Ethische hacker verkreeg admin-toegang tot ict-infrastructuur gemeente Arnhem

Een ethische hacker wist in opdracht van de gemeentelijke rekenkamer via een inside-out-aanval admin-toegang te krijgen tot de digitale infrastructuur van de gemeente Arnhem. Zo kon hij privacygevoelige informatie van burgers en ambtenaren inzien.

De ethische hacker maakte van binnen het gemeentehuis verbinding met het netwerk om zich zo via kwetsbaarheden de rechten van een systeembeheerder eigen te maken. Hierdoor had hij 'in principe controle over de complete infrastructuur van de gemeente Arnhem'. Dit betekent dat hij ook persoonsgegevens en andere privacygevoelige informatie van burgers, ambtenaren en bestuurders kon benaderen.

De beveiligingsdeskundige handelde in opdracht van de gemeentelijke rekenkamer van Arnhem, dat een technisch diepteonderzoek naar de informatiebeveiliging van de gemeente hield, in navolging van een eerder onderzoek dat zich op de doeltreffendheid en doelmatigheid van de informatieveiligheid en het privacybeleid richtte.

Het college van burgemeester en wethouders geven aan geschrokken te zijn van de bevindingen. Het bleek dat de inside-out-kwetsbaarheid al bekend was, maar nog niet gedicht. De eigen reguliere informatiebeveiligingsaudits van de gemeente zouden zich primair op outside-in-aanvallen richten omdat deze het meest voorkomen, volgens de gemeente.

De rekenkamer benadrukt dat er meer kwetsbaarheden zijn gevonden en dat De Connectie, de organisatie die het gemeentelijke ict-netwerk beheert, 'de geconstateerde tekortkomingen niet met de grootst mogelijke daadkracht aanpakte'. De gemeente wijst erop dat De Connectie nog geen jaar geleden van start is gegaan en al bezig was de informatiebeveiliging te verbeteren.

De gemeente heeft maatregelen genomen om ongeoorloofde toegang tot het gemeentenetwerk te voorkomen en het verhogen van rechten tegen te gaan, mocht toch netwerktoegang verkregen zijn. De overige kwetsbaarheden moeten op korte termijn verholpen zijn.

Arnhem

IT-banen

Reacties (112)

Yalopa 17 mei 2018 21:47

Dat een ethical hacker binnen raakt en ergens admin kan worden is het geval in de meeste van de reports die ik confidentieel al gezien heb. Het is een beetje vreemd dat dit publiek gemaakt wordt, zeker met de melding dat nog niet alle kwetsbaarheden verholpen zijn.

SunnieNL

@Yalopa • 17 mei 2018 21:50

Ik denk eerlijk gezegd dat de eerste fout een procedure fout is. Hij zal waarschijnlijk achter iemand aan naar binnen gelopen zijn om daar zijn laptop in te kunnen pluggen.
Dan kun je IT van alles aanrekenen, maar het begint met dat je medewerkers geen vragen stellen als iemand achter hun aan de poort binnen loopt.

wolkewietje @SunnieNL • 17 mei 2018 22:08

Ik vind dat een beetje kort door de bocht.
Hoeveel mensen werken er in dat gemeentehuis?
Ik vermoed dat het over de honderd mensen zijn en dat zijn niet allemaal ambtenaren maar ook de poetsers, kantine personeel en andere mensen.
En dan komt het leuke, was het over een wifi verbinding dat hij binnen kwam of had hij een RJ45 aansluiting gevonden in een zeer grote bezem/voorraadkast? (wat eigenlijk een 1 persoonskantoortje had moeten zijn)
Ik kan dat in het originele verhaal nergens vinden.
Nu was het een ingehuurde persoon die het deed maar wat als een kwaadwillende ambtenaar het ook zou doen en dan is de ICT van die gemeente het wel degelijk aan te rekenen dat zij de interne boel niet op orde hebben.

Dennisdn @wolkewietje • 18 mei 2018 07:50

Hij is simpelweg achter een vrije computer gaan zitten.

Een wat uitgebreider stuk:
https://www.gelderlander....-als-een-mandje~aef45591/

[Reactie gewijzigd door Dennisdn op 23 juli 2024 12:47]

Cergorach @wolkewietje • 17 mei 2018 22:33

dan is de ICT van die gemeente het wel degelijk aan te rekenen dat zij de interne boel niet op orde hebben.

En dat vind ik dan weer veel te kort door de bocht, de interne veiligheid is niet direct de ICT afdeling aan te rekenen (door de rekenkamer). Ja, het is uitermate slordig dat er een intern gat is en dat had zeker gedicht moeten worden. Maar...

Ik heb al vaker een scenario beschreven waarbij iemand mee loopt om vervolgens intern te doen als een schoonmaker, ITer of een monteur die de boel komt opmeten/uitmeten. Vervolgens wireless hardware keyloggers plaatst tussen het toetsenbord aansluiting en de PC, een verborgen PCtje met wifi/GSM in het netwerk hangt en vervolgens weer naar buiten loopt. Je kan zelfs strategisch kleine wifi camera's plaatsen die verbinden met datzelfde verborgen PCtje. Je heb tegenwoordig devices die in een muur/vloer patch passen en nog steeds een netwerk poort leveren. Wellicht ben je dan geen admin, maar je kan nog steeds intern bij de persoonsgegevens via de logins van verschillende medewerkers. Natuurlijk kan je dat gedeeltelijk oplossen door MFA overal voor te gebruiken, maar tenzij je hardware tokens gebruikt, kan je prima smartphones clonen van diezelfde medewerkers...

Kabouterplop01 @Cergorach • 17 mei 2018 23:00

Te kort door de bocht? Dit zou helemaal niet mogelijk moeten zijn. Dat verborgen PCtje mag niet eens een link (L2 connectivity) krijgen. Waarom is dat niet de ICT afdeling aan te rekenen? ICT security is van, voor en door iedereen.
Dat is ook het doel van zo'n pentest... Dat dat management zoiets heeft van:

"shiiiit".
Anders blijft iedereen

JapyDooge @Kabouterplop01 • 18 mei 2018 02:20

Het is in de meeste gevallen primair het management aan te rekenen, in verband met het beschikbare budget.

In al mijn jaren in de IT heb ik overal gaten gezien en er is overal wel 'security through obscurity'. Dat is absoluut niet goed, maar het budget moet er zijn om met een betere oplossing te komen.

Management gelooft niet in gevaren, totdat er misbruik is.

wiseger @JapyDooge • 18 mei 2018 04:51

En als aanvulling daarop, in mijn carriere heb ik ook al diverse keren meegemaakt dat de regels niet gelden voor het top management. Zelfs bij gevoelige overheidsonderdelen wilde de top wel toegang hebben tot het netwerk vanuit huis, want dat was makkelijk als ze in het weekend nog eventjes aan (gevoelige) dossiers wilde werken. Maar uiteraard weinig tot geen geld beschikbaar stellen om dat fatsoenlijk te regelen.

Het spreekwoord als het kalf verdronken is, dempt men de put gaat echt op voor overheden ten opzichte van ICT infrastructuur beveiliging.

spoller @wiseger • 18 mei 2018 07:43

Zelfs bij gevoelige overheidsonderdelen wilde de top wel toegang hebben tot het netwerk vanuit huis, want dat was makkelijk als ze in het weekend nog eventjes aan (gevoelige) dossiers wilde werken.

Ook ik heb dit soort situaties aangetroffen. Bijvoorbeeld de bedrijfstop waarvoor de wachtwoord policy was uitgeschakeld, zodat ze nooit nieuwe wachtwoorden hoefden in te stellen. Mijn ervaring is wel consequent dat als je het gesprek dan met ze aangaat, dat blijkt dat je de eerste bent die dat doet. Ze realiseerden het zich helemaal niet. Policy aanzetten geen enkel probleem, graag zelfs zodat ze het goede voorbeeld kunnen geven.

Uitzonderingen zullen er zijn, maar ik vermoed dat ook in het voorbeeld wat je noemt de betreffende topmensen zich totaal niet gerealiseerd hebben welke risico's daarbij komen kijken. Waren die vastgelegd, en was ze gevraagd die op voorhand te accepteren, dan kan ik me moeilijk voorstellen dat ze alsnog hadden doorgedrukt.

Sleurhutje @spoller • 18 mei 2018 11:26

Wat je zegt. Mijn ervaring is dat hoe hoger in de management-laag des te vervelender allerlei beveiligingsmaatregelen gevonden worden. En dan moet het maar uit. Met alle gevolgen van dien.

spoller @JapyDooge • 18 mei 2018 07:25

Het is in de meeste gevallen primair het management aan te rekenen, in verband met het beschikbare budget.

Dat vind ik een Calimero statement. Je plaatst daarmee als ITer het probleem buiten je zelf. Als je als IT directeur een CEO of bedrijfsdirecteur op een goede manier duidelijk maakt wat de risico's zijn, en bovendien dat hij zelf de risico's moet accepteren als hij het budget niet beschikbaar maakt, dan heb je daar in mijn ervaring nooit een probleem mee.

JapyDooge @spoller • 18 mei 2018 17:55

Ik zeg uiteraard niet dat dit altijd het geval is - het is in mijn ervaring echter wel zo.

Ik heb vaak genoeg risicoanalyses geschreven die gewoon worden genegeerd want "het gaat al jaren goed zo".

FdG @JapyDooge • 18 mei 2018 10:13

Ja, en tegelijk ook nee.

Informatiebeveiliging is helemaal niet alleen maar een ICT ding, iets wat heel veel mensen (lees: managers) vaak wel denken. Als je de ISO27001 als richtlijn neemt en je had die adequaat geïmplementeerd was dit niet gebeurd, fysieke toegang staat daar immers ook in benoemd, alsmede een hoofdstuk veilig personeel.

Waar het in heel veel organisaties aan mist is een visie op informatiebeveiliging, een inventarisatie waar de risico's liggen, het bepalen van die risico's, die classificeren en dan een goed informatiebeveiligingsbeleid schrijven.

Als het iemand in de gemeente is aan te rekenen is het niet de IT afdeling maar eerder de CISO (als die er uberhaubt is). en dan nog; een CISO of ISO moet wel daadkracht en mandaat krijgen vanuit het bestuur, inclusief voorbeeld gedrag.

Eigenlijk weten we veel te weinig van dit specifieke geval om te kunnen oordelen, maar mensen wijzen graag snel met een vinger.

spoller @FdG • 18 mei 2018 12:53

Eigenlijk weten we veel te weinig van dit specifieke geval om te kunnen oordelen, maar mensen wijzen graag snel met een vinger.

Helemaal eens. En overigens ook met je statement over waar de verantwoordelijkheid voor informatiebeveiliging ligt.

Als toevoeging daarop: typisch 'begint' informatie beveiliging wel binnen de IT afdeling. Daarmee begint de (voorloper van) de rol van CISO typisch ook binnen de IT afdeling, en evolueert van daar uit. Uiteindelijk hoort zo'n rol direct aan de directie of het bestuur te rapporteren, maar het is vaak een lange weg voor je daar bent. Totdat het zover is, vind ik persoonlijk dat je als IT verantwoordelijke de organisatie daarin moet meenemen. En dus ook moet sturen op fysieke beveiliging en de nodige HR maatregelen (opleiding, beleid ten aanzien van beveiliging).

Dergelijk gedrag helpt ook enorm om de aansturing / ophanging van de IT functie zelf te veranderen. Want IT laten aansturen door de CFO is een overblijfsel van het feit dat de boekhouding als eerste werd geautomatiseerd. En dat is toch wel even geleden...

theduke1989 @JapyDooge • 18 mei 2018 14:10

nouw de mensen in het gemeente verdienen goed. Dus het is inkorten op salaris en beveiliging van de gebruikers of nog meer salarisverhogingen en de privacy van de gebruiker helemaal weghalen.

oef! @theduke1989 • 18 mei 2018 17:47

Je weet dat ambtenaren een behoorlijk lange loonstop gehad hebben en dat het over het algemeen slechter verdient dan het bedrijfsleven (waar het echt niet beter op orde is)?

Ryack @JapyDooge • 18 mei 2018 08:58

Sterker nog er wordt grof bezuinigd op ICT omdat het toch allemaal wel werkt. Patch windows? Niet nodig we willen de productie nog stil leggen dat kost te veel geld. Tot het mis gaat, dan is het schuld van de ICT afdeling.

Kabouterplop01 @JapyDooge • 18 mei 2018 11:33

Klopt, maar als er vanaf het ontwerpen rekening mee wordt gehouden dan is het een non-issue.
In de projecten moet men de security by design implementeren.

Anoniem: 479654 @JapyDooge • 18 mei 2018 12:04

Heeft natuurlijk niets met budget van doen maar gewoon met de beschikbare kennis en knowhow bij het ICT volk. Gemeentes huren vaak 'herintreders' in die een cursusje systeembeheer bij de LOI hebben gedaan. Je wilt niet weten wat die zogenaamde herintreders aan subsidie krijgen maar dat gaat meestal op aan de meest onzinnige dingen.

[Reactie gewijzigd door Anoniem: 479654 op 23 juli 2024 12:47]

King Dingeling @Cergorach • 17 mei 2018 23:04

Sorry hoor maar dan heb je de boel echt niet op orde.

Klanten of bezoekers die op WiFi zitten hebben alleen internet toegang en kunnen niet op het bedrijfsnetwerk komen. Je kan ze zelfs tijdelijke toegang geven voor Internet.

Alle netwerk poorten zijn beveiligd. Als je een netwerk kabel in je persoonlijke laptop plaatst ipv je eigen werkplek dan gaat de networkport al down en krijgen bepaalde afdelingen al een melding. Je kan dan je eigen bedrijfs werkplek al niet meer gebruiken als je de netwerkkabel weer terug stopt.

Alleen bepaalde USB muizen of toetsenborden kunnen gebruikt worden in het bedrijf omdat die bekend zijn in de whitelist. Alle andere USB dongels of dergelijke worden geblokt. (Behalve de Rubber Ducky of de Bash Bunny)

Een paar kleine voorbeelden die makkelijk te realiseren zijn.

Als een echte hacker echt wil binnenkomen. Komen ze niet binnen via de bekende vulnerability's. Daar komt echt wel meer bij kijken.

[Reactie gewijzigd door King Dingeling op 23 juli 2024 12:47]

Cergorach @King Dingeling • 18 mei 2018 00:18

Punt #1 is makkelijk uit te voeren met de meeste pro wifi accesspoints.
Punt #2 heb je meestal hardware voor nodig die dat kan en je het fatsoenlijk kan beheren. Ik kom dit heel weinig tegen in de praktijk.
Punt #3 Houd geen (goede) hardware keylogger tegen. Daar zijn wel oplossingen voor, maar die vereisen sloten op de PC en de muis/toetsenbord vergrendeld aan de PC/dockingstation.

Er zijn wel oplossingen voor (en tegenwoordig beter beschikbaar dan 10-20 jaar geleden, maar de meeste organisaties schrikken van de kosten die nodig zijn om dit tegen te gaan.

ZeroMinded

@Cergorach • 18 mei 2018 07:47

Punt 2 kun je zelfs met een Microsoft NPS server (doet gewoon NAC) fixen, de meeste switches die vlan ondersteuning hebben ondersteunen ook 802.1x

Punt 3 is te realiseren door alleen HID apparatuur toe te staan (GPO) natuurlijk kun je een fysieke keylogger ertussen stoppen, maar ik ga ervanuit dat gebruikers sowieso slecht met hun wachtwoord omgaan

Mocht je Macs managen zou ik een MDM tool adviseren Jamf is een hele goeie

King Dingeling @Cergorach • 18 mei 2018 09:04

Dus gaan kosten voor security. Zolang dit niet op je lijst staat waar je met persoongegevens werkt moet je als organisatie afvragen waar je mee bezig bent.
Zolang je als organisatie bezig bent met security of het op orde brengen daarvan dan ben je goed bezig. Het kost gewoon veel tijd (FTE) en ook geld.

Een hacker komt hoe dan ook binnen, alleen moet je het zo moeilijk mogelijk maken en zorg voor voldoende alerts.

[Reactie gewijzigd door King Dingeling op 23 juli 2024 12:47]

Cybertek @wolkewietje • 17 mei 2018 22:23

Der zijn genoeg/enige mogelijkheden te noemen om toegang te verkrijgen.

Maar, een gemeentehuis is een openbare rijks plaats/gebouw, dus hoeveel mensen denk je dat daar over de vloer kunnen komen? En dus niet iedereen kent elkaar het gehele jaar door gezien stagieres of bezoekers of wie dan ook. Van mij part heeft die zich voor gedaan als iemand van de Connectie! En een bekend verhaal, laatstaan de onbekende verhalen waarvan niet aan de bel wordt getrokken.

Ik geef je helemaal gelijk.

Nu is de vraag, aangezien de beste man burgers heeft ingezien, door wie wordt dit nationaal of internationaal misbruikt? Het wordt tijd dat regeringen inderdaad de boel op orde/up-to-date brengen, dit loopt de spuitgaten uit.

blinchik @SunnieNL • 17 mei 2018 23:56

Als dat zo zou zijn dan lijken me de netwerken daar helemaal niet gescheiden.

Als je bij ons op het bedrijf inlogt en je plugt je laptop in een netwerkpoort dan kom je automatisch in een guest VLAN door middel van 802.1x. De WIFI zit ook in een guest VLAN en die kan dus ook niet aan het productienetwerk van de gebruikers.
Dus nee, je kan IT dit zeker aanrekenen. Een ongeauthoriseerd device mag helemaal al niet op het productienetwerk.
En als je dan nog op het productienetwerk zit, dan mag je nog steeds niet op het management netwerk.

Blokker_1999

Netwerk en systeembeheer

@blinchik • 18 mei 2018 05:30

Je moet eens weten bij hoeveel bedrijven dat dat niet het geval was, of dat het slecht is opgezet. Bij 1 van mijn vorige werkgevers was het zo dat als je een onbekend apparaat op het netwerk instak dat de poort zich automatisch afsloot. Zeer goed systeem. Alleen de printers konden er niet mee overweg dus elke netwerkpoort waarop een printer werd aangesloten stond gewoon vierkant open. Als je dat als aanvaller weet dan heb je direct weer je toegangspunt. Gewoon zien binnen te geraken en je voordoen als IT technieker die een connectiviteitsprobleem met een printer komt analyseren.

Anoniem: 421923 @Blokker_1999 • 18 mei 2018 06:54

dat deden de testers die bij ons bedrijf kwamen dus ook: die liepen rechtstreeks naar de printers

Gewoon een shirtje van Canon ofzo aantrekken en je loopt zo binnen

ZeroMinded

@Blokker_1999 • 18 mei 2018 07:58

Apart printnetwerk is een simpele oplossing. De beste oplossing is natuurlijk printers/ hardware aanschaffen die voldoet aan de Security eisen voor je netwerk (wired 802.1x compatibel)

the_stickie @blinchik • 18 mei 2018 00:20

Eens, maar je moet ook niet de illusie hebben dat een vlan altijd gescheiden is en blijft
https://en.m.wikipedia.org/wiki/VLAN_hopping

Een goede config, goed management en bijhorend updatebeleid zijn cruciaal. En dan nog moet je rekening houden met mogelijke zero days. Dus dit moet mee in de risk assessment, er blijft immers een (klein) risico dat deze line of defense valt.

FavouriteSongs @SunnieNL • 17 mei 2018 22:13

Ik heb zelf als bijbaan achter de balie gewerkt in verschillende gemeentehuizen. Het gebeurt regelmatig dat er mensen binnen gelaten worden door medewerkers, ook als de medewerker niet weet wie deze persoon is. Als de persoon op de deur klopt en doet alsof hij er bij hoort - en vooral als hij een laptop open heeft waar hij van alles op doet -, dan heb ik gemerkt dat er niemand zal zijn die die persoon vraagt wat hij/zij komt doen.

Tjidde @FavouriteSongs • 17 mei 2018 23:34

Vind ik een beetje jammer ik ben bij bedrijven geweest waar men getraind werden om te vragen waar je je pas die moest je zichtbaar dragen. Zo niet moest je meteen de beveiliging bellen.

Bij een bedrijf meerdere keren gehad ik mijn pas in mijn zak had oid en dat ik door meerdere aangesproken werd.

Anoniem: 421923 @Tjidde • 18 mei 2018 06:52

op zich is het nuttig om gewoon wat barrieres op te werpen, zodat je de meeste hackers alweer afschrikt, want als het iets moeilijker wordt haakt de gemiddelde hacker wel af want die zijn lui.

Die pas? Leuk idee, maar het is dan wachten op de eerste de beste persoon die gewoon een random gelijkende pas zichtbaar gaat dragen, en niemand die het ziet. Men ziet een pas, maar kijkt nauwelijks verder.
En dan heb je dat stukje beveiliging ook alweer beslecht.

Daniel_Elessar @FavouriteSongs • 18 mei 2018 07:31

Een gemeentehuis is openbaar dus daar loopt inderdaad jan en alleman binnen. Je mag er gebruik maken van de wc’s etc. Hoe wil je dan gaan controleren wie er allemaal wat doet. Dit is deels aan IT te rekenen maar ook de beveiliging denk ik. Die zouden op hun camera’s beter overzicht moeten hebben en weten wanneer de “monteurs” langskomen.

Ik heb in een ziekenhuis een witte jas kunnen aantrekken en voor het OK gestaan en dus al 3 deuren door zonder pasje. Want “die ligt nog in de lockers en ik moet daar meevolgen”. Ze laten je overal door. Je moet je natuurlijk niet als chirurg uitgeven en in een klein ziekenhuis is het al ietsje lastiger maar ook daar zijn er zo veel studenten op de verschillende afdelingen dat je vrij simpel ergens komt. Daar had ik ook achter een pc kunnen kruipen en iets doen.

Wij mensen zijn de zwakste schakel. Daarna IT.

FavouriteSongs @Daniel_Elessar • 26 mei 2018 14:48

Ik heb het over het afgeschermde gebied in het gebouw, waar de werkzaamheden door ambtenaren worden verricht, zoals de aanvraag en uitgave van paspoorten e.d.

nullbyte @SunnieNL • 17 mei 2018 21:56

Dat is geen excuus. Daarvoor zijn er zaken als 802.1x

Opperpanter2 @nullbyte • 17 mei 2018 22:06

Verdediging bestaat uit lagen, dus beide lagen moeten goed werken.

nullbyte @Opperpanter2 • 17 mei 2018 22:16

De zwakste schakel in elk ict systeem is de mens. Geen idee welke halve gare daar een -1 voor gegeven heeft maar 802.1x voorkomt een aansluiting van vreemde hardware dmv mac filtering. En dat was nou net wat SunnieNL suggereeerde. Het lagen systeem houd in dat niet alle lagen moeten werken om een aanval tegen te houden, maar dat een bepaalde laag een bepaalde aanval tegen houd.

[Reactie gewijzigd door nullbyte op 23 juli 2024 12:47]

Daniel_Elessar @nullbyte • 18 mei 2018 07:36

Maar de printers kunnen daar niet altijd goed mee overweg dus is dat zeker je eerste gok. Daarheen, die netwerk poort gebruiken en er is een zee grote kans dat die poort gewoon blijft werken.

walteij @Daniel_Elessar • 18 mei 2018 09:26

En die poort zit dan in een apart VLAN, dat als het goed is dusdanig gefirewalled dat deze alleen van de printserver opdrachten accepteert en alleen naar een SMTP relay server (bij voorkeur via TLS) scans verstuurt.

[Reactie gewijzigd door walteij op 23 juli 2024 12:47]

Daniel_Elessar @walteij • 18 mei 2018 12:17

Dat zou inderdaad wenselijk zijn, helaas is dat niet altijd de werkelijkheid.

Opperpanter2 @nullbyte • 17 mei 2018 23:18

Eh, 802.1x is iets anders. Mijn punt is juist dat we naast een procedure omtrent toegang nog met lagen nodig zijn om voldoende bescherming te hebben. En deze moeten allemaal werken zodat als we een laag compromised wordt, de volgende laag alsnog bescherming biedt. Het is niet logisch om de procedure de schuld te geven en dan achterover te gaan leunen.

Zer0 @nullbyte • 18 mei 2018 09:19

De zwakste schakel in elk ict systeem is de mens.

Correct, en daarom kan het veel efficiënter zijn om daar aandacht aan te besteden als het gaat om beveiliging.

Het lagen systeem houd in dat niet alle lagen moeten werken om een aanval tegen te houden, maar dat een bepaalde laag een bepaalde aanval tegen houd.

De laag van fysieke beveiliging en goed toegangsbeheer kan meer typen aanvallen tegenhouden dan 802.1x en mac filtering.

Kabouterplop01 @nullbyte • 18 mei 2018 11:53

Ik denk dat het zelfs nog een laag lager moet. Die ongebruikte switch poort/ poorten hoort niet open te staan. Daarna (i.g.v. bijv. een printer) mac security.

Yordi- @nullbyte • 17 mei 2018 22:49

Zit niet zo te zwammen met je "halve gare". Dot1x is iets heel anders dan mac filtering, Dot1x werkt met user credentials die via de PC (supplicant) en switch door bijvoorbeeld een Radius server worden gecontroleerd. Mac filtering is een alternatief op dot1x en helemaal niet veilig. Een mac adres is simpel te spoofen en als je dat niet goed inricht heb je een schijnveilig netwerk.

xbeam @nullbyte • 17 mei 2018 23:39

Dat Mac adress is niet moeilijk te vinden. Wanneer je toegang hebt tot het gast WiFi/netwerk kun je Mac adressen scannen. En wanneer je dan bijv de Mac van een switch of accepoint spooft. Heb met jou beveiliging in 2 min toegang.

[Reactie gewijzigd door xbeam op 23 juli 2024 12:47]

Anoniem: 421923 @xbeam • 18 mei 2018 06:56

ik heb er weinig verstand van, maar waarom zou een MAC op een guest wifi toegang hebben tot het interne netwerk? Daarom goed dat je vervolgens de voorbeeld van een switch/AP noemt.

En dan heb je de MAC van een switch of AP gespoofed, maar wie zegt dat die toegang heeft tot de rest van het netwerk als gewone eindgebruiker? Heb je daar geen controles op? Conflicterend IP adres maar dan voor MAC's?
Of een detectie die ziet dat een MAC van een switch/AP zich voordoet als een endpoint en dat maar raar vindt?

[Reactie gewijzigd door Anoniem: 421923 op 23 juli 2024 12:47]

xbeam @Anoniem: 421923 • 18 mei 2018 08:43

Hij stelt namelijk dat je met 802.1x autorisatie kan instellen op basis van een Mac adres.

Met 802.1x kan je iemand die verbinding maakt met het netwerkt op bassis van login toegang geven/koppelen aan een bepaalde vlan/stukje van het netwerk. Dit doe je meestal aan de hand van de Windows login (gebruiker x hoort bij netwerk x)

Hij wil het Mac met adressen doen. Mac adressen reageren op broadcast verkeer. Dus wanneer verbinding hebt met een gast netwerk (hoeft vaak niet eens in te logen) kan je meestal zien welke Mac adressen er nog meer op het netwerk zitten. En als je een apparaat kiest dat onderdeel is van het netwerk dus volgens 802.1x toegang hebben en je Gebruikt deze dan als eigen Mac adress. Het netwerk ziet dan niet of je een eind punt bent wat je Mac adress zegt dat een switch bent. Dus ben je een switch. En switchs hebben vaak toegang tot alle vlans. Dus het hele netwerk.

Mac filtering kan ook op andere maniere maar word al lang niet meer gedaan omdat juist een heel zwakke beveilings laag is.

[Reactie gewijzigd door xbeam op 23 juli 2024 12:47]

nullbyte @xbeam • 21 mei 2018 13:53

Nee, want een ARP request is niet mogelijk met mab icm 802.1x

Farmie @nullbyte • 18 mei 2018 12:34

Dot1x staat volledig los van MAB (Mac Authentication Bypass) (of noem het mac filtering).
Dot1x maakt gebruik van het EAPoL protocol, en dat staat los van L2 traffiek (waarbij source/destination MAC based zijn). Dus nog voor de switch maar enige kennis heeft van een gekoppeld MAC adres worden er EAP pakketjes doorgestuurd tussen host en supplicant (bv. de switch).
Dot1x kan overigens gebruik maken van verschillende authenticatiemethoden: Meest eenvoudige is MD5, maar ook PEAP (tunneled EAP), EAP-FAST (Cisco proprietary), EAP-TLS (via certificaten).

aileron @Opperpanter2 • 17 mei 2018 23:01

Ik denk dat het Swiss cheese model hier van toepassing is.

De meeste degelijke security systemen zijn niet te penetreren door 1 laag te doorbreken.

resixh @SunnieNL • 18 mei 2018 08:08

kazz1980 @resixh • 18 mei 2018 10:10

Bij dergelijke opdrachten krijg je als ethical hacker over het algemeen juist geen toegang tot het pand... Juist omdat ook dát bij het vraagstuk hoort of er een kwetsbaarheid is... (wel hebben ze de vrijbrief dat wanneer ze wel gepakt zouden worden ze niet direct bij de politie afgeleverd worden

resixh @kazz1980 • 18 mei 2018 12:23

Dat ligt maar net aan wat ze willen kijken willen ze weten het netwerk in order is als iemand in het pand is of dat mensen van buiten zomaar zonder niks toegang kunnen krijgen.

Dus het ligt er maar net aan wat de opdracht gever precies wil

kazz1980 @resixh • 18 mei 2018 13:01

Klopt. Maar ik gok in dit geval (en ja, dat is volledig een aanname) dat ze niet heel erg bang zijn voor interne medewerkers die de boel gaan hacken en wél voor mensen van buitenaf die dat doen.

Anoniem: 455617 @SunnieNL • 18 mei 2018 06:10

Ik denk eerlijk gezegd dat de eerste fout een procedure fout is. Hij zal waarschijnlijk achter iemand aan naar binnen gelopen zijn om daar zijn laptop in te kunnen pluggen.

Dat is een aanname he. Het zou natuurlijk kunnen dat zoiets gebeurd. Dat is een probleem dat je IT niet kunt aanrekenen.

Aan de andere kant is een scenario waarbij een medewerker van de gemeente zo'n aanval uitvoert ook een mogelijkheid waartegen de systemen beschermnd dienen te worden. En dat is natuurlijk wel een verantwoordelijkheid die bij IT ligt.

Ook een scenario waarbij een buitenstaander zijn apparaat aan het interne gemeentenetwerk kan aansluiten (ongeacht of dit draadloos of met een kabeltje is) valt natuurlijk onder de verantwoordelijkheid van IT. Dat hoort gewoon niet te kunnen; alleen authorised devices mogen zo'n verbinding maken, en dat is prima te regelen met de juiste implementatie van (hardware) security certificates. Een eventueel guest wifi netwerk moet je dan wel volledig gescheiden houden van je interne netwerk, anders loop je daar weer risico's. Maar ook dat is in mijn ogen standaard/best practice.

kazz1980 @SunnieNL • 18 mei 2018 10:08

Dat klopt... Dat is bijna altijd de gemakkelijkste ingang die door ethical hackers gebruikt wordt... En met uitzondering van enkele zwaar beveiligde instellingen (zeg AIVD oid) kom je met een beetje lef en een goed verhaal bij bijna iedere organisatie het pand wel in en heb je de belangrijkste hordes al genomen... (meestal is het trouwens niet eens achter iemand aanlopen, maar gewoon bluffen dat je de nieuwe stagaire bent of soms zelfs gewoon solliciteren). Ik kom zelf bij veel organisaties, en denk dat ik bij een flink aandeel daarvan zonder noemenswaardige moeite noch risico's zo binnen zou wandelen en een werkplek kan claimen zonder dat iemand ooit een vraag zou stellen... En doe je even een wandelingetje door het pand vind je waarschijnlijk ook nog wel ergens een PC die nog onbeheerd ingelogd staat. Even snel wachtwoord wijzigen, andere PC buiten de looproute zoeken en voila.

kazz1980 @Yalopa • 18 mei 2018 10:11

Precies wat ik mij afvraag... Dit soort hacks op verzoek gebeuren continu en zijn een ideale manier om kwetsbaarheden te vinden... Het is vrij normaal dat er daarmee daadwerkelijk kwetsbaarheden gevonden worden en welke dan opgelost kunnen worden. Dus waarom komt dit in het nieuws? Heel schokkend is het eigenlijk niet, en uiteraard is het niet handig dat een dergelijke kwetsbaarheid nu op straat ligt nog voordat het lek goed gedicht is...

Jhonnijhoff @Yalopa • 19 mei 2018 02:12

Een non-ethical hacker is een cracker !

perry1 17 mei 2018 22:38

van de site van De Connectie:

" De Connectie is een bedrijfsvoeringsorganisatie van en voor de gemeenten Arnhem, Renkum en Rheden. "

Als de gemeente Arnhem last heeft van deze kwetsbaarheid, hoe staat het dan met de andere 2 gemeenten. Zijn die ook kwetsbaar voor deze hack? Of speelde dit probleem alleen bij de gemeente Arnhem?

Trommelrem @perry1 • 18 mei 2018 05:37

Waarom eigenlijk zelf het wiel uitvinden door een organisatie te maken, als je gewoon van de plank een goed functionerende IT partij kunt halen?

Pietervs @Trommelrem • 18 mei 2018 06:40

Goede vraag, maar waarschijnlijk ligt hier meer aan ten gronde.
De Connectie is een organisatie die de IT verzorgt voor 3 gemeentes. Grote kans dat deze drie gemeentes al enkele jaren geleden begonnen zijn met het "voorsorteren" op de komst van deze IT organisatie: weinig tot geen investeringen meer in eigen personeel en IT middelen, want dat wordt straks toch door die IT club gedaan. Met als gevolg achterstand in onderhoud van software en de staat van apparatuur.

Dus heel verrassend is de uitkomst van dit onderzoek niet: de Connectie mag nu die achterstanden weg gaan werken, maar ondertussen blijft de "winkel" (lees: gemeentes) natuurlijk wel gewoon open en wordt verwacht dat alles meteen werkt, veilig is en up to date...

perry1 @Trommelrem • 18 mei 2018 07:32

Waarom eigenlijk zelf het wiel uitvinden door een organisatie te maken, als je gewoon van de plank een goed functionerende IT partij kunt halen?

Omdat politici geen geld over hebben voor "dure" IT partijen. ICT is niet sexy gemoeg voor ze. En de burger interesseert het niet (zolang het goed werklt).

CEx @Trommelrem • 18 mei 2018 09:49

Simpel, omdat ze aanbestedingsplichtig zijn. Dat is een vrij grote gok, waar je vrij lang aan vast zit.

Onder eigen regie is daarbij minder risicovol. Zeker gezien het feit dat ze de topmensen van de goede bedrijven mogen inhuren.

karma4 @Trommelrem • 19 mei 2018 16:46

"De connectie" is de kapstok over organisatie waarbij naast de ICT ook zaken als DIV (drukkerij document verwerking) zitten. De voormalige gemeenteambtenaren van arnhem zitten nog op hun oude plek. ICT-ers van Rheden en Renkum moeten nu naar Arnhem pendelen.
De "ICT" capaciteit is ca 70 FTE de functioneel beheerders en TAB zijn ook mee over gegaan. Lees je ergens 600+ applicaties met enkel gemeente Arnhem 400 Servers. "De connectie" heeft zo'n 350 man.
Veel ICT werd/wordt al ingekocht.

kodak @perry1 • 17 mei 2018 23:56

Terechte vraag. De audit van de rekenkamer van Arnhem ging specifiek over de situatie bij de eigen gemeente. Maar er staat ook dat de werkwijze van De Connectie hier een oorzaak is. En de gevolgen van die werkwijze kan ook van toepassing zijn op het werk wat ze voor Renkum of Rheden uitvoeren.

Hennie-M

17 mei 2018 22:19

Mijn ervaring van ict bij gemeentes is dat er al jaren een vacaturestop is voor vaste krachten, er mondjesmaat externe mogen worden ingehuurd en dus tijdsgebrek is om dingen structureel te verbeteren ipv brandjes blussen. En dan hebben we het nog niet over it budgetten gehad. Roepen dat het zsm opgelost moet worden en dat er maar 802.1x moet komen is makkelijker gezegd dan gedaan.

En ik zal maar niet beginnen over allerlei projectjes die op allerlei afdelingen worden bedacht die ict wel ff kan doen.

D_Jeff 17 mei 2018 23:19

Even als oneliner (vanwege geheimhoudingszaken enz): Lijkt heel erg sterk op de cases van de Gemeente Rotterdam.

Nou is de Gemeente Arnhem als organisatie wel iets kleiner, maar zeker niet de kleinste. Verbetertrajecten als deze moeten door een aanbesteding heen.
(Daar waar een gemeente Rozendaal/Texel kan zeggen: onderhands gunnen, wat valt onder normbedrag)

kodak 17 mei 2018 22:07

De gemeente wijst erop dat De Connectie nog geen jaar geleden van start is gegaan en al bezig was de informatiebeveiliging te verbeteren.

Het eerste, de leeftijd van de organisatie, is irrelevant. Het tweede, dat ze al bezig waren om te verbeteren, is een goede stap maar ook geen excuus. Hoe dan ook te laat met het doorvoeren van gepaste informatiebeveiliging en een gebrek aan controle door de gemeente op wat de organisatie opleverde.

Eigenlijk stelt de eigen rekenkamer als auditor dat zowel de gemeente als opdrachtgever, als de organisatie van de gemeenten als opdrachtnemer, beiden niet aan hun plicht voldaan hebben om de noodzakelijke informatiebeveiliging te verzorgen of daarop toe te zien.

De organisatie De Connectie is overigens een organisatie die door de genoemde gemeenten zelf is opgericht. Het lijkt een onafhankelijke organisatie maar eigenlijk is het een verlengstuk van deze gemeenten.

[Reactie gewijzigd door kodak op 23 juli 2024 12:47]

wolkewietje @kodak • 17 mei 2018 22:14

De Connectie was pas 1 jaar bezig met het verbeteren van het netwerk maar bestaat al schijnbaar sinds 2009.
ik heb dat onder aan hun pagina kunnen lezen https://deconnectie.nl/

edit:

Ik wordt terecht op mijn fout gewezen.
Ik had met google op "De Connectie" gezocht en vond deze link die in mijn ogen beter leek te passen op een netwerk beherende organisatie.

[Reactie gewijzigd door wolkewietje op 22 juli 2024 23:39]

kodak @wolkewietje • 17 mei 2018 22:19

Dat lijkt me niet de organisatie waar het hier over gaat. Deze https://www.connectie.nl komt meer in de buurt. Bestaat ook pas sinds 2017.

Douweegbertje @kodak • 17 mei 2018 23:10

Nou, het heeft mij enkele minuten gekost maar ik zie al 2-3 security flaws op hun website zelf..

Cybertek @wolkewietje • 17 mei 2018 22:37

De connectie was al bezig met dichten van het probleem. Der was alleen achterstand opgelopen door onmacht. Dat staat ook in de rekenkamerbrief.

Maar wat mij stoort, is dat mijn veiligheid is aangetast, door waarschijnlijk onbekende blackhats, althans dit is mogelijk en dat politiek Den Haag, zich heel hard achter de oren moet gaan krabben wat er nu aan de hand is in Nederland. Dit is het zoveelste verhaal/geval al. What’s next? IBAN?

kodak @Cybertek • 17 mei 2018 23:39

Graag wijs ik je op een stukje recht dat we de grondwet noemen en de opbouw van de Nederlandse rechtsstaat. Het ligt niet zo simpel dat de rijksoverheid maar even kan of mag bepalen wat provincies en gemeenten moeten doen.

Provincies en gemeenten en hun kiezers moeten zich eerst achter de eigen oren gaan krabben als er in hun omgeving iets mis is. De fouten hadden niet mogen voorkomen, maar gelukkig laat de gemeente hier zien dat ze met hun eigen rekenkamer dat zelfbestuur toepassen om misstanden niet te laten bestaan. Het ergste aannemen omdat het een van de opties is lijkt mij geen goed excuus om als kiezer de reactie te geven dat een andere overheid verantwoordelijkheid moet dragen.

perry1 @wolkewietje • 17 mei 2018 22:27

Wel even goed lezen op die site. Een gemeente is geen MKB.
FYI: Gemeente Arnhem heeft zo'n 2000 mensen aan personeel.

Anoniem: 479654 @perry1 • 18 mei 2018 12:13

Wtf? Waarom zoveel? 1 op de 78 inwoners van de gemeente Arnhem werkt voor de gemeente?

karma4 @Anoniem: 479654 • 19 mei 2018 17:06

Cijfer van 2000 is gedateerd, dat was ooit lang geleden zo.
https://arnhem.begroting-...voering#totaal-fte-arnhem
Aantal FTE ambtelijke organisatie formatie 2016 - 2021: 1.402 1.090 945 938 934 933
Die duikeling is de verzelfstandiging IGUA dat is nu "de connectie". Je leest het goed onder de 1000 ambtenaren. Vaak zie ik een verhouding van 1:10.

Doel gemeentes: "van klassiek naar cloud: door continue te kijken naar de mogelijkheden zal een verschuiving gaan optreden van zelf doen naar meer regievorming op de ICT voorzieningen. Cloud toepassingen zullen dan ook een nog grotere vlucht gaan krijgen."

[Reactie gewijzigd door karma4 op 23 juli 2024 12:47]

Boom @wolkewietje • 17 mei 2018 22:28

De website die jij hier noemt betreft niet de organisatie waarin vanuit dit artikel wordt gerefereerd. Die partij is via https://www.connectie.nl te vinden. De aanname dat het netwerk sinds 2009 bestaat is daarmee dus niet juist. De Connectie is niets meer dan wat voorheen de ICT afdeling voor de Gemeente Arnhem is en waarbij Rheden en Renkum zijn aangesloten.

bommel 17 mei 2018 21:52

Ik kan de reactie van @Yalopa onderschrijven, helemaal niet vreemd.

Alhoewel misschien apart dat dit al openbaar gemaakt wordt (alhoewel er natuurlijk niets over het hoe gezegd wordt) vind ik de openheid en ook het feit dat men onderzoek laat plegen wel goed! Blijkt dus maar weer dat het nodig is.

Wat wel slecht is dat dit kennelijk via public WiFi gelukt is, er hoort natuurlijk nooit een koppeling tussen public WiFi en intern netwerk mogelijk te zijn!!

Opperpanter2 @bommel • 17 mei 2018 22:05

Waar staat dat het via public WiFi is gegaan? Het klinkt meer alsof hij al basis rechten had een deze kon escaleren.

bommel @Opperpanter2 • 17 mei 2018 22:30

"De hacker werkte vanuit openbaar toegankelijke, gemeentelijke gebouwen met wifi." bron

tERRiON @bommel • 18 mei 2018 03:20

Dat kan net zo goed een poortje in een publiek deel van een gebouw zijn. Ook daar staan printers, informatiezuilen, kassasystemen, presentatiemiddelen, enzovoort.

bommel @tERRiON • 18 mei 2018 08:35

Er stond specifiek WiFi bij dus niet ethernet kabel uit de printer getrokken maar het artikel van De Gelderlander dat @Dennisdn gelinked heeft spreekt over iets heel anders...

Dennisdn @bommel • 18 mei 2018 07:59

De Gelderlander is wat beter op de hoogte. Hij is simpelweg achter een vrije computer gaan zitten.
https://www.gelderlander....-als-een-mandje~aef45591/

Mathi159 17 mei 2018 22:16

Als ik dit zo lees ben ik heel benieuwd welke veiligheidsmaatregelen de kleine gemeenten nemen wbt het beveiligen van hun infrastructuur.

B0MBACI 17 mei 2018 23:02

Ergens denk ik dat ze geen NAC hebben en dat deze hacker gewoon zijn laptop aan het netwerk kon hangen. Hierna is het een kwestie van een tooltje draaien die kwetsbaarheden zoekt van alles wat hij op het netwerk kan bereiken.

johan501 18 mei 2018 02:14

Zeer slecht, al vind ik het persoonlijk. Tuurlijk mensen maken fouten, zelfs ook helaas fouten die voorkomen hadden kunnen worden. Het is vooral belangrijk dat het opgelost word. Niet in discussie van ja maar iemand dit of dat. Of wiens schuld het is, dan ben je over een jaar nog niet klaar. Soms moet eerst het probleem verholpen en daarna is er tijd om te kijken waar het fout ging.

Ook vind ik dat bedrijven, gemeenten, instanties, etc beter met de ICT security om moeten gaan. Door maar even wat extra geld uit te geven. Het schijnt alleen dat geld meestal een groot probleem is, wel veel willen verdienen maar niks uit willen geven. Wat dus negatieve gevolgen kan hebben in welke vorm dan ook.

Soms voelt het goed om een mening te geven, daar houd ik wel van

marcelk1607 18 mei 2018 07:58

zo gaat het altijd, intern zijn de problemen allang bekend en niet serieus genomen door management.

Op dit item kan niet meer gereageerd worden.

Ethische hacker verkreeg admin-toegang tot ict-infrastructuur gemeente Arnhem

Lees meer

IT-banen

Reacties (112)

Sorteer op:

Weergave: