Ethische hacker had toegang tot intern netwerk KPN

Wie een zakelijke glasvezelaansluiting van KPN had, kon op een deel van het interne netwerk van de internetprovider komen. Apparatuur van KPN die dat moest voorkomen, bleek te omzeilen. Op het interne netwerk waren wachtwoorden van switches en routers te vinden.

Door de glasvezelkabel van KPN rechtstreeks op een switch aan te sluiten, in plaats van op apparatuur van KPN, kon worden gekeken op het interne netwerk. Daarna konden servers op het interne KPN-netwerk worden bereikt, die antwoord gaven op verzoeken. Normaliter hoort het interne management-netwerk niet beschikbaar te zijn voor klanten. Dat blijkt uit het rapport dat de anonieme vinder van het lek heeft opgesteld en dat Tweakers uit anonieme bron heeft ontvangen.

Op één interne ftp-server, die voor iedereen op het interne netwerk toegankelijk was, waren wachtwoorden van duizenden routers, switches en netwerkapparatuur te vinden die met verouderde encryptiemethoden waren versleuteld en daardoor in luttele seconden waren te achterhalen. Daardoor zou het in theorie mogelijk zijn geweest om internetverkeer van KPN-klanten af te luisteren. Ook waren de dns-servers van KPN te misbruiken voor ddos-aanvallen en waren 'sommige ip-adressen' op het netwerk 'overduidelijk bestemd' voor het beheren van routers bij klanten. Onduidelijk is of die verbindingen waren te misbruiken, bijvoorbeeld voor het flashen van modems van klanten.

KPN erkent het beveiligingsprobleem en heeft de beveiliging inmiddels verbeterd, stelt het bedrijf. Wel stelt het bedrijf dat er 'geen impact is geweest voor de vitale infrastructuur' en dat er 'geen klant- of persoonsgegevens in het geding zijn geweest'. De onderzoeker heeft het probleem in juli via het Nationaal Cyber Security Centrum gemeld bij KPN volgens de responsible disclosure-procedure van het bedrijf; sindsdien is KPN bezig geweest met het oplossen van het probleem. Volgens de onderzoeker die het probleem vond, gaat het niet zozeer om een bug, maar meer om een beveiligingsprobleem.

Volgens het onderzoeksrapport had een kwaadwillende 'flinke schade kunnen toebrengen' aan de infrastructuur van KPN. Het is niet duidelijk hoe ver de impact daarvan zou gaan. KPN heeft meerdere netwerken: in dit geval ging het waarschijnlijk om wholesale ethernet access services waartoe de onderzoeker toegang had, maar dat is niet het KPN-netwerk waarop de meeste klanten zijn aangesloten.

Triviaal te misbruiken was de kwetsbaarheid niet: er was een zakelijke wholesale-glasvezelaansluiting voor nodig. Het huren van apparatuur voor een dergelijke aansluiting alleen al kost 2000 euro per maand, nog los van de kosten voor de daadwerkelijke verbinding.

De vinder van het lek, die de kwetsbaarheid ontdekte op de aansluiting in het gebouw van hackerspace Nurdspace in Wageningen, schrijft in het onderzoeksrapport dat hij blij is met de manier waarop KPN en het NCSC op zijn melding hebben gereageerd. Tegelijkertijd is het zogenoemde 'ethische hacken' nog steeds een strafbaar feit, benadrukt hij. Zelfs als een bedrijf geen aangifte doet van hacken, kan het Openbaar Ministerie alsnog vervolging instellen. "Dan moet je maar hopen dat het goed afloopt", aldus de onderzoeker.

KPN-woordvoerder Maurice Piek zegt blij te zijn met het responsible disclosure-programma, waarmee beveiligingsproblemen kunnen worden gemeld zonder dat een ethische hacker het risico op vervolging loopt. "Dit geeft aan dat responsible disclosure werkt", aldus Piek. "Met deze melding hebben wij het systeem verder kunnen beveiligen."

Begin vorig jaar bleek dat een destijds zeventienjarige jongen had ingebroken op het netwerk van KPN, en daarmee toegang had tot de core-routers van KPN, waardoor internetverkeer zou kunnen worden onderschept. In juni werd de hacker veroordeeld tot een taakstraf en een korte celstraf.

Lees meer

Nieuwste IT Banen

Deel je skills voor jouw droombaan Meld je aan!

IT trainingen bij Computrain

Reacties (81)

+2internetuser
18 november 2013 12:28

Het complete verhaal van de hacker staat trouwens op deze link: http://www.isptoday.nl/ni...an-de-kpn-infrastructuur/

+2uip
@internetuser • 18 november 2013 12:33

of direct een link naar de pdf: http://www.isptoday.nl/wp...ch_document_crosswire.pdf

Ik vind het trouwens érg straf wat die mannen hebben gedaan. Ze vinden een gratis glasvezelkabel voor hun hackerspace. Ze hadden niets te winnen met de melding aan KPN: in tegendeel, door de melding zijn ze nu hun glasvezelkabel kwijt.

Helaas heeft KPN de glasvezel laten afsluiten zodat we nu helemaal geen werkende verbinding meer hebben en aanvragen van een nieuwe (betaalbare) verbinding was, ondanks de poging die de KPN-CERT medewerkers voor ons gedaan hebben, vooralsnog niet mogelijk geweest.

Straf dus, erg straf. Ik hoop dat ze alsnog hun gratis glasvezel krijgen!

[Reactie gewijzigd door uip op 18 november 2013 12:36]

+1johnkeates
@coinoperator • 18 november 2013 13:32

Zo, jij bent het zonnetje in huis zeker...

Misschien is het gewoon een glasvezelkabel die afgesloten had moeten zijn, maar het niet was. Of misschien was het na een intern onderzoek duidelijk geworden dat er meerdere niet-afgesloten aansluitingen zijn die dat wel hadden moeten zijn. Of misschien was het gewoon uit voorzorg.

Je weet het niet, dus om nou meteen zo iets lomps te posten gaat toch wat ver, denk je niet?

FlowDesign
@coinoperator • 18 november 2013 14:38

Deze post plus je eerste post doet me vermoeden dat jij qua hacking niet veel goeds op je geweten hebt... misschien moet ik de politie maar even bij jou langs sturen?

0coinoperator
@FlowDesign • 18 november 2013 20:27

goed idee
ten eerste was dat nog helemaal niet eens verboden
ten tweede waren alle daders bekend
ten derde werd het gemeld aan de betrokken bedrijven
ten vierde zou het intussen al heel erg lang verjaard zijn maar het was dus al niet eens verboden.

phex
18 november 2013 12:17

Toch onvoorstelbaar dat niemand bij KPN dit gesignaleerd bij het opmaken van de beveiligingsprocedure.
Als de enige beveiliging een custom switch is, was het een kwestie van tijd dat iemand zijn eigen switch er achter ging hangen, om welke reden dan ook..

+3locke960
@phex • 18 november 2013 12:47

Het is nog veel erger. Een fout van dit kaliber duid op problemen op alle nivo's bij KPN.
Ik bedoel dat elke regel die je in dit artikel leest een aparte stomme beslissing is geweest. Blijkbaar zijn die allemaal goedgekeurd. Dat wil dus zeggen fouten tijdens ontwerp, fouten tijdens implementatie, fouten in het beheer. Vervolgens is dit nooit opgemerkt (geen of slecht audits) of domweg genegeerd. dus management fouten.

Om maar een paar fouten te noemen:
- Het management netwerk is toegankelijk door de klanten. geen wezenlijke afscherming.
- Het management netwerk is te groot. natuurlijk moet je een management netwerk hebben om de apparatuur die blij klanten staat te managen. Maar dat is dan ook het enige waar het voor moet dienen en dat is ook het enige wat bereikbaar zou moeten zijn mocht het gecompromitteerd worden.
- De DNS servers die in het datacenter staan zouden via dit netwerk niet eens bereikbaar moeten zijn.
- Een FTP server op dit netwerk met data nodig voor de bedrijfsvoering ? die hoort niet op het management netwerk, die hoort op het interne bedrijfsnetwerk. En het interne bedrijfsnetwerk moet helemaal niet toegankelijk zijn vanaf het management netwerk.
- Open toegang tot klanten inlog gegevens die ondermaats beveiligd zijn (slechte encryptie). Zelfs op het interne bedrijfsnetwerk is dit niet niet acceptabel.
- Dit is OF allemaal tegen KPN policies, maar die worden straffeloos genegeerd. OF er zijn geen afdoende policies. In beide gevallen doet management er blijkbaar niets aan.

KPN heeft geen beveiligingsprobleem. KPN heeft een cultuur/mentaliteitsprobleem.

franssie
@locke960 • 18 november 2013 16:46

klopt, een goed probleem komt nooit alléén. Er moeten meerdere fouten gemaakt worden om iets zo slecht te krijgen als hier bij KPN blijkbaar het geval is.

+1coinoperator
18 november 2013 12:13

Veel is er niet veranderd....

de 007 hack staat me nog vers in het geheugen, en gelachen dat we toen hebben....
al die aan elkaar geknoopte Vax/unixbakken die je zo met de fabriekswachtwoorden op sysop niveau kon benaderen vanuit ons tron modempje.....

Ze leren het nooit.
zelfs toen niet,
amper hadden ze dat in orde gemaakt of viditel ging voor de bijl

[Reactie gewijzigd door coinoperator op 18 november 2013 12:15]

Pantera88

@coinoperator • 18 november 2013 12:26

Ik heb tot kort geleden voor kpn gewerkt, en kan beamen dat er zeer weinig verandert is. Standaard wachtwoorden (werkelijk, welkom01 kom je overal nog tegen), _{dingen die ik misschien maar beter niet kan vertellen hier} en een matige ID controle aan de telefoon. En wanneer je iets als een slechte beveiliging van inloggegevens aankaart, dan word je verteld 'hier maar niet op te letten'

Ze moeten denk ik eens echt hard onderuit gaan wil hier iets aan veranderen.

Overigens verwacht ik niet dan de meeste andere providers het zoveel beter voorelkaar hebben

[Reactie gewijzigd door Pantera88 op 18 november 2013 13:58]

+2Meulugar
@Pantera88 • 18 november 2013 12:55

ik heb in een grijs verleden bij een dochter onderneming gewerkt, namelijk XS4all. Indien nummerherkenning uitstond diende de klant een fax met kopie ID te sturen voor een wachtwoord reset, alle documenten gingen door de schredder en bij verlaten werkplek zonder pc te vergrendelen betekende trakteren voor de afdeling. Daarnaast waren voor ons de wachtwoorden niet inzichtelijk wij konden alleen resetten. XS4all heeft als 1 van de weinigen nog respect voor haar klanten. (al is dit wel minimaal 4 jaar geleden, maar verwacht niet dat de filosofie veel is veranderd) Toen ik een keer met upc belde, (en mij ook nog eens uitgaf als een it'er met een klant) Wist de dame mij aan de telefoon te vertellen wat het wachtwoord van de internetverbinding en email was (!!) ik stond perplex! ten eerste omdat ik niet de klant was en dit ook heb aangegeven. Ten tweede, omdat zij zonder verificatie van welke gegevens dan ook, mij heeft geholpen en ten derde, omdat zij mij zo het wachtwoord kon vertellen (welke ik op dat moment ook op papier had). Klacht ingediend, maar nooit meer wat op gehoord.

+1DrPoncho

@Meulugar • 18 november 2013 13:29

Nummerherkenning is vrij makkelijk te spoofen

+1bbob1970

Politiek en recht
Privacy

@DrPoncho • 18 november 2013 15:21

Idd zat ik ook aan te denken, nummerherkenning is niet betrouwbaar.

Daarnaast betreft het nu een externe hack.
Intern hebben veel medewerkers ook toegang tot deze informatie. Je kan je afvragen of dat wenselijk is.

Denk aan Snowden die op deze manier van alles heeft weten te kunnen bemachtigen. Sterker nog dit lezende vraag ik me af of de NSa al niet binnen is bij kpn. Met zo veel wachtwoorden van routers kunnen er als genoeg achterdeurtjes in de routers geplaatst zijn.

T-men
@bbob1970 • 18 november 2013 16:27

Idd zat ik ook aan te denken, nummerherkenning is niet betrouwbaar.

True !

Dat is zo, maar hier is een risico afgewogen. Alles volledig dichttimmeren zal een onwerkbare situatie opleveren die voor veel 'doorsnee' klanten ervaren wordt als "de provider wil niet meewerken en doet moeilijk"

Dat "moeilijk doen" in het belang van de klant zelf is, dat wil er vaak niet in.
En geef toe, als jouw internet 'er uit ligt' dan wil je ook dat het a-la minute opgelost wordt. De enige manier waarop je met (enige) zekerheid vast kan stellen dat de klant ook werkelijk de klant is, is door de monteur langs te sturen en daar de ID-gegevens te controleren.

De kosten/baten verhouding en de doorlooptijd die dat kost, dat wil je niet voor een simpele reset van een wachtwoord.
Dat je daarbij een risico loopt... voor de doorsnee gebruiker: jammer dan !

+1Powermage
@Meulugar • 18 november 2013 13:29

Want nummerherkenning is natuurlijk heel lastig om te faken....
procedure die daar echt waarde aan hecht is natuurlijk ook niet helemaal top....

+1Meulugar
@Powermage • 18 november 2013 13:32

naast nummer herkenning zijn er nog andere manieren natuurlijk. Kan niet alles uit de boeken doen. Dat was natuurlijk ook nog een tijd waarin Voip pas net begon en spoofen van een nummer nog geen algemeen gemeengoed was. Daarnaast: Bij argwaan -> vragen naar kopie id.

+1coinoperator
@Meulugar • 18 november 2013 13:12

XS4ALL is nog steeds top oke...
Eersteklas muisarmpjes die weten waar ze het over hebben.

0Smekken
@Meulugar • 19 november 2013 00:05

Hetzelfde heb ik met Ziggo gehad. Was ik m'n ww kwijt, belde op met een voor Ziggo onbekende mobiele telefoon en kreeg mijn ww zonder enige vorm van verificatie van mijn kant te hoeven geven.

Schokkend, en ik gebruik geen Ziggo-mail meer.

nl noob
@Pantera88 • 18 november 2013 13:44

Heeft een medewerker bij KPN ook geen geheimhoudingsplicht? Mij lijkt dat ze niet zo blij zijn als je zulke informatie doorspeelt

zeker niet op een openbaar forum.

Verder is het natuurlijk absurd dat een groot bedrijf als KPN zulke makkelijke authenticatie gebruikt.

Is er geen consumentenbond of iets dergelijks dat KPN hier op aan kan spreken? Ik heb liever niet dat iedereen mijn wachtwoord zo makkelijk kan veranderen.

Pantera88

@nl noob • 18 november 2013 14:02

Jaaa, daar heb je wel gelijk in. _{Kleine edit gedaan}. Verder is het info die bekend is, ik roep alleen dat het belachelijk is dat dergelijke zwakheden nog altijd niet opgelost zijn.
En zoals locke960 hier onder mij al juist verwoord betreft dit een cultuur probleem, evenals een management probleem. Het is lastig om in dergelijke logge apparaten met tientallen systemen en managementlagen een nieuwe beveiligingsstructuur aan te leggen.
Maar dat mag natuurlijk geen excuus zijn.

madmaxnl
@nl noob • 18 november 2013 14:29

Geheimhoudingsplicht kan afgedwongen worden via de wet en valt gewoon onder goed werknemerschap (Art 611 van het burgerlijk wetboek boek 7).

0ViperXL
@nl noob • 18 november 2013 14:28

Whehe klantenservice zegt gewoon letterlijk: U wachtwoord is welkom01 en dient u zelf te wijzigen. Dit doen we altijd bij een wachtwoordreset.

ik denk 1+1=2

+1jappiejaap
@Pantera88 • 18 november 2013 13:21

'geen impact is geweest voor de vitale infrastructuur' en dat er 'geen klant- of persoonsgegevens in het geding zijn geweest'.

Yeah tuurlijk zijn er geen persoons gegevens in het geding geweest

Iemand kan gewoon lekker op je netwerk meesniffen ......

0coinoperator
@Pantera88 • 18 november 2013 12:37

Oh ze hadden wel een login aangepast ergens...

LOGIN: 007
Pass: 007

0freedzed6
@coinoperator • 19 november 2013 00:06

Zelfs nu nog is KPN, Vodafone, T-Mobile of Tele2 zo lek als een mandje. Je moet alleen weten hoe je toegang kan krijgen OF er toevallig tegen aanlopen

BAS80
18 november 2013 16:24

Hahaha! Dit is echt lachwekkend, als ik servers moet halen bij Kpn duurt het uren voordat je binnen en toegang hebt omdat er door 10 mensen autorisatie moet worden verleend. Zelfs bij de DNB ben ik sneller weg.
Lees je hier dat je aan de achterzijde zomaar naarbinnen kan....

+2coinoperator
@BAS80 • 18 november 2013 19:00

Dat is altijd al zo geweest,
eind jaren 70 waren de meeste VAX-systemen van de PTT ook wel voorzien van een redelijk wachtwoord.
Alleen hadden ze ook een aantal testmachines staan en de daarop werkende programmeurs hadden helemaal geen zin in zoiets als inloggen dus gebruikten ze de allersimpelste manieren om in te loggen.
Aangezien de PTT al die draadjes onder de grond beheert waren al die VAX'en dus gekoppeld, je hoefde dus alleen maar midden in de nacht met je 300 baud modempje in te loggen op een test VAX en vervolgens speerde je in ene keer door naar een machine waar belangrijke gegevens op stonden.

Hoe je aan het telefoonnummer van het modem kwam?
ff bellen, hallo zus, ik ben het nummer van de VAX vergeten en ik sta bij een grote klant...
zo gepiept....
Hetzelfde trouwens ook bij Philips enz enz enz.

Overigens,
al deze hacks waren "etisch" ze zijn stuk voor stuk aan de betreffende bedrijven gemeld met variërende resultaten, een enkel hack haalde soms het 8 uur journaal.
De beroemdste hack aller tijden is zelfs als boek uitgegeven

Het sfeertje bij PTT is altijd iets geweest van "ik ben hoger, niet dat ik ergens verstand van heb maar omdat ik hoger ben bepaal ik dat er niets aan de hand is, al staat je kont in brand, als ik zeg dat het niet zo is dan kun je het daarmee doen"

+1e_balk
18 november 2013 12:17

Misschien wordt het toch tijd, dat er een oplossing komt voor ethische hackers. Is het geen idee, dat er een registratie bijgehouden gaat worden van "goedgekeurde" ethische hackers die daarmee dus wel mogen gaan waar andere hackers niet mogen gaan, het moet mogelijk zijn voor ethische hackers om beveiligingsproblemen aan de kaak te stellen en de bedrijven die hiermee kampen op de hoogte te stellen.

maquis
@e_balk • 18 november 2013 12:23

Dit zal zeker handig zijn, ware het niet dat zelfs dat ethiek multi-interpretabel is. Wat voor de 1 ethish verantwoord is is, voor de ander ethish 'not done'. En wat morgen Not done is, is overmorgen weer wenselijk. Dus het is een grijs gebied waarbinnen zij opereren en dan vaak ook nog per ongeluk of gewoon uit nieuwsgierigheid en niet omdat ze het zo goed voor hebben met de wereld. (deze personages zijn zeldzaam)

+1e_balk
@maquis • 18 november 2013 12:30

er zijn certificeringen voor en het is mogelijk om de ethische hackers aan regels te binden, daarom ook de registratie en regulering, dan kan er bepaald worden wat ethisch is en binnen welke grenzen een dergelijke hacker zich mag bewegen, anders verliest hij zijn licentie en daarmee meestal ook zijn broodwinning

maquis
@e_balk • 18 november 2013 13:03

En zelfs een certificering is bedacht door een groep wijze mannen, op ethische gronden.

En op deze manier reguleer je allene de doel-bewuste Estische hacker en niet "Jan met de spreekwoordelijke Pet" die per ongeluk een systeem hacked, om dat een systeem bijv. te ondoorzichtig of slecht gedocumenteerd is, waar die die zelfde jan moet gaan improviseren om het systeem te kunnen gebruiken. Technisch ben je dan al aan het hacken.

En wat nou als, door die zelfde wijze mannen" binnen die certificering een regel word aangepast, om waarschijnlijk hele goede redenen, waardoor een ethische hacker opeens ene ordinaire teringhacker word??? (laten we het beestje bij de naam noemen)

+1e_balk
@maquis • 19 november 2013 06:43

Als je op een dergelijke manier je beroep moet uitvoeren (dus onder een dergelijke regulering) dan moet je jezelf ook op de hoogte houden. Dus die wijze mannen kunnen regels aanpassen en de ethische hacker kan daar dan aan voldoen, dus hij zal niet zomaar een "ordinaire teringhacker" worden zoals jij hem noemt. Een Ethische hacker heeft toch ook over het algemeen een mindset die niet overeenkomt met die hackers die het doen voor persoonlijk gewin.

maquis
@e_balk • 20 november 2013 11:31

Technisch klopt dit natuurlijk. Maar is dit wenselijk. in de praktijk dus ene stuk weerbarstiger, omdat ethiek met de waan van de dag kan omdraaien. Moeilijk te toetsen, en als dit eenmaal is gelukt, zeg niets dat deze morgen net zo is.

Dat is het vervelende van Ethiek. Het ene moment is de mindset van de hacker, gellijk aan de huidige norm, terwijl deze de dag er na, weer niet meer overeen komen.

Daar sta je dan als Etische hacker. Gisteren was je de held, maar vandaag Ben je opeens een ordinere tering hacker, volgens de norm.

In mijn ogen gaan normen en ethiek niet samen, omdat ethiek zo vluchtig is .....

0e_balk
@maquis • 20 november 2013 13:47

Datzelfde geldt voor advocaten, maar ook zij voldoen aan normen en wetten en wat ze doen wordt niet altijd als even ethisch beschouwd, maar ze kunnen prima functioneren in die setting.

maquis
@e_balk • 20 november 2013 14:07

Klopt, maar je hebt het hier over gedrag van een partij die een belang behartigt. Een ethisch hacker kan geen belang behartigen, waar hij ethisch niet achter staat. Dat doet een advocaat dus wel. Interesseert het die advocaat dat het een ordinaire tering crimineel is die hij vertegenwoordig of een onschuldig meisje.

Een ethische hacker, hacked, volgens mij, alleen maar omdat hij vind dat iets gehackt moet worden om zijn ethisch punt te benadrukken en kenbaar te maken. (Los van het feit of hij zich aan de regels van de Commissie van wijze mannen houd, ja of te nee.)
Als die commissie jou verteld dat wat jij doet niet etisch is, dan betekend dit natuurlijk niet dat een hacker dan denkt: "Ow dan stop ik er mee, want wat ik doe is niet etish".

Zeer aannemelijk is het zelf dat een dergelijke hacker het daar helemaal niet mee eens is en volgens zijn ethiek het te verantwoorden is om alsnog door te gaan, ongeacht de uitspraak van die wijze mannen.

Een mooi voorbeeld is natuurlijk Anonimous, welke zich niet aan de ethische normen houd van de Verenigde Staten (of beter gezegd: de overheid van dat land), maar zelf vinden dat wat zij doen voor het groter goed is. (ethisch gezien)

Wat ons weer terug brengt bij mn orignele punt. Ethiek is zo vluchtig als de pest en mult iinterpretable

(edit: wat een k#t woord eigenlijk: Estisch )

[Reactie gewijzigd door maquis op 20 november 2013 14:08]

0e_balk
@maquis • 20 november 2013 14:33

Ik begrijp je punt, de term Ethisch Hacker is ongelukkig vanwege de gevoelsmatige betekenis van Hacker (wat ondertussen een synoniem is voor computercrimineel). Toch klopt dat niet helemaal, want dat is niet waar de term vandaan is gekomen.

Er zijn verschillende soorten hackers, waarbij de Anonimous hackers het best benoemd kunnen worden als Hacktivists, de ethical Hacker is in principe white hat en hackt alleen met toestemming van het gehackte object. De computer criminelen waar jij naar verwijst zijn de black hats van deze wereld.

http://en.wikipedia.org/wiki/Certified_Ethical_Hacker

http://en.wikipedia.org/wiki/Hacker_(computer_security)

maquis
@e_balk • 20 november 2013 15:06

ach, neem dan de therm ethiek ook even mee in je verklaring.

Ethiek (Grieks: èthos, gewoonte of zedelijke handeling) of moraalwetenschap is een tak van de filosofie die zich bezighoudt met de kritische bezinning over het juiste handelen.

http://nl.wikipedia.org/wiki/Ethiek

Ik vind dan ook dat de therm Ethical Hacker, niets met ethiek te maken heeft. Daarom keer ik graag terug naar de oorsprong, van dat wat ethical hacker eigenlijk betekend. Een hacker die handeld naar ethische waarden en geen gecertificeerde ICT, die de stempel Estisch op zich heeft gedrukt gekregen van een belangen groep..

(Dit is situatie wat ik eigenlijk ethisch not-done vind. voorbeeld: in de wiki staat: This certification is designed for United States Government Agencies.)

Maar goed, dit is mijn interpretatie. Ik geloof dat wij hier verschillende visie's over hebben. En dat is met ethiek eigenlijk net zo. daar kun je meerdere visies op hebben. Bedankt voor het dienen als voorbeeld. ;-)

(edit: klein voorbeeldje toegevoegd ethical hacker)

[Reactie gewijzigd door maquis op 20 november 2013 15:16]

0e_balk
@maquis • 21 november 2013 08:24

Allereerst vind ik de discussie leuk om te voeren en dat wil niet perse zeggen dat mijn visie verschilt, ik ben het wel deels met je eens dat ethisch niet op zijn plaats is hier, maar ik denk niet dat een hacker per definitie een computer crimineel hoeft te zijn.

maquis
@e_balk • 21 november 2013 09:53

Respect.

Hier ben ik het natuurlijk met je eens. Natuurlijk zijn er ook goede hackers. Daarom noem ik de evil-doers onder de hacker ook vuile tering hackers. (vind de therm Cracker zo sociaal wenselijk kut woord, van daar mijn keuze in de term.) Ik geef natuurlijk grif toe: ik mag zaken graag "expresief" schrijven

Ethisch goed te verantwoorden, al zeg ik het zelf. ;-)

ddkiller0900
@e_balk • 18 november 2013 15:52

Ik werk zelf bij KPN en onlangs stond er nog een vacature open voor Ethical Hacker.
Weet alleen niet of deze daadwerkelijk is ingevuld.

+1tedades
@maquis • 18 november 2013 13:15

Misschien een audit door de overheid, dan zou je zoiets kunnen maken. Ik zie het niet voor me dat je willekeurige (doch gecertificeerde) mensen je bedrijf hacken. Dan kun je ze motiveren door boete bedragen aan die bevindingen te hangen.

maquis
@tedades • 18 november 2013 13:57

Goed. Nu bestaat het audit-team, uit louter VVDers, en zijn de eisen (vermoedelijk) heel soepel. Over 4 jaar is de SP aan de macht. (god behoede ons), en mag er opeens nix meer.

Mijn punt: De overheid is in mijn ogen per definitie niet gekwalificeerd om dit te beoordelen, omdat ze maar een deel van het volk vertegenwoordigen. En dan praten we alleen nog maar over een nationaal beleid. Hacker opereren meestal internationaal. Welke overheid is hier in leidend? De russische? De Chineese of onze Amerikaanse 'vrienden' misschien. Of een mix in de vorm van de VN? Allemaal partijen met belangen. (kijk nu maar es wat ze presteren in de veiligheidsraad)

0tedades
@maquis • 18 november 2013 15:31

Ik bedoelde een audit-team van hackers die voor de overheid ondernemening een 'audit' geeft. Deze nemen je beveiliging goed door en alle dingen die daar uit komen worden terug gekoppeld aan die organistatie (eventueel met potentiele boetebedragen erbij). Dan kun je dit hele proces inzichterlijk maken wat een stuk moeilijker is bij een 'willekeurige' goedgekeurde hacker.

FlowDesign
@e_balk • 18 november 2013 12:42

Eén van de mogelijke oplossingen hiervoor is iets wat KPN al doet, namelijk het zogeheten Red Team. Dit team bestaat o.a. uit ethische hackers in vaste dienst van KPN.

In dit specifieke geval had overigens de impact heel groot kunnen zijn, maar het risico was niet hoog als je er vanuit gaat dat een dure speciale glasvezelverbinding nodig was waarbij de klant op die aansluiting bij voorbaat al bekend is en er bovendien ook nog fysiek een modem door een switch vervangen moest worden.

[Reactie gewijzigd door FlowDesign op 18 november 2013 12:43]

xleeuwx

@FlowDesign • 18 november 2013 16:41

Dus omdat er een actie ondernomen moet worden is het risico afgedekt ? ben bang dat je daar echt goed de plank misslaat.

Ik neem aan dat dit systeem opgebouwd is uit een project en een beetje ict'er / manager heeft op school geleerd dat alle risico's afgedekt moet zijn zeker met een infrastructuur zoals die van KPN.

Dit gaat niet meer om een wachtwoord vergeten te vervangen maar gewoon om een opsomming van verkeerde beslissingen waarbij je je gaat afvragen of er uberhoud wel nagedacht is over het opzetten van dit netwerk.

FlowDesign
@xleeuwx • 18 november 2013 17:08

Begrijpend lezen: Als ik zeg "niet hoog", zeg ik dus niet dat er géén risico was. Uiteraard was het niet afgedekt, echter de kans dat het zou gebeuren (het risico) was niet heel hoog gezien de omstandigheden. Dan nog mag zoiets nooit op deze manier opgeleverd worden natuurlijk.

Jammer genoeg gebeurt het vaker. Neem bijvoorbeeld het tabloid afluisterschandaal in de UK als voorbeeld, dat werd mogelijk gemaakt doordat iemand een doodnormale Vodafone 3G router had gehackt.

P.S.
De juiste spelling is 'überhaupt'.

[Reactie gewijzigd door FlowDesign op 18 november 2013 17:09]

+1JustMitchie
@e_balk • 18 november 2013 12:46

Dit hebben we al, noemen we beveiligings expert. Er bestaan trainingen/cursusen om een certified ethical hacker te worden.

0e_balk
@JustMitchie • 19 november 2013 06:48

Een beveiligingsexpert is geen hacker, sterker nog het is diegene die zich bezig houd met het buiten houden van hackers. Hacker zijn juist diegenen die beveiligingen omzeilen.

Hackers zijn strafbaar in welke maat of vorm dan ook. Wanneer iemand een "hackvergunning" heeft in mijn bedoelde mogelijke oplossing, dan zouden zij dus een uitzondering vormen en gereguleerd hun werkzaamheden kunnen uitvoeren.

0sleuth
@e_balk • 19 november 2013 08:33

Ben ik niet mee eens, een hacker is een hacker en dat is illegaal. Wat word het volgende ethische *** een ethische inbreker, ethische moordenaar. Trouwens de NSA zijn ook ethische hackers volgens de regering van het VS.

+1e_balk
@sleuth • 19 november 2013 08:52

Duidelijk dat er dus een definitie aan gegeven zou moeten worden.

Een Ethische hacker is in mijn ogen iemand die in opdracht van een bedrijf de beveiligingen van dat bedrijf test en kijkt of hij daar doorheen kan komen en daarmee beveiligingsrisico's in kaart brengt, hij breekt dus niet in met als doel buiten het aantonen om extra informatie te verzamelen of echte schade aan te brengen.

Dit is niet waarom de NSA hackt en daarmee is dat dus ook niet te bestempelen als ethisch hacken, zoals gezegd zou het fijn zijn als het mogelijk wordt om dergelijke ethische hackers de ruimte te geven om op opdracht basis hun werkzaamheden uit te voeren een verbetering van de veiligheid is alleen mogelijk als kwetsbaarheden zichtbaar gemaakt worden, bedrijven als KPN (grote netwerkbeheerders) zijn hier ontzettend bij gebaat en daarmee uiteindelijk ook de eindgebruikers.

+1ameesters
18 november 2013 12:23

Vinden jullie het nou niet raar dat de overheid onze online rechten mogen schenden(of vergaande maatregelen nemen om het te bypassen), en dat de wetgeving op het internet moet worden aangepast, maar dat deze man, die mijn inziens redelijkerwijs heeft gehandeld, alsnog crimineel vervolgd kan worden? Dat terwijl misbruik hiervan tot serieuze maatschappelijke verontwrichting had kunnen leiden?

Als ze de responsible disclosure-procedure nou vastleggen in de wet, dan hebben ze ook meteen een stok achter de deur bij bedrijven die veiligheid meer zien als iets waarop je kan bezuinigen.

lenny_z
@ameesters • 18 november 2013 12:51

Nee.

De enige manier waarop "ethisch hacken" is toegestaan naar mijn mening is als expert in dienst van een bedrijf in de vorm van een pentratie test voor datzelfde bedrijf.

Een derde hacken of oneigenlijk toegang verkrijgen en dit goedpraten met de "intenties" die je hebt en het eventueel "op de hoogte stellen van" vind ik enorm slap gelul.
Inbreken is inbreken.

Er wel wat voor de strafmaat te zeggen als het gaat over intenties en aangerichte schade, maar dat het een strafbaar feit is staat voor mij als een paal boven water.

+1ATS
@lenny_z • 18 november 2013 13:20

De politie is van mening dat ze zelf ook ongevraagd mag inbreken ter preventie. Ook strafbaar lijkt mij?

Ik ben het niet met je eens dat alleen professionals die als deel van een opdracht mogen doen. Dat zou betekenen dat alleen bedrijven die al bewust bezig zijn met beveiliging onder de loupe gelegd mogen worden. Dat zijn immers de bedrijven die zullen vragen om een penetratietest. Maar in deze wereld zijn er veel bedrijven die vitale diensten beheren, of die persoonsgegevens of andere privacygevoelige gegevens van vele mensen beheren. Ook deze bedrijven moeten op hun verantwoordelijkheden gewezen kunnen worden, en (etisch) hacken is een zeer nuttige manier om dat te doen.

Ik vergelijk het met klokkenluiden. Om dat te kunnen doen, zal je soms strafbare feiten moeten plegen of een NDA of andere overeenkomst moeten verbreken. Dat is een grote stap, maar soms te rechtvaardigen om een misstand aan het licht te brengen.

Ik denk overigens dat het wel goed is dat er nog steeds een strafbaarstelling is. Er moet wel toetsing kunnen zijn of het gebruikte middel proportioneel is. Mits je je aan de richtlijnen gehouden hebt, zou niet over gegaan moeten worden tot daadwerkelijke vervolging. Een dergelijk systeem is er ook op andere gebieden, bijvoorbeeld in het geval van euthenasie. Artsen die dat toepassen zijn strafbaar, tenzij ze gehandeld hebben volgens de richtlijnen.

lenny_z
@ATS • 18 november 2013 13:54

De politie is van mening dat ze zelf ook ongevraagd mag inbreken ter preventie. Ook strafbaar lijkt mij?

ja. belachelijk van de politie.

0proatjeboksem
@lenny_z • 18 november 2013 13:30

Dit is meer insluipen, de deur stond wagenwijd open.

Ik moest meteen hier aan denken trouwens:
http://www.volkskrant.nl/...in-bij-30-studenten.dhtml

Lekkere Kwal
@ameesters • 18 november 2013 12:33

Vervolging hoeft niet gelijk te staan aan bestraffing. Dat iemand naar jouw mening (als bureaustoel-deskundige) goed bezig was heeft in de rechterlijke macht weinig waarde.

Het probleem blijft dat je bij delicten altijd een civiele en een strafrechtelijke kant hebt. Dat de civiele kant wordt afgevangen op deze manier is leuk (en voorkomt het risico op enorme financiële schade) maar de strafrechtelijke kant gaat er nog steeds vanuit dat je met je vingers van dingen af moet blijven die niet van jou zijn / waar niemand om gevraagd heeft.

Dat je daarmee een hoger doel probeert te dienen is bewonderingswaardig en niks mis mee, maar waar trek je de grens tussen white hat, grey hat en black hat? Op dit moment wordt die grens getrokken door de rechter, simpel zat.

trm0001
@ameesters • 18 november 2013 12:48

....Welcome to the real World......

Goed gezegd, bedrijven mogen straffeloos onze gegevens ronduit slecht beveiligen en zo veel geld besparen. Wanneer iemand daar dan iets aan doet loopt ie het risico flink aangepakt te worden door het openbaar mysterie.
Dwz zelfs binnen de door hun opgestelde spelregels.
Imho zou dit idd beter geregeld moeten zijn en bovendien ruim beloond.
Vind je bv een groot lek als dit moet je kunnen rekenen op minimaal 10.000 euro.
Voor kpn is dat peanuts en het beschermd ons tegen veel ellende.

[Reactie gewijzigd door trm0001 op 18 november 2013 12:54]

+1Bockelaar
18 november 2013 14:03

En KPN maar adverteren met hun ISO27001 en ISO27002 certificering voor informatiebeveiliging. Weet je meteen wat die ISO normering voorstelt, of wat de audit voorstelt, of wordt die nu ook ingetrokken?

carbonspeed
@Bockelaar • 18 november 2013 14:28

Ik werk momenteel met ISO normen en dit is een regel waar ik momenteel mee worstel:
"maak tijdelijke wachtwoorden uniek voor een persoon en niet te raden" .
Hier voldoen ze met welkom01 in iedergeval niet aan

. Ik schrik hier als ISO man behoorlijk van

[Reactie gewijzigd door carbonspeed op 18 november 2013 14:29]

Rafe
@Bockelaar • 18 november 2013 14:54

KPN geeft zelf al aan dat alleen bepaalde bedrijfsonderdelen ISO27k gecertificeerd zijn.

Ik denk dat je veel te hoge verwachtingen hebt van zo'n ISO-maatregel. De ISO 27k-familie gaat over een 'information security management system', waarin je beschrijft welke processen je volgt en welke maatregelen je als bedrijf neemt om risico's die voor jou van toepassing zijn te beheersen. De auditor controleert deze systematiek op opzet, bestaan en werking, en indien tevreden heb je je certificering. Maar dat is geen garantie dat fouten als deze niet voor zullen komen. Als het goed is zal er wel een procedure zijn om dit incident te analyseren en waar nodig procedures aan te passen, zodat herhalingen in de toekomst niet meer voorkomen. Dat laat je de volgende keer aan de auditor zien en er is niets aan de hand.

Mrjraider
18 november 2013 12:48

Je moet echt gaan hacken wil jij als buitenstaander lekken en bugs aan de kaart brengen. Dan moet je ook nog eens de mazzel hebben dat ze je niet vervolgen. Al is dit wel begrijpelijk vind ik dat de Nederlandse (en wellicht meerdere) wetgeving hier slecht in is.
Je hackt en bent meteen crimineel. En dan heb je nog niet eens de gekraakte inlog gegevens op Facebook gezet

+1B64

@Mrjraider • 18 november 2013 13:58

En dan waren ze nog niet eens op zoek naar een beveiligingslek... zie de link in één van de reacties hierboven: ze waren gewoon op zoek naar een werkende internetverbinding in een oud schoolgebouw.

+1Durandal
18 november 2013 16:44

Een Ethische hacker.

Is dat zoiets als een ethische inbreker? Iemand die wel 's avonds je voordeur open maakt als je ligt te slapen en een kijkje in je huis neemt, maar niets meeneemt?

joostiphone
@Durandal • 18 november 2013 17:41

Dat is iemand die ziet dat jouw deur of raam op een kiertje staat en jou waarschuwt voor het feit dat je makkelijk te beroven bent, voordat het daadwerkelijk gebeurt.

DeTeraarist
18 november 2013 12:18

Begrijp ik dit nu goed: het apparaat dat de klant van het interne KPN netwerk moet weren, staat bij de klant zelf? Dat is... geen woorden voor...

0naveci
@DeTeraarist • 18 november 2013 12:48

Dat is normaal. ISP plaatsen vaak equipment on premises. Denk ook eens aan je eigen huis-tuin-keuken router die je van je ISP hebt.
De bedoeling is dat vanaf dat device de verbinding wordt afgekoppeld naar het klantennetwerk. Zo heb ik een Juniperswitch van Ziggo bij klanten in het rack staan, en vanuit daar een kabeltje naar de eigen firewall met externe IPs.

Het enige wat ze te verwijten valt is dat ze er niet over nagedacht hadden (securitytechnisch dan), dat klanten hun eigen apparatuur kan koppelen met een SFPtje erin gevrot

[Reactie gewijzigd door naveci op 18 november 2013 12:51]

DeTeraarist
@naveci • 18 november 2013 13:44

Dat ISP's hun eigen equipment graag uitdelen begrijp ik wel. Ik kan hier thuis ook een eigen modem gebruiken, maar daarmee kom ik nog niet op het interne netwerk. Het is nu net alsof KPN gewoon iedereen op hun interne netwerk aansluit zonder enige vorm van interne routing cq beveiliging. Andere router plaatsen en simsalabim, er is toegang? Dat moet toch beter kunnen zonder afhankelijk te zijn van de apparatuur die klanten op hun lokatie gebruiken?

+1naveci
@DeTeraarist • 18 november 2013 14:00

Nou... wat ze te verwijten valt is dat het mogelijk is om even rond te surfen (dus routen) in het management gedeelte. Dit kan voorkomen worden met of zonder eigen apparatuur te plaatsen aan de kant van de klant.

En natuurlijk wat kwalijk is, is dat de wachtwoorden weer makkelijk te achterhalen zijn.

CyBeR
@DeTeraarist • 18 november 2013 15:17

Dit is wel net even iets anders dan thuis een ander modem aanslingeren he. Dit gaat om glasvezelverbindingen van honderden euro's per maand. (Als ik 't brondocument zie gaat 't om een verbinding die op een WWP LightningEdge 310 afgeleverd wordt en die kosten geen duizenden maar honderden euro's.)

[Reactie gewijzigd door CyBeR op 18 november 2013 15:27]

0batjes
@DeTeraarist • 18 november 2013 17:51

Niet zo raar, was/is het met upc glasvezel niet zo dat je door je eigen router/modem te hacken je je eigen breedbandte kan instellen.

1 2 Volgende

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers