het ook en was verheugd dit te horen.

Ik denk dat het kernprobleem een mentaliteitsprobleem was. Beveiliging werd niet als een serieus probleem gezien. Dat blijkt niet alleen uit het feit dat er veel servers met oude software was, maar ook zoiets triviaals als dat men voor POP3 verbindingen niet eens SSL aanbiedt.

Nu had SSL de hacks totaal niet voorkomen, en is SSL zelf ook niet zaligmakend, maar technisch is het aanbieden van SSL een fluitje van een cent. En via de webmail van KPN krijg je wel een SSL verbinding. Gewoon desinteresse dus.

Overigens is dat niet alleen en KPN probleem. Zelfs een provider die ik altijd hoog aansloeg als XS4ALL biedt geen SSL verbinding aan. En ook de concurenten van KPN falen hier zo goed als allemaal. Gratis spul zoals GMail, Hotmail en Yahoo wel. En vaak bieden deze dan ook nog eens de laatste varianten als StartTLS aan.

Ik denk dat het feit dat KPN gehacked is deels ook toeval en ivm hun omvang is, maar dat de situatie bij andere providers (UPC, Ziggo) echt geen haar beter is.

Nogmaals echter het gaat niet zozeer om het wel/niet hebben van SSL, maar privacy en beveiliging is een voortdurende ontwikkeling. Het feit dat KPN (en concurenten) doorgaans nog niet eens de oudste versie van SSL ondersteund en bepaalde gratis providers al de laatset - al dan niet nuttige - varianten een een symptoom van een mentaliteitsprobleem.

In die context was ik blij dat er nu een speciale coordinator aangesteld was en dat men permanent gaat monitoren. Dat had natuurlijk al lang zo moeten zijn.

Jochemp 19 maart 2012 08:40

Ongelofelijk eigenlijk dat ze nog niet alles op orde hebben na de grote commotie van een maand geleden. KPN heeft blijkbaar andere prioriteiten, maar ik had het wel geweten als ik de leiding had daar!

Blokker_1999

Nederland
Privacy

@Jochemp • 19 maart 2012 08:46

Denk jij dat men alle systemen op enkele uren kan nakijken op alle mogelijke fouten? Een degelijke audit duurt weken tot maanden. Van alle systemen moet men nagaan welke software erop staat en welke versie. Wanneer updates niet worden toegepast moet men bijvoorbeeld ook nagaan waarom dat zo is. En dan is nog niet alles op 1-2-3 up to date want als men dan gaat updaten moeten die updates eerst degelijk nagekeken en getest worden. Worst case haal je heel je netwerk onderuit door een slechte update, en dat is iets waar ze ook schrik van hebben.

SunnieNL

@Blokker_1999 • 19 maart 2012 09:07

De oude patches zouden al getest moeten zijn.
Nakijken van software en versies kan geautomatiseerd.
Wanneer oude patches in het verleden niet zijn toegepast zou dat ergens gedocumenteerd moeten zijn.

Dus als KPN zijn zaakjes gewoon goed gedocumenteerd heeft moet het redelijk snel kunnen gaan..... maar dan was waarschijnlijk ook nooit een hack geweest.

The Zep Man

Privacy
Nederland
Beveiliging

@Blokker_1999 • 19 maart 2012 09:24

Denk jij dat men alle systemen op enkele uren kan nakijken op alle mogelijke fouten? Een degelijke audit duurt weken tot maanden. Van alle systemen moet men nagaan welke software erop staat en welke versie. Wanneer updates niet worden toegepast moet men bijvoorbeeld ook nagaan waarom dat zo is.

Dit is gewoon ouderwets configuration management. Als je dat goed inricht (iets dat KPN niet heeft gedaan) kan je op elk gewenst moment van de dag een rapportage uitdraaien over welke systemen welke software met welke versienummers draaien, eventueel met welke patches wel of niet (en waarom) geinstalleerd zijn.

En dan is nog niet alles op 1-2-3 up to date want als men dan gaat updaten moeten die updates eerst degelijk nagekeken en getest worden. Worst case haal je heel je netwerk onderuit door een slechte update, en dat is iets waar ze ook schrik van hebben.

Dat is release management, wat gewoon als iteratief proces met regelmatige perioden ingericht kan worden voor normale updates en als spoedproces (waarin vanaf het moment dat het bekend en bevestigd is meteen tijd vrij gemaakt wordt om te testen en een implementatietraject op te richten) ingericht kan worden voor kritieke patches.

[Reactie gewijzigd door The Zep Man op 25 juli 2024 01:46]

totaalgeenhard @Blokker_1999 • 19 maart 2012 09:25

Als je je zaken goed geïnventariseerd hebt, heb je maar enkele minuten nodig, aangezien je niet fysiek op de machines hoeft te zijn. Audits zijn gebaseerd op het feit dat je versie nummers kent. Als je gehardend install gedaan hebt, weet je WAT, WAAROM en welke versie je hebt geïnstalleerd. Als er vandaag een security bulleting uit komt, weet je meteen welke servers gevoelig zijn en kun je een risico inschatting maken, zonder dat je ooit op de machine bent ingelogged. Hierna ga je plannen, eerst patchen in acceptatie omgeving om te testen en daarna pas in productie met een roll-back procedure etc..

Het blind met een security scanner over machines heen gaan doe je niet in je productie omgeving, eigenlijk is er geen reden om een security scanner te gebruiken aangezien security bulletins veel nuttiger resultaat hebben. Niets alle vulnerabilities kan een scanner toepassen, terwijl je wel tegen alle bekende vulnerabilities beschermd wilt zijn.

In dit geval en alle voorgaande gevallen (het is niet de eerste keer dat er een router gehacked is bij KPN en ook niet de laatste keer) blijkt gewoon nalatigheid.

Verder snappen ze bij KPN nog steeds niet dat ze geen SECURITY probleem hebben, maar een beheer probleem. Dat is vele malen erger aangezien je tegen security problemen tot een zeker hoogte maar actie kunt ondernemen/voorbereiden.

Als je toestaat dat systemen jaren onbeheerd draaien, zal de volgende incident slechts een kwestie van tijd zijn. En het niet beheren/patchen na jaren is in de afgelopen paar decennia vaker gebeurd. Kennelijk is er ook geen lange termijn geheugen en hebben ze van incidenten uit het verleden nog steeds niet geleerd.

Aionicus @totaalgeenhard • 19 maart 2012 11:41

kpn heeft een security probleem hoor , en leuk dat je zegt ja je moet een gehardende install doen maar om eerlijk te zijn , it would not matter 1 bit. als je beetje goed kan praten heb je voor je het weet admin pw van alle computers op de afdeling daar omdat de managers gewoon niet opletten.

trust me , i used to work there ,and im sooooo happy im gone ;p

en ja , ze hebben wel een security probleem XD , bedoel als je met usb sticks naar binnen en buiten loopt en mensen met hele mappen vertrouwelijke informatie de deur uitlopen na hun dienst, sta je toch even te denken

, geef je er melding van vind de manager het niet belangrijk want die zit op ebay zijn auto te verkopen ;p

KPN is gewoon een bedrijf wat gewoon opgeheven moet worden.

ow ja p.s KPN levert nu NOG routers uit die je standaard via STKEYS.exe kan uitlezen (wpa key binnen minuut) . Heerlijk veilig he , ondanks dat ze er in 2008 al over zijn gewaarschuwd.

huntedjohan @Aionicus • 19 maart 2012 12:52

lol. jij heb veiligheid ook niet echt hoog staan als je dit soort informatie naar buiten breng. lekker vertrouwelijk ben jij voor een bedrijf als je weg ben en interne informatie op straat gooi.

Onoffon @Aionicus • 20 maart 2012 00:12

ow ja p.s KPN levert nu NOG routers uit die je standaard via STKEYS.exe kan uitlezen (wpa key binnen minuut) . Heerlijk veilig he , ondanks dat ze er in 2008 al over zijn gewaarschuwd.

Zorg eerst maar dat je je feiten goed hebt voordat je onzin gaat blaten...

Verwijderd @Jochemp • 19 maart 2012 08:50

Ik had wel geweten dat jij dikke stress had gekregen omdat de organisatie er niet op ingericht is!

Verwijderd @Jochemp • 19 maart 2012 08:58

Dan was je er door jouw baas al lang uitgeschopt wegens te weinig prestaties. Het is nu even hot maar straks niet meer.

Aan servers updaten zit ook een keerzijde omdat een update regelmatig allerlei vervelende bijverschijnselen heeft die je niet verwacht.

emailjunkie 19 maart 2012 10:03

@majettea Dat is toch bij alle door mensen geschreven code? Ik denk echt wel dat KPN meer know how in huis heeft qua exploits en het misbruik daarvan dan de meesten denken.

SKiLLa @emailjunkie • 19 maart 2012 15:00

Ik heb jaren lang bij verschillende afdelingen van KPN / KPN Mobiel gedetacheerd gezeten en het gebrek aan kennis & prioriteit van veiligheids-procedures/-exploits vond ik schrikbarend. Wel 'crisis-overleg' met soms ~25 man, waarvan dan 2 of 3 security-officiers die alleen maar een beetje ITIL neuzelde, maar nooit enige actie of harde technische kennis.

Patch-management was ook alleen ingericht voor de gloednieuwe infrastructuur; oude meuk werd als een besmettelijke ziekte gemeden. Duidelijk een geval van politieke onwil binnen de organisatie ... EDIT: Dus 'meer know-how in huis hebben' hadden ze echt niet.

[Reactie gewijzigd door SKiLLa op 25 juli 2024 01:46]

tes_shavon 19 maart 2012 08:38

Goed dat ze alle servers van patches gaan voorzien... slecht dat dat nog niet gebeurd was.

Maar echt vreemd vind ik het niet, ruim een jaar bij KPN gewerkt en dan blijkt keer op keer dat security toch niet echt de allerhoogste priooriteit had. Wel de eigen positie van de manager in de organisatie, of het salaris of het humeur van zijn leidinggevende, maar security ... nee, niet echt.

[Reactie gewijzigd door tes_shavon op 25 juli 2024 01:46]

SunnieNL

@tes_shavon • 19 maart 2012 09:05

Zullen we er maar vanuit gaan dat het om patches gaan die na aanleiding van de hack zijn geschreven?

Als dat niet zo is, wordt het wel tijd om aan patchmanagement te gaan doen. Elke maand patches draaien lijkt me wel op zijn plaats (dan loop je max. 2 maanden achter met patchen, omdat je de nieuwe patches van die maand eerst moet testen en de maand erop uitrolt)

bbob

Privacy
Nederland
KPN

@tes_shavon • 19 maart 2012 09:49

Nu maar hopen dat ze in de toekomst standaard patches gaan uitvoeren en dat dit niet een éénmalige patchronde is.

Wat het eigenlijk wel laat zien is hoe lakoniek men in met het patchen van systemen. Patchen en updates lijkt me toch iets wat standaard is zeker voor een organisatie als kpn.

Mr_Light @tes_shavon • 19 maart 2012 10:08

Betekend dit dat we toch nog maar even moeten wachten met het aanvragen van bapi(belastingdienst api) certificaten? Ik snap niet waarom ze dat niet gewoon bij een not-for-profit organisatie zoals bv SURFnet of andere partij waarbij security wat hoger in het vaandel staat.

[Reactie gewijzigd door Mr_Light op 25 juli 2024 01:46]

Kingeling 19 maart 2012 08:56

Hmmm, hoe juist is de inhoud van het artikel als de naam van deze beste man al niet goed geschreven wordt? (twee verschillende fouten zelfs)... Hij heet Joost Farwerck.

Auteur

arnoudwokke Redacteur Tweakers @Kingeling • 19 maart 2012 09:06

Hmmm, hoe juist is de inhoud van het artikel als de naam van deze beste man al niet goed geschreven wordt? (twee verschillende fouten zelfs)... Hij heet Joost Farwerck.

Dank voor de feedback, inmiddels gefikst. Mocht je verdere aanwijzingen hebben dat de inhoud van het artikel niet klopt, hoor ik dat graag. De link tussen spelling en inhoud van artikel is een losse: de auteur van het bronartikel, Brenno de Winter, is in 'het wereldje' niet bekend om zijn taalkundige nauwkeurigheid, maar is toch door collega's in 2011 gekozen tot 'Journalist van het Jaar' door zijn maatschappelijk belangrijke primeurs, onder meer over de ov-chipkaart.

Kingeling @arnoudwokke • 19 maart 2012 09:25

Ik lees nog een Ferweck in het artikel. Verder mag er best duidelijker bij dat de gegevens van die 537 klanten bij Babydump vandaan kwamen, als de blame kaart toch wordt gespeeld

* Kingeling zal voortaan de "Feedback" gebruiken.

R0y. 19 maart 2012 08:44

Beter te laat dan nooit. Maar het had inderdaad voorkomen kunnen worden.

phosporus 19 maart 2012 08:50

In het onderzoek na de hack heeft KPN meer kwetsbaarheden aangetroffen. "Daarbij komen we geen grote gaten tegen".

En het maakt voor hackers veel uit of iets een "groot gat" is?
Deze opmerkingen maakt me nog het meest bang. Er van uit gaan dat, omdat het maar een klein lek is, ze verder niet (veel) actie hoeven ondernemen.

Jermak 19 maart 2012 08:55

Security en kwaliteit kosten geld, maar je moet vooral de aandeelhouders blij maken.

En Ach, het zal zo'n vaart niet lopen.

[Reactie gewijzigd door Jermak op 25 juli 2024 01:46]

Verwijderd 19 maart 2012 09:27

KPN loopt jaren met alles wat zij doen en proberen achter de feiten aan. De technische kennis die zij in huis hebben is triest. Ik heb dmv een extern project mee gewerkt aan een systeem dat intern door KPN gebruikt wordt. Het is voor mij dan ook een wonder dat KPN niet veel eerder door hackers is aangevallen. De meeste systemen die zij gebruiken zijn primitief.

Shanquish

@Verwijderd • 19 maart 2012 09:55

en is dat dan onwil of heeft dat budgettaire redenen?

Verwijderd @Shanquish • 19 maart 2012 14:08

De reden is denk ik.
Net als bij alle grote bedrijven en de overheid worden beslissingen genomen door mannen en vrouwen in grijze pakjes. Deze mensen hebben geen technische kennis maar beslissen wel over hoe systemen zouden moeten werken. Hierdoor worden te vaak foute keuzes gemaakt. ICT wordt nog steeds niet serieus genoeg bendaderd, terwijl zonder de ICT heel veel bedrijven niet zouden kunnen bestaan.

Archiebald 19 maart 2012 09:36

Nu worden alle servers voorzien van de nieuwste software om herhaling van de hack te voorkomen.

Zoals ik dit lees, lijkt het alsof ze eenmalig de servers van de nieuwste updates voorzien en hierna niet meer. Ik ben geen beveiligingsexpert, maar dit lijkt me wel erg kort door de bocht. Denkend dat je niet gehackt wordt omdat je de servers gaat voorzien van de laatste patches. Wanneer patches uitkomen moet je die gewoon zo snel mogelijk testen en uitrollen. Hoop dat KPN dit structureel gaat veranderen.

[Reactie gewijzigd door Archiebald op 25 juli 2024 01:46]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (37)

Sorteer op:

Weergave: