Verlichting van Erasmusbrug kon worden aangepast via onbeveiligd online systeem

Het systeem om de verlichting van de Erasmusbrug in Rotterdam te veranderen was ruim een jaar via internet toegankelijk. RTL Nieuws kreeg een tip over het lek en wist de brugverlichting paars te maken. De brug zelf was verder niet te bedienen.

RTL Nieuws kwam het lek op het spoor na een tip van een lezer. Het gaat om het systeem waarmee de kleurverlichting van de iconische Erasmusbrug kon worden aangepast. Dat gebeurt bijvoorbeeld tijdens festiviteiten. RTL wist bij het online dashboard te komen en de kleuren konden worden aangepast. Dat was te bereiken via een ip-adres. Wie het adres bezocht kreeg een inlogpagina, maar bij het aanvullen van het ip-adres met een bepaalde poort kon de adminpagina worden geopend. Daar waren verschillende 'scenario's' te zien, waarmee de verlichting bijvoorbeeld in rood-wit-blauw kon worden ingesteld, of in regenboogkleuren.

Een anonieme lezer tipte RTL dat hij of zij het systeem had gevonden via iot-zoekmachine Shodan. Daar was het dashboard het eerste resultaat als de zoekterm 'Rotterdam' werd ingevoerd. De tipgever vond ook een dashboard waarmee de Hofpleinfontein kon worden aangepast. Volgens RTL stond de poort al zeker een jaar open.

RTL verifieerde het systeem door de kleuren van de brug aan te passen naar paars, en later naar verschillende regenboogkleuren. RTL publiceerde de bevindingen op dinsdag, nadat het de gemeente Rotterdam had ingelicht en had gewacht tot het lek gedicht was. Volgens de gemeente was het systeem halverwege 2019 aangepast. "Uiteraard is het niet de bedoeling dat de sierverlichting door derden kan worden aangepast", reageert de gemeente tegen het medium. Het systeem is tijdelijk buiten gebruik gesteld tot er een oplossing is.

Erasmusbrug Roterdam

Reacties (100)

TwaalfdeMan 10 november 2020 17:11

Misschien is dit een leuke feature. Laat mensen bijvoorbeeld inloggen d.m.v. hun DigiD op dat paneel. Laat ze een datum en tijdslot kiezen (5min, 15min, 30min), laat ze vervolgens 1 van de vooraf ingestelde kleur(en) kiezen. En vraag hiervoor een symbolisch bedrag op basis van de gekozen tijdslot.

Vervolgens kijk je hoeveel € dit heeft opgeleverd en dat doneer je aan een goede doel (in Rotterdam)

[Reactie gewijzigd door TwaalfdeMan op 29 juli 2024 17:22]

bobberg @TwaalfdeMan • 10 november 2020 23:45

Dat gaat dan een dure grap worden... Er moet een hoop technisch en administratief werk worden verricht om DigiD werkend te krijgen op bepaalde applicaties.
https://www.logius.nl/diensten/digid/aansluiten-op-digid

stefanass @bobberg • 11 november 2020 07:54

Gemeente Rotterdam heeft echt wel een DigiD aansluiting actief hoor

(En als je eenmaal de aansluiting hebt is het koppelen van applicaties niet zo moeilijk)

[Reactie gewijzigd door stefanass op 29 juli 2024 17:22]

Robbaman @stefanass • 11 november 2020 08:50

Ja, maar volgens die link die @bobberg plaatst moet je aan een aantal voorwaarden voldoen om DigiD te mogen gebruiken, waaronder:

"Zorg dat uw systemen voldoen aan een beveiligingsnorm."

Hahaha, niet gelukt dus

DeArmeStudent @TwaalfdeMan • 10 november 2020 17:43

In Dubai betalen sommige welgestelden 100000 dollar om het hoogste gebouw daar een bepaald kleurtje te geven...dus dit bussinessmodel kan best wat opleveren idd.

uNoTopia @TwaalfdeMan • 10 november 2020 19:06

Tof idee!

Terrarum @TwaalfdeMan • 11 november 2020 00:34

Waarom DigiD?

ro4sho @TwaalfdeMan • 11 november 2020 07:05

Geweldig idee!

Bitfreakie @TwaalfdeMan • 11 november 2020 09:09

En geef daarbij documentatie hoe ze zelf patronen e.d. kunnen maken, dan kunnen ze die uploaden waarna ze worden getoond

Jerie

@TwaalfdeMan • 12 november 2020 14:15

Geef een 3FM DJ enkel toegang tot de knoppen, en laat die op de radio dit geheel opzetten. Donatie aan lokaal doel in Rotterdam. Verder prima idee.

Gamebuster 10 november 2020 17:02

Wat, hacks misbruiken voordat je ze meldt mag gewoon?

Arnoud Engelfriet @Gamebuster • 10 november 2020 18:53

Je mag niet binnendringen in andermans computersysteem. Of dat systeem beveiligd is, doet niet ter zake. Enige vraag is of je wist dan wel moest weten dat je daar niet mocht zijn. Het lijkt me evident dat je als Shodan-surfende derde weet dat je niet de verlichting van de Erasmusbrug mag bedienen, dus dat noem je binnendringen. Dit is strafbaar als misdrijf (art. 138ab Strafrecht) ook als je niets kapot maakt en geen data downloadt of vernielt.

In dit specifieke geval betreft het een journalist die een opmerkelijke misstand aan de kaak stelt, en daarvoor het enige middel gebruikt om aan te tonen dat de misstand waar is. De maatschappelijke of persoonlijke schade is nihil en het slachtoffer is geïnformeerd en kreeg de kans de misstand op te heffen voordat dit nieuws werd. Dan en specifiek dan wordt de strafbaarheid opgeheven.

TL;DR een journalist mag dit, jij en ik niet

Verwijderd @Arnoud Engelfriet • 10 november 2020 22:07

Leuk maar journalist is geen beschermd beroep dus juridisch is dat niet houdbaar. Iedereen mag zich journalist noemen, en als het enige criterium is dat je bericht moet publiceren over je bevindingen dan is dat anno 2020 ook geen enkel probleem meer.

Daarnaast, wat is binnendringen als het een openstaande webpagina is? Ben ik nu ook Tweakers binnengedrongen om dit bericht te kunnen plaatsen? Daarnaast hoe weet je het of het niet de bedoeling is dat je een bepaalde website bekijkt als je die website nog niet eerder hebt gezien en dus het doel ervan helemaal niet weet?

Als je wilt dat burgers die toevallig ontdekken dat ze via een of andere server een brug kunnen openen dat melden dan wil je overigens juist dat die mensen wettelijk beschermd zijn tegen vervolging zolang niet aangetoond kan worden dat ze misbruik hebben gemaakt van hun ontdekking. Anders kijk ik wel uit om zoiets te melden, of ik doe het hooguit anoniem.

Arnoud Engelfriet @Verwijderd • 11 november 2020 11:32

Journalist is geen beschermde titel, maar journalist ben je pas als je journalistieke activiteiten ontplooit. Dus enkel zeggen "ik wilde erover publiceren" is niet genoeg. Je moet een track record hebben (zoals Daniël) of daadwerkelijk een journalistieke uiting hebben gedáán. Wilde je nu eindelijk eens journalist worden en was dit je eerste geplande publicatie maar werd je gepakt voordat het online stond, dan vrees ik dat je niet wordt geloofd.

Het is binnendringen als jij wist of moest weten dat je er niet mocht zijn. Ik zou zeggen dat het bewijs daarvan een heel eind rond is als jij zegt, ik zat op Shodan te kijken en zag daar de admin van de Erasmusbrug. Je wéét dat Shodan geen rechtmatig gepubliceerde interfaces bevat en je wéét dat jij niet welkom bent in de admin van de Erasmusbrug.

(Dit is dus tevens waarom je _niet_ aan de politie gaat uitleggen wat je deed of waarom je dacht dat dat mocht. Gewoon niet. Echt niet. Nee, ook niet vanwege die reden die jij nu in je hoofd hebt. Niet. "Ik wil graag eerst met een advocaat overleggen" is het énige dat je zegt. Serieus. Alsjeblieft.)

kodak

Datalek
Beveiliging en antivirus
Nederland

@Arnoud Engelfriet • 11 november 2020 12:56

(Dit is dus tevens waarom je _niet_ aan de politie gaat uitleggen wat je deed of waarom je dacht dat dat mocht. Gewoon niet. Echt niet. Nee, ook niet vanwege die reden die jij nu in je hoofd hebt. Niet. "Ik wil graag eerst met een advocaat overleggen" is het énige dat je zegt. Serieus. Alsjeblieft.)

Waarom maak je je meer druk om mensen die de wet niet (willen) kennen en aan andermans spullen zitten en daar gevolgen voor zichzelf aan kunnen zitten dan om de gevolgen van die acties voor anderen en waarom het verboden is? Nu is het nog de verlichting van een brug waarbij het maar de vraag is of hier wel vervolging uit komt omdat ze het netjes gemeld hebben. Maar de wet is er niet voor niets, omdat het nogal grote gevolgen voor anderen kan hebben. Dat doet er voor jou niet zo toe?

Arnoud Engelfriet @kodak • 11 november 2020 13:20

Ik zeg dit omdat ik weet dat er veel mensen meelezen die wel eens kijken wat er open staat op internet, of die zo handig zijn dat ze dit soort dingen ook kunnen, maar niet weten hoe dat zit met die wet.

Omdat ik het te vaak mis heb zien gaan in situaties die ik inschat als een onschuldige of onhandige actie van iemand die oprecht dacht gewoon eerlijk te handelen. Ik zie het zomaar gebeuren dat een 18-jarige IT-er net Shodan ontdekt, Rotterdam typt en dan als eerste hit die admin panel treft. Die doet dan iets meer dan eenmalig de boel paars maken, daar komt heibel van (hij toont de Ajax-kleuren, voor mijn part) en krijgt de politie op z'n dak. Dan zegt hij, "ja nee het is een open interface en ik ging gewoon kijken wat er kon want software moet vrij zijn" of iets dergelijks en dan heeft hij bekend, krijgt hij 2 maanden voorwaardelijk én een strafblad waardoor hij geen VOG-beroep in de IT meer kan uitoefenen. Oh ja en van school getrapt en je laptop en game-computer een jaar kwijt.

Wat ik zei: de cyberwetgeving is te breed ingestoken en wordt te hard ingezet. Had die 18-jarige een Ajax-sticker op de brug geplakt, dan mocht 'ie hem eraf krabben of zo maar had hij zeker weten geen strafblad gekregen.

Ik heb nog nooit een beroepscrimineel langs zien komen in mijn praktijk. Wel véél jongens (en één nonbinary maar geen meisjes) die iets à la bovenstaande doen en dan enorme problemen krijgen.

kodak

Datalek
Beveiliging en antivirus
Nederland

@Arnoud Engelfriet • 11 november 2020 13:57

Maar dat ze problemen krijgen is niet voor niets. Dat zijn wel problemen die ze over zichzelf uitroepen. Of leer je van jongs af aan tegenwoordig dat je best aan de spullen of computers en diensten van anderen mag zitten?

Je noemt helaas niet op wat je bedoeld met mis gaan, maar je lijkt te bedoelen dat je het hele proces en de gevolgen te zwaar zouden zijn voor wat jij onschuldig noemt. Ik lees eigenlijk niet zo veel situaties dat als er al vervolging kan zijn dat dan ook werkelijk gebeurt als het werkelijk zo onschuldig is. Niet voor niets doen in Nederland veel organisaties aan responsible disclosure en noemen daarbij grenzen aan wat ze wel en niet verwachten. Daar kijkt de politie en het om ook naar. Als je er echt last van krijgt lijkt het eerder omdat het eigenlijk niet zo onschuldig was. En daarbij voorbeelden geven lijkt me dan nog beter: dus laat maar zien wanneer 'onschuldige' acties werkelijk tot een strafblad kwamen. Dan geef je namelijk ook meteen iets mee om grenzen aan te geven, als je dan toch problemen wil voorkomen.

Arnoud Engelfriet @kodak • 11 november 2020 14:06

De problemen die ze krijgen, zijn disproportioneel voor het soort handeling dat ze begaan. En wat voor mij het zwaarste weegt, is dat men dan denkt het zelf op te kunnen lossen "omdat het maar iets onschuldigs is" en daardoor de probleem juist ernstiger maakt.

Als jij als stoerdoenende 20jarige tegen de politie zegt, "ja haha ik maakte de brug paars maar voor hetzelfde geld had ik 'm kunnen open- en dichtdoen tegen een olietanker" dan beken je poging tot terroristisch misdrijf via een telecomnetwerk. Je gaat me niet vertellen dat je dát een proportionele reactie vindt op die actie.

En nee, je leest hier zelden over. Een jonge hacker die gepakt is en een half jaar voorwaardelijk krijgt, dat is geen nieuws. Dat hij zijn computer een jaar kwijt is, van school gaat en nooit een vog krijgt dat is al helemaal geen nieuws. Ik kom het tegen omdat die jongens en nonbinaries mij vragen om hulp in die situatie. Daarom.

Jerie

@Arnoud Engelfriet • 12 november 2020 14:24

Don't Talk To The Police. Slaat op de VS, wellicht ook deels van toepassing op Nederland. In hoeverre, dat kan ik niet beoordelen. Probleem is dat wanneer je niet via een advocaat praat, je mogelijk iets zegt dat later tegen je gebruikt kan worden.

Het krijgen van een VOG is verder specifiek voor het doel. Dwz het feit dat je een strafblad hebt (dat ook weer verjaard, als ik het goed heb), betekent niet dat je per definitie het VOG niet krijgt.

Arnoud Engelfriet @Jerie • 13 november 2020 09:46

Dat is in theorie juist. Maar een veroordeling voor cybercrime blokkeert een VOG in heel veel gebieden waar je als afgestudeerde IT'er in zou willen werken. Daarom zie ik het toch als een reëel risico.

Arnoud Engelfriet @kodak • 11 november 2020 16:05

Sorry, ik had niet door dat je me vroeg om dossiers van klanten samen te vatten en hun details hier te posten. Dat doe ik niet. Fijne dag nog.

Jerie

@Arnoud Engelfriet • 12 november 2020 14:19

(hij toont de Ajax-kleuren, voor mijn part)

Haha, nou, daar zal geen Rotterdammer wakker van liggen. De kleuren van het Ajax logo en het Feyenoord logo zijn hetzelfde: wit/rood/zwart.

https://nl.wikipedia.org/wiki/AFC_Ajax
https://nl.wikipedia.org/wiki/Feyenoord

Sorry, kon het niet laten

Daarnaast hoor ik je niet over Hack_Right en dat vind ik jammer.

Hack_Right is een alternatief aanvullend straftraject voor jongeren die een cybercriminaliteitsdelict hebben gepleegd. Jongeren tussen de 12 en 23 jaar die veroordeeld zijn voor een cyberdelict kunnen het traject Hack_Right volgen.

Arnoud Engelfriet @Jerie • 13 november 2020 09:45

Wat wil je dat ik zeg over Hack_Right? Goed initiatief, lijkt me een zeer aangewezen traject voor het soort jongere waar ik het over had.

Martijn033 @Verwijderd • 11 november 2020 11:17

In allerlei wetsartikelen is journalist bij uitstek een beschermd beroep. Onder andere bij privacy issues (AVG) mag een journalist meer dan een gewone burger.

Verwijderd @Verwijderd • 11 november 2020 11:15

Leuk dat je heel autistisch op de definities gaat zitten maar wat denk je dat een rechter zal zeggen? "Ja edelachtbare ik ben journalist het is geen beschermd beroep en hier is mijn blog sinds gisteren online met 0 bezoekers". Tuurlijk.

Binnendringen als het een openstaande pagina is, ik weet niet waarom je Tweakers erbij haalt als een soort triomfantelijke "zie je wel" maar wat de rechter zal vragen is "toen je zag dat dit systeem de verlichting va de Erasmusbrug bediende heb je je browser netjes gesloten?" en jij zegt nee dan hang je ook.

Als jij daadwerkelijk begint rond te klikken dan ben je gewoon het bokje, klaar. "Ja MaAr iK WiSt van NiKs" is nogal ongeloofwaardig.

Verwijderd @Verwijderd • 11 november 2020 14:01

Je bent wel fantasierijk, dat moet ik je nageven.

Iedere burger heeft het recht om onderzoek te doen. Een naar de buitenwereld openstaande website laden in een browser is geen misdrijf. Vandaar mijn vergelijking tussen het openen van de website in het artikel en tweakers.net. Ik kan pas beoordelen of een openstaande website bedoeld is voor de buitenwereld nadat ik ook daadwerkelijk op het linkje naar die website heb geklikt. Daar vervolgens zaken aanpassen waarvan je moet kunnen inschatten dat dat niet de bedoeling is, kan je uiteraard aangerekend worden. Dat betwist ik ook niet noch spoor ik anderen aan om het toch te doen. Maar een juridisch verhaal zit wel wat ingewikkelder in elkaar dan hoe jij het voorspiegelt.

Verwijderd @Verwijderd • 11 november 2020 14:54

Maar een juridisch verhaal zit wel wat ingewikkelder in elkaar dan hoe jij het voorspiegelt.

Klopt. Maar een stukje gezond verstand beantwoordt al je opmerkingen, dat was meer mijn punt. Journalist of niet, als jij je hetzelfde gedraagt als RTL* dan is er weinig aan de hand.

* Ik betwijfel of je als niet-journalist even makkelijk wegkomt met de brug paars maken, maar dat komt denk ik meer omdat ik niet verwacht dat de gemeente Rotterdam stappen onderneemt tegen RTL, maar als een willekeurige burger de brug paars maakt, dat ze dan harder van de toren blazen.

amyor @Arnoud Engelfriet • 10 november 2020 19:44

En ik als Belg zijnde zou niet weten waar de Erasmus brug ligt.. Is dat niet wat studenten in het buitenland liggen te doen?

Shodan, tot daar aan toe. Maar wat is er mis mee het te bezoeken en random wat te klikken en een gekende stad in te vullen?

Naïef, misschien. Maar loop nu niet rond te neuten dat je de verantwoordelijkheid van iemand die 'lichtsturing' zoekt in grote stad in de buurt en vervolgens enkele knopjes indrukt gaat afschuiven op een of andere puber op het internet.

Moest het nu nog over de sturing van de brug zelf gaan..

[Reactie gewijzigd door amyor op 29 juli 2024 17:22]

Arnoud Engelfriet @amyor • 11 november 2020 11:36

Het feit dat persoon A nalatig is, maakt niet dat persoon B dus niet meer strafbaar is. Als ik mijn televisie in de tuin laat liggen, mag jij 'm nog steeds niet meenemen. Ja, de politie lacht me uit en de verzekering hangt meteen op maar het mag niet.

Ik benadruk dit omdat in de sfeer van "cybercrime" Justitie vaak overspannen reageert vergeleken met real-life situaties. Als je de controlekamer van deze verlichting was binnengelopen, dan had de portier op z'n kop gehad en was jij eruit gejaagd. Maar nu heb je een cyberhack gedaan. In theorie had je zelfs antiterrorismewetgeving kunnen triggeren met zo'n actie, ik overdrijf niet.

amyor @Arnoud Engelfriet • 11 november 2020 14:09

Daar heb je natuurlijk volledig gelijk in. Kern in dit verhaal is dat weer al eens heel duidelijk blijkt dat zo'n sturing over het internet - en bij uitbreiding heel het IoT-verhaal iets is wat je beter goed doet naar beveiliging toe.

En dat kost centen en expertise...

En is verrekt handig.

*knip*

[Reactie gewijzigd door amyor op 29 juli 2024 17:22]

DefaultError @Arnoud Engelfriet • 10 november 2020 19:31

Iedereen mag een melding maken van een beveiliging issue. Dit is niet exclusief voorbehouden aan journalisten. Maar RTL is in ieder geval wel een partij waar je niet eenvoudig omheen kan.

Ook bij datalekken is het aan te raden om een bedrijf hiervan op de hoogte te stellen voor het aan de grote klok te hangen. Als een partij met een beveiligingslek niet thuis geven is het inschakelen van een journalist/autoriteiten wenselijk.

ro4sho @Arnoud Engelfriet • 11 november 2020 07:08

Iedereen mag zich een journalist noemen, dus dit gaat niet op. Los daarvan kijkt de rechter altijd naar de intentie.

aldieaccounts @Arnoud Engelfriet • 11 november 2020 09:23

Je hebt gelijk. Maar belachelijk is het wel. Net als dat het downloaden van illegale content strafbaar is (itt uploaden). Je kan iemand anders op deze manier vrij gemakkelijk iets strafbaars laten doen via een onschuldig ogend linkje in een random forumpost. Kijk eens mensen wat leuk, een simulatie van de erasmusbrug feestverlichting: http://erasmusbrug.nl/feestverlichting/admin . Is iedereen die daar dan aan de knoppen draait dan strafbaar? Natuurlijk gaat een rechter (gelukkig) wel naar de situatie kijken maar het blijft een vreemde situatie.

Vaak wordt de vergelijking gemaakt met een huis dat niet op slot is. je mag namelijk ook een niet afgesloten huis niet zomaar binnendringen zonder toestemming van de eigenaar. Maar wmb gaat die vergelijking toch niet helemaal op. De kans dat je per ongeluk een huis binnenloopt is een stuk kleiner dan dat je per ongeluk op een 'beveiligde site' terecht komt.

Maar goed, je uitleg klopt natuurlijk wel helemaal, zo zijn de regels nu eenmaal.

Arnoud Engelfriet @aldieaccounts • 11 november 2020 11:28

Nou ja, als jij oprecht niet wist dat je ergens niet mocht zijn dan is er juridisch niets aan de hand. Die "kijk eens" post van jou zou ik als bewijs aandragen en ik weet vrij zeker dat ik dan vrijloop, zeker als ik niets gedaan heb zodra ik doorhad dat ik echt erin zat.

Ik zou het eerder vergelijken met een bedrijventerrein waar je soms vanaf de openbare weg zo op loopt, of een kantoor/bedrijfspand dat toevallig de deur open heeft. Hier om de hoek zet het café om 9 uur de deur al open, dat vinden zij fijn voor de schoonmaak en doorluchten maar pas om 11 uur zijn gasten welkom. Ik heb alleen nog nooit een bordje gezien, dus ik zou argeloos om 9:30 naar binnen kunnen en aan de toog "volluk!" kunnen roepen. Ik ben dan niet strafbaar.

neeecht @Gamebuster • 10 november 2020 17:14

Het is geen hack. Iets wat openstaat kun je gewoon gebruiken.
"Oeps, dat was niet mijn IP."

Ik heb zelf meerdere LoRa gateways open staan met de WiFi connectie. Zonder wachtwoord zelfs.
Ideaal als er iets geupdate of aangepast moet worden. Verder kun je er weinig mee, behalve het verklooien.
Na 20 jaar nooit last gehad van iets geks. Misschien nu wat alerter worden.

jongetje

@neeecht • 10 november 2020 19:50

Als er een deur open staat mag je ook niet zomaar bij die huizen naar binnen.

Wasabi! @jongetje • 10 november 2020 20:36

Hoho, gister toevallig gelezen.

https://www.gelderlander....3A%2F%2Fwww.google.com%2F

Advocaat Noortje Lut merkte fijntjes op dat ergens binnendringen alleen strafbaar is als de eigenaar van een pand dat verbiedt. Maar: overal stonden de deuren open en eigenaars waren er ‘s nachts niet dus was niet duidelijk dat dat niet mocht. Vrijspraak, dus. Die vernielingen zijn niet te bewijzen, veel panden waren bekend in het zwerverscircuit. ,,Iedereen wist waar dat sleuteltje lag.”

kodak

Datalek
Beveiliging en antivirus
Nederland

@Wasabi! • 11 november 2020 11:49

Dat er een uitzondering kan zijn door tal van bijzondere omstandigheden toont juist aan dat je niet zomaar wat mag doen omdat je het kan. Dat rechter dus achteraf kan oordelen dat een ander recht belangrijker is wil niet zeggen dat je er zomaar op kan rekenen dus maar toegang te nemen en ook nog eens te gebruiken. Dat ze al bij de rechter stonden is niet voor niets. Dus als je bij een computer kan en ook nog eens gaat bedienen mag je er op zijn minst op rekenen dat je er problemen mee kan krijgen en dus maar beter een goede verklaring hebt dat je toch iets bent gaan doen terwijl je al bewust bij een bediening probeerde te komen.

Martijn033 @jongetje • 11 november 2020 11:15

Als er een deur open staat mag je ook niet zomaar bij die huizen naar binnen.

Dat klopt. Maar als je bijvoorbeeld een zijdeur in een gevangenis ziet die wagenwijd openstaat, zou ik geneigd zijn één stap naar binnen te doen, en een foto van dat halletje te maken. Vervolgens weer naar buiten gaan, en een melding maken bij Justitie. Dat is ongeveer wat RTL hier heeft gedaan. Een duidelijke registratie maken van de openstaande deur, geen schade aanrichten, en weggaan en melden.

Zer0 @neeecht • 10 november 2020 22:04

Eens, maar een beetje klooien met de verlichting van een brug is leuk.

Sommigen vinden het slopen van bushokjes ook gewoon leuk...

Gamebuster @neeecht • 10 november 2020 21:26

Grote kans dat je met gebroken botten of erger weer vertrekt.

r/iamverybadass

kodak

Datalek
Beveiliging en antivirus
Nederland

@neeecht • 10 november 2020 20:00

Er is in 20 jaar ook wel wat aan wetgeving aangepast. Zo mag je niet zomaar een computersysteem gebruiken omdat je er bij kan. Iets wat open staat kun je dus niet zomaar gebruiken. Het is eerder de bedoeling dat als je het ontdekt je contact opneemt met de eigenaar om te vragen of dat wel de bedoeling is en of je er gebruik van mag maken als je dat zou willen.

Cis @kodak • 10 november 2020 23:45

Is dat zo? Je bericht straalt bronloosheid uit.

Skywalker27 @neeecht • 11 november 2020 08:40

Totdat je wordt aangevallen door je eigen koffiemachine

. Of de politie voor de deur omdat je koffiemachine een botnet aanstuurt.

Kjoe_Ljan @Gamebuster • 10 november 2020 17:12

Je zou kunnen dat het een journalistiek plicht is van RTL. Ze kunnen niet alle tips zomaar voor waar aannemen. Dus als zij een mailtje krijgen met een IP-adres en de tekst "hiermee kun je de verlichting van de Erasmusbrug aanpassen", moeten ze wel even checken of dat waar is.

kodak

Datalek
Beveiliging en antivirus
Nederland

@Kjoe_Ljan • 10 november 2020 19:50

De journalistieke plicht is ook dat je niet zomaar de wet gaat overtreden en zoekt naar mogelijkheden om dat niet te doen. Dat had in dit geval ook mogelijk geweest door het meteen bij de gemeente te melden en dan de reactie af te wachten. Die hebben niet voor niets een responsible disclosure statement waarin staat dat je binnen een aantal dagen een reactie mag verwachten of het klopt en wat ze er aan gaan doen. Als die zou uitblijven dan hadden ze alsnog nieuws gehad dat waarschijnlijk nog belangrijker is: dat er een statement is dat niet klopt als je een melding doet.

kodak

Datalek
Beveiliging en antivirus
Nederland

@Gamebuster • 10 november 2020 19:39

Rotterdam heeft een responsible disclosure statement. Daarin staat dat het inderdaad niet zomaar mag:

niet op onevenredige wijze te handelen en de gevonden kwetsbaarheid niet te misbruiken.

Reacties dat dit geen misbruik zou zijn en maar moet kunnen omdat je er bij kan hebben waarschijnlijk niet helemaal begrepen dat er ook wetgeving is. Zelfs dat je bij een computersysteem kan wil daarin nog niet zeggen dat je er maar alles mee mag doen. In de meeste gevallen heb je dan alsnog eerst toestemming van de eigenaar nodig. De toestemming om meer te doen dan het vinden van een onveilig systeem staat er niet. Er staat zelfs dat je uit moet kijken dat ze het niet als onevenredig handelen of misbruik zien als je zomaar iets doet na het ontdekken van een onveilig systeem.
Dus als je de keuze maakt om meer te doen dan alleen het ontdekken van het onveilige systeem dan kan je maar beter nadenken voor je verder nog op knopjes gaat drukken of andere opdrachten geeft. Dat dit goed af loopt lijkt dus meer geluk dan wijsheid want waarom zou je er vanuit gaan dat een systeem doet wat jij verwacht als de beveiliging al niet op orde is.

Cis @kodak • 10 november 2020 23:48

Hoe kon de 'hacker' weten dat de gemeente het lichtsysteem in beheer had?
En dan is ook nog de vraag of er een waarschuwing stond op de webpage.
Net zoals dat er bij een priveterrein een 461 bordje staat, zou dit ook op de landingspagina moeten staan.

kodak

Datalek
Beveiliging en antivirus
Nederland

@Cis • 11 november 2020 11:29

Het maakt niet uit of er een waarschuwing op de pagina stond. Dat vraagt de wet niet. Dat is met gebruik van een fiets of auto of brievenbus of stuk grond ook niet zo. Een bordje is vaak een extra waarschuwing zodat je achteraf moeilijk kan beweren dat je een vergissing maakte. Maar daar lijkt hier geen sprake van. Met opzet een systeem uitzoeken, poorten veranderen om er bij te kunnen is al geen onbedoelde actie. Dus als je dan vervolgens bij knopjes en andere bediening kan en dat daarna ook nog eens gaat gebruiken klinkt niet als een situatie waar je niet kan beweren dat je toestemming hebt of dat dus kan doen alsof dat de bedoeling was.

Wie de eigenaar van een computersysteem is is meestal uit te zoeken. Zeker als ze al een vermoeden hadden. Dan vraag je het daar na. En anders kan je ook nog bij de provider terecht of door rond te vragen. Zeker als het niet heel ernstig is dan mag je er wel wat tijd in stoppen als je iemand echt zo graag wil waarschuwen.

NEO256

@Gamebuster • 10 november 2020 17:08

Misbruiken?
Is er schade geleden, is er iets gestolen?

Je wilt toch geen modder figuur slaan met het idee dat je iets "gehackt" hebt, wat in deze een beetje overtrokken term is, want je heb ongeoorloofd toegang tot een systeem, maar er is niet ingebroken in de zin dat er beveiliging is omzeilt, want er was geen beveiliging het ding stond gewoon open.

Dus ik zie hier geen problemen.
Ze hebben op een onbeveiligd systeem acties uitgevoerd om te kijken of het daadwerkelijk ging om het systeem waar ze dachten invloed op te hebben.

En hebben verder geen schade veroorzaakt
door... bijvoorbeeld alle lichten uit te zitten inclusief straat verlichting,
of kleuren in te stellen die wellicht voor irritatie zorgen
of de lampen te beschadigen door ze snel te laten knipperen voor uren aan einde.

Qlusivenl

10 november 2020 16:39

Het systeem is tijdelijk buiten gebruik gesteld tot er een oplossing is.

Maar het lek is gedicht. Waarom is het dan alsnog buiten werking gesteld?

RTL publiceerde de bevindingen op dinsdag, nadat het de gemeente Rotterdam had ingelicht en had gewacht tot het lek gedicht was.

Paul @Qlusivenl • 10 november 2020 17:01

Het lek is: "onbevoegden kunnen de verlichting bedienen". Als je de bediening uit zet dan kunnen onbevoegden de verlichting niet meer bedienen

Het heeft neveneffecten (zoals "bevoegden kunnen de verlichting ook niet meer bedienen"), zeker, maar het lek is dicht

Zie het als het hebben van een overstroming thuis omdat er een waterleiding stuk is. De hoofdkraan dichtzetten is dan een hele goede, snelle, en doeltreffende manier om te zorgen dat er geen water meer lekt; kun je daarna op je gemak naar de bouwmarkt of een loodgieter bellen.

metalant @Qlusivenl • 10 november 2020 16:42

Buiten gebruik stellen is ook een vorm van lek dichten.

RobinF @metalant • 10 november 2020 16:55

"dichten"

Cis @RobinF • 10 november 2020 23:50

De gemeente is gezwicht
De poort staat dicht
Er is geen toegang meer
tot het licht

Bergen @bilbob • 10 november 2020 17:53

Er zat geen wachtwoord op. In het artikel staat dat de inlogpagina kon worden omzeild door de portal op een andere poort te benaderen:

Wie het adres bezocht kreeg een inlogpagina, maar bij het aanvullen van het ip-adres met een bepaalde poort kon de adminpagina worden geopend.

bilbob @Bergen • 10 november 2020 17:55

port sluiten dan? of een it'er in dienst nemen die het wèl snapt..

Bergen @bilbob • 10 november 2020 17:58

Precies, dat zullen ze dus wel bedoelen met "tijdelijk buiten gebruik gesteld".

gjmi @bilbob • 10 november 2020 17:46

Dan heb je niet goed gelezen

himlims_ 10 november 2020 16:35

geweldig - vraag me af hoe men achter die dienst/service gekomen is (in house hulp ?)
heb t niet over de 'fout', maar uberhoubt vinden van de interface/dienst

//edit;
De persoon had het onbeveiligde systeem gevonden via de website Shodan.io, een zoekmachine voor slimme apparaten. Na het intypen van de zoekterm 'rotterdam' was het verlichtingssysteem één van de eerste resultaten.

[Reactie gewijzigd door himlims_ op 29 juli 2024 17:22]

Crisium @himlims_ • 10 november 2020 16:39

Er zijn mensen die er een sport van maken om automatisch IP reeksen af te gaan om te kijken wat er achter zit.

darknessblade @Crisium • 10 november 2020 17:44

Veel FRee/open Cam sites doen dit, en laten alle Publiekelijk toegankelijke camera's die Vaak buiten huis zijn geplaatst.

Sommige schimmigere sites laten ook bijvoorbeeld een lading Baby-cams zien.

gjmi @darknessblade • 15 november 2020 09:36

Hoe maken ze dan het verschil tussen buiten camera’s en binnen camera’s?
Zit daar nog iemand tussen? En wat doet zo’n iemand achter gesloten deuren met die camera feeds?

darknessblade @gjmi • 15 november 2020 16:35

Ze maken een verschil ertussen dmv een Report functie. dan wordt het handmatig bekeken of het klopt.

Sommige mensen Rapporteren het niet, maar andere wel.

Van wat ik weet is dat veel goedaardige sites de Feed's niet opslaan, maar schimmigere sites wel.

Bergen @Crisium • 10 november 2020 17:57

Met Shodan hoeft dat dus niet, die heeft dat al voor je gedaan. Tenminste, voor HTTP(S). Je hoeft alleen nog maar te zoeken naar een stukje tekst in de header of in de body.

Auteur

TijsZonderH Nieuwscoördinator @himlims_ • 10 november 2020 16:37

Staat in het stuk he: gewoon 'rotterdam' gezocht op Shodan

darkrain Moderator Discord @himlims_ • 10 november 2020 16:37

Daniel Verlaan (RTL) heeft laten weten dat dat via Shodan is gegaan..

https://twitter.com/danielverlaan/status/1326178157058285568

[Reactie gewijzigd door darkrain op 29 juli 2024 17:22]

JKP @himlims_ • 10 november 2020 16:37

Dat staat gewoon in het artikel:

"Een anonieme lezer tipte RTL dat hij of zij het systeem had gevonden via iot-zoekmachine Shodan. Daar was het dashboard het eerste resultaat als de zoekterm 'Rotterdam' werd ingevoerd."

[Reactie gewijzigd door JKP op 29 juli 2024 17:22]

fjjl @himlims_ • 10 november 2020 16:37

Via Shodan dus. Een zoekmachine voor IoT; en dan puur toeval dat het niet goed genoeg beveiligd is.

fapkonijntje @himlims_ • 10 november 2020 16:37

Dat staat in het artikel...

Een anonieme lezer tipte RTL dat hij of zij het systeem had gevonden via iot-zoekmachine Shodan. Daar was het dashboard het eerste resultaat als de zoekterm 'Rotterdam' werd ingevoerd.

[Reactie gewijzigd door fapkonijntje op 29 juli 2024 17:22]

sspiff @himlims_ • 10 november 2020 16:37

Staat gewoon in het artikel. Shodan, een zoekmachine voor (vaak onbeveiligde) apparaten als veiligheidscameras, printers, ... die publiek op het internet hangen.

Een anonieme lezer tipte RTL dat hij of zij het systeem had gevonden via iot-zoekmachine Shodan. Daar was het dashboard het eerste resultaat als de zoekterm 'Rotterdam' werd ingevoerd.

[Reactie gewijzigd door sspiff op 29 juli 2024 17:22]

Myrdhin

@himlims_ • 10 november 2020 16:38

Daar zijn ook zoekmachines voor zoals in het artikel vermeld staat: https://www.shodan.io/

starfight @himlims_ • 10 november 2020 16:38

Shodan, er worden dus constant portscans uitgevoerd op elk ipadres, en de teruggestuurde header wordt teruggestuurd waardoor je makkelijk kan kijken of het een webserver, ipcamera of een elektrische koelkast is achter die poort/ip

itguy013 @himlims_ • 11 november 2020 12:48

Als je het volgende filmpje bekijkt en naar ongeveer 1:28 gaat, zie je daar het ip-adres staan. Op dat ip kun je waarschijnlijk een poort scan draaien en als daar geen wachtwoord op staat, ben je er zo

https://www.youtube.com/watch?v=KT3-f26Uqog

Eagle Creek

10 november 2020 16:36

Dat is weer eens een andere vorm van een "bridge" aan je Hue-systeem koppelen

.
De betreffende omschrijving is wel passend

Deze bridge van Philips is aangesloten op het netwerk en zorgt ervoor dat jouw lampen op een centrale plek bediend kunnen worden.

-------
Wat het voor mij ook aantoont is dat kwetsbaarheden lang open blijven staan voordat ze überhaupt ontdekt (lijken te) worden. Wellicht heeft iemand dit een half jaar geleden al even snel getest zonder ruchtbaarheid en wachtte hij/zij op een goed moment voor misbruik. Aan de andere kant is de kans ook simpelweg groot dat het nog niemand is opgevallen. En zo denk ik dat veel, heel veel, lekken lang onopgemerkt blijven - ook zonder dat er iets mee gedaan wordt.

[Reactie gewijzigd door Eagle Creek op 29 juli 2024 17:22]

ALittleTooLate @Eagle Creek • 10 november 2020 16:46

Hoeveel spuisluisen met minimale beveiliging zouden via internet te zijn benaderen? Moest eens mis gaan met dat ding in IJmuiden

pekeltje @Eagle Creek • 10 november 2020 16:39

Ba dum tsss

itlee 10 november 2020 17:55

Eindelijk een beetje gezelligheid in die klote corona tijd! paar speakers neerzetten, iemand met zn laptopje ff inloggen...en disco'n maar! $_/-\o_$

Kain_niaK 10 november 2020 18:00

Ik durf te wedden dan een IT'er dit express open heeft gelaten zodat ie met zijn "magische krachten" indruk kon maken op zijn meissie

"En de volgende kleur, kun je die ook voorspellen?"

"Blauw, zoals jou mooie ogen"

"Jaaaa, het is blauw! maar hoe je dat?"

"Ik werk bij de stad, schat"

[Reactie gewijzigd door Kain_niaK op 29 juli 2024 17:22]

jelledb @Kain_niaK • 11 november 2020 09:46

Spoiler alert, ik heb bij het moederbedrijf achter deze verlichting gewerkt en het is zeker een keer gebeurd om stoer te doen met de verlichting tijdens een bedrijfsfeestje in de euromast :-P
Dit nieuws verbaasd me dan ook niet zo

Ventasus 10 november 2020 18:01

Misschien lees ik er over heen, maar ik zou graag willen weten welk systeem/apparaten hebben gebruikt waardoor dit leuk mogelijk is.

faim 10 november 2020 18:03

Vond het al zo vreemd dat ik gisteren ineens Erasmusbrug in mijn Philips Hue app had staan

DutchRevan 10 november 2020 18:08

Lijkt erop dat ze inderdaad wat porten hebben uitgezet op de desbetreffende server

Kon em ook zo vinden op Shodan.

Overigens is de code achter de lichten (MQ) open source >

https://github.com/portofrotterdam

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (100)

Sorteer op:

Weergave: