Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Hackers krijgen toegang tot router van Nederlandse brandweerwagen

Door , 65 reacties

Enkele hackers op kamp SHA2017, dat plaatsvindt in Zeewolde, hebben toegang verkregen tot de router van een daar aanwezige brandweerwagen. De wagen was op het terrein aanwezig zodat de beveiliging kon worden getest.

Het kostte de hackers ongeveer anderhalf uur om de router van een onbekend merk binnen te dringen, schrijft de NOS. Het voertuig was een communicatiewagen die wordt ingezet in gebieden waar weinig mobiele dekking is, zoals de Veluwe. De wagen zelf heeft een satellietverbinding en kan gebruikt worden voor de onderlinge communicatie van andere voertuigen via een wifigastnetwerk. De hackers, Dave Wurtz en de Duitse Martin, konden via het gastnetwerk het interne netwerk bereiken.

Ze claimen dat ze op die manier een backdoor zouden kunnen aanbrengen om communicatie door te sturen of juist te blokkeren. Bovendien zou de communicatie via het gastnetwerk eenvoudig te onderscheppen zijn, omdat dat netwerk niet beveiligd is. Ze wisten toegang te krijgen doordat de router en de daarop aanwezige software verouderd zijn. Er was geen toegang mogelijk tot blussystemen of de motor.

Beveiligingsonderzoeker Sijmen Ruwhof zegt tegen de NOS dat de actie van de brandweer stoer is, maar dat het ook risico's met zich meebrengt om een voertuig op deze manier op een hackersconferentie te zetten. Hij rekent het de brandweer aan dat de nodige beveiligingsupdates niet waren geïnstalleerd, maar dat er wel voor was gekozen om de wagen te laten onderzoeken. Ook zou niet zomaar uit kunnen worden gegaan van goede bedoelingen.

De brandweer zegt aan de slag te gaan met de bevindingen. Omdat elke van de in totaal 25 veiligheidsregio's zelf verantwoordelijk is voor zijn beveiliging, is het moeilijk te zeggen of andere brandweerwagens beter zijn beveiligd, schrijft de NOS. SHA-organisator Brenno de Winter zegt dat de politie en ambulancediensten niet aan de test wilden meewerken.

Reacties (65)

Wijzig sortering
Beveiligingsonderzoeker Sijmen Ruwhof zegt tegen de NOS dat de actie van de brandweer stoer is, maar dat het ook risico's met zich meebrengt om een voertuig op deze manier op een hackersconferentie te zetten. Hij rekent het de brandweer aan dat de nodige beveiligingsupdates niet waren ge´nstalleerd, maar dat er wel voor was gekozen om de wagen te laten onderzoeken. Ook zou niet zomaar uit kunnen worden gegaan van goede bedoelingen.
Als er kwetsbaarheden inzitten die wel door een hacker gevonden worden op SHA2017 maar die niet worden gerapporteerd, dan zitten die kwetsbaarheden er nog steeds in. Security through obscurity moet voorkomen worden, en de brandweer Noord- en Oost-Gelderland heeft dit goed aangepakt.

Elke brandweerregio regelt zijn eigen IT. Het is dus goed dat de brandweer van de genoemde regio hun auto's langsbrengen bij het hackevent, omdat het onwaarschijnlijk is dat ze budget hebben voor penetration testing audits. Breng het naar een event, en men zoekt gratis de kwetsbaarheden voor je uit en vragen er niets voor terug, behalve het 'recht' om een beetje op te scheppen en (terecht) met de eer te strijken. Dat heeft de brandweer hun ook gegeven, omdat ze de betreffende hacker hebben bedankt (ook vanochtend op de radio).

Een win-win voor iedereen, behalve voor degenen die niets van informatiebeveiliging begrijpen. Die laatste groep moet je gewoon negeren, want die zie je toch niet op SHA2017. :P

[Reactie gewijzigd door The Zep Man op 8 augustus 2017 10:33]

Grootste probleem wat ik er mee heb is dat ze er letterlijk geen moeite in hebben gestoken. Meeste punten die ze vonden en het gemak waarmee ze erin kwamen zijn grotendeels te wijten aan slechte configuratie en outdated software. Je zou daar toch op zijn minst naar kijken voordat je hem laat testen om zo'n event. Kennis / budget of niet, dat is toch absoluut het minimale wat je al kunt doen.

Als hij netjes uptodate en alles is, wie weet vinden ze dan wel veel serieuzere dingen omdat ze meer moeite moeten doen om in te breken. Dan heb je er wellicht wat aan. Dit zijn zaken waar je geen hackers voor nodig hebt om het je te vertellen.

Wat dat betreft gaan ze naar mijn mening toch wel op hun bek met deze actie.
Kennis / budget of niet, dat is toch absoluut het minimale wat je al kunt doen.
Wat 'of niet'? Want dat is exact wat er nodig is om dit te controleren. Veel korpsen hebben geen riante budgetten voor dit soort zaken.
Wat gaan ze nu dan doen dan? IT-ers erop zetten om het te fixxen toch? Daar is dan blijkbaar wel budget voor. Als daarmee begonnen waren, hadden die IT-ers zo ook wel kunnen zien dat deze 'beginners-fouten' zoals outdated software en configfouten er nog in zitten. Laat ze er bij wijze van spreke een middagje aan knutselen en stuur hem dan naar zo'n event. Dan krijg je feedback die in ieder geval verder gaat dan wat de gebruikershandleiding je ook had kunnen vertellen.
Maar in dit geval staat hij op het event zoals hij ook ingezet zal worden in een echte situatie.
Dat is toch hartstikke zorgzaam dan? Ik kan er echt niet bij ...
Dat ben ik helemaal met je eens, maar het heeft geen zin om een apparaat speciaal te updaten voor een event als dit. Dan moet je die updates voor iedere uitruk doen, en dus dagelijks.
Ik bedoel meer, dan weet je wat er moet gebeuren. Dat al die apparaten geŘpdate en configureerd worden mag duidelijk zijn. Daar heb je toch geen hacker event nodig?

Update hem, kijk of dat voldoende is. Stuur hem naar zo'n hackevent, krijg te horen dat er nog een groter lek in zit, los het op. 1 wagen helemaal waterdicht? Mooi, uitrollen over de rest. Lijkt me toch vrij logisch, zeker met een beperkt budget.

Wat is deze informatie nu waard? Een hoop publiciteit en een "no shit sherlock" antwoord.
Wie zegt dat de fabrikant van de router uberhaupt die update beschikbaar heeft gesteld? Als de brandweer nu bij de fabrikant kan aantonen dat hun software lek is Dan lossen ze het wellicht op.
Dit. Die updates zouden nooit gebeuren als er niet was aangetoond dat het nodig was. Niet alleen intern maar ook extern is er vaak druk nodig.
Grootste probleem wat ik er mee heb is dat ze er letterlijk geen moeite in hebben gestoken. Meeste punten die ze vonden en het gemak waarmee ze erin kwamen zijn grotendeels te wijten aan slechte configuratie en outdated software. Je zou daar toch op zijn minst naar kijken voordat je hem laat testen om zo'n event.
Het komt gewoon niet bij mensen op. De meeste mensen lijken alle berichten over computerveiligheid weg te compartimentaliseren en volledige te negeren. computers -> niet mijn ding -> lalalalalalala -> mij gebeurt toch niks
Kijk eens hoe goed mensen omgaan met informatie over alcohol, roken, geld, brandveiligheid, etc. Overal worden alle goede adviezen compleet genegeerd als je een beetje moeite moet doen.
Daarom hebben we regels en controleurs om dingen die echt belangrijk zijn af te dwingen. IT valt daar alleen nog niet onder. De meeste mensen willen niet eens beseffen hoe ver IT ons leven in is gedrongen. Mensen zien een auto, geen rijdende computer netwerk.

Ergens is het natuurlijk een realistische test op deze manier, zo rijden die wagens echt rond.
Als de boodschap was "kijk eens hoe slecht het geregeld is bij de brandweer" dan is dat in ieder geval gelukt ...
[...]
Elke brandweerregio regelt zijn eigen IT. Het is dus goed dat de brandweer van de genoemde regio hun auto's langsbrengen bij het hackevent, omdat het onwaarschijnlijk is dat ze budget hebben voor penetration testing audits. Breng het naar een event, en men zoekt gratis de kwetsbaarheden voor je uit en vragen er niets voor terug, behalve het 'recht' om een beetje op te scheppen en (terecht) met de eer te strijken. Dat heeft de brandweer hun ook gegeven, omdat ze de betreffende hacker hebben bedankt (ook vanochtend op de radio).
Als ze geen geld hebben voor audits, moeten ze dat aankaarten in Den Haag en extra geld krijgen.
Er is geen enkele garantie dat ze op dat hack-event alle problemen vinden, laat staan rapporteren.

Stel dat ik kwaadaardige bedoelingen heb. Dan ga ik als Black-hat gewoon enkele 'free-pentest-events' langs en installeer overal een backdoor. Vervolgens blijven de korpsen met het valse gevoel zitten dat ze veilig zijn.
Een win-win voor iedereen, behalve voor degenen die niets van informatiebeveiliging begrijpen. Die laatste groep moet je gewoon negeren, want die zie je toch niet op SHA2017. :P
Dit is leuke PR, maar als je denkt dat af en toe op een hacker conference langs gaan een valide informatiebeveiliging strategie is, heb je nog een hoop te leren.
Als ze geen geld hebben voor audits, moeten ze dat aankaarten in Den Haag en extra geld krijgen.
Zelfs met audits kan het langs brengen van auto's bij een hackevent nut hebben. Elke gevonden kwetsbaarheid is er ÚÚn.
Er is geen enkele garantie dat ze op dat hack-event alle problemen vinden, laat staan rapporteren.
Nergens wordt dat geclaimd.
Stel dat ik kwaadaardige bedoelingen heb. Dan ga ik als Black-hat gewoon enkele 'free-pentest-events' langs en installeer overal een backdoor.
Doe dat vooral. Daar komen ze op de hackconferenties dan ook wel achter. Daar zitten echt geen domme mensen.
maar als je denkt dat af en toe op een hacker conference langs gaan een valide informatiebeveiliging strategie is, heb je nog een hoop te leren.
Laat je stroman even thuis. Nergens claim ik dat. Nergens claimen de hackers op SHA2017 dat. Nergens claimt de brandweer dat.

'Enkel' is niet voldoende. Ongetwijfeld is er veel mis met de informatiebeveiliging bij de brandweer en bij andere hulpdiensten. Dit kweekt bewustzijn (ook over dat er juist weinig/geen budget is) en er worden beveiligingsproblemen opgelost. Het is beter dan alles maar stilletjes houden en enkel een gevoel van veiligheid hebben.

[Reactie gewijzigd door The Zep Man op 8 augustus 2017 11:06]

Als ze geen geld hebben voor audits, moeten ze dat aankaarten in Den Haag en extra geld krijgen.
Er is geen enkele garantie dat ze op dat hack-event alle problemen vinden, laat staan rapporteren.
Er is ook geen enkele garantie dat een audit alle problemen vindt. Er is wel een garantie dat zo'n audit klauwen met geld kost.
ik vind het een goede actie van brandweer en van het evenement. maar je mag dit niet zien als 'poormans security audit'

het probleem is dat er aan deze 'audit' geen rechten verleend kunnen worden.
misschien is na het oplossen van het gevonden probleem de wagen nog steeds zo lek als een mandje.
Security through obscurity
het probleem is dat er aan deze 'audit' geen rechten verleend kunnen worden.
misschien is na het oplossen van het gevonden probleem de wagen nog steeds zo lek als een mandje.
Dat is alleen een probleem als men de aanname doet dat de wagen nu veilig is. Dat doet de brandweer niet (zo ook in het nieuws, vanochtend).

Het feit is dat er een aantal kwetsbaarheden zijn gevonden die nu opgelost kunnen worden. Daar is niets mis mee. Voordat de brandweer hieraan begon had men niets. Nu zijn er een aantal zaken opgelost, en wordt er een stukje bewustzijn gecreŰerd. Al met al niets dan lof.

Laat de zuurpruimen maar lekker zuur zijn. ;)

[Reactie gewijzigd door The Zep Man op 8 augustus 2017 10:32]

Tja voor deze regio en wagen is het opgelost maar als ik dit lees:
Omdat elke van de in totaal 25 veiligheidsregio's zelf verantwoordelijk is voor zijn beveiliging, is het moeilijk te zeggen of andere brandweerwagens beter zijn beveiligd, schrijft de NOS
Vraag ik me toch weer af, hoe groot is Nederland en waarom hebben we 25 regio's die ieder verantwoordelijk zijn voor beveiliging. Waarom (als ze dat al niet doen) wordt er op dit gebied niet samengewerkt en zorgt men voor 1 organisatie of team binnen de 25 die hiervoor verantwoordelijk is.

Maar wacht misschien kopen ze allemaal ook weer apart in, bij verschillende bedrijven.
Het lijkt me dat deze manier van werken bij de brandweer eens beter onder de loep genomen kan worden.

De politie is ook samengevoegd waarom niet meteen ook de brandweer. Scheelt ook weer een boel geld.
De politie is ook samengevoegd
Dat is wat men graag wil en wat men naar buiten wil uitstralen. De werkelijkheid ligt anders, gekeken naar hoe het project 'Nationale Politie' buiten budget, buiten tijd en buiten effectiviteit loopt.
Vraag ik me toch weer af, hoe groot is Nederland en waarom hebben we 25 regio's die ieder verantwoordelijk zijn voor beveiliging.
Een goed punt, en iets dat juist op de kaart is gezet door dit nieuws van SHA2017. :)

[Reactie gewijzigd door The Zep Man op 8 augustus 2017 11:12]

Uiteindelijk goedkoop, maar eerst gaan zd dan vaak alle softwareomevingen harmoniseren of een omgeving bouwen die met alles kan communiceren en daardoor duur en complex is, dat zijn bij uitstek het type ICT projecten dat bij de overheid vaak gierend uit de klauwen loopt qua kosten en termijnen..

Je kunt je trouwens ook oprecht afvragen of het altijd wel een nadeel is. Nu zullen er wagen en ICTstukken van allerlei leveranciers voorkomen, per korps anders. Als er dan een major kwetsbaarheid in zit en het een periode op zijn gat licht door iets van een omvang als een grote ransomwareactie dan ben je heel blij dat slechts een deel geaffectueerd is, en de buurregio kan komen blussen.
begrijp me niet verkeerd, ik moedig het ook alleen maar aan.
ik vind het super goed initiatief, en zoals je zegt weer een stapje dichter bij.
maar ook niet verder als dat.

misschien kunnen ze het gebruiken om toch wat geld vrij te krijgen maar daar houd het ook op.
stel er zou nu iets gebeuren kun je niet zeggen. maar hij is bij de SHA2017 onder de loep genomen.

inderdaad qua beveiliging zijn ze een stapje verder
meer bewustwording is helemaal top!

Maar om nu te zeggen dat de wagen veilig is.
Nee want je weet niet wat er allemaal getest is.
waarschijnlijk zijn de heren gestopt na het vinden van de eerst bruikbare kwetsbaarheid.
Toch helpt t sowieso al want er is ook zoiets als hackersethiek.
Een groot deel van de hackers richt zijn pijlen vooral op arrogante bedrijven die mooi weer spelen over beveiliging en ondertussen gegevens en functies miserabel beschermen.


Organisaties die open luisteren naar risicos en die advies van hackers vragen krijgen veel meer sympathie, en worden minder aangevallen.

Nou zijn er ook nietsontziende niet ethische hackers natuurlijk, maar het merendeel is dat niet. Die zullen in zo 'n geval zelfs helpen tegen de slechten.

[Reactie gewijzigd door Schrudde op 8 augustus 2017 21:19]

Maar om nu te zeggen dat de wagen veilig is.
Dat zegt niemand.
Rechten? Dat klinkt eerder als "smoes die het management kan gebruiken om niet aansprakelijk gesteld te worden als het fout gaat en er is schade".
Als je er vanuit gaat dat iedereen de beste bedoelingen heeft daar, is dat best na´ef. Wie zegt dat hackers niet backdoors vinden en het gewoon niet rapporteren en nu waardevolle informatie (voor bepaalde doelgroepen) kunnen verkopen. Dit was natuurlijk een heel mooie manier om ongestoord en legaal een brandweer auto te lijf gaan als hacker, waar krijg je die mogelijk nog een keer...

edit: typo

[Reactie gewijzigd door terracide op 8 augustus 2017 15:08]

Beveiligingsonderzoeker Sijmen Ruwhof zegt tegen de NOS dat de actie van de brandweer stoer is, maar dat het ook risico's met zich meebrengt om een voertuig op deze manier op een hackersconferentie te zetten. Hij rekent het de brandweer aan dat de nodige beveiligingsupdates niet waren ge´nstalleerd, maar dat er wel voor was gekozen om de wagen te laten onderzoeken
Dus de volgende keer dat de brandweer een wagen wil laten onderzoeken moeten ze het slachtoffer eerst updaten, zodat deze niet meer hetzelfde is als de rest van de wagens? Lijkt mij de omgekeerde wereld, het lijkt mij juist de bedoeling dat die wagen daar in exact dezelfde toestand staat als hij ingezet wordt in het wild. De brandweer zou alle wagens natuurlijk uptodate moeten houden.

Daarnaast vind ik die opmerking over risico ook onzin. Al zitten er mensen tussen met kwaad in de zin, die lopen ook in het wild rond. Lijkt mij beter dat ze het hier proberen en je alle soft- en hardware een factory reset kan geven, omdat je weet dat je gehackt bent. Ik zou er wel voor kiezen om de satellietverbinding eruit te halen :+.
Beveiligingsonderzoeker Sijmen Ruwhof zegt tegen de NOS dat de actie van de brandweer stoer is, maar dat het ook risico's met zich meebrengt om een voertuig op deze manier op een hackersconferentie te zetten.
Het is een ontzettend goeie aktie van de brandweer, want ze tonen zowel aan dat a) ze informatiebeveiligingsbewust zijn. Ze begrijpen blijkbaar, op welk niveau dan ook, dat ook zij kwetsbaar zijn voor cyberaanvallen. b) ze creŰren op deze manier een breder bewustzijn.

Dat brandweerwagens (of specifieker brandweercommunicatie) kwetsbaar is, daar hadden waarschijnlijk niet veel mensen bij stilgestaan, maar iedereen snapt dat die belangrijk is. Geen of verstoorde communicatie kan levens kosten. Daarmee is het een goeie case om wat meer zichtbaarheid/tastbaarheid te geven aan cybersecurity.

Want de kans dat daadwerkelijk 'mad hackers' nu de lokale routers van brandweerwagens gaan overnemen is niet groot, of op zijn minst net zo klein als jouw thuisrouter met gastnetwerk. Maar beide zijn doorgaans *wel* kwetsbaar.

[Reactie gewijzigd door Keypunchie op 8 augustus 2017 10:17]

Dus de brandweer zag wel de waarde ervan om hun huidige zaken te testen. Terwijl de politie en ambulance liever het hebben van security through obscurity. Blijkt weeral eens dat niet de juiste mensen in beslissingsposities zitten
Ik vind het een 50/50 beslissing van de brandweer om de wagen op het terrein te zetten. Ja hij word getest maar je weet niet of iedereeen daar zit met goede bedoelingen.
Ik ga er vanuit dat die auto niet aangesloten zat op andere netwerken en dat het een verbinding simuleerde. Lijkt me een beetje dom om daar mensen te vragen om een echt systeem te hacken.

En dan als het festival voorbij is, gooi je die router weg (een factory-reset zal niet voldoende zijn als er een backdoor op gezet is) en zet je er een andere in.
De kans dat het bij de meeste bluswagens op dezelfde manier inelkaar zit is best groot (Nederland kennende). Dus ook dat ze allemaal hetzelfde probleem hebben, als je dus iets vind in die modem en het niet zegt bijv dan kan je dat ook bij andere brandweerwagens proberen.
In het artikel staat niet welke router ze gebruiken, wij gebruiken een vergelijkbaar model als dit ( en gasten Wi-Fi staat uit ):

pricewatch: DrayTek Vigor 2120 Gigabit VPN Firewall Router
Ik snap dat de budgetten niet heel riant zijn, maar waarom niet een meer professionele router / firewall combinatie?
Ik was niet betrokken bij de aanschaf en installatie, maar denk dat je het antwoord zelf al geeft. Budget en veel wordt de router niet gebruikt. Alleen bij een grote uitruk ( de router zit in de mobiele commando post ).
Ik weet niet hoe er toegang is gekregen(exploit, configuratiefout, ... ? .), maar het is natuurlijk maar de vraag of je met andere/duurdere(professionelere) hardware/software het probleem niet gehad zou hebben.
Voor b.v. oudere DrayTek firmware's zijn diverse exploits bekend, maar dat geld ook voor oudere versies van hard/software van de meeste/alle fabrikanten.
Wat ik bedoel te zeggen: het is niet de prijs van hardware/software die het beveiligingsniveau bepaald(en al helemaal niet bij hoeveel furtune 500 bedrijven de spullen al binnen staan), maar je moet het meer zoeken in het niveau van de ICT-ers en de tijd die ze mogen en kunnen besteden aan het onderhouden van de apparatuur.

Al met al vind ik het wel een goede actie van de Brandweer. Oplossen die problemen, ook op andere wagens, en regelmatig de boel aan de tand laten voelen.
Wij = een brandweerkorps ergens in nederland?
Yep! Ik werk op de ICT afdeling ervan.
De kans dat het bij de meeste bluswagens op dezelfde manier inelkaar zit is best groot (Nederland kennende). Dus ook dat ze allemaal hetzelfde probleem hebben, als je dus iets vind in die modem en het niet zegt bijv dan kan je dat ook bij andere brandweerwagens proberen.
Daarom is het ook van belang dat je weet waar de kwetsbaarheden zitten in je systeem zodat je deze kan verhelpen. Je kop in het stand zeken en hopen dat niemand die kwetsbaarheden gaat opzoeken maakt je niet veiliger. Er is bovendien al helemaal geen garantie dat andere mensen deze kwetsbaarheden al niet eerder gevonden en uitgebuit hebben.

Wat je nu kunt doen is in ieder geval je hele systeem op landelijk niveau weer ietsje veiliger maken, het heeft ze ook nog eens nauwelijks wat geld gekost aangezien het inhuren van een security auditing firm redelijk wat duiten kost normaal.
"Gooi je die router weg." Ik weet niet hoe dat ding ingebouwd zit, maar het is wellicht geen Trust routertje die ergens onder de voorstoel getapet zit?
het scheelt dan wel dat je geen onderzoeker hoeft te betalen.
Maar wat wil je met een brandweerauto doen? Lijkt me niet dat die brandweerauto op dat moment verbonden was met de centrale (iig dat hoop ik voor ze).
het betreft het communicatie voertuig, waarbij ik vermoed dat het een VC-3 was die ze daar even geparkeerd hadden (de simpelste variant voor communicatie binnen 1 peleton, en het peleton met de compangie waar deze onder valt) Dit betreft dus hoogstens "internet" en gesproken communicatie, slecht dat het gekraakt word, maar bij een groot incident (denk aan moerdijk chemiepak) kun je dus binnen 1.5 uur de communicatie compleet lam leggen gezien de VC-3 het uiteindelijke doorgeefluik naar de blusploegen etc. is.
De VC3 voertuigen zijn al jaren uitgefaseerd in de meeste regio's, met de komst van C2000 is dit een achterhaald concept. Dit communicatie voertuig zet wat wlan kanaaltjes op voor het COPI en heeft toegang tot het GMS systeem. Het is dus mogelijk om vanuit dit voertuig de functie van een meldkamer centralist over te nemen/ondersteunen, in theorie kan je dus ook alle gevoelige informatie onderscheppen.
Het gaat niet om dit ene geval maar in het geheel, waarschijnlijk zijn bijna alle modems in die brandweerwagens hetzelfde opgezet en als je nu iets vind kan je dat ook op de andere toepassen.
Precies, wellicht heeft iemand het blussysteem al gepatched...
Dat is wel een grote aanname die je hier doet. Dat de politie en ambulance hier niet aan meewerken wil niet zeggen dat ze niks doen aan beveiliging. Het zou best kunnen dat ze het laten controleren door een extern bedrijf.
Je kan natuurlijk gelijk kunnen hebben maar hier zomaar vanuit gaan vind ik ook wel beetje te makkelijk.

[Reactie gewijzigd door Toet3r op 8 augustus 2017 11:47]

Dat klopt, maar de aanname is gebaseerd op de beperkte fondsen die het politieapparaat krijgt (zie protesten/stakingen van politie bijvoorbeeld), dus de kans dat men het budget heeft voor een externe audit lijkt me klein. (IT) security wordt al snel geschrapt van het budget, als het uberhaubt al in het budget zit.

Aan de andere kant kunnen ze misschien niet meewerken, nationale politie = logger apparaat, waarschijnlijk dus een procedure te doorlopen om uberhaubt een audit te mogen uitvoeren.

Ik hoop wel dat deze brandweer regio hun bevindingen gaan/kunnen delen met hun collega's in andere regios.
Omdat elke van de in totaal 25 veiligheidsregio's zelf verantwoordelijk is voor zijn beveiliging

.....
Mjah inderdaad :|
Enige voordeel is wel dat hackers andere methoden moeten toepassen op de andere 24 regio wagens. Maar het geeft wel weer aan dat de samenwerking tussen departementen soms treurig of niet-bestaand is.
Je zou toch denken dat dat soort instanties landelijk is. Of dat in ieder geval bepaalde delen landelijk geco÷rdineerd worden.
Complimenten aan De Brandweer! Hetzelfde testen door een beveiligingsbedrijf kost tienduizenden Euro's en dat geld kan nu aan andere nuttige zaken besteed worden terwijl je toch weet hoe je er voor staat.
Dat idee had ik ook over het commentaar wat die beveiligingsonderzoeker tegen de NOS gaf.
Die heeft nu een kans 'verloren'

Een overheidsinstelling minder om te laten bloeden.
Respect voor de brandweer
Het kan nooit kwaad om in ieder zijn belang en veiligheid dit soort hacks te stimuleren? Zolang ze natuurlijk wel met de resultaten aan de slag gaan!
Natuurlijk zitten er risico's aan het aanbieden van een object op een hackersconferentie, zeker omdat het gaat om een object dat gebruik maakt van een live omgeving en niet in een testomgeving staat. Maar ik denk dat juist een hackersconferentie de uitgemeten plek is om het object voor testen beschikbaar te stellen. Uitgaande van het feit dat er in een korte tijd roem te behalen valt door hacks te melden, zit er zeker een ethische kant aan dit soort evenementen. Het risico dat er meer informatie achtergehouden wordt dan mogelijk gemeld wordt, is dan wel een extra zorg. Maar dat is aan de ICT van de eigenaar van het object om verder op te (laten) lossen en/of te (laten) onderzoeken.
Je kan zeggen dat ze het eerst maar eens beter hadden moeten updaten,
maar toch zie ik daar een voordeel in dat men dat zo gedaan heeft. :)

Na´eve meningen moeten worden herzien. Dit laat mensen eenvoudig zien dat dat niet updaten/onderhouden dus wel een probleem is voor de veiligheid. Dit snappen mensen wel. Het is ineens geen ver van mijn bed show, en het is ineens reŰel i.p.v. doemdenkerij. Er moet tijd en budget voor komen, en zo gaat dat.

[Reactie gewijzigd door Barryke op 8 augustus 2017 09:39]


Om te kunnen reageren moet je ingelogd zijn


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*