KPN stopt tijdelijk uitgifte SSL-certificaten
KPN is tijdelijk gestopt met het uitgeven van SSL-certificaten omdat de productieomgeving van de certificaten mogelijk is gecompromitteerd, zo laat het bedrijf op de eigen website weten. Volgens KPN Corporate Market (voorheen Getronics) zijn er geen aanwijzingen dat hackers de systemen zijn binnengedrongen, toch kan dit ook niet volledig worden uitgesloten. Daarom vindt er nu een onafhankelijk extern onderzoek plaats. In afwachting van de resultaten van het onderzoek worden geen nieuwe certificaten uitgegeven. Bestaande certificaten die al uitgegeven zijn, blijven geldig. KPN zal bedrijven en organisaties die een nieuw SSL-certificaat hadden besteld vandaag en morgen inlichten.
Tijdens een ander onderzoek van het bedrijf werden op een webserver sporen aangetroffen die op misbruik zouden kunnen duiden. Het zou gaan om een incident dat mogelijk vier jaar geleden plaatsvond. De aanvallers zouden de server mogelijk hebben klaargemaakt voor het uitvoeren van DDoS-aanvallen op andere servers. Inmiddels is de betreffende webserver door KPN vervangen.
Onderzoek
Het aanvullende onderzoek vindt de komende dagen plaats. De uitkomsten daarvan worden in de eerste helft van volgende week verwacht. Veel gemeenten die DigiNotar-certificaten gebruikten en vanwege de aanval op deze SSL-uitgever hun certificaten moesten vervangen, gingen naar Getronics toe.
Vertrouwen
Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties vindt dat de beslissing van KPN vertrouwen geeft. "KPN handelt hierin adequaat en volgens het uitgangspunt veiligheid voorop." Er is inmiddels ook een brief naar de Kamer gegaan, waarin wordt gesteld dat KPN/Getronics het incident "voortvarend" oppakt. Ook zouden er in afstemming met de departementen BZK en V&J maatregelen zijn getroffen.
DDoS-tool
Veel experts vragen zich af wat er nu werkelijk aan de hand is. "Eén van de vragen die beantwoord moeten worden, is hoe een DDoS-tool vier jaar lang onopgemerkt bleef. Nu meer bedrijven hun interne beveiliging aanscherpen, verwacht ik dat er meer 'oude aanvallen' zoals deze worden ontdekt", zegt Roel Schouwenberg van het Russische anti-virusbedrijf Kaspersky Lab.
Vandaag werd ook bekend dat Mozilla en Microsoft het vertrouwen in de Maleisische Certificate Authority DigiCert hebben opgezegd.
Het gaat om certificaten uitgegeven door de Maleisische http://www.digicert.com.my waarvan we hooguit intermediate cerificaten in onze browsers terugzien. Net zoals in het begin DigiNotar stelde Entrust vertrouwen in die Maleisische club, maar sinds die certificaten uitgeeft met -relatief eenvoudig kraakbare- RSA sleutels van slechts 512 bits lengte en ontbrekende extensions (waaronder revocation URL's), heeft Entrust besloten dat vertrouwen binnenkort in te trekken, zie: http://www.entrust.net/advisories/malaysia.htm.
Misschien wordt het tijd voor browsermakers om het vertrouwen in Entrust in te trekken, want dat lijkt nu voor de tweede keer nergens op gebaseerd?
De juiste oplossing is een framework dat fouten voorkomt, liest gecontroleerd door velen (dus moet dus eigenlijk wel open source zijn).
Jammer van deze php rant, want het zijn veelal de programmeurs die er niet mee kunnen omgaan. Weet je wel hoeveel $_GET zaken ik anno 2011 nog tegenkom ? Of ongevalideerde input van onbekende gebruikers?? Ik spreek geen java, maar ook dat wordt ingeklopt. Ik neem aan dat hier soortgelijke zaken spelen.
En die "home page" natrap is ongefundeerd, php is al jaren geen afkorting meer.
Er staat _een_ webserver in het bericht, KPN heeft zonder enige twijfel meer dan alleen kpn.com in de lucht te houden en hoogst waarschijnlijk draaien ze daar ook allerlei soorten OS-en en webserver toepassingen door elkaar, waaronder de meer kwetsbare varianten.
En waarom zou een server geen virussen kunnen hebben, of een dDoS-tool geïnstalleerd door eigen personeel? Dat is nog altijd één van de grotere risico-factoren, je eigen personeel..
Schrijf dan geen comment...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.