image

KPN stopt tijdelijk uitgifte SSL-certificaten

vrijdag 4 november 2011, 22:53 door Redactie, 14 reacties

KPN is tijdelijk gestopt met het uitgeven van SSL-certificaten omdat de productieomgeving van de certificaten mogelijk is gecompromitteerd, zo laat het bedrijf op de eigen website weten. Volgens KPN Corporate Market (voorheen Getronics) zijn er geen aanwijzingen dat hackers de systemen zijn binnengedrongen, toch kan dit ook niet volledig worden uitgesloten. Daarom vindt er nu een onafhankelijk extern onderzoek plaats. In afwachting van de resultaten van het onderzoek worden geen nieuwe certificaten uitgegeven. Bestaande certificaten die al uitgegeven zijn, blijven geldig. KPN zal bedrijven en organisaties die een nieuw SSL-certificaat hadden besteld vandaag en morgen inlichten.

Tijdens een ander onderzoek van het bedrijf werden op een webserver sporen aangetroffen die op misbruik zouden kunnen duiden. Het zou gaan om een incident dat mogelijk vier jaar geleden plaatsvond. De aanvallers zouden de server mogelijk hebben klaargemaakt voor het uitvoeren van DDoS-aanvallen op andere servers. Inmiddels is de betreffende webserver door KPN vervangen.

Onderzoek
Het aanvullende onderzoek vindt de komende dagen plaats. De uitkomsten daarvan worden in de eerste helft van volgende week verwacht. Veel gemeenten die DigiNotar-certificaten gebruikten en vanwege de aanval op deze SSL-uitgever hun certificaten moesten vervangen, gingen naar Getronics toe.

Vertrouwen
Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties vindt dat de beslissing van KPN vertrouwen geeft. "KPN handelt hierin adequaat en volgens het uitgangspunt veiligheid voorop." Er is inmiddels ook een brief naar de Kamer gegaan, waarin wordt gesteld dat KPN/Getronics het incident "voortvarend" oppakt. Ook zouden er in afstemming met de departementen BZK en V&J maatregelen zijn getroffen.

DDoS-tool
Veel experts vragen zich af wat er nu werkelijk aan de hand is. "Eén van de vragen die beantwoord moeten worden, is hoe een DDoS-tool vier jaar lang onopgemerkt bleef. Nu meer bedrijven hun interne beveiliging aanscherpen, verwacht ik dat er meer 'oude aanvallen' zoals deze worden ontdekt", zegt Roel Schouwenberg van het Russische anti-virusbedrijf Kaspersky Lab.

Vandaag werd ook bekend dat Mozilla en Microsoft het vertrouwen in de Maleisische Certificate Authority DigiCert hebben opgezegd.

Reacties (14)
05-11-2011, 00:32 door Erik van Straten
Door Roel Schouwenberg van het Russische anti-virusbedrijf Kaspersky Lab: Eén van de vragen die beantwoord moeten worden, is hoe een DDoS-tool vier jaar lang onopgemerkt bleef. Nu meer bedrijven hun interne beveiliging aanscherpen, verwacht ik dat er meer 'oude aanvallen' zoals deze worden ontdekt
Niet om het goed te praten, maar die DDoS tool (dat best wel eens een IRC bot geweest kan zijn) kan best wel door (notabene!) een virusscanner zijn verwijderd toen de aanvallers deze proberen te laden (wie weet hadden de aanvallers helemaal niet door op wat voor een server ze zaten, of juist wel, en hebben het opgegeven). Als KPN nu oude virusscanner logs analyseert kan zoiets naar boven komen. Aan de andere kant zou er best nog (sporen van) malware op de server gestaan kunnen hebben.

Redactie: Vandaag werd ook bekend dat Mozilla en Microsoft het vertrouwen in de Maleisische Certificate Authority DigiCert hebben opgezegd.
Het betreft hier NIET de "DigiCert" CA waarvan root certificaten in onze webbrowsers zitten, geleverd door http://www.digicert.com.

Het gaat om certificaten uitgegeven door de Maleisische http://www.digicert.com.my waarvan we hooguit intermediate cerificaten in onze browsers terugzien. Net zoals in het begin DigiNotar stelde Entrust vertrouwen in die Maleisische club, maar sinds die certificaten uitgeeft met -relatief eenvoudig kraakbare- RSA sleutels van slechts 512 bits lengte en ontbrekende extensions (waaronder revocation URL's), heeft Entrust besloten dat vertrouwen binnenkort in te trekken, zie: http://www.entrust.net/advisories/malaysia.htm.

Misschien wordt het tijd voor browsermakers om het vertrouwen in Entrust in te trekken, want dat lijkt nu voor de tweede keer nergens op gebaseerd?
05-11-2011, 20:06 door Anoniem
4 jaar oude server: wat voor oude meuk gebruiken ze daar!
05-11-2011, 22:35 door Anoniem
Tip ad minister ..graaf maar flink door.
05-11-2011, 22:41 door Anoniem
Hoe kan je nou vertrouwen hebben in een bedrijf wat net veroordeeld is voor heimelijke prijsafspraken...Ligt het nou aan mij..O ja ik weet het weer ..belangen he?
06-11-2011, 11:53 door [Account Verwijderd]
[Verwijderd]
06-11-2011, 12:30 door Anoniem
@Krakatau Niks is veilig: http://www.security.nl/artikel/38910/1/JBoss-worm_infecteert_ongepatchte_servers.html

De juiste oplossing is een framework dat fouten voorkomt, liest gecontroleerd door velen (dus moet dus eigenlijk wel open source zijn).
06-11-2011, 18:23 door Anoniem
@Krakatau:

Jammer van deze php rant, want het zijn veelal de programmeurs die er niet mee kunnen omgaan. Weet je wel hoeveel $_GET zaken ik anno 2011 nog tegenkom ? Of ongevalideerde input van onbekende gebruikers?? Ik spreek geen java, maar ook dat wordt ingeklopt. Ik neem aan dat hier soortgelijke zaken spelen.

En die "home page" natrap is ongefundeerd, php is al jaren geen afkorting meer.
07-11-2011, 09:52 door 0101
Door Anoniem: En die "home page" natrap is ongefundeerd, php is al jaren geen afkorting meer.
Niet helemaal juist, de huidige betekenis is: PHP: Hypertext Preprocessor
07-11-2011, 10:15 door Loserenzo
@Krakatau:
Er staat _een_ webserver in het bericht, KPN heeft zonder enige twijfel meer dan alleen kpn.com in de lucht te houden en hoogst waarschijnlijk draaien ze daar ook allerlei soorten OS-en en webserver toepassingen door elkaar, waaronder de meer kwetsbare varianten.

En waarom zou een server geen virussen kunnen hebben, of een dDoS-tool geïnstalleerd door eigen personeel? Dat is nog altijd één van de grotere risico-factoren, je eigen personeel..
07-11-2011, 13:10 door Anoniem
Ik wou dat ik wat kon zeggen maar dan zou ik een vet probleem krijgen
07-11-2011, 14:04 door Jacob Boersma
Door Anoniem: Ik wou dat ik wat kon zeggen maar dan zou ik een vet probleem krijgen

Schrijf dan geen comment...
08-11-2011, 10:05 door [Account Verwijderd]
[Verwijderd]
08-11-2011, 10:07 door [Account Verwijderd]
[Verwijderd]
08-11-2011, 10:17 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.