Telefooncentrale misbruik --> €40.000 euro schade!

dion_b schreef op woensdag 11 november 2015 @ 01:40:
[...]
Achteraf is prima te roepen dat hij dat nooit had moeten doen, maar is dat iets wat je in redelijkheid kunt verwachten? Als de loodgieter die in opdracht van ingehuurd facilitair bedrijf zegt "draai die kraan open" en je volgt dat op waarna de boel onderloopt, kun je hem prima aansprakelijk stellen voor de schade als hij naliet te vermelden dat je het maar een klein stukje open mocht doen en met een emmer eronder.

Interessante vergelijking wel Als er een loodgieter bezig is geweest met de waterleiding of riolering, lijkt het mij common sense om bij de vraag "draai de kraan eens open" dat ding niet meteen vol open te draaien. Net zoals het common sense is (en zeker zou moeten zijn voor iemand die zich "IT verantwoordelijke" noemt) om een apparaat als dit nooit direct van internet toegankelijk te maken. In deze situatie lijkt het er inderdaad op dat KPN nalatig is geweest, maar tegelijkertijd zou dit alles nooit zijn gebeurd als TS de management interface van dat apparaat op een algemeen aanvaard veilige manier beschikbaar had gesteld. Het argument "je huurt iemand in omdat je zelf de kennis niet hebt" vind ik in deze context ook maar beperkt van toepassing: TS huurt KPN in voor het beheer van de telefooncentrale, niet voor het beheer en de beveiliging van het netwerk.

Ik denk (maar ook IANAL) dat het beste waar TS op uit kan komen, is gedeelde aansprakelijkheid met KPN (en daarnaast hopen op coulance van VF, als ze de kosten willen reduceren tot de werkelijk gemaakte kosten en hun winstmarge opofferen)

anboni schreef op woensdag 11 november 2015 @ 10:13:
[...]
TS huurt KPN in voor het beheer van de telefooncentrale, niet voor het beheer en de beveiliging van het netwerk.

Dan nog, dat is een maatregel dat het had kunnen voorkomen. Feit is nog steeds dat blijkbaar het wachtwoord dat KPN heeft ingesteld op dat ding, te makkelijk te kraken was. Voor hetzelfde geld komt het van binnenuit, door een schoonmaker die ergens aan het eind van de dag zijn laptop aan hangt. Dus internet toegankelijk of niet, dat wachtwoord had gewoon sterker gemoeten.

Meekoh schreef op woensdag 11 november 2015 @ 10:19:
[...]

Dan nog, dat is een maatregel dat het had kunnen voorkomen. Feit is nog steeds dat blijkbaar het wachtwoord dat KPN heeft ingesteld op dat ding, te makkelijk te kraken was. Voor hetzelfde geld komt het van binnenuit, door een schoonmaker die ergens aan het eind van de dag zijn laptop aan hangt. Dus internet toegankelijk of niet, dat wachtwoord had gewoon sterker gemoeten.

Tuurlijk, dat ontken ik ook niet (als het tenminste al vaststaat dat het wachtwoord inderdaad te zwak of zelfs default was, ik weet even niet meer in hoeverre TS daar bewijs voor heeft of alleen maar vermoeden). Maar een dergelijke aanval van binnenuit is nou eenmaal veel onwaarschijnlijker dan vanaf buiten, dus blijft mijn stelling dat deze 40k schade niet had opgetreden als die management interface niet aan internet had gehangen.

anboni schreef op woensdag 11 november 2015 @ 10:13:
TS huurt KPN in voor het beheer van de telefooncentrale, niet voor het beheer en de beveiliging van het netwerk.

Laten we dan een situatie nemen die iets dichter bij de situatie ligt. Je bent servicemonteur voor het een of ander en hebt een contract waarbij je bus 's nachts bevoorraad word (schroefjes en rollen elektra draad). Het bedrijf dat de bevoorraading doet wil dat je de auto op staat parkeert zodat de chauffeur met een code de bus open kan maken. Hiervoor levert het bedrijf een codeslot met standaard code 6736. Daarnaast zit er een fout in de software waardoor je het slot open krijgt. Er is een software update maar het bevoorradingsbedrijf heeft de sloten niet geupdate (veel werk enzo).
Op een maandag vind je je auto leeg terug. Vind je dan dat het bevoorradingsbedrijf geen enkele aansprakelijkheid heeft omdat iedereen weet dat je je auto in de garage moet zetten?

anboni schreef op woensdag 11 november 2015 @ 10:28:
[...]


Tuurlijk, dat ontken ik ook niet (als het tenminste al vaststaat dat het wachtwoord inderdaad te zwak of zelfs default was, ik weet even niet meer in hoeverre TS daar bewijs voor heeft of alleen maar vermoeden). Maar een dergelijke aanval van binnenuit is nou eenmaal veel onwaarschijnlijker dan vanaf buiten, dus blijft mijn stelling dat deze 40k schade niet had opgetreden als die management interface niet aan internet had gehangen.

Maar dan nog zijn dat soort maatregelen secundaire beveiligingsmaatregelen. Uiteraard wel heel goed om ervoor te zorgen dat zulke secundaire maatregelen ook op orde zijn, maar de primaire beveiligingsmaatregel is en blijft de beveiliging van dat adminaccount.

Stel, je laat de deur van je huis openstaan en er wordt "ingebroken". Ga je dan ook zeggen, ja, je had ook het tuinhek op slot kunnen doen en bewegingsmelders installeren? Nee, het primaire probleem is dat de deur van het huis openstond. Extra maatregelen zoals het tuinhek op slot doen en bewegingsmelders zouden zeker handig zijn geweest, maar je huis zelf goed afsluiten is toch wel de belangrijkste maatregel.

Mx. Alba schreef op woensdag 11 november 2015 @ 10:55:
[...]
maar je huis zelf goed afsluiten is toch wel de belangrijkste maatregel.

En precies dat heeft de portier vergeten.

Ik wil hier niet speculeren of KPN goed of fout is of dat de Topic starter nalatig is geweest wel wil ik even uitleg geven over hoe het channel model van verkoop werkt

ALU werkt net zoals vele andere partijen in deze industrie via een channel model. Hierbij koopt dus een reseller (kpn bijvoorbeeld) de producten bij ALU en vervolgens kan de reseller korting krijgen als hij gecertificeerd is. Om gecertificeerd te geraken moeten er trainingen gevolgd worden etc.. je kent het wel.

Wanneer een partner geregistreerd is en niet gecertificeerd dan kan deze partner ook expertise inkopen via bijvoorbeeld een distributeur. Dit zelfde geld voor een eventueel service contract en de uitvoering daarvan.

ALU bied een service contract aan op alle producten richting de partner (KPN is 1 van de vele partners), dit contract is vervolgens geldig voor een bepaalde duur. Echter nu kan het zo zijn dat de partner een ander service contract of een andere bewoording van een service contract maakt naar zijn/haar klant. De partner is hier volledig vrij in. ALU verplicht alleen de partner een service contract af te sluiten voor het product dat hij weder verkoopt.

Dit is overigens niet anders bij andere merken!

Nu komt de crux van het hele verhaal, wanneer er een service contract is afgesloten op de centrale en de partner heeft dit ook bij ALU heeft afgedekt, dan heeft de partner de mogelijkheid tot het verkrijgen van de software voor een mogelijke upgrade. Ik herhaal de PARTNER heeft toegang tot deze software.

Wederom dit is niet anders bij andere merken.

Of en wanneer een partner die upgrade ook daadwerkelijk uitvoert is dus een ander verhaal. De partner staat immers vrij om een totaal ander service contract aan te bieden naar de eind klant dan dat ALU aan bied richting de partner.

Met andere woorden ik durf dus niet te zeggen of KPN dit systeem had moeten upgraden. Uiteraard ligt er natuurlijk ook een stukje verantwoordelijkheid bij de eind gebruiker, als deze niet het door de partner aangeboden service contract leest of goed laat uitvoeren. Dan is het natuurlijk vragen om problemen. Het is de taak van de gebruiker of eind klant om de partner in kwestie te evalueren en tijdig aan te spreken op het niet na komen van een service contract op een product.

Bij een Cloud dienst doe je toch immers het zelfde?

Overigens zitten we nu op release 11.1 en wordt er 1x per jaar een Major release uit gebracht en 1x per jaar een minor. Daar bovenop komen security updates of andere minor fixes constant uit voor alle producten.

De enige product groep waarbij dit alles totaal anders is, is de data & netwerk producten. Hierbij kan je zolang je de switch of router hebt en niet meer dan 5 jaar EOL is altijd de laatste software downloaden.

RemcoDelft schreef op woensdag 11 november 2015 @ 09:52:
[...]

Als KPN serieus overal hetzelfde wachtwoord gebruikt, mag ik toch hopen dat een rechter ze veroordeeld tot het betalen van alle kosten plus gevolgschade!

Het zijn standaard wachtwoorden vanuit Alcatel. en KPN past ze gewoon niet aan.

Ik ben er al meerdere tegen gekomen

[ Voor 5% gewijzigd door rick de groot op 11-11-2015 12:41 ]

Blijf het apart vinden dat een telco wel belt als je rekening al 40k bedraagt, maar niet op het idee komt om in te grijpen als de rekening in ene > een veelvoud van wat het normaal is komt. Het zou anno 2015 op z'n minst een actief gepropageerde optie moeten zijn om dit tegen te gaan - aangezien ik het in de afgelopen 10 jaar al meer dan een dozijn keer heb voorbij zien komen en meegemaakt van (te) dichtbij.

Begrijp je frustratie TS, hoewel je achteraf kunt stellen dat je dit soort dingen had kunnen weten is het niet iets wat bovenaan het lijstje van de gemiddelde IT manager of beheerder staat.

NiGeLaToR schreef op woensdag 11 november 2015 @ 12:47:
Blijf het apart vinden dat een telco wel belt als je rekening al 40k bedraagt, maar niet op het idee komt om in te grijpen als de rekening in ene > een veelvoud van wat het normaal is komt. Het zou anno 2015 op z'n minst een actief gepropageerde optie moeten zijn om dit tegen te gaan - aangezien ik het in de afgelopen 10 jaar al meer dan een dozijn keer heb voorbij zien komen en meegemaakt van (te) dichtbij.

Begrijp je frustratie TS, hoewel je achteraf kunt stellen dat je dit soort dingen had kunnen weten is het niet iets wat bovenaan het lijstje van de gemiddelde IT manager of beheerder staat.

Omdat het in het weekend gebeurde en dan is zo'n provider minimaal bemand (en dat zullen de daders ook wel weten, het is natuurlijk ook geen toeval). Op maandagochtend was de schade 40k.

Marzman schreef op vrijdag 13 november 2015 @ 13:30:
[...]

Omdat het in het weekend gebeurde en dan is zo'n provider minimaal bemand (en dat zullen de daders ook wel weten, het is natuurlijk ook geen toeval). Op maandagochtend was de schade 40k.

Ja dat snap ik - en is niet de eerste keer ook voor de telco. Een soort factuur-limiet in kunnen stellen zou in theorie niet al te lastig hoeven te zijn, maar 40k omzet is natuurlijk ook prettig.

NiGeLaToR schreef op vrijdag 13 november 2015 @ 13:36:
[...]


Ja dat snap ik - en is niet de eerste keer ook voor de telco. Een soort factuur-limiet in kunnen stellen zou in theorie niet al te lastig hoeven te zijn, maar 40k omzet is natuurlijk ook prettig.

Dat zou inderdaad een hoop problemen voorkomen.

Ik heb niet het hele topic gelezen, maar dit is inderdaad een situatie die ik al veel vaker ben tegengekomen.

- KPN / Alcatel centrales... zeer zelden kom ik ze tegen dat de standaardwachtwoorden zijn veranderd. Het is letterlijk om een hack vragen wanneer zo'n centrale in een netwerk hangt en al helemaal wanneer deze vanaf buitenaf benaderbaar is.
- Vodafone werkt niet met limieten voor zover ik weet. Het zou ook zomaar kunnen dat belverkeer niet realtime maar periodiek wordt bijgewerkt, dat weet ik niet precies. En wanneer ze erachter komen is het kwaad al geschied. Een VoIP provider met daglimieten is veel veiliger. Er bestaan providers, daar kun je de limiet bijvoorbeeld als volgt instellen. Een gebruiker belt dagelijks voor bedrag x. De limiet wordt elke ochtend opgehoogd met bedrag x + 10% extra (of een iets hoger percentage). Wordt het systeem gehackt en wordt er zeer veel gebeld, dan bedraagt de schade maximaal x + 10%. De VoIP account wordt dan geblokkeerd en er is handmatige actie vereist om deze weer vrij te geven. In jullie geval bij 3000 euro per maand hadden we het dan over 100-150 euro schade gehad.
- Jullie zelf hadden nooit het hele internet toegang moeten laten geven tot de PBX. Of een bepaald IP-adres van KPN whitelisten, of indien niet mogelijk, moeten ze bellen wanneer ze erbij moeten. Je zet dan de poort open. Na werkzaamheden melden ze zich af en zet je de poort weer dicht.

Ik denk dus dat er geschikt moet worden in jullie geval, omdat alle drie de partijen een fout hebben gemaakt wat de schade had kunnen voorkomen, dan wel gigantisch had kunnen beperken.

Hugo__Boss schreef op zondag 15 november 2015 @ 13:17:
<heel verhaal>

Ik ben bang dat je toch even alles moet lezen, je gaat namelijk voorbij aan de zorgplicht van de ingehuurde deskundige.

@TS Ik ben wel benieuw hoe dit is afgelopen.

Ik ook!

Ik ook. Gezien we er weer één hebben....
VOIP centrale misbruikt*

Ik ben ook wel benieuwd naar de uitkomst

Ik heb totaal geen kennis van telefooncentrales.

Maar 1 heel belangrijk ding lijkt mij dat je zo snel mogelijk, mocht je dat nog niet gedaan hebben, een tijdlijn op papier zet wat er wanneer is gebeurd.

Misschien zelfs een RCA maken. Met dit soort incidenten wordend details snel vergeten die later belangrijk zijn.

Veel sterkte met die vervelende euvel.

Dat is dus de rede dat wij bij onze klanten de standaardwachtwoorden van de telefooncentrales hebben aangepast.aangezien het standaard wachtwoord zo was te vinden op het internet en iemand die handig was met de software zo bij diverse bedrijven via het hoofdnumner binnen kon komen