KPN stopt tijdelijk uitgifte SSL-certificaten
KPN is tijdelijk gestopt met het uitgeven van SSL-certificaten omdat de productieomgeving van de certificaten mogelijk is gecompromitteerd, zo laat het bedrijf op de eigen website weten. Volgens KPN Corporate Market (voorheen Getronics) zijn er geen aanwijzingen dat hackers de systemen zijn binnengedrongen, toch kan dit ook niet volledig worden uitgesloten. Daarom vindt er nu een onafhankelijk extern onderzoek plaats. In afwachting van de resultaten van het onderzoek worden geen nieuwe certificaten uitgegeven. Bestaande certificaten die al uitgegeven zijn, blijven geldig. KPN zal bedrijven en organisaties die een nieuw SSL-certificaat hadden besteld vandaag en morgen inlichten.
Tijdens een ander onderzoek van het bedrijf werden op een webserver sporen aangetroffen die op misbruik zouden kunnen duiden. Het zou gaan om een incident dat mogelijk vier jaar geleden plaatsvond. De aanvallers zouden de server mogelijk hebben klaargemaakt voor het uitvoeren van DDoS-aanvallen op andere servers. Inmiddels is de betreffende webserver door KPN vervangen.
Onderzoek
Het aanvullende onderzoek vindt de komende dagen plaats. De uitkomsten daarvan worden in de eerste helft van volgende week verwacht. Veel gemeenten die DigiNotar-certificaten gebruikten en vanwege de aanval op deze SSL-uitgever hun certificaten moesten vervangen, gingen naar Getronics toe.
Vertrouwen
Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties vindt dat de beslissing van KPN vertrouwen geeft. "KPN handelt hierin adequaat en volgens het uitgangspunt veiligheid voorop." Er is inmiddels ook een brief naar de Kamer gegaan, waarin wordt gesteld dat KPN/Getronics het incident "voortvarend" oppakt. Ook zouden er in afstemming met de departementen BZK en V&J maatregelen zijn getroffen.
DDoS-tool
Veel experts vragen zich af wat er nu werkelijk aan de hand is. "Eén van de vragen die beantwoord moeten worden, is hoe een DDoS-tool vier jaar lang onopgemerkt bleef. Nu meer bedrijven hun interne beveiliging aanscherpen, verwacht ik dat er meer 'oude aanvallen' zoals deze worden ontdekt", zegt Roel Schouwenberg van het Russische anti-virusbedrijf Kaspersky Lab.
Vandaag werd ook bekend dat Mozilla en Microsoft het vertrouwen in de Maleisische Certificate Authority DigiCert hebben opgezegd.
Het gaat om certificaten uitgegeven door de Maleisische http://www.digicert.com.my waarvan we hooguit intermediate cerificaten in onze browsers terugzien. Net zoals in het begin DigiNotar stelde Entrust vertrouwen in die Maleisische club, maar sinds die certificaten uitgeeft met -relatief eenvoudig kraakbare- RSA sleutels van slechts 512 bits lengte en ontbrekende extensions (waaronder revocation URL's), heeft Entrust besloten dat vertrouwen binnenkort in te trekken, zie: http://www.entrust.net/advisories/malaysia.htm.
Misschien wordt het tijd voor browsermakers om het vertrouwen in Entrust in te trekken, want dat lijkt nu voor de tweede keer nergens op gebaseerd?
De juiste oplossing is een framework dat fouten voorkomt, liest gecontroleerd door velen (dus moet dus eigenlijk wel open source zijn).
Jammer van deze php rant, want het zijn veelal de programmeurs die er niet mee kunnen omgaan. Weet je wel hoeveel $_GET zaken ik anno 2011 nog tegenkom ? Of ongevalideerde input van onbekende gebruikers?? Ik spreek geen java, maar ook dat wordt ingeklopt. Ik neem aan dat hier soortgelijke zaken spelen.
En die "home page" natrap is ongefundeerd, php is al jaren geen afkorting meer.
Er staat _een_ webserver in het bericht, KPN heeft zonder enige twijfel meer dan alleen kpn.com in de lucht te houden en hoogst waarschijnlijk draaien ze daar ook allerlei soorten OS-en en webserver toepassingen door elkaar, waaronder de meer kwetsbare varianten.
En waarom zou een server geen virussen kunnen hebben, of een dDoS-tool geïnstalleerd door eigen personeel? Dat is nog altijd één van de grotere risico-factoren, je eigen personeel..
Schrijf dan geen comment...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
