KPN is tijdelijk gestopt met het uitgeven van SSL-certificaten omdat de productieomgeving van de certificaten mogelijk is gecompromitteerd, zo laat het bedrijf op de eigen website weten. Volgens KPN Corporate Market (voorheen Getronics) zijn er geen aanwijzingen dat hackers de systemen zijn binnengedrongen, toch kan dit ook niet volledig worden uitgesloten. Daarom vindt er nu een onafhankelijk extern onderzoek plaats. In afwachting van de resultaten van het onderzoek worden geen nieuwe certificaten uitgegeven. Bestaande certificaten die al uitgegeven zijn, blijven geldig. KPN zal bedrijven en organisaties die een nieuw SSL-certificaat hadden besteld vandaag en morgen inlichten.
Tijdens een ander onderzoek van het bedrijf werden op een webserver sporen aangetroffen die op misbruik zouden kunnen duiden. Het zou gaan om een incident dat mogelijk vier jaar geleden plaatsvond. De aanvallers zouden de server mogelijk hebben klaargemaakt voor het uitvoeren van DDoS-aanvallen op andere servers. Inmiddels is de betreffende webserver door KPN vervangen.
Onderzoek
Het aanvullende onderzoek vindt de komende dagen plaats. De uitkomsten daarvan worden in de eerste helft van volgende week verwacht. Veel gemeenten die DigiNotar-certificaten gebruikten en vanwege de aanval op deze SSL-uitgever hun certificaten moesten vervangen, gingen naar Getronics toe.
Vertrouwen
Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties vindt dat de beslissing van KPN vertrouwen geeft. "KPN handelt hierin adequaat en volgens het uitgangspunt veiligheid voorop." Er is inmiddels ook een brief naar de Kamer gegaan, waarin wordt gesteld dat KPN/Getronics het incident "voortvarend" oppakt. Ook zouden er in afstemming met de departementen BZK en V&J maatregelen zijn getroffen.
DDoS-tool
Veel experts vragen zich af wat er nu werkelijk aan de hand is. "Eén van de vragen die beantwoord moeten worden, is hoe een DDoS-tool vier jaar lang onopgemerkt bleef. Nu meer bedrijven hun interne beveiliging aanscherpen, verwacht ik dat er meer 'oude aanvallen' zoals deze worden ontdekt", zegt Roel Schouwenberg van het Russische anti-virusbedrijf Kaspersky Lab.
Vandaag werd ook bekend dat Mozilla en Microsoft het vertrouwen in de Maleisische Certificate Authority DigiCert hebben opgezegd.
Deze posting is gelocked. Reageren is niet meer mogelijk.