Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

  • fRiEtJeSaTe
  • Registratie: september 2003
  • Laatst online: 10:11
Lekker begin van de werkweek
Ik werk als IT-verantwoordelijke bij een bedrijf van +/- 100 medewerkers. Vanochtend werd ik opgeschrikt door een belletje van Vodafone (leverancier mobiele en vaste telefonie). Zij wisten mij te melden dat er 40000(!) euro aan kosten zijn gemaakt, met belletjes richting Cuba. Dit bedrag is van vrijdagavond tot zondagavond buit gemaakt.

De telefooncentrale/pbx betreft een on-premise model, dat bij KPN is afgenomen. Onderhuids een Alcatel. Wij hebben servicecontracten hierop lopen. Op verzoek van KPN moest deze van afstand te bereiken zijn. Anders kon men het servicecontract niet nakomen i.v.m. backups etc. Hierop heb ik de benodigde poorten geopend en het interne adres genat, zodat men de centrale kon bereiken.


Toen ik vanochtend inlogde op de pbx, kreeg ik een popup over een openstaande sessie met een aparte naam (er kan maar 1 account tegelijk inloggen). Ik concludeer dat dit de hacker is geweest en heb hiervan een screenshot gemaakt. Het bellen was op dat moment al gestopt.
Opvallend detail was dat de hacker ingelogd was met een 'installer' niveau. Zelf kan ik niet hoger inloggen dan 'administrator' niveau. Dit ligt o.a. aan de klanttool die ik gebruik, die verschilt van de experttool. KPN verstrekt het expertwachtwoord en de expertool niet aan klanten. Logisch, anders kunnen ze de dienstverlening niet garanderen.

Ik heb KPN laten inloggen op de centrale en toen zelf een sessie geopend om te zien op welk niveau de centrale aangeeft als KPN ingelogd is. Hierbij kreeg ik wederom een popup met 'installer' niveau. Dit betekent dat de hacker dezelfde rechten tot zijn beschikking had als KPN. Volgens KPN genereert de centrale codes voor de expert tool en werkt het niet zoals de klant-tool met een normaal wachtwoord.




Nu de hamvraag; wie gaat dit enorme bedrag betalen?
Ik vind zelf dat beide partijen iets te verwijten valt.

KPN:
- had moeten melden dat de centrale met default wachtwoorden was geleverd, en dit onveilig was
- had moeten communiceren over hun ervaring (dat dit vaker voorkomt), en de klant op de hoogte moeten stellen van de risico's
- heeft ofwel een default wachtwoord gebruikt voor de expert-tool, ofwel bevatte de pbx een beveiligingslek, waardoor hacker kon inloggen met maximale rechten. Gezien het tijdstip (vrijdagavond 21.08u) lijkt mij een bruteforce aanval onwaarschijnlijk. (of het wachtwoord moet eerder buit zijn gemaakt).

Vodafone:
- had veel eerder moeten waarschuwen. Waarom wachten tot de rekening opgelopen was tot 40000 euro? Onze maandelijkse factuur tikt niet hoger dan 3000 euro. Er waren allerlei alarmbellen die hadden moeten rinkelen: tijdstip (weekend), land (Cuba), sessies (3000), kosten (2x factuurwaarde). Men had de verbinding kunnen sluiten tot maandagochtend en dan contact met mij kunnen opnemen. Of mij gewoon mobiel kunnen bellen in het weekend.


KPN en Vodafone beginnen natuurlijk meteen naar elkaar te wijzen, en wij trekken dan aan het kortste eind. :r
KPN verwijt ons dat de standaardwachtwoorden niet zijn aangepast (admin / operator), en dat de NAT niet was beveiligd met enkel toegang voor KPN publiek IP-adres. Vodafone vind dat wij de rekening gewoon moeten betalen.

Zal er niet omheen draaien; we voelen ons flink genaaid. Uiteraard valt ons als klant altijd iets te verwijten, immers wij hebben de beslissing gemaakt om de NAT te maken op verzoek van KPN servicedesk. Maar we nemen als klant niet voor niets een pbx + servicecontract af bij KPN. Dat doen we omdat we zelf geen verstand hebben van telefooncentrales.

Ikzelf ben er ook goed ziek van, gezien dit stuk toch onder mijn verantwoording valt.

Hoor graag jullie mening! :/

  • ThinkPad
  • Registratie: juni 2005
  • Laatst online: 22:09

ThinkPad

Moderator Duurzame Energie & Domotica

L460

Geen idee hoe het in de bedrijfswereld zit, maar heeft het bedrijf niet iets van rechtsbijstand o.i.d. voor dit soort zaken?

Verder zou ik in ieder geval zorgen dat de telefooncentrale daarna een stuk restrictiever wordt ingesteld, aantal landen wat gebeld mag worden sterk limiteren, evenals het aantal sessies e.d.

Gas besparen door CV-tuning | Elektriciteit besparen
Geen (Domoticz) vragen via privébericht die ook via het forum kunnen a.u.b.


  • fRiEtJeSaTe
  • Registratie: september 2003
  • Laatst online: 10:11
quote:
ThinkPad schreef op maandag 09 november 2015 @ 19:35:
Geen idee hoe het in de bedrijfswereld zit, maar heeft het bedrijf niet iets van rechtsbijstand o.i.d. voor dit soort zaken?

Verder zou ik in ieder geval zorgen dat de telefooncentrale daarna een stuk restrictiever wordt ingesteld, aantal landen wat gebeld mag worden sterk limiteren, evenals het aantal sessies e.d.
Hier heb ik vandaag meteen actie op ondernomen. Wachtwoorden zijn aangepast en nat heeft als restrictie dat alleen het publieke adres van KPN wordt toegelaten.
Rechtsbijstand moeten we achteraan. Binnenkort eerst maar eens met de heren KPN en VF om tafel.
V.w.b. bel-restricties heeft weinig zin als de hacker met maximale rechten op de pbx terecht komt.

Wie kent de expert-tool van KPN / Alcatel (Office) en weet hoe deze werkt? Gaat het inderdaad zoals KPN aangeeft met random gegenereerde codes of is dit onzin?

fRiEtJeSaTe wijzigde deze reactie 09-11-2015 19:45 (16%)


  • Nox
  • Registratie: maart 2004
  • Laatst online: 21:34

Nox

Noxiuz

VF treft amper een blaam, zij leveren de dienst gewoon. Als KPN volledig beheer doet is het hun fout dat zij default passwords gebruiken (ik ga er vanuit dat het niveau admin/123456789abc is).

Anderzijds ook jullie fout door de admin open te stellen aan het hele Internet. Doorgaans sta je alleen het IP(range) van een kantoor toe dat beheer moet uitoefenen op de machine.

Note aan jezelf, stel een monitoring in met x aantal calls buiten .nl en laat hem desnoods afsluiten.

Overlever van KampeerMeet 4.1
Give me your corks!!11
All your Acer belongs to /dev/null


  • fRiEtJeSaTe
  • Registratie: september 2003
  • Laatst online: 10:11
quote:
NoxiuZ schreef op maandag 09 november 2015 @ 20:22:
VF treft amper een blaam, zij leveren de dienst gewoon.
Mind you dat VF degene is die het meest profiteert van deze situatie. Immer zij cashen een deel van de telefoonkosten.

  • wardjj
  • Registratie: februari 2009
  • Laatst online: 10:49
Ik kan me herinneren dat er vorig jaar ook een dergelijk topic op GoT was, dat is dus deze: VOIP misbruik: €22.000 lichter....

Wellicht interessant om ook even door te lezen! Succes!

  • Marzman
  • Registratie: december 2001
  • Niet online

Marzman

They'll never get caught.

Ook KPN.

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.


  • Nox
  • Registratie: maart 2004
  • Laatst online: 21:34

Nox

Noxiuz

quote:
fRiEtJeSaTe schreef op maandag 09 november 2015 @ 20:27:
[...]

Mind you dat VF degene is die het meest profiteert van deze situatie. Immer zij cashen een deel van de telefoonkosten.
Je wilt ze verwijten dat ze te laat hebben gebeld? Zijn ze niet eens verplicht afaik.

Overlever van KampeerMeet 4.1
Give me your corks!!11
All your Acer belongs to /dev/null


  • anboni
  • Registratie: maart 2004
  • Laatst online: 22:13
Je wijst wel naar VF en KPN, maar ik vind dat je hier zelf zeker ook een verantwoordelijkheid hebt. Het is gewoon not-done om de management interface van eender welk systeem aan internet te hangen. Dat KPN toegang moet hebben, snap ik. Maar dan wel via een VPN. Als ze daar niet aan mee willen werken, krijgen ze van mij (ook IT verantwoordelijke bij een vergelijkbaar bedrijf) toch echt een middelvinger.

  • sambalbaj
  • Registratie: maart 2006
  • Niet online
Het is ook niet voor niets precies in het weekend; bedrijf zelf dicht en provider in weekenddienst. Gelijk op maandagochtend is dan best vlot en maakt Vodafone niet mede aansprakelijk. Maar hoezo is het default wachtwoord nooit gewijzigd?

  • fRiEtJeSaTe
  • Registratie: september 2003
  • Laatst online: 10:11
quote:
anboni schreef op maandag 09 november 2015 @ 21:07:
Je wijst wel naar VF en KPN, maar ik vind dat je hier zelf zeker ook een verantwoordelijkheid hebt. Het is gewoon not-done om de management interface van eender welk systeem aan internet te hangen. Dat KPN toegang moet hebben, snap ik. Maar dan wel via een VPN. Als ze daar niet aan mee willen werken, krijgen ze van mij (ook IT verantwoordelijke bij een vergelijkbaar bedrijf) toch echt een middelvinger.
Ik wijs niet alleen naar KPN en VF. Maar als KPN mij vraagt om de management-interface aan internet te hangen omdat men anders botweg geen garantie geeft dat de support-contracten worden nageleefd (1 werkdag hersteltijd), dan ga ik ervan uit dat dit een normale gang van zaken is.

Als ik daardoor risico's loop moet men mij op dat moment daarop wijzen. Niet nadat er een rekening ligt van 40000 euro. Het is wel erg simpel om alle verantwoordelijkheid bij de klant neer te leggen. Als een MKB-bedrijf weet hoe een telefooncentrale werkt, geïnstalleerd, en onderhouden moet worden, geeft men dit niet uit handen bij KPN! Nou kan ik mezelf nog redelijk verstaanbaar maken, de gemiddelde mkb-er heeft vaak niemand met IT-affiniteit in dienst.

Wel diensten leveren maar geen verantwoordelijkheid aanvaarden.

  • fRiEtJeSaTe
  • Registratie: september 2003
  • Laatst online: 10:11
Overigens heeft KPN ons nooit verteld dat het default wachtwoorden zijn (ze zijn complexer dan admin / 12345). Waarom niet bij installatie wijzigen?

Zoals gezegd heeft KPN dus een expert-tool die ze niet aan klanten verstrekken. Met deze expert-tool wordt als 'installer' ingelogd. Hacker is ook als 'installer' ingelogd geweest. Dit wachtwoord weet ik niet en ik heb de tool (MMC?) niet om hem aan te aanpassen.

Lijkt mij dat KPN of een default wachtwoord heeft gebruikt, of dat de tool / centrale een beveiligingslek bevat? Iemand die ervaring heeft met de expert-tool en/of hier iets zinnigs over kan melden?

fRiEtJeSaTe wijzigde deze reactie 09-11-2015 21:37 (68%)


  • Rukapul
  • Registratie: februari 2000
  • Laatst online: 14:38

Rukapul

Moderator General Chat
quote:
anboni schreef op maandag 09 november 2015 @ 21:07:
Je wijst wel naar VF en KPN, maar ik vind dat je hier zelf zeker ook een verantwoordelijkheid hebt. Het is gewoon not-done om de management interface van eender welk systeem aan internet te hangen. Dat KPN toegang moet hebben, snap ik. Maar dan wel via een VPN. Als ze daar niet aan mee willen werken, krijgen ze van mij (ook IT verantwoordelijke bij een vergelijkbaar bedrijf) toch echt een middelvinger.
Strikt genomen vormt de access control van de appliance zelf de primaire security control.
Eventuele netwerk filters vormen secundaire security controls voor defense in depth (en ter mitigatie van risico's die hier niet het probleem vormden).

Van een leverancier die een product levert evenals beheer- en supportdiensten mag verwacht worden dat deze in een veilige configuratie wordt afgeleverd en zeker niet met default passwords (best practice is minimaal change before first use), gare authenticatie, etc.

In dit geval lijkt de oplossing trouwens zeer eenvoudig: er is ingelogd met credentials waar slechts KPN toegang toe had (via een mechanisme waar TS niet eens kennis van had) en derhalve is het volstrekt logisch KPN aansprakelijk te stellen voor gebruik van die credentials.

Bovenstaande is onder de aanname dat TS daadwerkelijk geen informatie, instructie of anderszins heeft ontvangen waaruit zou blijken dat hij actie zou moeten ondernemen. Het is dus essentieel alle communicatie, handleidingen, productdocumentatie, etc. na te lopen. (Of zoiets redelijk is is een tweede, maar dan kom je op het punt van verdeelde aansprakelijkheid.)

Rukapul wijzigde deze reactie 09-11-2015 22:16 (12%)


  • Punica-
  • Registratie: september 2003
  • Laatst online: 17-09 15:10
Hoe vervelend het ook is.. dit word gok ik een rechtzaak. Vodafone heeft 'niets' fout gedaan en zal dus geld claimen bij je. KPN zal niet happig zijn om die 40K te betalen en zal alles doen om daar onder uit te komen.

Jouw enige manier om die 40K terug te zien is (dreigen om) een zaak aan te spannen tegen KPN waar je ze in gebreken stelt. Zorg dat je zoveel mogelijk documentatie over de installatie terug vind en met name bewijs dat KPN je gevraagt heeft om moedwillig een onveilige situatie te creeren.

  • asing
  • Registratie: oktober 2001
  • Laatst online: 21:41
quote:
fRiEtJeSaTe schreef op maandag 09 november 2015 @ 21:29:
[...]

Ik wijs niet alleen naar KPN en VF. Maar als KPN mij vraagt om de management-interface aan internet te hangen omdat men anders botweg geen garantie geeft dat de support-contracten worden nageleefd (1 werkdag hersteltijd), dan ga ik ervan uit dat dit een normale gang van zaken is.

Als ik daardoor risico's loop moet men mij op dat moment daarop wijzen. Niet nadat er een rekening ligt van 40000 euro. Het is wel erg simpel om alle verantwoordelijkheid bij de klant neer te leggen. Als een MKB-bedrijf weet hoe een telefooncentrale werkt, geïnstalleerd, en onderhouden moet worden, geeft men dit niet uit handen bij KPN! Nou kan ik mezelf nog redelijk verstaanbaar maken, de gemiddelde mkb-er heeft vaak niemand met IT-affiniteit in dienst.

Wel diensten leveren maar geen verantwoordelijkheid aanvaarden.
Om je een beeld te geven, KPN maakt geen software. Ze verkopen een product van een ander, leggen er eventueel een KPN sausje overheen en dat is het. Standaard wachtwoorden zijn om die reden een security issue.

Verder wilden ze toegang vanaf extern. Het is een beetje naïef van je om te denken dat je er bent met een simpele port forward naar je centrale zodat KPN hun werk kan doen. Het is een hele vervelende les voor je maar je had dat ding moeten dichtmetselen zodat alleen KPN er vanaf een bekend IP adres (of reeks) bij kan.

Vodafone heeft in dit geval niets fout gedaan. Ze hebben wel de kosten moeten maken voor al die telefoontjes. KPN is gewoon KPN zoals wij beheerders dat kennen. Verkopen iets en zodra je poot op het papier staat willen ze zo goedkoop mogelijk dienstverlening doen. Dat gaat ten koste van de kwaliteit O-) .

De grootste fouten liggen helaas bij jou -O- :$ ;( . Om te beginnen had je de RDP toegang kunnen beperken tot de reeks van KPN zelf. Je had zelfs een VPN tunnel kunnen bouwen zodat de server helemaal niet bereikbaar is over het normale net. Daarnaast had je erop kunnen staan dat ze het standaard wachtwoord aanpasten naar een wachtwoord wat je ze opgeeft. Ook had je eventlog monitoring kunnen doen zodat je een mail krijgt als er wordt ingelogd op je centrale. Last but not least had je een dial plan kunnen opzetten waarmee het niet mogelijk is om exotische nummers te bellen, of alleen voor bepaalde mensen.

Ik vind het echt ruk voor je, je bent op een hele nare manier gewezen op de harde realiteit van deze wereld. Ik kan niets doen aan de schadepost van 40K, maar ik hoop dat je iets hebt aan de adviezen die ik gaf.


Sterkte :)

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month


  • Marzman
  • Registratie: december 2001
  • Niet online

Marzman

They'll never get caught.

quote:
asing schreef op dinsdag 10 november 2015 @ 08:54:
[...]

De grootste fouten liggen helaas bij jou -O- :$ ;( . Om te beginnen had je de RDP toegang kunnen beperken tot de reeks van KPN zelf. Je had zelfs een VPN tunnel kunnen bouwen zodat de server helemaal niet bereikbaar is over het normale net. Daarnaast had je erop kunnen staan dat ze het standaard wachtwoord aanpasten naar een wachtwoord wat je ze opgeeft. Ook had je eventlog monitoring kunnen doen zodat je een mail krijgt als er wordt ingelogd op je centrale. Last but not least had je een dial plan kunnen opzetten waarmee het niet mogelijk is om exotische nummers te bellen, of alleen voor bepaalde mensen.
Is niet de reden om een managed centrale af te nemen dat je zelf al die kennis niet hebt? Lijkt me dat KPN de experts zijn in deze. Als de hackers ingelogd zijn met de rechten van KPN kunnen ze een dialplan en dergelijke trouwens gewoon aanpassen.

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.


  • rick de groot
  • Registratie: december 2009
  • Laatst online: 03-10 22:42
quote:
Marzman schreef op dinsdag 10 november 2015 @ 09:03:
[...]

Is niet de reden om een managed centrale af te nemen dat je zelf al die kennis niet hebt? Lijkt me dat KPN de experts zijn in deze. Als de hackers ingelogd zijn met de rechten van KPN kunnen ze een dialplan en dergelijke trouwens gewoon aanpassen.
KPN is niet echt een expert in telefooncentrales, KPN hanteerd al jaar en dag standaard wachtwoorden.
Ik ben bang dat je de kosten zelf moet betalen, ik verwacht vanuit KPN 0 op het rakest.
Gezien het feit je de centrale gekocht hebt en je eigendom is ben je er zelf verantwoordelijk voor.
Ook al heb je geen kennis van zaken.

Ik heb dit vaker gezien.

De criminele passen dan het keuzemenu aan, en bellen er massaal naar toe.
Vaak gebeurd het bij bedrijven met een ISDN30 verbinding. zo hoeven ze maar 15 keer te bellen en krijgt ze in 1 keer 15 gesprekken binnen op hun betaal nummer in Cuba.

  • TheBorg
  • Registratie: november 2002
  • Laatst online: 18-10 18:32

TheBorg

Resistance is futile.

quote:
Marzman schreef op dinsdag 10 november 2015 @ 09:03:
[...]

Is niet de reden om een managed centrale af te nemen dat je zelf al die kennis niet hebt? Lijkt me dat KPN de experts zijn in deze. Als de hackers ingelogd zijn met de rechten van KPN kunnen ze een dialplan en dergelijke trouwens gewoon aanpassen.
Precies. Ik vind de mening van asing dan ook veel te kort door de bocht. Als KPN verzoekt om toegang en ze laten het na om exact te instrueren hoe dit opgezet moet worden dan dragen ze wat mij betreft de volledige verantwoordelijkheid. Ik sluit me dan ook aan bij Rukapul en zou KPN nog één gesprek gunnen en als dat negatief uitpakt daarna meteen een advocaat bellen. Vooral omdat er ingelogd is op installer niveau, een niveau dat alleen KPN heeft, waardoor het KPN verwijtbaar is dat op dat niveau de beveiliging niet op orde is.

  • Rukapul
  • Registratie: februari 2000
  • Laatst online: 14:38

Rukapul

Moderator General Chat
quote:
rick de groot schreef op dinsdag 10 november 2015 @ 09:19:
[...]


KPN is niet echt een expert in telefooncentrales, KPN hanteerd al jaar en dag standaard wachtwoorden.
Dat zegt natuurlijk een heleboel over het beveiligingsniveau.

En security experts gaan hier natuurlijk ook gewoon van uit, maar die eis kun je niet een op een projecteren op elke MKB-er die een applicance koopt of een managed appliance huurt.

  • asing
  • Registratie: oktober 2001
  • Laatst online: 21:41
quote:
Marzman schreef op dinsdag 10 november 2015 @ 09:03:
[...]

Is niet de reden om een managed centrale af te nemen dat je zelf al die kennis niet hebt? Lijkt me dat KPN de experts zijn in deze. Als de hackers ingelogd zijn met de rechten van KPN kunnen ze een dialplan en dergelijke trouwens gewoon aanpassen.
quote:
rick de groot schreef op dinsdag 10 november 2015 @ 09:19:
[...]
KPN is niet echt een expert in telefooncentrales, KPN hanteerd al jaar en dag standaard wachtwoorden.
Ik ben bang dat je de kosten zelf moet betalen, ik verwacht vanuit KPN 0 op het rakest.
Gezien het feit je de centrale gekocht hebt en je eigendom is ben je er zelf verantwoordelijk voor.
Ook al heb je geen kennis van zaken.

Ik heb dit vaker gezien.

De criminele passen dan het keuzemenu aan, en bellen er massaal naar toe.
Vaak gebeurd het bij bedrijven met een ISDN30 verbinding. zo hoeven ze maar 15 keer te bellen en krijgt ze in 1 keer 15 gesprekken binnen op hun betaal nummer in Cuba.
quote:
TheBorg schreef op dinsdag 10 november 2015 @ 09:20:
[...]

Precies. Ik vind de mening van asing dan ook veel te kort door de bocht. Als KPN verzoekt om toegang en ze laten het na om exact te instrueren hoe dit opgezet moet worden dan dragen ze wat mij betreft de volledige verantwoordelijkheid. Ik sluit me dan ook aan bij Rukapul en zou KPN nog één gesprek gunnen en als dat negatief uitpakt daarna meteen een advocaat bellen. Vooral omdat er ingelogd is op installer niveau, een niveau dat alleen KPN heeft, waardoor het KPN verwijtbaar is dat op dat niveau de beveiliging niet op orde is.
KPN verkoopt je een product, in dit geval een centrale. Het is hun taak om te zorgen dat je kan bellen. Dat is de dienst. Zodra dat werkt zijn ze klaar. Goedkoop, snel en simpel. Waarschijnlijk staan er ook wat voorwaarden in het contract.

De beveiliging van de centrale is niet het probleem van KPN vrees ik. Dat is aan de beheerder van het bedrijf.

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month


  • lithoijen
  • Registratie: februari 2000
  • Nu online
quote:
asing schreef op dinsdag 10 november 2015 @ 09:30:


KPN verkoopt je een product, in dit geval een centrale. Het is hun taak om te zorgen dat je kan bellen. Dat is de dienst. Zodra dat werkt zijn ze klaar. Goedkoop, snel en simpel. Waarschijnlijk staan er ook wat voorwaarden in het contract.

De beveiliging van de centrale is niet het probleem van KPN vrees ik. Dat is aan de beheerder van het bedrijf.
Dat klopt natuurlijk niet. Ze leveren de centrale, maar hebben ook een service contract. Dit is een dienst, wat daarover in de contracten staat weet ik niet, maar ze hebben daarmee natuurlijk wel verantwoordelijkheden. Wat daar wel en niet onder valt is volgens mij moeilijk te zeggen zonder de contracten/afspraken te kennen.

Maar gezien het bedrag lijkt het me de moeite waard dit eens goed uit te zoeken. Het klinkt voor mij, zo op het eerste gezicht en als leek, dat ze op zijn minst mede verantwoordelijk zijn.

  • rick de groot
  • Registratie: december 2009
  • Laatst online: 03-10 22:42
quote:
lithoijen schreef op dinsdag 10 november 2015 @ 09:36:
[...]


Dat klopt natuurlijk niet. Ze leveren de centrale, maar hebben ook een service contract. Dit is een dienst, wat daarover in de contracten staat weet ik niet, maar ze hebben daarmee natuurlijk wel verantwoordelijkheden. Wat daar wel en niet onder valt is volgens mij moeilijk te zeggen zonder de contracten/afspraken te kennen.

Maar gezien het bedrag lijkt het me de moeite waard dit eens goed uit te zoeken. Het klinkt voor mij, zo op het eerste gezicht en als leek, dat ze op zijn minst mede verantwoordelijk zijn.
Waarschijnlijk een SC op basis van storingen en niet op basis van misbruik.

Ik werk zelf in deze wereld en ik weet uit ervaring van een KPN klant die ons heeft gebeld om het op te lossen. Gezien KPN niet thuis gaf en de klant 30K moest aftikken.

  • Starck
  • Registratie: september 2004
  • Niet online
En vraag bij Vodafone ook meteen om een belplafond. Als jullie normaal voor max. 3000 bellen. Dan is een plafond van 4000 voldoende.

  • rick de groot
  • Registratie: december 2009
  • Laatst online: 03-10 22:42
quote:
Starck schreef op dinsdag 10 november 2015 @ 09:42:
En vraag bij Vodafone ook meteen om een belplafond. Als jullie normaal voor max. 3000 bellen. Dan is een plafond van 4000 voldoende.
de fraude afdeling loopt 24 uur acht bij KPN, ik weet niet of dit bij VF ook zo is.
Al de crimenel op donderdag avond/nacht beginnen, valt het pas de maandag erop op.
Geziend de fraude afdeling in het weekend gesloten is.

  • asing
  • Registratie: oktober 2001
  • Laatst online: 21:41
quote:
lithoijen schreef op dinsdag 10 november 2015 @ 09:36:
[...]


Dat klopt natuurlijk niet. Ze leveren de centrale, maar hebben ook een service contract. Dit is een dienst, wat daarover in de contracten staat weet ik niet, maar ze hebben daarmee natuurlijk wel verantwoordelijkheden. Wat daar wel en niet onder valt is volgens mij moeilijk te zeggen zonder de contracten/afspraken te kennen.

Maar gezien het bedrag lijkt het me de moeite waard dit eens goed uit te zoeken. Het klinkt voor mij, zo op het eerste gezicht en als leek, dat ze op zijn minst mede verantwoordelijk zijn.
Service Contract is handig als je een storing aan je centrale hebt. Daar betaal je ook dik voor. Als je het contract doorspit zal je waarschijnlijk wat regels tegenkomen over misbruik en aansprakelijkheid. Je kan KPN hooguit laksheid verwijten. Zij zullen weer beweren dat de beveiliging van de verbinding de verantwoordelijkheid van de ITer is.

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month


  • Jeroenneman
  • Registratie: december 2009
  • Laatst online: 21:46

Jeroenneman

Pre-order/Early Acces: Nee!

quote:
rick de groot schreef op dinsdag 10 november 2015 @ 09:51:
[...]


de fraude afdeling loopt 24 uur acht bij KPN, ik weet niet of dit bij VF ook zo is.
Al de crimenel op donderdag avond/nacht beginnen, valt het pas de maandag erop op.
Geziend de fraude afdeling in het weekend gesloten is.
Fraude afdeling?

Gewoon in het systeem zetten dat boven de 4000 gelijk de verbinding wordt afgekapt. Dat lukt ze bij mobiele abbonementen prima.

| Old Faithful | i7 920 @ (3,3Ghz) / X58 UD4P / GTX960 (1,550Mhz) / CM 690 | NOVA | i5 6600K (4,4Ghz) / Z170 Pro Gaming / GTX 960 (1,500Mhz) / NZXT S340


  • Punica-
  • Registratie: september 2003
  • Laatst online: 17-09 15:10
quote:
asing schreef op dinsdag 10 november 2015 @ 09:56:
[...]


Service Contract is handig als je een storing aan je centrale hebt. Daar betaal je ook dik voor. Als je het contract doorspit zal je waarschijnlijk wat regels tegenkomen over misbruik en aansprakelijkheid. Je kan KPN hooguit laksheid verwijten. Zij zullen weer beweren dat de beveiliging van de verbinding de verantwoordelijkheid van de ITer is.
Fout. Als TS echt een managed dienst heeft zoals hij beweerd heeft KPN wel degelijk bepaalde verantwoordelijkheden en verplichtingen. KPN heeft bewust "onwetende" klant geinstrueerd om zijn beveiliging te droppen. Als ze dat hebben gedaan in combinatie met gebruik van een default password dan zijn ze zeker wel in gebreken geweest.

  • JayPe
  • Registratie: september 2011
  • Laatst online: 03-10 19:14

JayPe

Ondertitel

Ahum: Er is installer ingelogd.. Enige die deze sleutel heeft is KPN,.. laat KPN eens bewijzen dat niet zij maar een ander de centrale hebben bedient.
Wie zegt de KPN het wachtwoord van hun dienst niet heeft gelekt?

Laat ik het zo zeggen:

Wij hebben een drop-box voor de nachtdistributie. Wij de code voor de binnenkant, en de distributie een code voor de buitenkant.. Ik kan de buitendeur niet open maken (vanaf binnen) en zij de binnendeur niet ( vanaf buiten).

Als 's ochtends de buitendeur open staat,. en het hok is leeg; dan spreek ik daar eerst de nachtdistributie op aan; Zij hebben de verantwoordelijkheid over die deur.

Als blijkt dat de buitendeur niet geforceerd is, dan wordt t helemaal fraai: Heeft de distributie de code laten slingeren of is de beveiliging van het slot niet goed?

3460 Wp '16 - Volkswagen e-up! '18 - Maximumsnelheid naar 100km/h


  • jeanj
  • Registratie: augustus 2002
  • Niet online

jeanj

kijk eerst hoe de wind waait

Het lijkt me dat je eerst moet gaan achterhalen wat en hoe het is gebeurt voordat je de schuldvraag kan beantwoorden. Denk na of je dit door een externe partij wil en kan doen (kost geld, wie dat betaald staat nog niet vast) of dat je KPN het uit laat zoeken. Doe in ieder geval het verzoek om alle relevante log gegevens veilig te stellen ivm de aangifte die je gaat doen bij de politie. (die heb je al gedaan?)

VF heeft hooguit de verantwoordelijkheid om aan de bel te trekken bij te hoge kosten en dat hebben ze dus gedaan, misschien te laat, maar in ieder geval hebben ze jullie geïnformeerd en is de schade beperkt.

KPN is zeker nalatig geweest als er default wachtwoorden op stonden als die gebruikt zijn. Als ze verder geen instructies hebben gegeven over het beperken van de ip toegang, dan zijn ze daar ook nalatig in geweest. Check zoals hierboven is aangeven of dat in de documentatie staat of gezegd is in de communicatie

uit dat andere topic waar hieboven aan wordt gerfereerd
quote:
SR201963 schreef op donderdag 20 maart 2014 @ 11:48:
Advies:
1) Hoffman recherche inschakelen (of een vergelijkbaar kantoor) om deskundigenrapport te laten opstellen. Dit i.v.m. bewijskracht.
2) z.s.m. schadebeperkende maatregelen nemen zodat de schade niet meer oploopt.
3) politie aangifte doen.
4) juridisch advies zoeken over aansprakelijkheid.

jeanj wijzigde deze reactie 10-11-2015 10:22 (22%)

Everything is better with Bluetooth


  • rick de groot
  • Registratie: december 2009
  • Laatst online: 03-10 22:42
quote:
JayPe schreef op dinsdag 10 november 2015 @ 10:06:
Ahum: Er is installer ingelogd.. Enige die deze sleutel heeft is KPN,.. laat KPN eens bewijzen dat niet zij maar een ander de centrale hebben bedient.
Wie zegt de KPN het wachtwoord van hun dienst niet heeft gelekt?

Laat ik het zo zeggen:

Wij hebben een drop-box voor de nachtdistributie. Wij de code voor de binnenkant, en de distributie een code voor de buitenkant.. Ik kan de buitendeur niet open maken (vanaf binnen) en zij de binnendeur niet ( vanaf buiten).

Als 's ochtends de buitendeur open staat,. en het hok is leeg; dan spreek ik daar eerst de nachtdistributie op aan; Zij hebben de verantwoordelijkheid over die deur.

Als blijkt dat de buitendeur niet geforceerd is, dan wordt t helemaal fraai: Heeft de distributie de code laten slingeren of is de beveiliging van het slot niet goed?
De gebruikersnaam en wachtwoord van KPN zijn bij alle telecomboeren in Nederland die iets doen met een Alcatel bekend, dus ook bij criminelen.
quote:
Jeroenneman schreef op dinsdag 10 november 2015 @ 10:01:
[...]


Fraude afdeling?

Gewoon in het systeem zetten dat boven de 4000 gelijk de verbinding wordt afgekapt. Dat lukt ze bij mobiele abbonementen prima.
Bij GSM kan het inderdaad wel. Maar KPn kan dit op Vast niet realiseren, ik denk dat VF dit ook niet kan doen. KPN heeft een fraude afdeling die dit een beetje in de gaten houdt.

  • fRiEtJeSaTe
  • Registratie: september 2003
  • Laatst online: 10:11
quote:
asing schreef op dinsdag 10 november 2015 @ 09:56:
[...]


Service Contract is handig als je een storing aan je centrale hebt. Daar betaal je ook dik voor. Als je het contract doorspit zal je waarschijnlijk wat regels tegenkomen over misbruik en aansprakelijkheid. Je kan KPN hooguit laksheid verwijten. Zij zullen weer beweren dat de beveiliging van de verbinding de verantwoordelijkheid van de ITer is.
Dit zou opgaan indien KPN mij het (installer) wachtwoord op enig moment had verstrekt. Maar dat doet men niet. Ongetwijfeld met de beste bedoelingen (anders kan de klant teveel verprutsen aan de centrale), maar daarmee geeft men mij geen mogelijkheid het wachtwoord aan te passen.

Omdat ik deze mogelijkheid niet heb mag ik er volgens mij best vanuit gaan dat KPN zorg draagt voor een fatsoenlijk (niet default) wachtwoord.

  • it0
  • Registratie: april 2000
  • Laatst online: 05:00

it0

Mijn mening is een feit.

Heeft KPN advies gegeven/geeist hoe het via internet bereikbaar was? Oftewel was er vanuit KPN een eis hoe je het had moeten beveiligen anders ligt naar mijn mening de verantwoordelijkheid bij KPN. Want zij eisen bereikbaarheid.

  • rick de groot
  • Registratie: december 2009
  • Laatst online: 03-10 22:42
quote:
it0 schreef op dinsdag 10 november 2015 @ 10:45:
Heeft KPN advies gegeven/geeist hoe het via internet bereikbaar was? Oftewel was er vanuit KPN een eis hoe je het had moeten beveiligen anders ligt naar mijn mening de verantwoordelijkheid bij KPN. Want zij eisen bereikbaarheid.
Dat ben ik niet met je eens.
Dit bedrijf heeft zelf gekozen voor VF, op een VF verbinding kun je remote geen verbinding krijgen op basis van ISDN.

KPN kan dan vragen om een verbinding te maken om toch remote toegang te krijgen, dan is de persoon die de VPN verbinding, portforwarding regelt de schuldig. Verbinding niet goed beveiligd.

  • Sparkiee
  • Registratie: november 2006
  • Laatst online: 18-10 10:52
Los van alle juridische zaken......kun je niet (laten) instellen dat niet zomaar iedereen naar elk willekeurig nummer kan bellen. Zelf beheer ik ook een telefooncentrale. Standaard mag een intern toestel alleen met een ander intern toestel bellen. Sommige collega's mogen lokaal, Nederland, Benelux, Europa of wereldwijd bellen. Maar standaard kan dat dus niet. Verder gaat de hele centrale na een bepaald tijdstip in nachtstand en dan is alleen intern verkeer mogelijk, en uiteraard 112.
Er zijn 2 wachtwoorden. Eentje voor de remote beheerder en dus de servicedienst. En een wachtwoord voor lokaal beheer. Dat laatste heeft veel maar niet alle rechten. Alleen de servicedesk heeft alle rechten.

https://www.strava.com/athletes/ralfv


  • rick de groot
  • Registratie: december 2009
  • Laatst online: 03-10 22:42
quote:
Sparkiee schreef op dinsdag 10 november 2015 @ 10:53:
Los van alle juridische zaken......kun je niet (laten) instellen dat niet zomaar iedereen naar elk willekeurig nummer kan bellen. Zelf beheer ik ook een telefooncentrale. Standaard mag een intern toestel alleen met een ander intern toestel bellen. Sommige collega's mogen lokaal, Nederland, Benelux, Europa of wereldwijd bellen. Maar standaard kan dat dus niet. Verder gaat de hele centrale na een bepaald tijdstip in nachtstand en dan is alleen intern verkeer mogelijk, en uiteraard 112.
Er zijn 2 wachtwoorden. Eentje voor de remote beheerder en dus de servicedienst. En een wachtwoord voor lokaal beheer. Dat laatste heeft veel maar niet alle rechten. Alleen de servicedesk heeft alle rechten.
Dit is in een alcatel ook alleen maar via de OMC tool te programmeren, maar als je de standaard wachtwoorden van KPN hebt is het een koud kunstje.

Dit gebeurde ook op Unify ( Siemens ) machines.

de criminelen hebben wel kennis van zaken.

  • it0
  • Registratie: april 2000
  • Laatst online: 05:00

it0

Mijn mening is een feit.

quote:
rick de groot schreef op dinsdag 10 november 2015 @ 10:50:

KPN kan dan vragen om een verbinding te maken om toch remote toegang te krijgen, dan is de persoon die de VPN verbinding, portforwarding regelt de schuldig. Verbinding niet goed beveiligd.
Ik blijf van mening dat het afhangt wat de gemaakt afspraken hierover zijn.

Als KPN een veilig wachtwoord had gebruikt was er niet ingebroken geweest. Tenslotte kan een ontevreden werknemer van KPN met afgeschermde toegang dan alsnog het zaakje verzieken. Als KPN beheer doet en geen verder eisen stelt blijf ik op de 1e plaats naar KPN kijken.

De verbinding afschermen was natuurlijk beter geweest.

  • servies
  • Registratie: december 1999
  • Laatst online: 22:41

servies

Veni Vidi Servici

quote:
rick de groot schreef op dinsdag 10 november 2015 @ 10:40:
De gebruikersnaam en wachtwoord van KPN zijn bij alle telecomboeren in Nederland die iets doen met een Alcatel bekend, dus ook bij criminelen.
Dan is het heel snel duidelijk: KPN heeft z'n beveiliging niet op orde en laat daardoor bewust klanten een risico lopen, schuld ligt dan ook bij KPN.

  • fRiEtJeSaTe
  • Registratie: september 2003
  • Laatst online: 10:11
quote:
Sparkiee schreef op dinsdag 10 november 2015 @ 10:53:
Los van alle juridische zaken......kun je niet (laten) instellen dat niet zomaar iedereen naar elk willekeurig nummer kan bellen. Zelf beheer ik ook een telefooncentrale. Standaard mag een intern toestel alleen met een ander intern toestel bellen. Sommige collega's mogen lokaal, Nederland, Benelux, Europa of wereldwijd bellen. Maar standaard kan dat dus niet. Verder gaat de hele centrale na een bepaald tijdstip in nachtstand en dan is alleen intern verkeer mogelijk, en uiteraard 112.
Er zijn 2 wachtwoorden. Eentje voor de remote beheerder en dus de servicedienst. En een wachtwoord voor lokaal beheer. Dat laatste heeft veel maar niet alle rechten. Alleen de servicedesk heeft alle rechten.
Zelfde situatie als hier dus. Servicedesk heeft alle rechten (installer), ik (admin) kan nummers etc. aanpassen.

Ik kan (en heb nu ook) de verkeersklasses aangepast onder administrator account. Echter, als een crimineel inlogt met installer account, wat dus het hoogste niveau is qua rechten, waar blijf ik dan met m'n aanpassingen?

Feitelijk blijven dus 3 dingen staan:
- ik had als klant een restrictie moeten zetten op de NAT
- kpn had het wachtwoord aan moeten passen, hebben ze dit gedaan dan bevatte de centrale een beveilingslek waardoor kwaadwillende alsnog met installer rechten aan de slag kon
- vodafone had de verbinding eerder kunnen blokkeren (je kunt mij niet vertellen dat dit onmogelijk is)

fRiEtJeSaTe wijzigde deze reactie 10-11-2015 11:10 (14%)


  • asing
  • Registratie: oktober 2001
  • Laatst online: 21:41
quote:
Sparkiee schreef op dinsdag 10 november 2015 @ 10:53:
Los van alle juridische zaken......kun je niet (laten) instellen dat niet zomaar iedereen naar elk willekeurig nummer kan bellen. Zelf beheer ik ook een telefooncentrale. Standaard mag een intern toestel alleen met een ander intern toestel bellen. Sommige collega's mogen lokaal, Nederland, Benelux, Europa of wereldwijd bellen. Maar standaard kan dat dus niet. Verder gaat de hele centrale na een bepaald tijdstip in nachtstand en dan is alleen intern verkeer mogelijk, en uiteraard 112.
Er zijn 2 wachtwoorden. Eentje voor de remote beheerder en dus de servicedienst. En een wachtwoord voor lokaal beheer. Dat laatste heeft veel maar niet alle rechten. Alleen de servicedesk heeft alle rechten.
Dat kan zeker, dat heet een dialplan. Had in dit geval niet veel uitgemaakt daar de criminelen het dialplan hebben aangepast om het bedrijf van TS als een soort bel-proxy te laten werken.

Vanuit KPN is er wat voor te zeggen om overal hetzelfde wachtwoord te gebruiken. Zo voorkom je dat je engineers lijsten met namen en wachtwoorden gaan meenemen om zo hun werk te kunnen doen. Voor mijn centrale zat er destijds ook een algemeen wachtwoord op wat ik niet mocht weten. Ze konden ook inbellen maar dan alleen via VPN.

Als ze normaliter gewoon inbellen op een speciaal nummer wat op je ISDN bundel zit is dat ook veilig. Als je het nummer niet weet kom je er niet bij. In dit geval ging dat niet want de lijn is van Vodafone. Dan vragen ze om een RDP verbinding.

Is het dan aan KPN om de beheerder te vertellen dat die de verbinding moet dichtmetselen, of is het aan de beheerder om te bedenken dat je zoiets moet beveiligen? Wie ben je als ICT beheerder als je één van je primaire taken (de veiligheid van je omgeving) uit het oog verliest?

Mij werd altijd gezegd : wat achter de deur (van de serverruimte) staat is jouw verantwoordelijkheid. De systeembeheerder is de verzekering tegen ellende. Zij het de persoon zelf, zij het de waakhond over de leveranciers.

Ik kom waarschijnlijk wat hard over :9 , maar ik ben ook door schade en schande wijs geworden :D .

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month


  • rick de groot
  • Registratie: december 2009
  • Laatst online: 03-10 22:42
quote:
servies schreef op dinsdag 10 november 2015 @ 11:01:
[...]

Dan is het heel snel duidelijk: KPN heeft z'n beveiliging niet op orde en laat daardoor bewust klanten een risico lopen, schuld ligt dan ook bij KPN.
Ben ik ook van mening, alleen het is net hoe KPN het jurisch heeft vastgelegd, gezien een centrale een eigendom is van de klant trek KPN gauw de handen er vanaf.

Tevens kun je wel een rechtzaak beginnen, maar of het het gaat willen tegen KPN heb ik mijn twijfels over.

  • fRiEtJeSaTe
  • Registratie: september 2003
  • Laatst online: 10:11
quote:
asing schreef op dinsdag 10 november 2015 @ 11:07:
[...]
Als ze normaliter gewoon inbellen op een speciaal nummer wat op je ISDN bundel zit is dat ook veilig. Als je het nummer niet weet kom je er niet bij. In dit geval ging dat niet want de lijn is van Vodafone. Dan vragen ze om een RDP verbinding.
Dus dat is KPN's layer of defense?
Als je het telefoonnummer niet weet kom je niet binnen?
En als je het nummer wel weet? Mag je dan met je universele pasje naar binnen?

Eens v.w.b. taken IT-beheerder. Achteraf had dat inderdaad gemoeten. Maar het is toch gek dat ik als leek de boel moet dichttimmeren, terwijl KPN als specialist de boel wagenwijd open laat staan. Enige feedback van KPN was ook welkom geweest (zij verplichten externe toegang en gaven aan dat port forwarding een optie is).

Overigens gaat het niet om RDP, maar om poort 443. Je moet als crimineel dus al het IP-adres weten en bewust inloggen met de tool op de centrale.

fRiEtJeSaTe wijzigde deze reactie 10-11-2015 11:45 (23%)


  • anboni
  • Registratie: maart 2004
  • Laatst online: 22:13
quote:
asing schreef op dinsdag 10 november 2015 @ 11:07:
[...]
Ik kom waarschijnlijk wat hard over :9 , maar ik ben ook door schade en schande wijs geworden :D .
Ik ben het in ieder geval (nog steeds) volledig met je eens ;)
quote:
fRiEtJeSaTe schreef op dinsdag 10 november 2015 @ 11:36:
Overigens gaat het niet om RDP, maar om poort 443. Je moet als crimineel dus al het IP-adres weten en bewust inloggen met de tool op de centrale.
Dat is een kwestie van portscannen om te kijken wat voor apparaten er allemaal op een IP adres luisteren. Daardoor circuleren in 'het circuit' ongetwijfeld hele lijsten met dit soort juicy targets.

anboni wijzigde deze reactie 10-11-2015 11:50 (45%)


  • fRiEtJeSaTe
  • Registratie: september 2003
  • Laatst online: 10:11
Heb even gegoogled op onze wachtwoorden.
Alcatel OmniPCX Office 4.1 Other ftp_inst pbxk1064 Installer
Alcatel OmniPCX Office 4.1 Multi ftp_admi kilo1987 Admin
Alcatel OmniPCX Office 4.1 Other ftp_oper help1954 Operator

De laatste 2 kloppen precies. Installer weet KPN alleen maar ik heb zo'n vermoeden dat die niet zal afwijken.

  • asing
  • Registratie: oktober 2001
  • Laatst online: 21:41
quote:
fRiEtJeSaTe schreef op dinsdag 10 november 2015 @ 11:36:
[...]

Dus dat is KPN's layer of defense?
Als je het telefoonnummer niet weet kom je niet binnen?
En als je het nummer wel weet? Mag je dan met je universele pasje naar binnen?

Eens v.w.b. taken IT-beheerder. Achteraf had dat inderdaad gemoeten. Maar het is toch gek dat ik als leek de boel moet dichttimmeren, terwijl KPN als specialist de boel wagenwijd open laat staan. Enige feedback van KPN was ook welkom geweest (zij verplichten externe toegang en gaven aan dat port forwarding een optie is).
Besef dat ik al eerder zei dat ze zo goedkoop mogelijk service willen verlenen. Dat wil zeggen dat ze de kantjes er af en toe af willen lopen. Zo heb ik meegemaakt dat ze een PDF "reverse engineerd" hadden om stiekem wat data (meervoud van datum) in een planning aan te passen omdat het hun niet uit kwam. Ik heb 3 jaar 2 centrales van ze gehad en dat was echt een feestje :X .

En nogmaals : het is de taak van de systeembeheerder (aka FrietjeSate :D ) om te waken over de veiligheid van de infra van het bedrijf. Dat doe je door rechten te zetten op je fileservers, https te configureren op je web access, tijd te spenderen aan je anti-virus, je backups en de internettoegang.

Ook ben je de "technische man" om tegenover de leveranciers te zetten. Zorgen dat de leverancier een goed beeld heeft van jouw infra, en jij van de spullen van de leverancier. Je bedrijf is van jouw kennis, kunde en ervaring afhankelijk om fouten te voorkomen. Daar ben je voor :9 .

Ik wil niet zeggen dat je meteen nee had moeten roepen bij die RDP verbinding, maar wees wel op je hoede :) .

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month


  • servies
  • Registratie: december 1999
  • Laatst online: 22:41

servies

Veni Vidi Servici

quote:
asing schreef op dinsdag 10 november 2015 @ 12:01:
Besef dat ik al eerder zei dat ze zo goedkoop mogelijk service willen verlenen. Dat wil zeggen dat ze de kantjes er af en toe af willen lopen.
Als zij willens en wetens dat doen en daardoor dit soort problemen veroorzaken dan moeten ze ook voor de gevolgen opdraaien...

  • luxan
  • Registratie: april 2014
  • Laatst online: 06-10 13:39
quote:
asing schreef op dinsdag 10 november 2015 @ 11:07:
Is het dan aan KPN om de beheerder te vertellen dat die de verbinding moet dichtmetselen, of is het aan de beheerder om te bedenken dat je zoiets moet beveiligen? Wie ben je als ICT beheerder als je één van je primaire taken (de veiligheid van je omgeving) uit het oog verliest?
Indien KPN in haar vraag om remote toegang specefiek portforwarding noemt is het mijns inziens tevens de taak van KPN om aan te geven vanaf welke IP adressen er ingelogd gaat worden. Anders weet je namelijk niet welke IP adressen je moet invoeren.

Nu kun je inderdaad stellen dat een beheerder bij een dergelijk verzoek aan dient te geven dat port forwarding niet mogelijk is in verband met de veiligheid en dat KPN een en ander via VPN zal moeten doen. Indien KPN aangeeft dit niet te kunnnen/willen doen, dien je als beheerder een schriftelijke bevestiging te verkrijgen waarin KPN verklaart alle kosten voortvloeiend uit eventueel misbruik de portforwarding op zich te nemen.

Dat neemt echter niet weg dat KPN in deze haar taak verzaakt heeft om de beveiliging op de centrale goed in te richten.

  • Albantar
  • Registratie: augustus 2001
  • Laatst online: 22:18

Albantar

Moderator General Chat

Get schwifty! Ꙭ

Inderdaad, TS had zijn firewall beter kunnen beveiligen. Maar feit blijft dat de aanvallers binnen zijn gekomen dankzij een default wachtwoord dat alleen door KPN veranderd had kunnen worden. Zij laten de kluis openstaan, dat is een veel zwaarder vergrijp dan dat jij de poort om het pand open laat staan, bij wijze van spreken.

Wubba lubba dub dub! В темноте всё кошки серы...


  • fRiEtJeSaTe
  • Registratie: september 2003
  • Laatst online: 10:11
Eens asing. De wijze les is binnengekomen maak je daar geen zorgen over. :-)
Wat me stoort is dat KPN geen enkele verantwoordelijk erkent (snap ik wel met 40000 euro potentiele claim), en meteen naar de klant begint te wijzen. Terwijl ze wel grof geld vragen door de hun service.

Als ik Outlook Web Access of RDP inschakel is de kans nihil dat er iemand met administrator rechten binnenkomt. Want daar zitten geen universele wachtwoorden op of ongepatchte systemen (updates).

Bij KPN moet ik me daar dus schijnbaar wel zorgen om maken.

  • sambalbaj
  • Registratie: maart 2006
  • Niet online
Neemt niet weg dat er nu wel eerst door bedrijf van ts betaald zal moeten worden. Ken de omvang van de organisatie niet, maar het is een flinke post.

Ben wel benieuwd naar de verdere juridische afhandeling want ik neem aan dat de klant nu KPN (mede) aansprakelijk gaat stellen vanwege dat default ww op installeren niveau. Vodafone heeft het vrij vlot gemeld, dus dat kan je vergeten. Maar zo'n traject zal wel een poos gaan duren, misschien gaat schikken/ arbitrage sneller. In de tussentijd heb je ook nog een zakelijke relatie met KPN, als die juist daardoor niet verbroken wordt, en moet ts ook zelf beter de boel dicht gaan gooien.

  • rick de groot
  • Registratie: december 2009
  • Laatst online: 03-10 22:42
quote:
fRiEtJeSaTe schreef op dinsdag 10 november 2015 @ 11:57:
Heb even gegoogled op onze wachtwoorden.
Alcatel OmniPCX Office 4.1 Other ftp_inst pbxk1064 Installer
Alcatel OmniPCX Office 4.1 Multi ftp_admi kilo1987 Admin
Alcatel OmniPCX Office 4.1 Other ftp_oper help1954 Operator

De laatste 2 kloppen precies. Installer weet KPN alleen maar ik heb zo'n vermoeden dat die niet zal afwijken.
vrij te vinden op internet, en worden door KPN nagenoeg niet aangepast.
Luiheid van monteurs.

  • Albantar
  • Registratie: augustus 2001
  • Laatst online: 22:18

Albantar

Moderator General Chat

Get schwifty! Ꙭ

quote:
rick de groot schreef op dinsdag 10 november 2015 @ 12:17:
[...]


vrij te vinden op internet, en worden door KPN nagenoeg niet aangepast.
Luiheid van monteurs.
En dus zeer zeker verwijtbare nalatigheid, wat mij betreft! Zij worden ingehuurd om het systeem te beheren - dan zou je toch verwachten dat ze het ook beheren en niet de deur wagenwijd laten openstaan?

Wubba lubba dub dub! В темноте всё кошки серы...


  • rick de groot
  • Registratie: december 2009
  • Laatst online: 03-10 22:42
quote:
Albantar schreef op dinsdag 10 november 2015 @ 12:23:
[...]


En dus zeer zeker verwijtbare nalatigheid, wat mij betreft! Zij worden ingehuurd om het systeem te beheren - dan zou je toch verwachten dat ze het ook beheren en niet de deur wagenwijd laten openstaan?
dat klopt helemaal. ik ook mijn mening. Maar daar heeft de klant nu niks meer aan als ze 40K achterop zijn.

  • fRiEtJeSaTe
  • Registratie: september 2003
  • Laatst online: 10:11
quote:
rick de groot schreef op dinsdag 10 november 2015 @ 12:28:
[...]


dat klopt helemaal. ik ook mijn mening. Maar daar heeft de klant nu niks meer aan als ze 40K achterop zijn.
E.e.a. is ook lastig te bewijzen omdat KPN het installer-wachtwoord en de expert tool in handen heeft. Gisteren heb ik de hele dag aan de lijn gehangen met ze hierover, dus je kunt er wel vanuit gaan dat het wachtwoord nu anders is dan pre-hack.
Die screenshot kan nog wel eens cruciaal gaan worden.

fRiEtJeSaTe wijzigde deze reactie 10-11-2015 12:51 (5%)


  • rick de groot
  • Registratie: december 2009
  • Laatst online: 03-10 22:42
quote:
fRiEtJeSaTe schreef op dinsdag 10 november 2015 @ 12:50:
[...]

E.e.a. is ook lastig te bewijzen omdat KPN het installer-wachtwoord en de expert tool in handen heeft. Gisteren heb ik de hele dag aan de lijn gehangen met ze hierover, dus je kunt er wel vanuit gaan dat het wachtwoord nu anders is dan pre-hack.
Die screenshot kan nog wel eens cruciaal gaan worden.
Ik kijk er niet raar van op als dit niet is aangepast.

Wij hebben het ook gezien bij een KPN klant, KPN wilde niet eens komen en heeft de wachtwoorden ook niet aangepast.

KPN is wat dat aan al vaker slecht in de media gekomen over hun wachtwoorden beleid.

Maar het standaard wacht wordt is weliswaar niet van KPN maar van Alcatel. Ik vind dat je voor de klant je verantwoordelijkheid moet nemen bij een installatie en de wachtwoorden dient te wijzigen.

Tevens zou ik zeggen dit te laten doen door KPN, en in de blokkeringslijst het Internationale verkeer blokken, zodat er niet naar een buitenlands nummer gebeld mag worden.

  • Hooglander1
  • Registratie: september 2003
  • Niet online

Hooglander1

Zot intellegent

quote:
fRiEtJeSaTe schreef op dinsdag 10 november 2015 @ 12:50:
[...]

E.e.a. is ook lastig te bewijzen omdat KPN het installer-wachtwoord en de expert tool in handen heeft. Gisteren heb ik de hele dag aan de lijn gehangen met ze hierover, dus je kunt er wel vanuit gaan dat het wachtwoord nu anders is dan pre-hack.
Die screenshot kan nog wel eens cruciaal gaan worden.
Heeft KPN ook de volledige installatie gedaan? Als jij niet in staat bent geweest om het wachtwoord ergens aan te passen of de regels erop aan te passen dan is dat absoluut van belang.

Daarnaast helpt het ook als je transcriptie hebt van de instructies om je netwerk open te stellen. Als daarin staat dat het opengezet moet worden (en niet specifiek voor hun ip's bijvoorbeeld) heb je al een veel sterkere zaak dan anders. Wel belangrijk dat je een legal afdeling hier snel aan haakt, want hier is van de KPN kant (aan de hand van jouw verhaal) echt wel sprake van laakbaar gedrag.

Lid van de Tweakers Kenwood TTM-312 club.


  • fRiEtJeSaTe
  • Registratie: september 2003
  • Laatst online: 10:11
Kan iemand mij toevallig voorzien van een OMC Expert tool versie 810.28.1a?
Dan kan ik zelf de logging en wachtwoorden bekijken.

fRiEtJeSaTe wijzigde deze reactie 10-11-2015 12:59 (4%)


  • Bigs
  • Registratie: mei 2000
  • Niet online
Het zal een beetje aan de voorwaarden liggen van de dienst liggen maar op basis van de informatie in dit topic lijkt me duidelijk dat KPN hier aansprakelijk gesteld kan worden. Een derde partij heeft zich toegang verschaft tot de geleverde dienst. Dit valt niet aan de TS te wijten, die heeft immers netjes de instructies van KPN opgevolgd en had zelf ook geen toegang tot het apparaat op een niveau waarop dit probleem voorkomen had kunnen worden (door het wijzigen van wachtwoorden). Als het gebruik van een IP whitelist of VPN noodzakelijk of aan te bevelen was dan het KPN de klant hierop moeten wijzen. Je neemt immers een managed telefoniedienst af omdat je zelf niets van telefonie weet.

KPN wijst nu terug naar de klant omdat dat het makkelijkste is (en je nu nog onderin de organisatie zit), maar je hebt een goede zaak dus als jullie hier werk van maken (en het komt hogerop terecht) komt er wel een oplossing.

Bigs wijzigde deze reactie 10-11-2015 13:05 (4%)


  • KRGT
  • Registratie: september 2001
  • Niet online

KRGT

Have a nice day!

quote:
fRiEtJeSaTe schreef op dinsdag 10 november 2015 @ 12:59:
Kan iemand mij toevallig voorzien van een OMC Expert tool versie 810.28.1a?
Dan kan ik zelf de logging en wachtwoorden bekijken.
Juist even niets doen, voor je het weet zeggen ze, zie je, je kan er zelf ook in....

  • Yohsoog
  • Registratie: maart 2010
  • Laatst online: 18-10 12:43
quote:
Rukapul schreef op maandag 09 november 2015 @ 21:39:
[...]
In dit geval lijkt de oplossing trouwens zeer eenvoudig: er is ingelogd met credentials waar slechts KPN toegang toe had (via een mechanisme waar TS niet eens kennis van had) en derhalve is het volstrekt logisch KPN aansprakelijk te stellen voor gebruik van die credentials.

Bovenstaande is onder de aanname dat TS daadwerkelijk geen informatie, instructie of anderszins heeft ontvangen waaruit zou blijken dat hij actie zou moeten ondernemen. Het is dus essentieel alle communicatie, handleidingen, productdocumentatie, etc. na te lopen. (Of zoiets redelijk is is een tweede, maar dan kom je op het punt van verdeelde aansprakelijkheid.)
Is dit momenteel niet het enige correcte antwoord? Wat is de reactie van KPN daarop, hoe kunnen ze zich daartegen verweren?

  • rick de groot
  • Registratie: december 2009
  • Laatst online: 03-10 22:42
quote:
ThaNetRunner schreef op dinsdag 10 november 2015 @ 13:05:
[...]


Juist even niets doen, voor je het weet zeggen ze, zie je, je kan er zelf ook in....
Ik deel ook deze mening, laat de beheerder ( KPN ) maar zorgen de toegang aangepast wordt.

  • Albantar
  • Registratie: augustus 2001
  • Laatst online: 22:18

Albantar

Moderator General Chat

Get schwifty! Ꙭ

Ik zou toch ook contact opnemen met Vodafone. Aangezien het duidelijk om misbruik gaat kunnen ze vast wel wat aan de factuur doen, bijvoorbeeld de kosten van €40k naar €5-10k verlagen. Toen een werknemer van het bedrijf waar ik werk jaren geleden in Kroatië een roamingfactuur van €40k bij elkaar wist te sprokkelen hebben wij ook een dergelijke regeling weten te treffen met Vodafone. Nog steeds een dure les, maar een stuk minder duur dan €40k. Als dat lukt en er dus nog "maar" €5-10k over is kan je dat wellicht vrij eenvoudig 50/50 splitsen met KPN.

Uiteraard is er met meer moeite nog meer te halen (mijns inziens is KPN gewoon 90%+ verantwoordelijk en zou dus het volledige bedrag moeten dokken), maar als met veel minder moeite het bovenstaande resultaat te behalen is dan is dat wellicht een betere oplossing...

Wubba lubba dub dub! В темноте всё кошки серы...


  • fRiEtJeSaTe
  • Registratie: september 2003
  • Laatst online: 10:11
Dat wordt waarschijnlijk ook de route die we gaan nemen.
Maar ik kan me voorstellen dat het voor Vodafone makkelijker is om roaming-kosten kwijt te schelden, dan een betaalnr. in Cuba.

In ieder geval bedankt voor de support allen!

  • rick de groot
  • Registratie: december 2009
  • Laatst online: 03-10 22:42
quote:
Albantar schreef op dinsdag 10 november 2015 @ 13:18:
Ik zou toch ook contact opnemen met Vodafone. Aangezien het duidelijk om misbruik gaat kunnen ze vast wel wat aan de factuur doen, bijvoorbeeld de kosten van €40k naar €5-10k verlagen. Toen een werknemer van het bedrijf waar ik werk jaren geleden in Kroatië een roamingfactuur van €40k bij elkaar wist te sprokkelen hebben wij ook een dergelijke regeling weten te treffen met Vodafone. Nog steeds een dure les, maar een stuk minder duur dan €40k. Als dat lukt en er dus nog "maar" €5-10k over is kan je dat wellicht vrij eenvoudig 50/50 splitsen met KPN.

Uiteraard is er met meer moeite nog meer te halen (mijns inziens is KPN gewoon 90%+ verantwoordelijk en zou dus het volledige bedrag moeten dokken), maar als met veel minder moeite het bovenstaande resultaat te behalen is dan is dat wellicht een betere oplossing...
Op GSM vlak willen ze dit nog wel eens doen, maar gezien dit een vaste aansluiting is ben ik bang dat ze het niet gaan doen, gezien het feit VF niet verantwoordelijk is.

  • Albantar
  • Registratie: augustus 2001
  • Laatst online: 22:18

Albantar

Moderator General Chat

Get schwifty! Ꙭ

quote:
rick de groot schreef op dinsdag 10 november 2015 @ 13:21:
[...]


Op GSM vlak willen ze dit nog wel eens doen, maar gezien dit een vaste aansluiting is ben ik bang dat ze het niet gaan doen, gezien het feit VF niet verantwoordelijk is.
Nee dat klopt, maar ze kunnen je op zijn minst hun marge "cadeau doen" omdat ze anders mede profiteren van een misdrijf...

Having said that... Is er al aangifte gedaan?

Albantar wijzigde deze reactie 10-11-2015 13:24 (5%)

Wubba lubba dub dub! В темноте всё кошки серы...


  • rick de groot
  • Registratie: december 2009
  • Laatst online: 03-10 22:42
quote:
Albantar schreef op dinsdag 10 november 2015 @ 13:23:
[...]


Nee dat klopt, maar ze kunnen je op zijn minst hun marge "cadeau doen" omdat ze anders mede profiteren van een misdrijf...
mee eens. Ik ben van mening dat de beheerder van de automaat moet betalen.

  • itsalex
  • Registratie: januari 2003
  • Laatst online: 22:51
Ik vind, afgezien van alles anders, dat je plicht sowieso is om een wachtwoord te veranderen want je weet dat je toegang hebt tot de centrale en ook daar veranderingen kan maken. Dat is denk ik bij de installatie je duidelijk gemaakt aangezien je misschien ook wijzigingen moet maken (aanmaken van users etc), zo niet dan is het ook KPN hiervoor verantwoordelijk en wederom weer nalatig geweest.

Daarnaast vind ik KPN zeer nalatig geweest dat dit gewoon mogelijk is. Al jaren is dit gezeur aan de gang qua het inbreken op diverse telefooncentrales. In alle gevallen vind ik dat KPN heel nalatig is geweest. Ze hadden nooit zo mogen verwachten dat je maar wat poorten opengooit. Had op zijn minst een VPN geeist en dan had je misschien een router moeten aanschaffen van € 300 maar dat is altijd nog goedkoper dan € 40k.

Vodafone verwijt ik niets want misschien heb je wel een open lijn nodig naar Cuba voor zakelijke contacten of wat dan ook. Tuurlijk hadden ze een belletje kunnen geven boven de € 5.000 maar ze monitoren niet altijd iedereen en alles en dat verwijt ik ze ook niet.

ik zou persoonlijk deze hele zaak bij KPN neerleggen en niet akkoord gaan met dat het jouw schuld is.

Hoe makkelijker het leven, hoe moeilijker het wordt


  • B0MBACI
  • Registratie: februari 2001
  • Niet online

B0MBACI

Ben© Tweaker

Misschien een andere escape maar wellicht kan je ook iets claimen bij je verzekering, aangezien het hier om een inbraak gaat weliswaar een digitale inbraak.

  • rick de groot
  • Registratie: december 2009
  • Laatst online: 03-10 22:42
quote:
itsalex schreef op dinsdag 10 november 2015 @ 13:31:
Ik vind, afgezien van alles anders, dat je plicht sowieso is om een wachtwoord te veranderen want je weet dat je toegang hebt tot de centrale en ook daar veranderingen kan maken. Dat is denk ik bij de installatie je duidelijk gemaakt aangezien je misschien ook wijzigingen moet maken (aanmaken van users etc), zo niet dan is het ook KPN hiervoor verantwoordelijk en wederom weer nalatig geweest.

Daarnaast vind ik KPN zeer nalatig geweest dat dit gewoon mogelijk is. Al jaren is dit gezeur aan de gang qua het inbreken op diverse telefooncentrales. In alle gevallen vind ik dat KPN heel nalatig is geweest. Ze hadden nooit zo mogen verwachten dat je maar wat poorten opengooit. Had op zijn minst een VPN geeist en dan had je misschien een router moeten aanschaffen van € 300 maar dat is altijd nog goedkoper dan € 40k.

Vodafone verwijt ik niets want misschien heb je wel een open lijn nodig naar Cuba voor zakelijke contacten of wat dan ook. Tuurlijk hadden ze een belletje kunnen geven boven de € 5.000 maar ze monitoren niet altijd iedereen en alles en dat verwijt ik ze ook niet.

ik zou persoonlijk deze hele zaak bij KPN neerleggen en niet akkoord gaan met dat het jouw schuld is.
-KPN heeft zijn wachtwoord moeten wijzigen.
-Mocht er een VPN zijn dan moet de automitseerder zorgen dat deze veilig is
-Heb je een Poortforwarding dan loop je risico's.
quote:
B0MBACI schreef op dinsdag 10 november 2015 @ 13:34:
Misschien een andere escape maar wellicht kan je ook iets claimen bij je verzekering, aangezien het hier om een inbraak gaat weliswaar een digitale inbraak.
Dit krijg je niet vergoed via een verzekering. daar hoef je het zeker niet te proberen.

  • Albantar
  • Registratie: augustus 2001
  • Laatst online: 22:18

Albantar

Moderator General Chat

Get schwifty! Ꙭ

Anyway, ik blijf erbij dat ik het grove nalatigheid van KPN vind. Iedereen* weet dat het een heel slecht idee is om op welk apparaat dan ook standaardwachtwoorden onveranderd te laten want welke hack men ook probeert, het standaardwachtwoord is sowieso het eerste wat men probeert.

Uiteraard had TS ook het een en ander kunnen doen, zoals een niet-standaard poort gebruiken (en die dan doorforwarden naar de standaard poort van de appliance) om portscans op een verkeerd spoor te zetten, en/of alleen toelaten voor de publieke IP-adressen van KPN, of standaard uit zetten en alleen op afroep door KPN als ze het nodig hebben de port forwarding aanzetten; maar dat zijn allemaal secundaire beveiligingsmiddelen. Het primaire beveiligingsmiddel is en blijft het wachtwoord op dat admin account en KPN heeft nagelaten dat goed te beveiligen.

Wubba lubba dub dub! В темноте всё кошки серы...


  • Yohost!
  • Registratie: juni 2000
  • Laatst online: 21:33
Ik vind Vodafone hierin ook niet sterk acteren.
Zelf werk ik bij een SIP trunk provider en wij hebben ook genoeg van deze geintjes gehad bij klanten van ons.
En probeer dan nog maar eens je geld te krijgen.

Wij hebben nu een systeem gebouwd waarbij wij een seintje krijgen wanneer een klant over 125% gaat van zijn gemiddelde belfactuur.
Als wij daar zelf niet op reageren gaat het 'beltegoed' gewoon automatisch op 0,- en kunnen er geen calls meer plaats vinden.

Ik weet dat het heel hard kan gaan als je meerdere calls tegelijk opzet maar iets meer pro actieve monitoring kan nooit kwaad.

  • rick de groot
  • Registratie: december 2009
  • Laatst online: 03-10 22:42
quote:
Albantar schreef op dinsdag 10 november 2015 @ 14:19:
Anyway, ik blijf erbij dat ik het grove nalatigheid van KPN vind. Iedereen* weet dat het een heel slecht idee is om op welk apparaat dan ook standaardwachtwoorden onveranderd te laten want welke hack men ook probeert, het standaardwachtwoord is sowieso het eerste wat men probeert.

Uiteraard had TS ook het een en ander kunnen doen, zoals een niet-standaard poort gebruiken (en die dan doorforwarden naar de standaard poort van de appliance) om portscans op een verkeerd spoor te zetten, en/of alleen toelaten voor de publieke IP-adressen van KPN, of standaard uit zetten en alleen op afroep door KPN als ze het nodig hebben de port forwarding aanzetten; maar dat zijn allemaal secundaire beveiligingsmiddelen. Het primaire beveiligingsmiddel is en blijft het wachtwoord op dat admin account en KPN heeft nagelaten dat goed te beveiligen.
Ik vind het slecht van KPN dat ze na zoveel jaren niks van geleerd.

Wij hebben destijds toen wij de berichten hoorden, alle beveiliging van de systemen extra aangepast.
Dit uit alle voorzorg. Als leverancier zijnde wil je geen 30-40K schadevergoeding willen aftikken.

  • fRiEtJeSaTe
  • Registratie: september 2003
  • Laatst online: 10:11
quote:
Yohost! schreef op dinsdag 10 november 2015 @ 14:40:
Ik vind Vodafone hierin ook niet sterk acteren.
Zelf werk ik bij een SIP trunk provider en wij hebben ook genoeg van deze geintjes gehad bij klanten van ons.
En probeer dan nog maar eens je geld te krijgen.

Wij hebben nu een systeem gebouwd waarbij wij een seintje krijgen wanneer een klant over 125% gaat van zijn gemiddelde belfactuur.
Als wij daar zelf niet op reageren gaat het 'beltegoed' gewoon automatisch op 0,- en kunnen er geen calls meer plaats vinden.

Ik weet dat het heel hard kan gaan als je meerdere calls tegelijk opzet maar iets meer pro actieve monitoring kan nooit kwaad.
Helemaal mee eens. Wat is de moeite en je voorkomt er zoveel ellende mee.
Was de factuur 200% geweest dan hadden we ons verlies genomen en afgehaakt. Nu gaat het om zo'n enorm bedrag dat afhaken geen optie meer is.

833 euro kosten per uur zou ten alle tijden een reden moeten zijn om de verbinding te sluiten.
Idem voor particulieren. Dat een particulier verzuimt om zijn sim als gestolen te rapporteren, wil nog niet zeggen dat je hem volledig aan zijn lot over moet laten. Dit soort bel-patronen herkennen is voor een provider een koud kunstje, voor commerciële doeleinden doen ze niet anders.

fRiEtJeSaTe wijzigde deze reactie 10-11-2015 14:54 (11%)


  • rick de groot
  • Registratie: december 2009
  • Laatst online: 03-10 22:42
quote:
fRiEtJeSaTe schreef op dinsdag 10 november 2015 @ 14:51:
[...]

Helemaal mee eens. Wat is de moeite en je voorkomt er zoveel ellende mee.
Was de factuur 200% geweest dan hadden we ons verlies genomen en afgehaakt. Nu gaat het om zo'n enorm bedrag dat afhaken geen optie meer is.

833 euro kosten per uur zou ten alle tijden een reden moeten zijn om de verbinding te sluiten.
Idem voor particulieren. Dat een particulier verzuimt om zijn sim als gestolen te rapporteren, wil nog niet zeggen dat je hem volledig aan zijn lot over moet laten.
Klopt, maar het is voor VF niet te zeggen om de verbinding te sluiten ja of nee. Maar ik begrijp je standpunt.
Voor veel bedrijven kan dit de ondergang betekenen.

  • Wim-Bart
  • Registratie: mei 2004
  • Laatst online: 15-10 20:39

Wim-Bart

Zie signature voor een baan.

Ik lees maar dat KPN zijn default wachtwoord had moeten vervangen. Wie zegt dat er een Default wachtwoord in stond.

Wanneer de centrale naar de buitenwereld open stond zonder goede voorzorgsmaatregelen, wat de verantwoording is van de IT afdeling, dan is het een koud kunstje om al weken van te voren een brute force uit te voeren. Hoewel KPN dan wel had moeten waarschuwen want dat is uit de logs te halen (als het goed is).

Aan de andere kant, wanneer je je CV ketel laat repareren en de installateur zegt tegen je, laat komende maanden je voordeur maar open staan, wij komen wel binnen dan denk je ook, zijn ze gek.

Er zijn dus twee schuldigen, het bedrijf van TS zelf en KPN. Vodafone heeft hierin niks te betekenen.

Waarom bedrijf zelf:
- Er had iemand moeten roepen, zijn ze gek bij KPN om dit open te zetten naar iedereen op Internet;
- Er had met KPN een afspraak gemaakt moeten worden wanneer ze inloggen en dat je wil weten wanneer KPN in logt op het systeem;
- Er had een zekere laag van security plaats moeten vinden, bijvoorbeeld een Remote IP adres in Firewall (ook niet echt veilig), een VPN of andere oplossing, bijvoorbeeld een beveiligde (2-factor) sessie naar een speciale PC of RDS/Citrix server waar de applicatie door KPN gestart wordt.

Waarom is KPN fout:
- KPN had moeten aangeven en moeten waarnemen in de logs dat er ongeauthoriseerde toegang is verkregen;
- KPN moet een strict wachtwoordbeleid toepassen, zeker wanneer je praat over dit soort "gevaarlijke" accounts.

Waarin is KPN niet fout:
- Dat iedereen bij de centrale kon, dit is echt iets wat bij beveiligingsbeleid van bedrijf hoort.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.


  • Albantar
  • Registratie: augustus 2001
  • Laatst online: 22:18

Albantar

Moderator General Chat

Get schwifty! Ꙭ

Van een andere kant bekeken... Het is gedaan met een account dat alleen bij KPN in beheer is. Dus laat KPN maar bewijzen dat zij het niet geweest zijn. Het is hun account dat is gebruikt en daarvoor zijn zij dus verantwoordelijk.

Wubba lubba dub dub! В темноте всё кошки серы...


  • Rukapul
  • Registratie: februari 2000
  • Laatst online: 14:38

Rukapul

Moderator General Chat
quote:
Wim-Bart schreef op dinsdag 10 november 2015 @ 20:30:
dan is het een koud kunstje om al weken van te voren een brute force uit te voeren
Natuurlijk niet, want als er al gedeelde service accounts met wachtwoorden worden gebruikt dan zal er conform hedendaagse security normen:
1) een 'wachtwoord' automatisch gegenereerd worden met een entropie waarbij elke praktische remote brute force zal falen, bv 16*alphanum.
2) het produkt rate control toepassen bij falende authenticatie pogingen

  • rick de groot
  • Registratie: december 2009
  • Laatst online: 03-10 22:42
quote:
Albantar schreef op dinsdag 10 november 2015 @ 20:46:
Van een andere kant bekeken... Het is gedaan met een account dat alleen bij KPN in beheer is. Dus laat KPN maar bewijzen dat zij het niet geweest zijn. Het is hun account dat is gebruikt en daarvoor zijn zij dus verantwoordelijk.
KPN zou alleen toegang moeten hebben met dit account, dit klopt, maar het is standaard Alcatel wachtwoord die KPN niet veranderd heeft. En dat vind ik voor zo'n groot bedrijf een kwalijke zaak.

Tevens is KPN al vaker negatief in de media gekomen.


Ik hoop voor de gedeputeerde dat ze geld krijgen van KPN, uit eigen ervaring weet ik dat ze de handen er van af trekken.

  • fRiEtJeSaTe
  • Registratie: september 2003
  • Laatst online: 10:11
Het lastige is dat KPN de centrale beheert, en dus ook degene is die de waarheid kan achterhalen. Ik zeg kan, want wie zegt me dat ze niet al bezig zijn geweest hun sporen uit te wissen.
Ik heb de toegang tot de centrale inmiddels geblokkeerd, we beraden ons nu of we een onafhankelijke partij moeten laten kijken naar de config.

Eens vwb bruteforce. Al is dit her geval geweest (wat ik niet denk), dan nog zit hier een groot stuk verantwoordelijkheid voor KPN. Namelijk up-to-date houden van de software/firmware (we draaien een versie uit 2012), melding geven bij meerdere inlogpogingen, en een mechanisme inbouwen waarbij de poging steeds langer geblokkeerd wordt. (zoals in Windows).

Kiest men ervoor om deze tekortkomingen te accepteren vanwege randvoorwaarden waar wel aan voldaan zijn (geen mogelijkheid voor een kwaadwillende om pogingen tot inbraak te ondernemen, waardoor onveilig loginsysteem irrelevant is) dan hadden eisen gesteld moeten worden aan de wijze waarop remote toegang wordt verkregen. De klant moet dan op de hoogte gesteld worden dat de centrale beveiligingslekken bevat.

fRiEtJeSaTe wijzigde deze reactie 10-11-2015 22:22 (65%)


  • knutsel smurf
  • Registratie: januari 2000
  • Laatst online: 14-09 18:57

knutsel smurf

Grote Smurf zijn we er bijna ?

Ik heb niet alles gelezen maar ik werk toevallig bij Alcatel-Lucent Enterprise. (het onderdeel dat de OXO levert aan bijvoorbeeld KPN).

Alcatel-Lucent is al enige jaren bekend met deze items en heeft sinds 2010 actief alle partners waaronder KPN geïnformeerd over het gebruik van standaard wachtwoorden. Deze informatie voorziening richting KPN en andere partners is zelfs in 2014 geïntensiveerd! En KPN is zeker op de hoogte geweest dat dit soort zaken mogelijk waren of zijn.

De installers van het OXO platform die sinds enige tijd worden geleverd staan het ook niet meer toe dat er standaard wachtoorden of simpele wachtwoorden worden gebruikt. Helaas heb je daar nu niets meer aan maar wanneer je een upgrade doet zal je dit zeker merken.

Het is een groot probleem voor veel bedrijven en vandaar ook de actieve aanpak van dit probleem richting de partners. Helaas is het niet mogelijk om vanuit Alcatel-Lucent alle eind gebruikers te kunnen informeren en moeten we dit over laten aan de reseller, in jouw geval KPN.

Mocht je een blijvende uitdaging hebben met het OXO systeem of KPN omtrent dit probleem laat het mij dan weten via een DM en ik zal kijken wat ik voor je kan doen vanuit Alcatel-Lucent Enterprise.

Datacenter Solution Architect @ Extreme Networks


  • fRiEtJeSaTe
  • Registratie: september 2003
  • Laatst online: 10:11
quote:
knutsel smurf schreef op dinsdag 10 november 2015 @ 22:30:
Mocht je een blijvende uitdaging hebben met het OXO systeem of KPN omtrent dit probleem laat het mij dan weten via een DM en ik zal kijken wat ik voor je kan doen vanuit Alcatel-Lucent Enterprise.
Top knutselsmurf, wellicht dat ik in een later stadium hierop terug kom.

fRiEtJeSaTe wijzigde deze reactie 10-11-2015 22:39 (59%)


  • knutsel smurf
  • Registratie: januari 2000
  • Laatst online: 14-09 18:57

knutsel smurf

Grote Smurf zijn we er bijna ?

Voor wat betreft de backup Ik ben geen expert op het gebied van de OXO, ik moet hierop terug komen. Als je mij een DM stuurt met je e-mail stuur ik dit naar de juiste mensen.

De OXO is voor zo ver ik weet alleen tegen brute force via de voicemail of de IVR's beschermd. Maar als jij 100 users hebt waarbij je het standaard wachtwoord hebt op maar 10 gebruikers, is het voor een hacker maar 5 minuten werk om dat uit te vinden. En wanneer hij er 1 heeft dan is het kwaad al geschied, vooral als je multi-line hebt op die gebruiker.

Zo lang er maar geen directe internet connectie is naar de management interface van de OXO?
Ik durf met enige zekerheid te zeggen dat als de OXO goed afgeschermd was en geen directe connectiviteit met het internet had dat dit via de SIP trunk en voicemail omgeving gebeurd is.
Dit gebeurd vrij vaak en er zijn bendes actief die specifiek dit soort zaken op sporen om er dus misbruik van te maken. Vrij vaak is overigens minimaal 2x per dag ergens in de wereld.

Mijn directe advieze zijn:
  • Wijzig alle voicemail wachtwoorden van iedere gebruiker
  • Blokkeer bellen naar het buitenland voor de komende paar dagen en sta het toe enkel en alleen wanneer een gebruiker er om vraagt en aangeeft waarom hij/zij dit land wil bellen. Het is namelijk zo dat het ook een schoonmaakster geweest kan zijn die deze informatie heeft door gegeven aan een bende.
  • Controleer inkomende gesprekken en nummers, zeer waarschijnlijk kan je daar uit halen waar de hacker vandaan kwam, blokkeer of vraag Vodafone dat land te blokkeren op je sip trunk. Ik zeg land omdat het vaak vanuit 1 of soms alleen vanuit meerdere landen komt (oostblok)
  • Schedule ASAP de upgrade van je OXO
ALU krijg vaak niet te horen van dit soort events omdat alles gemanaged wordt door de reseller (kpn in jouw geval). We hebben meer dan 800.000 OXO's wereldwijd, hierdoor is het extreem moeilijk om het direct af te handelen.

Vandaag de dag is het makkelijker om organisaties te hacken door als schoonmaker door het leven te gaan dan buiten in je auto de wifi code te brute forcen.

Datacenter Solution Architect @ Extreme Networks


  • kokkel
  • Registratie: september 2000
  • Laatst online: 10-10 23:36
quote:
fRiEtJeSaTe schreef op maandag 09 november 2015 @ 19:29:
Op verzoek van KPN moest deze van afstand te bereiken zijn. Anders kon men het servicecontract niet nakomen i.v.m. backups etc.
Het is noodzakelijk om toegang te krijgen tot de PBX om hier beheer op te kunnen voeren, over hoe dit te realiseren is een 2e.

Je geeft zelf verder aan dat jullie een "servicecontract" hebben dit is een erg breedt begrip, dat rijkt van een simpel breack fixit tot volledig beheer en monitoring overeenkomst.

Binnen deze post hebben meerdere mensen aangegeven dat het niet verstandig is geweest om op deze mannier toegang te verlenen tot dit systeem.
quote:
knutsel smurf schreef op dinsdag 10 november 2015 @ 23:13:
Zo lang er maar geen directe internet connectie is naar de management interface van de OXO?
Ik durf met enige zekerheid te zeggen dat als de OXO goed afgeschermd was en geen directe connectiviteit met het internet had dat dit via de SIP trunk en voicemail omgeving gebeurd is.
Dit gebeurd vrij vaak en er zijn bendes actief die specifiek dit soort zaken op sporen om er dus misbruik van te maken. Vrij vaak is overigens minimaal 2x per dag ergens in de wereld.
Zoals knutsel smurf aangeeft zijn er meerdere mogelijkheden waarop een dergelijk platform te misbruiken is.

Het is in iedergeval vervelend dat jullie (jij & het bedrijf) in deze situatie zijn gekomen.

kokkel wijzigde deze reactie 10-11-2015 23:46 (3%)


  • fRiEtJeSaTe
  • Registratie: september 2003
  • Laatst online: 10:11
Ik heb het gevoel dat we in cirkeltjes draaien. Dat er als installer via de pcxtool is ingelogd is wel duidelijk. KPN heeft in de logging een verbroken sessie gezien op zondag 21.16u en ik heb een openstaande sessie geconstateerd op maandagochtend.

Daarnaast was het toestelwachtwoord van 1 toestel gewijzigd, en was het doorkiesnummerplan leeg. KPN vermoedt dat de dader zijn sporen heeft opgeruimd en daarom dit lijstje leeg was.

fRiEtJeSaTe wijzigde deze reactie 10-11-2015 23:49 (32%)


  • Wim-Bart
  • Registratie: mei 2004
  • Laatst online: 15-10 20:39

Wim-Bart

Zie signature voor een baan.

quote:
Rukapul schreef op dinsdag 10 november 2015 @ 21:03:
[...]

Natuurlijk niet, want als er al gedeelde service accounts met wachtwoorden worden gebruikt dan zal er conform hedendaagse security normen:
1) een 'wachtwoord' automatisch gegenereerd worden met een entropie waarbij elke praktische remote brute force zal falen, bv 16*alphanum.
2) het produkt rate control toepassen bij falende authenticatie pogingen
Lees commentaar van Knutsel smurf.

De OXO is voor zo ver ik weet alleen tegen brute force via de voicemail of de IVR's beschermd. Maar als jij 100 users hebt waarbij je het standaard wachtwoord hebt op maar 10 gebruikers, is het voor een hacker maar 5 minuten werk om dat uit te vinden. En wanneer hij er 1 heeft dan is het kwaad al geschied, vooral als je multi-line hebt op die gebruiker.

Zo lang er maar geen directe internet connectie is naar de management interface van de OXO?
Ik durf met enige zekerheid te zeggen dat als de OXO goed afgeschermd was en geen directe connectiviteit met het internet had dat dit via de SIP trunk en voicemail omgeving gebeurd is.
Dit gebeurd vrij vaak en er zijn bendes actief die specifiek dit soort zaken op sporen om er dus misbruik van te maken. Vrij vaak is overigens minimaal 2x per dag ergens in de wereld.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.


  • Wim-Bart
  • Registratie: mei 2004
  • Laatst online: 15-10 20:39

Wim-Bart

Zie signature voor een baan.

quote:
fRiEtJeSaTe schreef op dinsdag 10 november 2015 @ 23:44:
Ik heb het gevoel dat we in cirkeltjes draaien. Dat er als installer via de pcxtool is ingelogd is wel duidelijk. KPN heeft in de logging een verbroken sessie gezien op zondag 21.16u en ik heb een openstaande sessie geconstateerd op maandagochtend.

Daarnaast was het toestelwachtwoord van 1 toestel gewijzigd, en was het doorkiesnummerplan leeg. KPN vermoedt dat de dader zijn sporen heeft opgeruimd en daarom dit lijstje leeg was.
Wat ik begrijp is dat het systeem al is te kraken wanneer er van een user zonder priveleges al een account/wachtwoord gekraakt is waardoor het mogelijk is om steeds verder het systeem in te komen wanneer het systeem open staat naar Internet. Dus een brute force van admin wachtwoord is waarschijnlijk niet eens nodig geweest. En wanneer dit het geval is, dan valt KPN al bijna helemaal niks te verwijten.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.


  • fRiEtJeSaTe
  • Registratie: september 2003
  • Laatst online: 10:11
Zoals gemeld stond voicemail systeembreed uit. Het was dus niet mogelijk via inbellen doorschakelingen te wijzigen o.i.d. KPN heeft dit bevestigd en alle instellingen omtrent deze manier van inbreken nagekeken. Als ik het heb over bruteforce bedoel ik specifiek de pcxtool interface.

fRiEtJeSaTe wijzigde deze reactie 11-11-2015 00:07 (18%)


  • luxan
  • Registratie: april 2014
  • Laatst online: 06-10 13:39
quote:
Wim-Bart schreef op dinsdag 10 november 2015 @ 23:55:
[...]


Wat ik begrijp is dat het systeem al is te kraken wanneer er van een user zonder priveleges al een account/wachtwoord gekraakt is waardoor het mogelijk is om steeds verder het systeem in te komen wanneer het systeem open staat naar Internet. Dus een brute force van admin wachtwoord is waarschijnlijk niet eens nodig geweest. En wanneer dit het geval is, dan valt KPN al bijna helemaal niks te verwijten.
Ik heb uit de posts ook begrepen dat het systeem op meerdere manieren te kraken is. Ik heb daarnaast gelezen dat dit al sinds 2010 bij de producent bekend is en dat de producent actief bezig is resellers hiervan op de hoogte te stellen en ze aan te sporen om de systemen te updaten. Hier hebben ze in 2014 nog eens extra de aandacht op gevestigd. Indien het idd geen brute-force aanval is geweest kun je KPN op zijn minst verwijten dat ze de adviesen van de producent niet op hebben gevolgd en daarmee volledig verantwoordelijk is voor de gemaakte kosten.

  • Wim-Bart
  • Registratie: mei 2004
  • Laatst online: 15-10 20:39

Wim-Bart

Zie signature voor een baan.

quote:
luxan schreef op woensdag 11 november 2015 @ 00:07:
[...]


Ik heb uit de posts ook begrepen dat het systeem op meerdere manieren te kraken is. Ik heb daarnaast gelezen dat dit al sinds 2010 bij de producent bekend is en dat de producent actief bezig is resellers hiervan op de hoogte te stellen en ze aan te sporen om de systemen te updaten. Hier hebben ze in 2014 nog eens extra de aandacht op gevestigd. Indien het idd geen brute-force aanval is geweest kun je KPN op zijn minst verwijten dat ze de adviesen van de producent niet op hebben gevolgd en daarmee volledig verantwoordelijk is voor de gemaakte kosten.
Hoe anti KPN ik ook ben, KPN is niet verantwoordelijk voor het gegeven dat een bedrijf een dergelijk systeem open en bloot aan het Internet hangt. Een beheerder van een firewall heeft gewoon zitten slapen.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.


  • johncheese002
  • Registratie: december 2004
  • Niet online

johncheese002

Life is a zero sum game.

quote:
fRiEtJeSaTe schreef op maandag 09 november 2015 @ 21:32:
Overigens heeft KPN ons nooit verteld dat het default wachtwoorden zijn (ze zijn complexer dan admin / 12345). Waarom niet bij installatie wijzigen?

Zoals gezegd heeft KPN dus een expert-tool die ze niet aan klanten verstrekken. Met deze expert-tool wordt als 'installer' ingelogd. Hacker is ook als 'installer' ingelogd geweest. Dit wachtwoord weet ik niet en ik heb de tool (MMC?) niet om hem aan te aanpassen.

Lijkt mij dat KPN of een default wachtwoord heeft gebruikt, of dat de tool / centrale een beveiligingslek bevat? Iemand die ervaring heeft met de expert-tool en/of hier iets zinnigs over kan melden?
Ik vraag mij af of je wel verwijtbaar bent, maar de bewijslast ligt wel bij jou- je zit in een overmacht-situatie; ik zou hier een jurist op zetten.
Als jij kunt aantonen dat er bij jou niemand op het werk aanwezig is geweest, van vrijdag na werktijd tot maandagmorgen, dan is het logisch dat jij als klant deze belletjes niet hebt gepleegd.
Dus je hebt gegevens van de beveiliging nodig. Aangifte doen van hacking (kijk even in W.v.Sr.- computervredebreuk etc.) en de situatie uitleggen aan VF (en KPN gelijk aan zijn lurven trekken over de security- dit mag niet nogmaals gebeuren, dan ben je wel verwijtbaar.)

Gehackt worden valt in zekere zin onder het maatschappelijk risico, maar ook onder overmacht- jij vraagt er immers niet om, het overkomt je- hackers lopen altijd voor op de slachtoffers en de repressie-eenheden zoals de politie (cybercrime-unit etc.) het dichten van de gaten gebeurt altijd achteraf.
Kijk in de jurisprudentie of er soortgelijke zaken zijn. Vraag ook aan Vodafone wat de daadwerkelijke kosten zijn van de communicatie (men zal er niet happig op zijn om dit te geven, dan maken zij de winst kenbaar) en sta er op dat je deze gegevens krijgt, dat is de schade namelijk (zonder winst)- op strafbare feiten mag geen winst gemaakt worden, dat maakt voor jouw inzichtelijk bij een civiele zaak of schadeverhaal via de strafrechtelijke procedure, wat je moet verhalen.

Dus ik denk dat je er verstandig aan doet, een jurist in te schakelen- het is iets omvangrijk om 1-2-3 in een reactie uit te leggen.

Terrified, mortified, petrified, stupified....by you! J. Nash "A Beautiful Mind."


  • dion_b
  • Registratie: september 2000
  • Nu online

dion_b

Moderator Harde Waren

say Baah

quote:
Wim-Bart schreef op woensdag 11 november 2015 @ 00:29:
[...]


Hoe anti KPN ik ook ben, KPN is niet verantwoordelijk voor het gegeven dat een bedrijf een dergelijk systeem open en bloot aan het Internet hangt. Een beheerder van een firewall heeft gewoon zitten slapen.
Op advies van degene die betaald werd om deskundig te zijn - KPN dus - heeft de beheerder van de firewall gedaan wat die deskundige aanraadde. Er is juist een servicecontract afgesloten omdat men zich bij het bedrijf zelf niet deskundig achtte.

Achteraf is prima te roepen dat hij dat nooit had moeten doen, maar is dat iets wat je in redelijkheid kunt verwachten? Als de loodgieter die in opdracht van ingehuurd facilitair bedrijf zegt "draai die kraan open" en je volgt dat op waarna de boel onderloopt, kun je hem prima aansprakelijk stellen voor de schade als hij naliet te vermelden dat je het maar een klein stukje open mocht doen en met een emmer eronder.

Maar goed, IANAL. TS, nog belangrijker dan enige technische vraag is gedegen juridisch advies. Kost wat (als bedrijf niet verzekerd is/doorlopend contract heeft), maar bij een mogelijke schadepost van EUR 40k moet je echt niet als amateur prutsen. Zorg voor eentje die de IT/telecomwereld een beetje snapt, en laat diegene zeggen wat je wel moet uitzoeken en waar je vooral niet aan mag zitten om de zaak in gevaar te brengen.

Soittakaa Paranoid!


  • rick de groot
  • Registratie: december 2009
  • Laatst online: 03-10 22:42
quote:
johncheese002 schreef op woensdag 11 november 2015 @ 00:35:
[...]

Ik vraag mij af of je wel verwijtbaar bent, maar de bewijslast ligt wel bij jou- je zit in een overmacht-situatie; ik zou hier een jurist op zetten.
Als jij kunt aantonen dat er bij jou niemand op het werk aanwezig is geweest, van vrijdag na werktijd tot maandagmorgen, dan is het logisch dat jij als klant deze belletjes niet hebt gepleegd.
Dus je hebt gegevens van de beveiliging nodig. Aangifte doen van hacking (kijk even in W.v.Sr.- computervredebreuk etc.) en de situatie uitleggen aan VF (en KPN gelijk aan zijn lurven trekken over de security- dit mag niet nogmaals gebeuren, dan ben je wel verwijtbaar.)

Gehackt worden valt in zekere zin onder het maatschappelijk risico, maar ook onder overmacht- jij vraagt er immers niet om, het overkomt je- hackers lopen altijd voor op de slachtoffers en de repressie-eenheden zoals de politie (cybercrime-unit etc.) het dichten van de gaten gebeurt altijd achteraf.
Kijk in de jurisprudentie of er soortgelijke zaken zijn. Vraag ook aan Vodafone wat de daadwerkelijke kosten zijn van de communicatie (men zal er niet happig op zijn om dit te geven, dan maken zij de winst kenbaar) en sta er op dat je deze gegevens krijgt, dat is de schade namelijk (zonder winst)- op strafbare feiten mag geen winst gemaakt worden, dat maakt voor jouw inzichtelijk bij een civiele zaak of schadeverhaal via de strafrechtelijke procedure, wat je moet verhalen.

Dus ik denk dat je er verstandig aan doet, een jurist in te schakelen- het is iets omvangrijk om 1-2-3 in een reactie uit te leggen.
Er moet zeker aangefite gedaan worden. Justitie is hier al jaren van op de hoogte maar wil/kan niks doen wat eens een keer heb begrepen.

  • asing
  • Registratie: oktober 2001
  • Laatst online: 21:41
quote:
fRiEtJeSaTe schreef op dinsdag 10 november 2015 @ 23:44:
Ik heb het gevoel dat we in cirkeltjes draaien. Dat er als installer via de pcxtool is ingelogd is wel duidelijk. KPN heeft in de logging een verbroken sessie gezien op zondag 21.16u en ik heb een openstaande sessie geconstateerd op maandagochtend.

Daarnaast was het toestelwachtwoord van 1 toestel gewijzigd, en was het doorkiesnummerplan leeg. KPN vermoedt dat de dader zijn sporen heeft opgeruimd en daarom dit lijstje leeg was.
Ik krijg een "wij van WC eend" gevoel. Wat jij en Knutsel Smurf beschrijven past bij het beeld wat ik van KPN heb. Zo goedkoop mogelijk hun spullen leveren. Zoals aangegeven, ik ben van mening dat je nalatig bent geweest met het openzetten van de verbinding naar Internet. Het zal niet meer gebeuren denk ik :9 .

Uit de berichten hierboven maak ik op dat je een systeem hebt wat in 2012 is neergezet(??) en wat op meerdere manieren te misbruiken is. ALU heeft haar resellers hierop gewezen. Je bedrijf heeft weer een service overeenkomst met KPN en in mijn optiek horen patches en updates bij die service.

Het feit dat KPN moet gaan zoeken naar de oorzaak en zichzelf als schuldige moet aanwijzen is niet handig. Ze zullen ten alle tijden proberen de schuld in het midden te laten of ergens anders neer te leggen. Dat zou jij ook doen als je aansprakelijk zou worden gesteld voor 40K.

Klein advies : je hebt nu een ingang bij ALU. Vraag of ze de communicatie naar KPN (of algemene mailing) met de aanbevelingen voor het updaten en beveiligen van de centrales.

Ten tweede : probeer een engineer van ALU over de vloer te krijgen. Het doel hiervan is een analyse van je telefooncentrale door een onafhankelijke derde partij. De vraag die beantwoord moet worden is : hoe heeft de hack plaatsgevonden en welke acties heeft KPN nagelaten die het wel had moeten doen. Ook moet bepaald worden of het een inside of outside job is geweest. Als de schoonmaakster het heeft gedaan kan je haar werkgever aansprakelijk stellen. Het is wel zaak dit zo snel mogelijk te doen, ivm wissen logs etc.

Met je service contract, de dwingende aanbeveling van ALU en bewijs van ALU dat deze aanbevelingen niet zijn opgevolgd door KPN (met 40K schade tot gevolg) wordt het tijd voor een advocaat :9 .

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month


  • n1els
  • Registratie: februari 2004
  • Laatst online: 09-10 09:29
Nou Asing, ik heb zojuist voor het eerst de "Ik henk 'em"-knop gebruikt. Vooral met de communicatie van ALU naar KPN over de veiligheidsissues heb je een hele sterke troef in handen.

Dan hoeft er dus ook niet, zoals ergens eerder aangegeven, te vragen bij VF om alleen de daadwerkelijke kosten te hoeven betalen (hoewel 'het is verboden om winst te makenop criminele activiteiten' een uistekend argument om de druk op te voeren bij VF indien nodig).

Sterker nog, ik zou bij KPN aangeven, indien zij in dit scenario niet direct de hand in eigen boezem steken, dat je de onafhankelijke partij (ALU, zoals al voorgesteld) laat komen en dat je alle bijkomende kosten zoals bezoek en analyse door ALU, downtime + gevolgschade hiervan van de telefooncentrale, je eigen overuren en ga maar door bij het schadebedrag zal optellen bij de ingebrekestelling.

Die je overigens met vertrouwen tegemoet ziet vanwege communicatie hierover van leverancier richting KPN die inmiddels in jouw bezit is (niet teveel sneren, maar een beetje bangmaken mag best wel.)

Verder met geen woord meer reppen over de port forwarding, tenzij men daar zelf mee op de proppen komt. In dat geval heb je gewoon de instructie van de KPN medewerker uitgevoerd. Mailverkeer hiervan is dan natuurlijk goud waard. Verder weet je inmiddels amper nog het verschil tussen een muis en een toetsenbord, en dat was precies de reden waarom je er niet zelf aan begonnen bent maar een gerenommeerde instantie zoals de voormalige PTT in de arm hebt genomen.

Verder werd eerder al de verzekering aangestipt, dat lijkt me wel de moeite waard, want als jij daar duidelijk kan maken dat de nalatigheid van KPN heeft geresulteerd in deze schade dan zou je in de situatie kunnen komen dat de verzekering uitbetaald en het geld daarna zelf bij KPN zal proberen te verhalen en dan ben jij ervan af.

Dimidium facti qui bene coepit habet: sapere aude.


  • rick de groot
  • Registratie: december 2009
  • Laatst online: 03-10 22:42
quote:
asing schreef op woensdag 11 november 2015 @ 08:41:
[...]


Ik krijg een "wij van WC eend" gevoel. Wat jij en Knutsel Smurf beschrijven past bij het beeld wat ik van KPN heb. Zo goedkoop mogelijk hun spullen leveren. Zoals aangegeven, ik ben van mening dat je nalatig bent geweest met het openzetten van de verbinding naar Internet. Het zal niet meer gebeuren denk ik :9 .

Uit de berichten hierboven maak ik op dat je een systeem hebt wat in 2012 is neergezet(??) en wat op meerdere manieren te misbruiken is. ALU heeft haar resellers hierop gewezen. Je bedrijf heeft weer een service overeenkomst met KPN en in mijn optiek horen patches en updates bij die service.

Het feit dat KPN moet gaan zoeken naar de oorzaak en zichzelf als schuldige moet aanwijzen is niet handig. Ze zullen ten alle tijden proberen de schuld in het midden te laten of ergens anders neer te leggen. Dat zou jij ook doen als je aansprakelijk zou worden gesteld voor 40K.

Klein advies : je hebt nu een ingang bij ALU. Vraag of ze de communicatie naar KPN (of algemene mailing) met de aanbevelingen voor het updaten en beveiligen van de centrales.

Ten tweede : probeer een engineer van ALU over de vloer te krijgen. Het doel hiervan is een analyse van je telefooncentrale door een onafhankelijke derde partij. De vraag die beantwoord moet worden is : hoe heeft de hack plaatsgevonden en welke acties heeft KPN nagelaten die het wel had moeten doen. Ook moet bepaald worden of het een inside of outside job is geweest. Als de schoonmaakster het heeft gedaan kan je haar werkgever aansprakelijk stellen. Het is wel zaak dit zo snel mogelijk te doen, ivm wissen logs etc.

Met je service contract, de dwingende aanbeveling van ALU en bewijs van ALU dat deze aanbevelingen niet zijn opgevolgd door KPN (met 40K schade tot gevolg) wordt het tijd voor een advocaat :9 .
Alcatel heeft al voor 2012 de resellers geinformeerd dat de beveilig aangescherp moet worden.
Het is alleen erg jammer dan KPN hier niet in mee gaat, dus dat is erge nalatigheid van KPN en niet van de gebruiker ( even uitgaande dat eindgebruiker niet kan programmeren ). Mocht de eindgebruiker die dit wel kunnen is het nog aan KPN om haar klanten te informeren hierover.

Ik zou inderdaad ook naar een andere partij overstappen om verder het beheer uit te laten voeren.

De mensen die de fraude hebben gepleegd weten erg goed wat ze doen en hebben kennis van zaken.
Het is niet een persoon die je zomaar even op de hoek hebt staan. Helaas hebben ze de sporen kunnen wissen zo als het nu lijkt. dan wordt het achterhalen wat er is gebeurd erg moeilijk.


Klant kan wel een service contract hebben, maar het is net de vraag wat daarin is opgenomen. Vaak als een systeem geplaatst is op een bepaalde softwarestand zal deze niet naar een release hoger gaan. Bij. van V7 naar V8. Mocht dit wel netjes gedaan worden dan was er nog ingebroken geweest gezien het feit de standaard wachtwoorden er nog in zaten.

  • asing
  • Registratie: oktober 2001
  • Laatst online: 21:41
quote:
rick de groot schreef op woensdag 11 november 2015 @ 09:19:
[...]


Alcatel heeft al voor 2012 de resellers geinformeerd dat de beveilig aangescherp moet worden.
Het is alleen erg jammer dan KPN hier niet in mee gaat, dus dat is erge nalatigheid van KPN en niet van de gebruiker ( even uitgaande dat eindgebruiker niet kan programmeren ). Mocht de eindgebruiker die dit wel kunnen is het nog aan KPN om haar klanten te informeren hierover.

Ik zou inderdaad ook naar een andere partij overstappen om verder het beheer uit te laten voeren.

De mensen die de fraude hebben gepleegd weten erg goed wat ze doen en hebben kennis van zaken.
Het is niet een persoon die je zomaar even op de hoek hebt staan. Helaas hebben ze de sporen kunnen wissen zo als het nu lijkt. dan wordt het achterhalen wat er is gebeurd erg moeilijk.


Klant kan wel een service contract hebben, maar het is net de vraag wat daarin is opgenomen. Vaak als een systeem geplaatst is op een bepaalde softwarestand zal deze niet naar een release hoger gaan. Bij. van V7 naar V8. Mocht dit wel netjes gedaan worden dan was er nog ingebroken geweest gezien het feit de standaard wachtwoorden er nog in zaten.
Daarom geef ik ook aan dat een ALU engineer hier veel kan bijdragen. Als blijkt dat men op een bepaalde manier is binnengekomen, welke met een patch/ander wachtwoord niet had kunnen gebeuren, en KPN heeft verzuimd die patch te installeren of een andere aanpassing te doen, dan is het cirkeltje rond :9 .

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month


  • fRiEtJeSaTe
  • Registratie: september 2003
  • Laatst online: 10:11
Knutselsmurf, zou jij mij kunnen helpen aan communicatie waarin jullie de resellers wijzen op de risico's van een default wachtwoord? Met data waarop deze communicatie is verzonden?

Daarnaast ben ik erg benieuwd welke versie de meest recente is voor een Vox Office, en hoeveel versies KPN met r8.10.28.1a achterloopt.

fRiEtJeSaTe wijzigde deze reactie 11-11-2015 09:46 (8%)


  • asing
  • Registratie: oktober 2001
  • Laatst online: 21:41
quote:
fRiEtJeSaTe schreef op woensdag 11 november 2015 @ 09:43:
Knutselsmurf, zou jij mij kunnen helpen aan communicatie waarin jullie de resellers wijzen op de risico's van een default wachtwoord?

Daarnaast ben ik erg benieuwd welke versie de meest recente is voor een Vox Office, en hoeveel versies KPN met r8.10.28.1a achterloopt.
Het is misschien handiger als je dit even per PM doet :9 . Dan krijgt knutsel linksboven een groene waarschuwing. Je kan hem ook even quoten, dan gebeurt dat ook. 8)

Nu is het zomaar een post en is het afwachten tot knutsel het draadje leest.

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month


  • fRiEtJeSaTe
  • Registratie: september 2003
  • Laatst online: 10:11
Bij deze }:O

fRiEtJeSaTe wijzigde deze reactie 11-11-2015 09:50 (93%)


  • RemcoDelft
  • Registratie: april 2002
  • Laatst online: 13:28
quote:
rick de groot schreef op dinsdag 10 november 2015 @ 10:40:
De gebruikersnaam en wachtwoord van KPN zijn bij alle telecomboeren in Nederland die iets doen met een Alcatel bekend, dus ook bij criminelen.
Als KPN serieus overal hetzelfde wachtwoord gebruikt, mag ik toch hopen dat een rechter ze veroordeeld tot het betalen van alle kosten plus gevolgschade!

Compact Flash kaartjes als stille IDE harddisk gebruiken. Gebruik kortingscoupon "ship4free" voor gratis verzenden. Mijn nieuwe site: Knoopcel batterij .nl


  • n1els
  • Registratie: februari 2004
  • Laatst online: 09-10 09:29
Men heeft het hier over release 11.1

enterprise.alcatel-lucent.com/assets/documents/OTMS_OXE_Datasheet_EN.pdf

Ik zie hier dat r11 al in November 2013 gereleased is: http://www.alcatelunleashed.com/viewtopic.php?t=22545

Als deze commerciele software trouwens net zo goed beveiligd is als de bekende opensource oplossingen zoals asterisk en Elastix/trixbox/freepbx enzovoorts dan is een aantal major releases achterlopen best wel een risco trouwens.

n1els wijzigde deze reactie 11-11-2015 10:00 (42%)

Dimidium facti qui bene coepit habet: sapere aude.

Pagina: 1 2 Laatste


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Games

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True