EDPnet en Rusland

[Dizzy]

De meeste mensen deugen....
en dat is overal zo.

Kan ik bevestigen, zelfs in Aalst.

Je moet nu ook niet overdrijven hé...

Het zal dicht bij de 50% liggen maar ik geef ze toch het voordeel van de twijfel

[marzman]

Ik vermoed dat er bij telenet en bij proximus ook wel mensen met Russische origine werken, zijn die dan ook verdacht? Ik minimaliseer privacy zeker niet, maar ja, het is nooit waterdicht, waar de mensen zich ook bevinden. Bij ons kennen we onze mensen tenminste, vaak al jaren, wat ik hoor bij onze concullega's wisselen mensen daar bijna elke 6 maand, dat is bij ons zeker niet het geval.

Het hele klantendatabasesysteem van Telenet wordt door Indiers gemaakt en onderhouden dus ja, daar kan je dan evengoed vraagtekens bij zetten

[Sinna]

FYI: Op de website van Computable is vandaag hieromtrent een artikel verschenen, zie Is Edpnet een Russisch bedrijf?

[bogon]

3. internet loop helemaal niet via rusland

Ook niet voor IPv6? Zie traceroutes vanuit een Telenet-adres hieronder (mogelijk gevoelige IP's e.d. vervangen door ###)

IPv4:

Code: Selecteer alles

TRACEROUTE (using proto 1/icmp)
HOP RTT      ADDRESS
1   13.10 ms ###.static.telenet.be (###)
2   ...
3   19.72 ms ###.access.telenet.be (###)
4   18.17 ms ###.access.telenet.be (###)
5   19.94 ms edpnet.bnix.net (194.53.172.89)
6   19.95 ms bras-91gen.bxl.be.edpnet.net (212.71.11.62)
7   29.45 ms ### (###)

IPv6:

Code: Selecteer alles

TRACEROUTE (using proto 58/ipv6-icmp)
HOP RTT      ADDRESS
1   13.80 ms ###
2   19.50 ms ###
3   21.17 ms edpnet.bnix.net (2001:7f8:26::a500:9031:1)
4   21.27 ms router01.spbbr57.ru.edpnet.net (2a02:578:1:46::2)
5   19.78 ms ###
6   28.27 ms ###
7   29.99 ms ###

[Joachim]

3. internet loop helemaal niet via rusland

Ook niet voor IPv6?

Nee, enkel naar Russische destinations, ik vermoed een verkeerde reverse DNS. Ik laat het morgen nakijken.

[timmermc]

We hebben geen plannen om ons daar terug te trekken, met vele collega's daar werken al meer dan 10 jaar, en zijn als vrienden voor ons. De kwaliteit en ervaring laten we niet zomaar vallen om snel snel iets ergens anders op te bouwen. Het lijkt me ook wel duidelijk dat ook de Russen slachtoffer zijn van deze situatie.

Je kan er niet omheen, hoezeer ze het ook proberen te vergoeilijken en in een mooi kader te plaatsen.

Werken met Russen is geen probleem, werken met Russen IN Rusland is nu in de huidige omstandigheden een 'NO GO'.
Of het nu je vriendjes, jarenlange trouwe medewerkers, kennissen of wat ook zijn. Op deze manier keurt EDPnet de slachting aangericht door Poetin (ook een Rus) goed.

[fmcstaartmees]

Wat ben jij een dramaqueen ... pffff ... als ik zie wat rasechte vlamingen uitsteken dan kan ik dat evengoed gebruiken om niet met hen samen te werken ... DUH

[satsurfer]

Werken met Russen is geen probleem, werken met Russen IN Rusland is nu in de huidige omstandigheden een 'NO GO'.

Dus ik zou Edpnet moeten opzeggen, omdat de helpdesk daar zit? Beetje héél hypocriet.
Alsof zij de bommen lanceren. Hebben het al unaniem afgekeurd.

Stop dan met kopen van kledij die in lageloonlanden werd gemaakt door kinderhanden, gebruik een warmtepomp zodat je niet afhankelijk bent van Engie,... Wek zelf stroom op via PV. Tank NIET bij Lukoil of afgeleiden. Haal geen illegale content via uw internetverbinding. Zorg dat de helpdesk van bedrijven die in Belgié opereren, hun helpdesk die geoutsourced werd nr. buitenland correct werd betaald.

[malinwa001]

Werken met Russen is geen probleem, werken met Russen IN Rusland is nu in de huidige omstandigheden een 'NO GO'.

Dus alles wat uit China, America, Frankrijk,... komt koop je ook niet?
Doe nu niet zo hypocriet. Het slechte zit in de mens, niet de samenleving.

[bogon]

3. internet loop helemaal niet via rusland

Ook niet voor IPv6?

Nee, enkel naar Russische destinations, ik vermoed een verkeerde reverse DNS. Ik laat het morgen nakijken.

Ik zou erop gokken dat het stukje "spbbr" staat voor "Shortest Path Bridging" en "Brussel" en zie ook technisch niet in waarom het dataverkeer via Rusland zou gaan

Werken met Russen is geen probleem, werken met Russen IN Rusland is nu in de huidige omstandigheden een 'NO GO'.
Of het nu je vriendjes, jarenlange trouwe medewerkers, kennissen of wat ook zijn. Op deze manier keurt EDPnet de slachting aangericht door Poetin (ook een Rus) goed.

Ik vereenzelvig mij evenmin met onze regering als ik de Russische bevolking vereenzelvig met de hunne. Ik denk dat Russen wél in dienst houden eerder een positief effect voor het Westen zou hebben door de verspreiding van Westerse informatie te vergemakkelijken. Dat Poetin zelf een Rus is is nogal wiedes en irrelevant.

[devilkin]

Als je even checked vind je snel dat 2a02:578:1:46::2 geografisch gelinked is aan België. Dit is ook wat RIPE zelf aangeeft, dus vrij zeker van dat dit wel zal kloppen.

[tien]

gebruik een warmtepomp zodat je niet afhankelijk bent van Engie,... Wek zelf stroom op via PV.

Zeker zonder China is zelfs dan een probleem... Kent er iemand warmtepomp of pv's zonder chinese onderdelen
Ook niet vergeten dat België Taiwan niet erkent en het voor ons officieel onder China valt dus voor niet chinese chips zal je bij Croky moeten zijn.

[on4bam]

Huh?? EDPnet link? China? Warmtepomp? Verkeerde thread zeker?

[satsurfer]

Werken met Russen is geen probleem, werken met Russen IN Rusland is nu in de huidige omstandigheden een 'NO GO'.
Of het nu je vriendjes, jarenlange trouwe medewerkers, kennissen of wat ook zijn. Op deze manier keurt EDPnet de slachting aangericht door Poetin (ook een Rus) goed.

Naar analogie van timmermc die zegt dat als je EDp afneemt, je slachting goedkeurt.

Dan moet je ook conséquent zijn en je onafhankelijk van de Belgische overheid maken. Alles wat je aankoopt 'screenen' (wat ik al uitlegde). "Want met Russen werk je nl. niet."

[Sasuke]

Als je even checked vind je snel dat 2a02:578:1:46::2 geografisch gelinked is aan België. Dit is ook wat RIPE zelf aangeeft, dus vrij zeker van dat dit wel zal kloppen.

En moest dat niet zo zijn was ik wel geinteresseerd in welk medium de verbinding lag ... low latency naar .RU ...

Eerlijk, ik heb het stukje in dit topic gevolgd. Dat Edpnet bepaalde zaken afneemt/uitvoert in .RU is ergens wel 'problematisch' in de huidige context, maar gezien de beperkte impact nog toelaatbaar.

Waar ik persoonlijk wel de lijn trek is volgende:
1. Een russissche helpdesk medewerker mag op geen enkele manier toegang (kunnen) krijgen tot mijn infrastructuur (inclusief admin op de Fritzbox)
2. Er loopt geen enkel dataverkeer van/naar/via rusland wanneer het niet moet
3. Er is geen fiscale structuur waarbij omzet en/of winstmarges doorgesluisd worden naar de russische onderneming
4. De Russische servicedesk heeft géén toegang tot de hosted omgeving in België (of voorzien via expliciete goedkeuring van de klant)

Kan EDPNET bovenstaande vragen beantwoorden ? Bij uitblijven van een antwoord zal ik alvast mijn lijn opzeggen (incl. andere diensten van mijn NV's).

PS: Mijn bezorgdheid zit niet bij de Russische wernemer zelf, maar bij de niet valideerbare onafhankelijkheid t.o.v. de .RU overheid.

[Joachim]

1. Een russissche helpdesk medewerker mag op geen enkele manier toegang (kunnen) krijgen tot mijn infrastructuur (inclusief admin op de Fritzbox)
2. Er loopt geen enkel dataverkeer van/naar/via rusland wanneer het niet moet
3. Er is geen fiscale structuur waarbij omzet en/of winstmarges doorgesluisd worden naar de russische onderneming
4. De Russische servicedesk heeft géén toegang tot de hosted omgeving in België (of voorzien via expliciete goedkeuring van de klant)

1. Onze technische helpdesk heeft weldegelijk toegang tot je fritzbox, dit is enkel wanneer het nodig is, en wordt ook gelogd in je fritzbox, als je dit niet wil kan je de unieke tr069 gebruiker verwijderen.
2. Klopt
3. We betalen het lokale bedrijf voor hun diensten, that's it
4. Geen idee wat je hiermee bedoelt

[SpecialK]

PS: Mijn bezorgdheid zit niet bij de Russische wernemer zelf, maar bij de niet valideerbare onafhankelijkheid t.o.v. de .RU overheid.

Puur uit interesse (en enigszins off topic): hoe zou dat dan concreet in zijn werk gaan?
- Kan je op die Fritzbox een tap opzetten waarmee alle verkeer gemirrored wordt naar ergens anders? (en wat doe je dan op het moment dat je sneller downloadt dan de uploadsnelheid van je lijn)?
- Stel dat je het verkeer kan tappen, kan je dan achteraf, en dus zonder man in the middle het gecapteerde SSL-verkeer nog gaan decrypten?

Als je geen value added services van EDPnet gebruikt (zoals een mailbox bv) zie ik niet goed in hoe zelfs EDPnet zelf aan veel van jouw data zou kunnen. Veel meer dan source en destination IP gaan ze volgens mij toch niet zien?

[Sasuke]

Met toegang tot de fritzbox kan je wel heel ver gaan. Afhankelijk van de klant, heb je zo toegang tot het thuisnetwerk, daar zal dan wel iets tussen zitten dat handig is.

Mij gaat het niet zozeer om wat er mogelijk is, maar om het principe dat je niet (meer ?) zeker kan/mag zijn van de intenties van de Russische werknemer. In de huidige context is een Russisch bedrijf dat IT diensten levert aan een Europees land toch een droom voor de Russische overheid ?

Ik wil hiermee zelfs helemaal EDPNET niet mee schofferen of hen beoordelen op eerder gemaakte keuzes, het is een puur een (politiek ingegeven) reactie op de huidige context

Ik ben alvast tevreden met het antwoord van EDPNET en dat ze ook een oplossing bieden voor punt 1.

@EDPNET, met punt 4 bedoel ik gehoste servers van klanten in jullie datacenter, incl. telefooncentrales. (Userbase forum ?)

[timmermc]

Met toegang tot de fritzbox kan je wel heel ver gaan. Afhankelijk van de klant, heb je zo toegang tot het thuisnetwerk, daar zal dan wel iets tussen zitten dat handig is.

Mij gaat het niet zozeer om wat er mogelijk is, maar om het principe dat je niet (meer ?) zeker kan/mag zijn van de intenties van de Russische werknemer. In de huidige context is een Russisch bedrijf dat IT diensten levert aan een Europees land toch een droom voor de Russische overheid ?

Daarom dat ik al eerder schreef: '...werken met Russen IN Rusland is nu in de huidige omstandigheden een 'NO GO''. Gezien het aantal "spionnen'" België en Nederland nu het land uitzetten is het helemaal niet zo een gek antwoord schijnbaar.

Ik wil hiermee zelfs helemaal EDPNET niet mee schofferen of hen beoordelen op eerder gemaakte keuzes, het is een puur een (politiek ingegeven) reactie op de huidige context

Ook ik wil EDPnet niet schofferen, sommigen verstaan me dus absoluut verkeerd.
Het gaat er gewoon om dat gezien de huidige omstandigheden je de ogen niet kan sluiten voor de agressie die één persoon tentoonspreid tegen een buurland. Dat Russische helpdesk medewerkers helemaal daarin geen schuld treft is wel een erg gemakkelijk antwoord, het zijn net zij die aan de situatie wat kunnen verhelpen en dit gedaan maken. De oplossing ligt bij hen.

[johan.devos]

Voor zover ik de uitleg van Philippe op https://userbase.be/forum/viewtopic.php?t=52971 goed verstaan heb, is het wissen van de gebruiker tr069xxx GEEN oplossing want deze kan door de helpdesk van EPDnet via het TR-069 protocol terug aangemaakt worden.

Om zeker te zijn dat de ISP NIET via het TR-069 op de FB kan inloggen moet dit uitgeschakeld worden.

Op https://nl.avm.de/service/knowledge-bas ... ox-TR-069/ staat hoe dit kan.

Daar staat echter ook:

Bij FRITZ!Box-modellen die zijn aangeschaft via een internetprovider, kunnen deze instellingen mogelijk niet worden gewijzigd. De opties zijn dan uitgegrijsd. Neem in dit geval bij vragen over TR-069 contact op met je internetprovider.

[Joachim]

@EDPNET, met punt 4 bedoel ik gehoste servers van klanten in jullie datacenter, incl. telefooncentrales. (Userbase forum ?)

Het userbase forum wordt enkel fysiek (en later eventueel virtueel) gehost bij ons, hier heeft niemand van edpnet toegang toe. Shared hostings, virtual pbx hebben sommige van onze collega's wel toegang toe.

Voor zover ik de uitleg van Philippe op https://userbase.be/forum/viewtopic.php?t=52971 goed verstaan heb, is het wissen van de gebruiker tr069xxx GEEN oplossing want deze kan door de helpdesk van EPDnet via het TR-069 protocol terug aangemaakt worden.

Dit klopt inderdaad, mijn excuses, via TR-069 kunnen we deze effectief terug aanmaken, als je dit niet wil zal je volgens mij je router moeten resetten en niet kiezen voor edpnet als provider, maar alles manueel configureren. Misschien is er een makkelijkere manier zoals vermeld, maar daar heb ik geen ervaring mee.

[Sasuke]

In ieder geval al +1 voor de publieke & transparante reacties zonder belerend of 'moeilijk' uit de hoek te komen. Het getuigd van een volwassen beleid en een erkenning van de situatie.

[bralm]

Bedankt voor de transparantie edpnet!

Het lijkt erop dat we de voordelen van TR-069 moeten afwegen tegenover de nadelen ervan. Bepaalde nadelen kunnen wel gemitigeerd worden door de juiste security controls te hebben. Deze security controls zouden er moeten zijn ongeacht de locatie van hun helpdesk.

[gm123]

"Proximus" kiezen bij "Internet > Account Information > Internet service provider" zorgt er alvast voor dat de TR-069 gebruiker niet automatisch (door edpnet dus) terug wordt aangemaakt nadat je hem verwijdert. Wel zien dat je dan zelf je PPPOE gegevens ingeeft. Bij "Diagnostics > Security" zie ik TR-069 ook niet vermeld bij de services, dus ik denk dat dit het volledig uitschakelt.

[bambipower]

Als ik het dan goed begrijp, kan de helpdesk dus aan kwasie alle info.

Dat lijkt me toch echt wel een probleem. Dan is mijn vraag : bereid edpnet zich voor, voor het afkoppelen van de russische helpdesk? Vanaf wanneer gaan ze dat doen? Gaan ze iets doen als het echt oorlog wordt tussen nato en rusland?

Kunnen jullie jullie klanten informeren, hoe ze zich beschermen tegen russische spionage? (Blogpost + mail naar de klanten?)
En is onze belgische staatsveiligheid hiervan allemaal op de hoogte?

Het minste dat we toch mogen verwachten, is dat edpnet hierover communiceerd met al hun klanten, ook niet userbasers

Als mc donalds al daar wegtrekt, is de noodzaak hier toch veel groter?

[Sinna]

Als mc donalds al daar wegtrekt, is de noodzaak hier toch veel groter?

Waarom verlaat McDonalds Rusland? Om een statement te maken of om te vermijden dat ze economische verliezen draaien door de devaluatie van de roebel? Een hamburgertent kan je niet vergelijken met een ISP, al snap ik de bezorgdheid wel.

Als ik het dan goed begrijp, kan de helpdesk dus aan kwasie alle info.

Het TR-069-protocol laat inderdaad heel veel toe, maar enkel als er voldoende rechten toegekend zijn. Daar kan enkel Joachim op antwoorden.

Ik begrijp dat het voor sommigen wenselijk is om dat protocol uit te schakelen, maar dan ben je ook op jezelf aangewezen bij problemen. Hier treed ik bralm in bij:

Het lijkt erop dat we de voordelen van TR-069 moeten afwegen tegenover de nadelen ervan. Bepaalde nadelen kunnen wel gemitigeerd worden door de juiste security controls te hebben. Deze security controls zouden er moeten zijn ongeacht de locatie van hun helpdesk.

Instructies om zelf de xDSL-configuratie in te stellen op Instellingen: xDSL verbinding | edpnet.be.

[cadsite]

Als ik het goed begrijp wordt er een log gemaakt zodra iemand via dat protocol in de modem gaan neuzen.

Is er een mogelijkheid om een alert in te stellen bij deze actie?

[bambipower]

Akkoord sinna, mij lijkt het vooral belangrijk, dat edpnet klanten op de hoogte zijn hoe ze zich kunnen beveiligen. En dat het momenteel zelfs redelijk onveilig is. Daarom ook de nood aan open communicatie vanuit edpnet. Dan weet iedereen het, en kan iedereen keuzes maken.

Nu weet de meerderheid van edpnet klanten van niks. Daar moet wel iets aan gedaan worden.

[Sinna]

Klopt, maar als edpnet dit breed communiceert dan moeten er ook (voor de leek) duidelijke instructies in staan hoe dit potentiële probleem te verhelpen. Dat lijkt mij eerder technisch, en kan voor problemen zorgen. En wie wordt gecontacteerd bij problemen? De helpdesk natuurlijk! En waar zit die (in de praktijk)? In Rusland! En zo is de cirkel rond...

[on4bam]

Gezien het grootste probleem het TR-069 protocol is kan EDPnet dit misschien (tijdelijk) niet meer beschikbaar zetten vanuit de Russische helpdesk maar enkel vanuit België? Ik ga er echter van uit dat de helpdesk via een VPN naar EDPnet BE gaat.

[Sinna]

Nu spreken we over gerichte oplossingen
@Joachim: is dat technisch mogelijk en zo ja, kan dat geïmplementeerd worden en hier bevestigd worden?

[on4bam]

Nu spreken we over gerichte oplossingen

Ik denk niet dat we EDPnet moeten wantrouwen gezien hun trackrecord. Waarschijnlijk is er ook geen probleem met de helpdeskmedewerkers (zie ook wat Joachim al schreef). Wat we niet weten is wat er van overheidswege aan de helpdesk kan opgelegd worden (cfr. Russische media)
Zoals bij elk bedrijf moet men maar maatregelen nemen zodat misbruik door personeel zo veel mogelijk uitgesloten wordt en dat dit gedaan wordt werd door Joachim ook al bevestigd.

Ik schat het risico in elk geval niet hoger in dan bij Px en Tn.

[Sinna]

Dat denk ik ook niet, maar als dat het wantrouwen bij een aantal klanten kan wegnemen, dan lijkt mij dat met minimale effort haalbaar.

[Joachim]

TR-069 wordt niet vanuit Rusland aangestuurd, maar via onze interne systemen die in België staan. Onze helpdesk collega's hebben niet de mogelijkheid om zelf die TR-069 user opnieuw te pushen (als je hem verwijderd hebt), maar we kunnen het wel als het nodig is (via aanvraag), dus als je je 100% "veilig" wil voelen, moet je TR-069 maar volledig disablen (zie hierboven hoe).

[woutervh]

Dat denk ik ook niet, maar als dat het wantrouwen bij een aantal klanten kan wegnemen, dan lijkt mij dat met minimale effort haalbaar.

De 10 man die effectief weten hoe de structuur van edpnet eruit ziet, en er van wakker liggen, zitten volgens mij hier op het forum
Als edpnet een grote "info"-campagne zou opzetten, gaan ze volgens mij meer achterdocht opwekken dan twijfels wegnemen

[bambipower]

TR-069 wordt niet vanuit Rusland aangestuurd, maar via onze interne systemen die in België staan. Onze helpdesk collega's hebben niet de mogelijkheid om zelf die TR-069 user opnieuw te pushen (als je hem verwijderd hebt), maar we kunnen het wel als het nodig is (via aanvraag), dus als je je 100% "veilig" wil voelen, moet je TR-069 maar volledig disablen (zie hierboven hoe).

En hoe gaan de edpnet klanten dit te weten komen? Gaan jullie hen informeren?

Jullie zullen ook klanten hebben, die bvb beroepsmilitair zijn, werken in de wapenindustrie, kerncentrales, politiek, ... en andere cruciale sectoren.
Wat dus wil zeggen, dat als de russische overheid ons gaat bespioneren, we risico’s lopen op staatsveiligheid.

[cadsite]

Ik mag hopen dat mensen die effectief zo'n cruciale info hebben beroepshalve, dat hun werkgever hier dan voldoende aandacht aan besteedt als ze die info over hun thuisnetwerk laten passeren...

[bambipower]

Denk je?

Wat natuurlijk wel mogelijk is, is dat er iemand staatsveiligheid inlicht. En desnoods ook de media.

Daarom dat ik hoop, dat de stap van edpnet komt.

[Sinna]

TR-069 wordt niet vanuit Rusland aangestuurd, maar via onze interne systemen die in België staan. Onze helpdesk collega's hebben niet de mogelijkheid om zelf die TR-069 user opnieuw te pushen (als je hem verwijderd hebt), maar we kunnen het wel als het nodig is (via aanvraag), dus als je je 100% "veilig" wil voelen, moet je TR-069 maar volledig disablen (zie hierboven hoe).

@Bambi: waarom communiceren over iets wat niets met Rusland te maken heeft? Wie weet wat TR-069 is buiten een paar techneuten hier op UB? Voor mij is dit een storm in een glas water...

[cadsite]

Denk je?

Wat natuurlijk wel mogelijk is, is dat er iemand staatsveiligheid inlicht. En desnoods ook de media.

Daarom dat ik hoop, dat de stap van edpnet komt.

Sorry, maar dat is gewoon de verantwoordelijkheid van de werkgever. Je kan toch moeilijk verwachten dat een ISP een klassieke huis&tuin verbinding gaat beveiligen op "staatsgeheim-niveau"?