Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 79, views: 39.568 •

Het systeem dat medewerkers van het Ministerie van Defensie gebruiken voor videovergaderingen bleek beveiligd met een fabriekswachtwoord. Daardoor konden kwaadwillenden meeluisteren met vertrouwelijke gesprekken.

Ook konden kwaadwillenden toegang krijgen tot logfiles, met daarin gegevens van vergaderingen en ip-adressen van Defensie-onderdelen die gebruikmaken van het systeem van Cisco voor videovergaderingen, schrijft beveiligingsexpert Rickey Gevers. Het wachtwoord staat als standaardwachtwoord vermeld in de handleiding van het systeem. Cisco gebruikt veelal 'admin' als username, terwijl het wachtwoord vaak uit slechts enkele tekens bestaat.

Defensie erkent de hack en zegt dat er zeven systemen in gebruik zijn voor videovergaderingen. Intern blijkt al eens gewaarschuwd te zijn voor dergelijke systemen, maar 'een onderhoudsbedrijf heeft die systemen ooit aangeschaft'. Het eigen netwerk van Defensie zou nooit in gevaar zijn geweest.

Het videosysteem was benaderbaar via het publieke internet en zat gewoon achter een inlogpagina. Het is onduidelijk of het lek ooit daadwerkelijk is misbruikt, bijvoorbeeld door buitenlandse inlichtingendiensten om informatie te krijgen over de Nederlandse krijgsmacht.

 Screenshot videoconferencing-systeem Defensie (Cisco)

Reacties (79)

En het gaat maar door. Ik ben benieuwd wanneer men eens daadwerkelijk een stap zet richting ictsecurity
Misschien kunnen we de oorzaak nog verder terugvoeren : we hebben te maken met te veel wachtwoorden. ik schat dat ik ondertussen wel te maken heb met meer dan 50 gevallen waar ik wachtwoorden en usernames moet invoeren. OK windows wachtwoord op werk en thuis en wachtwoorden voor mijn mail en applicaties op mijn werk dat onthoud ik wel omdat ik bijna elke dag gebruik.... maar de rest...:(
Ik denk dat ik bij minstens een derde mijn wachtwoord en username niet meer weet en elke x opnieuw moet aanmelden.
Kijk als je 1x per jaar een videoconferentie houd dan heeft het ook geen prioriteit. Het is ook een uitruil van gemak en beveiliging want als je video conference wil houden en je weet je wachtwoord niet meer veel mensen gaan hard klagen als je opnieuw moet aanvragen en een uurtje later of meer (afhankelijk van beschikbaarheid en drukt van ict dept) weer kan beginnen.
Als je bij Defensie werkt heeft dat zeer zeker prioriteit en is is het geen excuus om paswoorden te vergeten. Dan zit je zeker niet in de juiste sector.
Als je mee kan luisteren met de video conferenties, dan heeft het absolute top prioriteit.
D'r zijn twee dingen die je kunt doen mbt je wachtwoordenprobleem:

1. Installeer een password manager zoals 1password, keepass of lastpass. Keepass kun je evt. dubbel beveiligen met een USB key.
2. Maak wachtwoorden volgens een formule - bijvoorbeeld abc123+tweakers.net. Uniek wachtwoord per website die je op basis van die formule kunt onthouden.
die is leuk.
Dus als ik weet dat jouw tweakers.net ww abc123tweakers.net is, dan zal je ww om op je mail in te loggen wel abc123gmail.com zijn (ik noem maar een webmailprovider)

En lastpass is erg handig, maar je ww worden wel extern bewaard. Dat lijkt me voor defensiedoeleinde ook niet helemaal handig.
Het is natuurlijk slechts een eenvoudig voorbeeld wat hij schetst. Maar als je bijvoorbeeld overal de eerste letter en de laatste letter van het domein pakt, daar de eerstvolgende letter van opzoekt in het alfabet en dat vervolgens plaats in je wachtwoord wat oogwaarschijnlijk alleen uit random letters bestaat, is het onwaarschijnlijk dat jij het wachtwoord kan raden.
Dat lijkt misschien een goed systeem, maar het is nog steeds een vorm van 'security through obscurity' en dat is nou niet bepaald de beste beveiliging.
wachtwoorden zijn altijd 'security through obscurity'
Het is het beste wat we hebben.

Zelfs als je een irisscan of vingerafdrukken wilt gaan gebruiken dan loop je hetzelfde risico. Die worden ergens opgeslagen, zo gauw die is opgeslagen kun je er een kopie van maken.

En dat is het kern van het probleem. Als het echt veilig moet dan laat je het ophalen, of face to face. Dan kun je het risico minimaliseren.
"Misschien kunnen we de oorzaak nog verder terugvoeren : we hebben te maken met te veel wachtwoorden."

Dat is geen goed excuus, sterker nog een heel slap excuus.
Ik heb ook wachtwoorden die ik niet weet maar die bewaar je in een encrypted applicatie.

Je mag toch van defensie aannemen ze hier wel heel zorgvuldig mee omgaan? anders kan je net zo goed iedereen achter de IT daar gooien.
Dat je bij defensie werkt wil niet zeggen dat je een ICT expert bent. Een systeem dat direct uit de fabriek al niet veilig is, is imho een slecht product.

Hier was het duidelijk nodig om eerst allerlei instellingen/wachtwoorden te moet aanpassen om het veilig te maken, en blijkbaar werd dit niet automatisch de gebruiker opgedrongen. Dus heeft Cisco gewoon een slecht systeem geleverd.
van de fabriek af zijn zo'n systemen ook niet voorbereid om in een beveiligde omgeving te plaatsen, dat is juist 1 van de hoofdpunten bij de installatie ter plaatse en de job van de ICT expert die dit is komen doen. Als ze dit soort taken al door leken laten uitvoeren, dan hoop ik dat jullie nooit in een cyberwar terechtkomen :+
Ik denk het wel, de mens is de mens en heeft maar een bepaalde span of control.

Vroeger had je een pincode en een pincode voor je mobiel, en dat was het wel zon beetje. Tegenwoordig moeten we tig wachtworden/usernames onthouden. En als je geluk hebt mag je deze ook nog iedere 4 weken veranderen. Ik zie het bij mijzelf. Op het werk gebruik ik werkelijk een 30 tal apps die allemaal een wachtwoord nodig hebben. Dus overal hetzelfde wachtwoord. Na een update was dit niet meer mogenlijk en moesten er minimaal 8 tekens in, kleine letter, grote letters, leestekens enz. Vorig jaar in het pand een nieuwe verwarmings installatie gekomen en zelfs hier heb ik een applicatie voor op mijn pc gekregen met een wachtwoord/username. Terwijl er vroeger een simpele thermostaat hing die voldeed, heb ik nu al een wachtwoord om de verwarming een graad hoger te zetten. Het moet niet gekker worden.

Ps, Mijn PC staat mijn kantoor waar niemand toegang tot heeft, zelfs voor de poetsploeg moet ik de deur openmaken. (uiteraard met een rfidtag)
Ik denk dat ook andere dingen een grotere rol dienen te spelen. Die registratie neurose in de samenleving. Je moet je tegenwoordig overal voor registreren.
De ICT veiligheid loopt sterk achter bij de ontwikkelingen in de ICT.

Maar daaronder ligt een culturele zaak. Onze cultuur verandert in hoog tempo. De manier waarop we als mens tegen dingen aankijken verandert door internet en vaak niet ten goede.
Dit niet echt een hack maar meer een stommiteit :)
Inderdaad ja. Door te zeggen dat het een hack is doen ze een beetje voor alsof ze er niets aan konden doen en het hun schuld niet was
Door te zeggen dat het een hack is doen ze een beetje voor alsof ze er niets aan konden doen en het hun schuld niet was
Leuk dat je het zo zegt, maar als de hackers een sql-injectie uitvoeren facepalm ik als programmeur zijnde net zo hard als bij dit bericht, terwijl sommige mensen hier dan claimen dat het niet de schuld is van <insert slachtoffer> en dat hackers maar moeten stoppen met hun gehack.
En het zijn ook niet alleen kwaadwillenden maar ook whitehats die zich toegang konden verschaffen. Manier van berichtgeving kan een complete groep doen overkomen als kwaden.
Dat is geen lek meer, maar een basic gebrek aan beveiliging. Bij defensie hoop je toch op net iets meer kennis van zaken. Verschuilen achter leveranciers is ook wat makkelijk voor defensie: je certificeert en controleert toch?
Dit lijkt meer een clubje dat buiten de regels en ICT personeel een eigen systeem heeft aangeschaft.
ADSL verbinding erop en toeteren maar...

Jammer alleen dat nu het ICT personeel van defensie de klappen moet opvangen..
Dan is de ICT audit functie van defensie dus te zwak om dit te signaleren en desnoods uit te laten zetten. Hoe defensie het ook uitlegd: het blijft een probleem van defensie en niet van een eventuele externe leverancier. Als je dingen uitbesteed heb je de plicht te controleren.
Ik vraag me af hoe je dit zou kunnen signaleren.

Een losse ADSL in zo'n grote organisatie, speld en hooiberg?
En wetende dat de audit slecht functioneerd kun je je afvragen hoe het daadwerkelijk gesteld is met de beveiliging. Men mag dan wel stellen dat de veiligheid nooit in het gedrang is geweest maar hoeveel andere systemen zijn er wel niet in de omloop die onder soort gelijke toestanden tot stand zijn gekomen? Ook kan men wel zeggen dat verdere veiligheid nooit in het gedrang is gekomen maar een dergelijke videosysteem is misschien wel eerder afgeluisterd. En ik vermoed dat hier toch wel meer via besproken is dan alleen het laatste gesprek. Behalve dat dit natuurlijk weer een zoveelste voorbeeld van onkunde is, nog erger is het wederom een zoveelste voorbeeld van ontkenning. Het lijkt haast dat het niets uitmaakt hoeveel fouten gebeuren. Ergens misschien wel grappig dat bij Nortel iedereen opeens verbeisterd reageert maar in hoeverre is dit geen andere situatie?
Met het wachtwoord 'admin' kan je local elke KPN router hacken, lol.

Heeft nou niemand door dat de grap van internet juist is dat als je er wat op aansluit, iedereen er toegang toe heeft.
off-topic: I.d.d. Lucas, dit wordt door weinigen erkend. En dan zijn er ook nog vogels die beweren dat het veilig is, veiliger dan een inbelnetwerk of VPN bijvoorbeeld.

Slordig van Tweakers om het telefoonnummer op de eerste afbeelding ongemaskeerd te tonen? En wat is die Testsite @ US, ook interessant. Trouwens nooit geweten dat ons leger zoveel contact houdt met hun Belgische collega's. Je leert nog eens wat zo, dankzij een anonymous.

[Reactie gewijzigd door moreasy op 24 februari 2012 08:59]

|:(


Nu hopen dat ICT-beveiliging eindelijk is echt prioriteit krijgt en zeker bij defensie.
1234 enter ofzoiets , als dit waar is zullen er wat kopjes onstslagen worden .
Of moeten we denken , dat was slim!? :+

[Reactie gewijzigd door dezekeer op 24 februari 2012 07:31]

Er zijn geen vergaderingen afgeluisterd.
Ze zijn weer goed bezig bij DMO, zou de Nederlandse inlichtendienst hier geen onderzoek naar moeten doen? Misschien hebben andere hackersgroepen hier al eens eerder ingebroken.
En die hebben de benodigde expertise hiertoe wil je zeggen?

*zucht* Zal wel weer een gevalletje "meer ICT managers dan ICTers" zijn geweest.
Intern blijkt al eens gewaarschuwd te zijn voor dergelijke systemen, maar 'een onderhoudsbedrijf heeft die systemen ooit aangeschaft'.
Snap deze zin niet, ze wilde het niet maar het werdt opgedrongen door een onderhoudsbedrijf? Want zo klinkt het nu, "Niet onze fout, we wilden dit systeem helemaal niet".

Wat een enorme blunder om bij zulke belangrijke overheids onderdelen zo laks om te gaan met de beveiliging, zelfs een wachtwoord instellen is al te moeilijk...
Uitgaande van de standaard bureaucratie, gecombineerd met het niets snappen van beveiliging kan je er vanuitgaan dat er intern wel eens is geroepen dat er wat aan moet gebeuren, en dat er net zolang papier heen en weer is geschoven totdat er uiteindelijk niets aan gedaan is.

Dat is natuurlijk heel gecharcheerd, maar uit persoonlijke ervaring in de ICT en overheid kan ik je ongeveer vertellen hoe zoiets gebeurt:
De ICT of de beveiligngsorganisatie is nooit betrokken geweest bij de implementatie van een systeem wat op een managementniveau is verzonnen en direct is uitgevoerd door een externe club. Er is dus nooit gekeken naar de beveiliging, en het systeem is nooit ge-audit.

Gevolg: Plots ligt er een systeem waar de techneuten niets vanaf weten, en waar ze met de handjes af moeten blijven.
Dan komt de opdracht om dit systeem aan het grote Internet te koppelen. Er wordt dan (hopelijk) wel geroepen "Is dat wel veilig dan" maar indien men een dienstopdracht geeft dan heb je maar te rennen. Liever zie je dan een risicoanalyse welke de gevaren duidelijk maakt, en laat deze maar ondertekenen door de opdrachtgever. Als hij akkoord gaa met de risico's dan is de ICT afdeling gedekt.

[Reactie gewijzigd door Equator op 24 februari 2012 07:54]

Dit is exact hoe het gaat, maar niet alleen bij overheid. Ik zit dit regelmatig ook bij bedrijven. Zowel klein als groot. Beveiliging en het uitgebreid testen van systemen is vaak geen issue en niet iets waar (veel) budget voor beschikbaar is.
Eens. Ik herken dit ook. Zeker in het bedrijfsleven.

Equator geeft imho het juiste advies: vraag om een risico-analyse. Stel desnoods zelf een concept op. Geef duidelijk aan: "Als we dit doen, dan gebeurt dit en dat en dat is ongewenst want..."

Leg discussie vast. Zeker in de wandelgangen. Geef korte weergaves van gesprekken in mails.
Dat geeft extra druk om de kwaliteit van de besluitvorming te verbeteren. Al dit werk zijn lifesavers als de risico's werkelijkheid worden.

Feit is dan dat er meteen gekeken wordt naar de ICT "want die gaan er over". In enkele gevallen kwam ik dan naar een escalatie-overleg, met een keurige powerpoint, en gaf aan hoe het proces (obv eerder genoemde mails en drafts) verlopen was, dat menig persoon aan de tafel en hogerop in zowel ICT als business geinformeerd was over de risico's; en dat desalniettemin persoon X het besluit genomen had. Het wordt erg stil aan tafel als je vervolgens een L-mapje neerlegt met de mails en documenten keurig op datum gerangschikt.
Heel effectief.

Je zult merken dat de bal ineens bij (de afdeling van) persoon X komt te liggen.

Het lost het probleem niet op. Maar het voorkomt dat je als pispaal wordt misbruikt.
Snap deze zin niet, ze wilde het niet maar het werdt opgedrongen door een onderhoudsbedrijf? Want zo klinkt het nu, "Niet onze fout, we wilden dit systeem helemaal niet".
Waarschijnlijk is onderhoudswerk outsourced en wat voor systemen die onderhousdwerknemers van dat andere bedrijf dan zelf gebruiken heeft defensie dan weinig zeggenschap over.

Maar als alleen die onderhoudsmensen er gebruik van maakten, dan is het waarschijnlijk ook geen geheim spul wat ze er op bespreken. En is het ook niet zo spannend.
Ook een mooi leermoment voor Cisco en andere bedrijven.
Het eerste wat een gebruiker moet doen bij aanzetten van elk willekeurig programma/hardware zou het veranderen van het admin account (en andere default wachtwoorden) zijn. Is dat nog niet gedaan, dan kun je ook geen andere configuratie opties aanpassen.

maarja, dan wordt het natuurlijk allemaal weer te ongebruiksvriendelijk
Het is meer dat het "wachtwoord-verander-moment" dan onverwachts komt. In een groot bedrijf moet je zo een login en wachtwoord op een centrale plek opslaan zodat je het over 5 jaar nog terug kan vinden. Als je het ding dan geïnstalleerd hebt en je staat daar zonder papiertje en toetst iets willekeurigs in of je verliest het papiertje dan ga je natuurlijk Cisco bellen en dat levert hen veel kosten op. Het is dan natuurlijk veel gemakkelijker als Cisco kan zeggen "oh probeert u het standaard wachtwoord eens" omdat de gebruiker nooit gevraagd is het te veranderen.
Ik heb zon vermoede dat je laatste zin sarcastisch is, maar het is wel zo. Als je gaat dwingen wachtwoorden te veranderen zullen ook niet de sterkste wachtwoorden gebruikt worden, er zijn simpelweg teveel dingen waarbij een wachtwoord nodig is.

Waarschijnlijk is een systeem met cardreaders al een stuk gebruikersvriendelijker en beter beveiligd.
heeft ook geen zin. Dat krijg de gebruiker dan voor zijn kiezen, die voert maar wat in.
En om het niet te vergeten wordt het wachtwoord vervolgens op een post-it gezet die ze erbij hangen...
maarja, dan wordt het natuurlijk allemaal weer te ongebruiksvriendelijk
Cisco kan echter dan wat leren van de manier waarop AT&T in samenwerking met 2Wire omgaat met de standaard wachtwoorden op hun VDSL2+ gateways voor de WiFi functie.

Die is namelijk standaard aangezet met WPA2 beveiliging en een 10-cijfer wachtwoord wat dan vermeld staat op sticker aan de zijkant.

Natuurlijk is dit nog steeds onveilig als de aanvaller zich eerst fysiek toegang kan onteigenen en het wachtwoord dan gemakkelijk kan lezen van de sticker (social-engineering aanvallen daargelaten, maar dat werkt dan vaak ook op zelf-gemaakte wachtwoorden), echter dat is dan een stuk beter van één wachtwoord voor alle modellen.

De last ligt dan echter bij Cisco, want die moet zijn fabrikage proces aanpassen, maar dat is in theorie volledig automatisch te doen. De sticker voor het serie nummer is namelijk ook uniek en moet worden aangebracht. Een installatie computer kan dus dat nummer uitlezen (of is er al bekend mee) en dat het apperaat in kwestie besturen om het wachtwoord/instellingen te veranderen. Dit kan dan vaak geintregreert worden in de test fase van het fabrikage-proces.

AT&T uitleg:
On the side of your gateway, locate the white sticker.
  • The network name is the word 2WIRE (in all capital letters), followed by the last three digits of the gateway serial number (SN).
  • The network key is a 10-digit number either located in brackets ([ ]) or labeled Wireless Network Key.
  • For Mac OS X users, you may need to enter the $ character at the beginning of the wireless network key
Plaatje met uitleg = http://www.att.com/support_media/images/13/wirenetkey_01.png
Ook een mooi leermoment voor Cisco en andere bedrijven.
Het eerste wat een gebruiker moet doen bij aanzetten van elk willekeurig programma/hardware zou het veranderen van het admin account (en andere default wachtwoorden) zijn. Is dat nog niet gedaan, dan kun je ook geen andere configuratie opties aanpassen.
Nieuwe IOS versies (voor Cisco routers) hebben de eigenschap dat de standaard account die je gebruikt bij de eerste keer inloggen, wordt gewist na de eerste keer inloggen. Dus je moet wel je eigen account aanmaken.

En hun UC-servers kennen geen default accounts; je moet zelf je admin-account en -password verzinnen bij installatie (en het heeft zo ongeveer de meest restrictieve beveiliging tegen trivial passwords die ik ooit ben tegengekomen).

Het apparaat waar het in dit artikel over gaat, is van Tandberg. Hoewel Tandberg eigendom is van Cisco, vind ik het wat ver gaan om te zeggen dat we het hier over Cisco-hardware hebben.

[Reactie gewijzigd door 19339 op 24 februari 2012 17:12]

Hadden ze er niet beter meteen een rode loper en een bordje met "welkom" erbij kunnen zetten? Wat faal zeg.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013