Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 79 reacties, 39.635 views •

Het systeem dat medewerkers van het Ministerie van Defensie gebruiken voor videovergaderingen bleek beveiligd met een fabriekswachtwoord. Daardoor konden kwaadwillenden meeluisteren met vertrouwelijke gesprekken.

Ook konden kwaadwillenden toegang krijgen tot logfiles, met daarin gegevens van vergaderingen en ip-adressen van Defensie-onderdelen die gebruikmaken van het systeem van Cisco voor videovergaderingen, schrijft beveiligingsexpert Rickey Gevers. Het wachtwoord staat als standaardwachtwoord vermeld in de handleiding van het systeem. Cisco gebruikt veelal 'admin' als username, terwijl het wachtwoord vaak uit slechts enkele tekens bestaat.

Defensie erkent de hack en zegt dat er zeven systemen in gebruik zijn voor videovergaderingen. Intern blijkt al eens gewaarschuwd te zijn voor dergelijke systemen, maar 'een onderhoudsbedrijf heeft die systemen ooit aangeschaft'. Het eigen netwerk van Defensie zou nooit in gevaar zijn geweest.

Het videosysteem was benaderbaar via het publieke internet en zat gewoon achter een inlogpagina. Het is onduidelijk of het lek ooit daadwerkelijk is misbruikt, bijvoorbeeld door buitenlandse inlichtingendiensten om informatie te krijgen over de Nederlandse krijgsmacht.

 Screenshot videoconferencing-systeem Defensie (Cisco)

Reacties (79)

Reactiefilter:-179071+141+24+30
Moderatie-faq Wijzig weergave
Ook een mooi leermoment voor Cisco en andere bedrijven.
Het eerste wat een gebruiker moet doen bij aanzetten van elk willekeurig programma/hardware zou het veranderen van het admin account (en andere default wachtwoorden) zijn. Is dat nog niet gedaan, dan kun je ook geen andere configuratie opties aanpassen.

maarja, dan wordt het natuurlijk allemaal weer te ongebruiksvriendelijk
Het is meer dat het "wachtwoord-verander-moment" dan onverwachts komt. In een groot bedrijf moet je zo een login en wachtwoord op een centrale plek opslaan zodat je het over 5 jaar nog terug kan vinden. Als je het ding dan geïnstalleerd hebt en je staat daar zonder papiertje en toetst iets willekeurigs in of je verliest het papiertje dan ga je natuurlijk Cisco bellen en dat levert hen veel kosten op. Het is dan natuurlijk veel gemakkelijker als Cisco kan zeggen "oh probeert u het standaard wachtwoord eens" omdat de gebruiker nooit gevraagd is het te veranderen.
Ik heb zon vermoede dat je laatste zin sarcastisch is, maar het is wel zo. Als je gaat dwingen wachtwoorden te veranderen zullen ook niet de sterkste wachtwoorden gebruikt worden, er zijn simpelweg teveel dingen waarbij een wachtwoord nodig is.

Waarschijnlijk is een systeem met cardreaders al een stuk gebruikersvriendelijker en beter beveiligd.
heeft ook geen zin. Dat krijg de gebruiker dan voor zijn kiezen, die voert maar wat in.
En om het niet te vergeten wordt het wachtwoord vervolgens op een post-it gezet die ze erbij hangen...
maarja, dan wordt het natuurlijk allemaal weer te ongebruiksvriendelijk
Cisco kan echter dan wat leren van de manier waarop AT&T in samenwerking met 2Wire omgaat met de standaard wachtwoorden op hun VDSL2+ gateways voor de WiFi functie.

Die is namelijk standaard aangezet met WPA2 beveiliging en een 10-cijfer wachtwoord wat dan vermeld staat op sticker aan de zijkant.

Natuurlijk is dit nog steeds onveilig als de aanvaller zich eerst fysiek toegang kan onteigenen en het wachtwoord dan gemakkelijk kan lezen van de sticker (social-engineering aanvallen daargelaten, maar dat werkt dan vaak ook op zelf-gemaakte wachtwoorden), echter dat is dan een stuk beter van één wachtwoord voor alle modellen.

De last ligt dan echter bij Cisco, want die moet zijn fabrikage proces aanpassen, maar dat is in theorie volledig automatisch te doen. De sticker voor het serie nummer is namelijk ook uniek en moet worden aangebracht. Een installatie computer kan dus dat nummer uitlezen (of is er al bekend mee) en dat het apperaat in kwestie besturen om het wachtwoord/instellingen te veranderen. Dit kan dan vaak geintregreert worden in de test fase van het fabrikage-proces.

AT&T uitleg:
On the side of your gateway, locate the white sticker.
  • The network name is the word 2WIRE (in all capital letters), followed by the last three digits of the gateway serial number (SN).
  • The network key is a 10-digit number either located in brackets ([ ]) or labeled Wireless Network Key.
  • For Mac OS X users, you may need to enter the $ character at the beginning of the wireless network key
Plaatje met uitleg = http://www.att.com/support_media/images/13/wirenetkey_01.png
Ook een mooi leermoment voor Cisco en andere bedrijven.
Het eerste wat een gebruiker moet doen bij aanzetten van elk willekeurig programma/hardware zou het veranderen van het admin account (en andere default wachtwoorden) zijn. Is dat nog niet gedaan, dan kun je ook geen andere configuratie opties aanpassen.
Nieuwe IOS versies (voor Cisco routers) hebben de eigenschap dat de standaard account die je gebruikt bij de eerste keer inloggen, wordt gewist na de eerste keer inloggen. Dus je moet wel je eigen account aanmaken.

En hun UC-servers kennen geen default accounts; je moet zelf je admin-account en -password verzinnen bij installatie (en het heeft zo ongeveer de meest restrictieve beveiliging tegen trivial passwords die ik ooit ben tegengekomen).

Het apparaat waar het in dit artikel over gaat, is van Tandberg. Hoewel Tandberg eigendom is van Cisco, vind ik het wat ver gaan om te zeggen dat we het hier over Cisco-hardware hebben.

[Reactie gewijzigd door 19339 op 24 februari 2012 17:12]

Intern blijkt al eens gewaarschuwd te zijn voor dergelijke systemen, maar 'een onderhoudsbedrijf heeft die systemen ooit aangeschaft'.
Snap deze zin niet, ze wilde het niet maar het werdt opgedrongen door een onderhoudsbedrijf? Want zo klinkt het nu, "Niet onze fout, we wilden dit systeem helemaal niet".

Wat een enorme blunder om bij zulke belangrijke overheids onderdelen zo laks om te gaan met de beveiliging, zelfs een wachtwoord instellen is al te moeilijk...
Uitgaande van de standaard bureaucratie, gecombineerd met het niets snappen van beveiliging kan je er vanuitgaan dat er intern wel eens is geroepen dat er wat aan moet gebeuren, en dat er net zolang papier heen en weer is geschoven totdat er uiteindelijk niets aan gedaan is.

Dat is natuurlijk heel gecharcheerd, maar uit persoonlijke ervaring in de ICT en overheid kan ik je ongeveer vertellen hoe zoiets gebeurt:
De ICT of de beveiligngsorganisatie is nooit betrokken geweest bij de implementatie van een systeem wat op een managementniveau is verzonnen en direct is uitgevoerd door een externe club. Er is dus nooit gekeken naar de beveiliging, en het systeem is nooit ge-audit.

Gevolg: Plots ligt er een systeem waar de techneuten niets vanaf weten, en waar ze met de handjes af moeten blijven.
Dan komt de opdracht om dit systeem aan het grote Internet te koppelen. Er wordt dan (hopelijk) wel geroepen "Is dat wel veilig dan" maar indien men een dienstopdracht geeft dan heb je maar te rennen. Liever zie je dan een risicoanalyse welke de gevaren duidelijk maakt, en laat deze maar ondertekenen door de opdrachtgever. Als hij akkoord gaa met de risico's dan is de ICT afdeling gedekt.

[Reactie gewijzigd door Equator op 24 februari 2012 07:54]

Dit is exact hoe het gaat, maar niet alleen bij overheid. Ik zit dit regelmatig ook bij bedrijven. Zowel klein als groot. Beveiliging en het uitgebreid testen van systemen is vaak geen issue en niet iets waar (veel) budget voor beschikbaar is.
Eens. Ik herken dit ook. Zeker in het bedrijfsleven.

Equator geeft imho het juiste advies: vraag om een risico-analyse. Stel desnoods zelf een concept op. Geef duidelijk aan: "Als we dit doen, dan gebeurt dit en dat en dat is ongewenst want..."

Leg discussie vast. Zeker in de wandelgangen. Geef korte weergaves van gesprekken in mails.
Dat geeft extra druk om de kwaliteit van de besluitvorming te verbeteren. Al dit werk zijn lifesavers als de risico's werkelijkheid worden.

Feit is dan dat er meteen gekeken wordt naar de ICT "want die gaan er over". In enkele gevallen kwam ik dan naar een escalatie-overleg, met een keurige powerpoint, en gaf aan hoe het proces (obv eerder genoemde mails en drafts) verlopen was, dat menig persoon aan de tafel en hogerop in zowel ICT als business geinformeerd was over de risico's; en dat desalniettemin persoon X het besluit genomen had. Het wordt erg stil aan tafel als je vervolgens een L-mapje neerlegt met de mails en documenten keurig op datum gerangschikt.
Heel effectief.

Je zult merken dat de bal ineens bij (de afdeling van) persoon X komt te liggen.

Het lost het probleem niet op. Maar het voorkomt dat je als pispaal wordt misbruikt.
Snap deze zin niet, ze wilde het niet maar het werdt opgedrongen door een onderhoudsbedrijf? Want zo klinkt het nu, "Niet onze fout, we wilden dit systeem helemaal niet".
Waarschijnlijk is onderhoudswerk outsourced en wat voor systemen die onderhousdwerknemers van dat andere bedrijf dan zelf gebruiken heeft defensie dan weinig zeggenschap over.

Maar als alleen die onderhoudsmensen er gebruik van maakten, dan is het waarschijnlijk ook geen geheim spul wat ze er op bespreken. En is het ook niet zo spannend.
Met het wachtwoord 'admin' kan je local elke KPN router hacken, lol.

Heeft nou niemand door dat de grap van internet juist is dat als je er wat op aansluit, iedereen er toegang toe heeft.
off-topic: I.d.d. Lucas, dit wordt door weinigen erkend. En dan zijn er ook nog vogels die beweren dat het veilig is, veiliger dan een inbelnetwerk of VPN bijvoorbeeld.

Slordig van Tweakers om het telefoonnummer op de eerste afbeelding ongemaskeerd te tonen? En wat is die Testsite @ US, ook interessant. Trouwens nooit geweten dat ons leger zoveel contact houdt met hun Belgische collega's. Je leert nog eens wat zo, dankzij een anonymous.

[Reactie gewijzigd door moreasy op 24 februari 2012 08:59]

Dat is geen lek meer, maar een basic gebrek aan beveiliging. Bij defensie hoop je toch op net iets meer kennis van zaken. Verschuilen achter leveranciers is ook wat makkelijk voor defensie: je certificeert en controleert toch?
Dit lijkt meer een clubje dat buiten de regels en ICT personeel een eigen systeem heeft aangeschaft.
ADSL verbinding erop en toeteren maar...

Jammer alleen dat nu het ICT personeel van defensie de klappen moet opvangen..
Dan is de ICT audit functie van defensie dus te zwak om dit te signaleren en desnoods uit te laten zetten. Hoe defensie het ook uitlegd: het blijft een probleem van defensie en niet van een eventuele externe leverancier. Als je dingen uitbesteed heb je de plicht te controleren.
Ik vraag me af hoe je dit zou kunnen signaleren.

Een losse ADSL in zo'n grote organisatie, speld en hooiberg?
En wetende dat de audit slecht functioneerd kun je je afvragen hoe het daadwerkelijk gesteld is met de beveiliging. Men mag dan wel stellen dat de veiligheid nooit in het gedrang is geweest maar hoeveel andere systemen zijn er wel niet in de omloop die onder soort gelijke toestanden tot stand zijn gekomen? Ook kan men wel zeggen dat verdere veiligheid nooit in het gedrang is gekomen maar een dergelijke videosysteem is misschien wel eerder afgeluisterd. En ik vermoed dat hier toch wel meer via besproken is dan alleen het laatste gesprek. Behalve dat dit natuurlijk weer een zoveelste voorbeeld van onkunde is, nog erger is het wederom een zoveelste voorbeeld van ontkenning. Het lijkt haast dat het niets uitmaakt hoeveel fouten gebeuren. Ergens misschien wel grappig dat bij Nortel iedereen opeens verbeisterd reageert maar in hoeverre is dit geen andere situatie?
En het gaat maar door. Ik ben benieuwd wanneer men eens daadwerkelijk een stap zet richting ictsecurity
Misschien kunnen we de oorzaak nog verder terugvoeren : we hebben te maken met te veel wachtwoorden. ik schat dat ik ondertussen wel te maken heb met meer dan 50 gevallen waar ik wachtwoorden en usernames moet invoeren. OK windows wachtwoord op werk en thuis en wachtwoorden voor mijn mail en applicaties op mijn werk dat onthoud ik wel omdat ik bijna elke dag gebruik.... maar de rest...:(
Ik denk dat ik bij minstens een derde mijn wachtwoord en username niet meer weet en elke x opnieuw moet aanmelden.
Kijk als je 1x per jaar een videoconferentie houd dan heeft het ook geen prioriteit. Het is ook een uitruil van gemak en beveiliging want als je video conference wil houden en je weet je wachtwoord niet meer veel mensen gaan hard klagen als je opnieuw moet aanvragen en een uurtje later of meer (afhankelijk van beschikbaarheid en drukt van ict dept) weer kan beginnen.
D'r zijn twee dingen die je kunt doen mbt je wachtwoordenprobleem:

1. Installeer een password manager zoals 1password, keepass of lastpass. Keepass kun je evt. dubbel beveiligen met een USB key.
2. Maak wachtwoorden volgens een formule - bijvoorbeeld abc123+tweakers.net. Uniek wachtwoord per website die je op basis van die formule kunt onthouden.
die is leuk.
Dus als ik weet dat jouw tweakers.net ww abc123tweakers.net is, dan zal je ww om op je mail in te loggen wel abc123gmail.com zijn (ik noem maar een webmailprovider)

En lastpass is erg handig, maar je ww worden wel extern bewaard. Dat lijkt me voor defensiedoeleinde ook niet helemaal handig.
Het is natuurlijk slechts een eenvoudig voorbeeld wat hij schetst. Maar als je bijvoorbeeld overal de eerste letter en de laatste letter van het domein pakt, daar de eerstvolgende letter van opzoekt in het alfabet en dat vervolgens plaats in je wachtwoord wat oogwaarschijnlijk alleen uit random letters bestaat, is het onwaarschijnlijk dat jij het wachtwoord kan raden.
Dat lijkt misschien een goed systeem, maar het is nog steeds een vorm van 'security through obscurity' en dat is nou niet bepaald de beste beveiliging.
wachtwoorden zijn altijd 'security through obscurity'
Het is het beste wat we hebben.

Zelfs als je een irisscan of vingerafdrukken wilt gaan gebruiken dan loop je hetzelfde risico. Die worden ergens opgeslagen, zo gauw die is opgeslagen kun je er een kopie van maken.

En dat is het kern van het probleem. Als het echt veilig moet dan laat je het ophalen, of face to face. Dan kun je het risico minimaliseren.
"Misschien kunnen we de oorzaak nog verder terugvoeren : we hebben te maken met te veel wachtwoorden."

Dat is geen goed excuus, sterker nog een heel slap excuus.
Ik heb ook wachtwoorden die ik niet weet maar die bewaar je in een encrypted applicatie.

Je mag toch van defensie aannemen ze hier wel heel zorgvuldig mee omgaan? anders kan je net zo goed iedereen achter de IT daar gooien.
Dat je bij defensie werkt wil niet zeggen dat je een ICT expert bent. Een systeem dat direct uit de fabriek al niet veilig is, is imho een slecht product.

Hier was het duidelijk nodig om eerst allerlei instellingen/wachtwoorden te moet aanpassen om het veilig te maken, en blijkbaar werd dit niet automatisch de gebruiker opgedrongen. Dus heeft Cisco gewoon een slecht systeem geleverd.
van de fabriek af zijn zo'n systemen ook niet voorbereid om in een beveiligde omgeving te plaatsen, dat is juist 1 van de hoofdpunten bij de installatie ter plaatse en de job van de ICT expert die dit is komen doen. Als ze dit soort taken al door leken laten uitvoeren, dan hoop ik dat jullie nooit in een cyberwar terechtkomen :+
Ik denk het wel, de mens is de mens en heeft maar een bepaalde span of control.

Vroeger had je een pincode en een pincode voor je mobiel, en dat was het wel zon beetje. Tegenwoordig moeten we tig wachtworden/usernames onthouden. En als je geluk hebt mag je deze ook nog iedere 4 weken veranderen. Ik zie het bij mijzelf. Op het werk gebruik ik werkelijk een 30 tal apps die allemaal een wachtwoord nodig hebben. Dus overal hetzelfde wachtwoord. Na een update was dit niet meer mogenlijk en moesten er minimaal 8 tekens in, kleine letter, grote letters, leestekens enz. Vorig jaar in het pand een nieuwe verwarmings installatie gekomen en zelfs hier heb ik een applicatie voor op mijn pc gekregen met een wachtwoord/username. Terwijl er vroeger een simpele thermostaat hing die voldeed, heb ik nu al een wachtwoord om de verwarming een graad hoger te zetten. Het moet niet gekker worden.

Ps, Mijn PC staat mijn kantoor waar niemand toegang tot heeft, zelfs voor de poetsploeg moet ik de deur openmaken. (uiteraard met een rfidtag)
Als je bij Defensie werkt heeft dat zeer zeker prioriteit en is is het geen excuus om paswoorden te vergeten. Dan zit je zeker niet in de juiste sector.
Als je mee kan luisteren met de video conferenties, dan heeft het absolute top prioriteit.
Ik denk dat ook andere dingen een grotere rol dienen te spelen. Die registratie neurose in de samenleving. Je moet je tegenwoordig overal voor registreren.
De ICT veiligheid loopt sterk achter bij de ontwikkelingen in de ICT.

Maar daaronder ligt een culturele zaak. Onze cultuur verandert in hoog tempo. De manier waarop we als mens tegen dingen aankijken verandert door internet en vaak niet ten goede.
Vreemd dat een van de systemen aangeduid is met 'war room' als het slechts om een onderhoudsbedrijf blijkt te gaan.
Overigens ook interessant: in de handleiding van de TANDBERG Edge 85 MXP staat het standaardwachtwoord voor de webinterface er gewoon netjes tussen.

[Reactie gewijzigd door hanwrath op 24 februari 2012 08:08]

Als je het zoiets als intern videoconference systeem gebruikt waarom zou je dat zowieso direct aan internet hangen? Dat wil je toch over een eigen netwerk draaien net als een telefoonsysteem?

En voor zover ik weet heeft Defensie toch wel een eigen netwerk tussen al hun sites? Of is dat inmiddels ook al wegbezuinigd?
Defensie heeft inderdaad haar eigen "gesloten" netwerk, net zoals bijvoorbeeld justitie.
Ik vind het wel interessant waarom dit systeem aan internet moet hangen, "wij bij justitie" hebben dit gewoon via ons gesloten netwerk lopen.
Ironisch dat de meeste telefooncentrales ook aan het internet hangen, en de meeste KPN (isdn)telefooncentrales jarenlang het zelfde wachtwoord gebruikten.
Ja, maar zelfs bij een standaard consumenten router kan je alleen inloggen vanaf de LAN zijde en niet vanaf de WAN kant. Dat zijn toch basis beginselen?
DMO is een onderhouds onderdeel van Defensie. En de War room zit inderdaad in Den Haag. Klinkt niet zo vreemd toch??

En het is niet zo heel interessant dat het default password netjes in de manual staat. zouden meer fabrikanten zo netjes moeten doen.

Echer zou het het wel zo moeten zijn, dat er een mechanisme in moet zitten dat als je eenmaal ingelogd bent. Dat je meteen je eigen password erin moet zetten, zoals bij een Cisco router.
Beide aannames zijn fout, tevens verzoek ik je bij deze geen foutieve details te verspreiden. DMO was waar het voor staat: Defensie Materieel Organisatie. Nu bestaat DMO niet meer omdat deze terug is gefuseerd onder CZSK. Iedereen die ook maar enigzins verband heeft bij de Marine is al op de hoogte hier van. Tevens is de locatie van 'Warroom' geheim, en is jouw gok Den Haag niet juist. Het spreekt voor zich dat ik niet ga verkondigen waar deze dan wel is.

edit: typo

[Reactie gewijzigd door nst6ldr op 24 februari 2012 10:44]

Tja, als je ziet hoelang een naamswijziging bij de gemiddelde ICT organisatie duurt, dan is het helemaal geen verassing dat de DMO-account in dit systeem nog steeds DMO heet, ook in 2012.

"War room" is een term die voor wel meer locaties wordt gebruikt; de war room bestaat niet.
In deze context (zie tabel) is het niet de ruimte waarover gespeculeerd wordt. Ik tracht deze misverstanden de wereld uit te helpen voordat de sensatiemedia toeslaat.
Dit niet echt een hack maar meer een stommiteit :)
Inderdaad ja. Door te zeggen dat het een hack is doen ze een beetje voor alsof ze er niets aan konden doen en het hun schuld niet was
Door te zeggen dat het een hack is doen ze een beetje voor alsof ze er niets aan konden doen en het hun schuld niet was
Leuk dat je het zo zegt, maar als de hackers een sql-injectie uitvoeren facepalm ik als programmeur zijnde net zo hard als bij dit bericht, terwijl sommige mensen hier dan claimen dat het niet de schuld is van <insert slachtoffer> en dat hackers maar moeten stoppen met hun gehack.
En het zijn ook niet alleen kwaadwillenden maar ook whitehats die zich toegang konden verschaffen. Manier van berichtgeving kan een complete groep doen overkomen als kwaden.
Er zijn geen vergaderingen afgeluisterd.
Ze zijn weer goed bezig bij DMO, zou de Nederlandse inlichtendienst hier geen onderzoek naar moeten doen? Misschien hebben andere hackersgroepen hier al eens eerder ingebroken.
En die hebben de benodigde expertise hiertoe wil je zeggen?

*zucht* Zal wel weer een gevalletje "meer ICT managers dan ICTers" zijn geweest.
Lekker bezig bij Ivent. Wat een rukkers, of heeft DMO dit weer aangeschaft zonder tussenkomst van Ivent....

Daar hebben zebij DMO namelijk ook een handje van. tijdens een migratie een volledig netwerk tegengekomen wat niet eens in kaart was gebracht met eigen Exchange en Domain controllers muahahahaha.Draaide gewoon parallel aan het interne netwerk. Zat weliswaar geen internet op maar okay. Het was er wel.

Ze hadden zelfs een eigen systeembeheer afdeling opgezet van onze belastingcenten.

[Reactie gewijzigd door tijgetje57 op 24 februari 2012 08:02]

Waarschijnlijk hadden een paar slimme mannetjes gedacht!
de vijand verwacht nooit dat het t standaard wachtwoord is!
Haaaaa nu hebben we ze


8)7 |:(

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True