Beveiligingsexpert Rickey Gevers heeft na een tip van hackersgroep Anonymous een lek gevonden in het videovergadersysteem van het ministerie van Defensie. Dit meldt dagblad de Volkskrant. Gevers wist zich toegang te verschaffen tot de inlogpagina van een topman bij de Defensie Materieel Organisatie (DMO) en kon in zijn adressenlijst kijken en achterhaalde telefoonnummers en ip-adressen van kazernes en kantoren, vermoedelijk ook van het Nationaal Crisis Centrum.
Defensie werkt met communicatiesystemen van Cisco. Het gekraakte systeem was binnen te dringen na gebruik van het standaard fabriekswachtwoord dat in de handleiding van het product staat en op internet terug te vinden is. Defensie zegt dat het zeven videovergadersystemen gebruikt en dat door de hack het netwerk niet in gevaar is geweest. Ook betreurt het ministerie het lek.
Dat het zo makkelijk was om toegang te krijgen tot het communicatiesysteem van Defensie, is opvallend. In de Volkskrant is te lezen dat het ministerie wist van de povere beveiliging, maar blijkbaar niet ingreep. Een woordvoerder zegt: 'Een onderhoudsbedrijf heeft ooit de videoconferentiesystemen aangeschaft. Ze draaien op internet. Onze cyber-veiligheidsafdeling waarschuwt voor dergelijke systemen, omdat die makkelijk gehackt kunnen worden. En dat blijkt.'
Reactie Cisco
Cisco laat in een officiële verklaring weten: 'Cisco levert videoconferentiesystemen aan Defensie. Deze zijn aangesloten op een gesloten, goed beveiligd netwerk, waarbij gebruik wordt gemaakt van encryptie. In het verleden heeft een onderhoudsbedrijf van Defensie ooit zeven vtc-systemen voor zichzelf aangeschaft. Deze systemen draaien op het reguliere, publieke internet. De cyber-veiligheidsafdeling van Defensie waarschuwt tegen dergelijke systemen, omdat die makkelijk gehackt kunnen worden. Dit advies is geheel in lijn met Cisco's beveiligingsadviezen. Defensie betreurt het dat met dit voorval de schijn van onveiligheid kan zijn gewekt, maar benadrukt dat het eigen netwerk nooit in gevaar is geweest. Alle Cisco-videocommunicatie apparatuur binnen het eigen netwerk van Defensie voldoet aan alle veiligheidseisen en -voorwaarden.'
Het is duidelijk dat dit niet echt een hack is maar meer iemand die toevallig een IP-address tegen kwam en dacht laat ik eens kijken wat het is. Het is in mijn ogen dus ook een stommiteit van defensie om het systeem op het publieke internet te zetten zonder minimaal het wachtwoord aan te passen.
Wanneer je een video systeem op het publieke internet zet en vervolgens de wachtwoorden niet aan past van de web-admin lijkt me dat er altijd de kans bestaat dat ongewenste personen inloggen.
Video systemen worden veelal op het internet geplaatst uit makkelijkheid, omdat je dan iedereen kan bereiken die ook het systeem op het internet heeft staan. Hierbij wordt te snel vergeten dat je dan ook even moet nadenken over functionaliteiten zoals automatisch opnemen, web-access en meer van dat soort dingen.
Er zijn perfecte manieren om een videoconferencing systeem te beveiligen en er voor te zorgen dat dit soort dingen niet gebeuren, het is echter aan de gebruikers of ze hier in willen investeren.
Laten we wel zijn, binnen overheden leeft, door verregaande uitkleden van IT en relevante expertise, het aspect IT en al de bijkomende merites weinig tot niet. Men kraait wel vaak ‘kijk ons eens lekker bezig’ maar dit wordt geroepen door mensen die weinig tot geen kennis van zaken, maar wel graag beleid maken en beslissingen nemen.
Er zijn al vele rapporten verschenen t.a.v. het percentage problemen bij project implementaties bij de overheden dat dit artikel mij geenszins verbaast. Misschien wordt het eens tijd dat die ambtenaren en politici gewoon eens toegeven dat ze er niet van begrijpen en kunnen en hiervoor expertise in huis halen.
Dan heb ik het hier niet over de commerciële clubs zonder inhoud maar werkelijke experts. Wie weet gaat men dan eens beseffen dat er binnen het overheids apparaat nog veel winst te behalen valt door standaardisatie.
Eens kijken welk politicus nu weer als door een wesp gestoken opspringt met het nodige commentaar.
Het is niet alleen de overheid waar het ontbreken van de juiste technische expertise voor onnodige problemen zorgt. Heel de Nederlandse IT heeft hier min of meer last van. Dat komt voornamelijk doordat het manager klimaat in Nederland is doorgeschoten en er bij IT projecten meer op politiek gelet wordt dan een solide oplossing te bieden. Met name door het uitbesteden van taken worden vaak ook verantwoordelijkheden afgeschoven en is men ook weer ingedekt.
Maar voor zo’n cruciale fout als deze kun je als je al gewaarschuwd bent niet verschuilen achter iemand anders. Aangezien het om een omgeving van Defensie gaat zou je wellicht kunnen beargumenteren dat er sprake is van hoogverraad en de betreffende verantwoordelijken hiervoor ook ter verantwoording geroepen dienen te worden. Evenals de de beleidsmakers die wellicht verzuimd hebben om als standaard te stellen dat alle aangeschafte hardware voor gebruik wordt ontdaan van standaard wachtwoorden en soortgelijke mogelijke veiligheidslekken zodat de gemiddelde hobby hacker er niet zomaar in kan.
Het gaat bij dit deels om een technische issue maar vooral het feit dat men met de default credentials in kon loggen is het duidelijk dat het vooral om procedures gaan en wellicht een scherpere controle op implementaties als het door externe partijen is geimplementeerd.
Druk op de ketel mondt vaak uit op het laten vallen van cruciale controles op geimplementeerde applicatgies, systemen en devices. Het is hier niet anders denk ik.
Een security audit op nieuwe systemen en op bestaande systemen op gezette tijden of randomized maar wel met regelmaat zou daarom ook onderdeel moeten zijn van het management proces.
Security is nog steeds in de meeste gevallen een sluitstuk maar zou als een rode draad door alle processen, oplossingen en IT personeel moeten lopen. Awareness is hier denk ik een spil die nog niet is uitgewaaierd.
Nu is het een video conference systeem, maar al die multi functionals, printers en andere peripherals die harde schijven hebben met vaak gevoelige gegevens die niet geflushed zijn na een job of simpelweg niet versleuteld op die schijf staan, of routers en switches de simpelweg met default credentials zijn te bekijken of te herconfigureren. In mijn ogen nergens voor nodig, je hoeft hier geen raketgeleerde voor te zijn, een simpele installatie script die afgevinkt wordt kan al veel leed voorkomen.
Tsja als je eens wist hoe veel en hoe hard er van onderaf wordt geroepen bij Defensie dat de beveiliging beter moet. En ook hoe dat kan. Alle building blocks zijn aanwezig, tot en met beleidsniveau aan toe. Maar bij dat laatste gaat het mis. Want goedkeuren, uitrollen en handhaven, dan raak je aan wat omhooggevallen officieren die hun spelltjes willen houden. Probeer bij een kinderdagverblijf maar eens een speeltje af te pakken — bij Defensie is het nog veel moeilijker want dan vlieg je er zelf uit.
Dus niet ‘Defensie’ de schuld geven, maar de officieren (én hogere ambtenaren die een ‘geweer’ heel eng vinden en er nooit dichter dan een kilometer afstand in de buurt zijn geweest).
Ik wil hier graag een lans breken voor Jay. Ik ken de organisatie, de mensen en ik kan je zeggen dat die elders in de overheden niet noemenswaardig anders is. Ik kan je uit eigen waarneming en ervaring de volgende conclusies meegeven;
– IT is een lineaire materie, politici, ambtenaren en nogal wat ‘managers’ en IT’ers zijn dat niet.
– Politici, ambtenaren, ‘managers’ en nogal wat IT’ers zijn vooral bezig met hun eigen ‘rol/ego’ maar niet met de ‘wetmatigheden’ van de materie IT.
– Politici, ambtenaren, ‘managers’ en nogal wat IT’ers hebben geen visie of overzicht van de IT disciplines en de werking daarvan.
Ergo
Laat die mensen doen zoals ze doen en je ziet wat er gebeurd. Is het niet bij Defensie, dan wel bij RWS of het KPN is of een andere grote club. Gebruik IT als sluitstuk voor je begroting, saneer de kennis kern tot ‘onaanvaardbaar’ en gebruik heel stupide de crisis als reden en je krijgt dit.
Zonder het op de persoon te spelen….
Hier is niet eens spraken van ‘een systeem kraken’ door de genoemde veiligheidsexpert. Hij heeft een tip van hackers gekregen, nuance ligt dan net even iets anders. Ik kan me zelfs indenken, eens met Ronald Potharst, dat er iemand is geweest die gewoon uit balorigheid of verveling op iets is gestuit. Weinig met hacken voorts te maken.
Ken je de werking en de wetmatigheden van de IT niet? Dan kan ik de lezer gerust stellen. Dan gaat dit niet alleen de belastingbetaler, maar ook IT in aanzien, nog heel veel kosten.
RC
“Never asume, Always verify….”
Wat we hier zien is een trend in de IT.
De gebruiker heeft de IT afdeling niet meer nodig.
Als je binnen je IT omgeving de attachments in de mail beperkt vanwege de veiligheid van data dan gaan de gebruikers toch gewoon via Gmail onderling mailen met attachments (mailboxen van 25Gb zijn heel gewoon)
Probeer je data lokaal op allerlei mobiele devices te voorkomen dan gebruiken we toch gewoon Dropbox.
Je gebruikers op het bedrijfsnetwerk netwerk via firewalling zo veel als mogelijk afschermen van de buitenwereld? Gebruiken we onze SmartPhone toch gewoon als WiFi hotspot.
Kortom je houdt het als IT afdeling met techniek niet tegen.
Het ontkennen hiervan helpt ook al niet mee om de data veilig te houden omdat het gat bij de gebruiker zit.
Zo ook hier.
De IT afdeling zal best wel een verzoek binnen gehad hebben voor het mogelijk maken van video conferencing . Hier zal natuurlijk de nodig security barricades opgelegd zijn door deze IT afdeling met de beste bedoeling om dit veilig te houden. Maar dat is voor de gebruikers blijkbaar te moeilijk of te duur en besluiten gewoon zelf een video conferencing systeem aan te schaffen via het Internet.
Veel goedkoper, lekker snel aangelegd en handig voor de gebruikers.
Totdat je ‘gehacked’ wordt, dan moet de IT afdeling zich gaan verantwoorden.
Hoe je dit voorkomt?
Daar ben ik zelf nog niet uit.
De gebruikers moeten in ieder geval steeds opnieuw ‘security aware’ gemaakt worden van de risico’s die ze lopen met het gebruik van data.
En je moet je eigen IT omgeving aantrekkelijk maken voor je gebruikers zodat jouw systeem het gemakkelijkste werkt, dan gaan ze er gebruik van maken en kan je de data flow controleren.
Maar het probleem blijft altijd de veiligheid versus het gebruikers gemak.