Eindhoven: ICT gemeente bestand tegen hackers
De gemeente Eindhoven is tijdens het evenement 'Hack Me Please', waarbij hackers de gemeentelijke ICT-infrastructuur mochten testen, niet gehackt. Een twintigtal hackers waren dit weekend in het stadhuis van Eindhoven bijeen om de ICT van de gemeente en de leveranciers onder vuur te nemen.
Het lukte de hackers niet om de systemen binnen te dringen. Wel kreeg de gemeente de tip om een paar verouderde versies snel te vervangen. "Na 6 uur hacken kunnen we constateren dat de beveiliging behoorlijk op orde is. Dat vind ik goed nieuws. Niet alleen voor de gemeente Eindhoven, maar voor heel veel gemeenten. Want wij zijn natuurlijk niet de enige klant van deze leveranciers", aldus wethouder Staf Depla.
Reacties (11)
Okay, waarom heb ik hier niet van gehoord?
Enne, dat een 20 tal 'hackers' niet kunnen inbreken via de voordeur wil nog niet zeggen dat het ook veilig is, en als het al veilig is, veilig blijft...
Ambtenaren hebben nogal een 2D visie... "ja, maar in februari 2014 waren we nog veilig, hoe kan het dan we nu in 2016 ineens gehacked zijn?"
Enne, dat een 20 tal 'hackers' niet kunnen inbreken via de voordeur wil nog niet zeggen dat het ook veilig is, en als het al veilig is, veilig blijft...
Ambtenaren hebben nogal een 2D visie... "ja, maar in februari 2014 waren we nog veilig, hoe kan het dan we nu in 2016 ineens gehacked zijn?"
De SIMgroep geef toch een heel ander beeld hier over op hun site:
http://www.simgroep.nl/internet/simblog_41677/item/so-what-happened-hackmeplease-jasper-kooiman_8623.html
Hier onder volledig artikel
We waren nog niet eens begonnen of een onschuldige surface pc die toevallig in de buurt stond was slachtoffer geworden, waarna alle zich op het open wifi verbonden apparaten even werden bekeken. Een muisje inprikken en het adminwachtwoord raden bleek hiervoor voldoende. Enfin, beetje warmgedraaid kon deze hackdag van start en alle 'bezoekers' hebben direct bluetooth en wifi op hun devices uitgezet.
Zo'n beetje alles is geraakt zaterdag:
Slecht beveiligde devices werden fysiek gehackt, waardoor de hackers opeens meer iPads hadden in de kamer dan ze hadden meegenomen (en de infobalie wat minder dan daarvoor);
Afgesloten gebieden in het stadhuis bleken niet afgesloten, en opeens stond een drietal met allerlei tools het fysieke deurslot van de wethouderskamer aan te vallen;
De netwerkprinters in het stadhuis werden niet ontzien, maar hierbij was er wat pech omdat de meeste vanwege gebrek aan werkenden uitstonden;
De met swipe-kaarten 'beveiligde' sliding doors kregen opeens allemaal anonymous post-its. (...) Aan de binnenkant van de deur;
Er zijn omgevingen gevonden met oude apache-software met gaten, en zelfs een 6 jaar oude ubuntu-server;
Een hostname injection (yes, that's us: in piwik) gevonden;
3 cross-side scripting mogelijkheden gevonden;
Een berg metadata opgehaald (ongeveer 1,8 miljoen records, maar volgens Plasterk niet door onszelf verzameld) en weergegeven (met allerlei useraccounts van medewerkers van de gemeente);
Webaccess van een mailserver (eerst ontkend, toen 'spontaan' niet meer aanwezig, daarna ridderlijk erkend);
Een fileserver met onbeveiligd accountbeheer, waardoor allerlei bruteforce mogelijkheden aanwezig waren (zeker met de usernames uit de metadata hierboven);
En een hele hoop verbetersuggesties omtrent slechte certificaten;
Foutinformatie en versie-informatie die onterecht wordt teruggegeven, en een van de leveranciers had een php info-pagina publiekelijk toegankelijk staan.
En uiteraard van die grappige momenten, dat een van de hackers komt aanzetten met een ip-nummer en wat gegevens daarop, vervolgens een van de I&A mensen gaat rondrennen om te achterhalen wat daar draait en na verloop van tijd terugkomt met de mededeling: "ik heb het gevonden!", waarop de hacker droogjes "ik ook" antwoordt.
Maar het belangrijkste was, denk ik, het enthousiasme en de sfeer waarin het gebeurde. Knie aan knie met de hackers om beter te begrijpen wat er gebeurt, en samen te bedenken hoe het beter kan. Ik zag leveranciers hackers helpen om een stapje verder te komen, nieuwsgierig om te zien waar de volgende stap zat.
Frank de Goede heeft zich hierna nog goed gemengd in het debat met o.m. Brenno de Winter en Astrid Oosenburg, aansluitend op het feestje over cloud, veiligheid, wetgeving en certificering. Indrukwekkend daarin de overpeinzing wat nou eigenlijk de waarde is van een DigiD audit-handtekening in oktober, als we in december nieuwe software toevoegen, die misschien niet die handtekening in twijfel trekt, maar wel de veiligheid. Zijn we dan met die handtekening een achterhaalde werkelijkheid aan het verantwoorden en dus meer de veiligheid van vorig jaar aan het beoordelen in plaats van de veiligheid van nu?
Al met al een zeer geslaagde en leerzame dag voor de gemeente maar ook voor SIMgroep.
http://www.simgroep.nl/internet/simblog_41677/item/so-what-happened-hackmeplease-jasper-kooiman_8623.html
Hier onder volledig artikel
We waren nog niet eens begonnen of een onschuldige surface pc die toevallig in de buurt stond was slachtoffer geworden, waarna alle zich op het open wifi verbonden apparaten even werden bekeken. Een muisje inprikken en het adminwachtwoord raden bleek hiervoor voldoende. Enfin, beetje warmgedraaid kon deze hackdag van start en alle 'bezoekers' hebben direct bluetooth en wifi op hun devices uitgezet.
Zo'n beetje alles is geraakt zaterdag:
Slecht beveiligde devices werden fysiek gehackt, waardoor de hackers opeens meer iPads hadden in de kamer dan ze hadden meegenomen (en de infobalie wat minder dan daarvoor);
Afgesloten gebieden in het stadhuis bleken niet afgesloten, en opeens stond een drietal met allerlei tools het fysieke deurslot van de wethouderskamer aan te vallen;
De netwerkprinters in het stadhuis werden niet ontzien, maar hierbij was er wat pech omdat de meeste vanwege gebrek aan werkenden uitstonden;
De met swipe-kaarten 'beveiligde' sliding doors kregen opeens allemaal anonymous post-its. (...) Aan de binnenkant van de deur;
Er zijn omgevingen gevonden met oude apache-software met gaten, en zelfs een 6 jaar oude ubuntu-server;
Een hostname injection (yes, that's us: in piwik) gevonden;
3 cross-side scripting mogelijkheden gevonden;
Een berg metadata opgehaald (ongeveer 1,8 miljoen records, maar volgens Plasterk niet door onszelf verzameld) en weergegeven (met allerlei useraccounts van medewerkers van de gemeente);
Webaccess van een mailserver (eerst ontkend, toen 'spontaan' niet meer aanwezig, daarna ridderlijk erkend);
Een fileserver met onbeveiligd accountbeheer, waardoor allerlei bruteforce mogelijkheden aanwezig waren (zeker met de usernames uit de metadata hierboven);
En een hele hoop verbetersuggesties omtrent slechte certificaten;
Foutinformatie en versie-informatie die onterecht wordt teruggegeven, en een van de leveranciers had een php info-pagina publiekelijk toegankelijk staan.
En uiteraard van die grappige momenten, dat een van de hackers komt aanzetten met een ip-nummer en wat gegevens daarop, vervolgens een van de I&A mensen gaat rondrennen om te achterhalen wat daar draait en na verloop van tijd terugkomt met de mededeling: "ik heb het gevonden!", waarop de hacker droogjes "ik ook" antwoordt.
Maar het belangrijkste was, denk ik, het enthousiasme en de sfeer waarin het gebeurde. Knie aan knie met de hackers om beter te begrijpen wat er gebeurt, en samen te bedenken hoe het beter kan. Ik zag leveranciers hackers helpen om een stapje verder te komen, nieuwsgierig om te zien waar de volgende stap zat.
Frank de Goede heeft zich hierna nog goed gemengd in het debat met o.m. Brenno de Winter en Astrid Oosenburg, aansluitend op het feestje over cloud, veiligheid, wetgeving en certificering. Indrukwekkend daarin de overpeinzing wat nou eigenlijk de waarde is van een DigiD audit-handtekening in oktober, als we in december nieuwe software toevoegen, die misschien niet die handtekening in twijfel trekt, maar wel de veiligheid. Zijn we dan met die handtekening een achterhaalde werkelijkheid aan het verantwoorden en dus meer de veiligheid van vorig jaar aan het beoordelen in plaats van de veiligheid van nu?
Al met al een zeer geslaagde en leerzame dag voor de gemeente maar ook voor SIMgroep.
18-02-2014, 12:19 door
SynC
Tja.. Ik weet niet of dit een realistisch beeld geeft van de dreigingen.
Social engineering is de manier om in te breken en dat is geen onderdeel geweest.
Ik ben benieuwd of het interne netwerk wel bekeken is, ik denk dat een hoop bedrijven daar de steekjes laten vallen.
Social engineering is de manier om in te breken en dat is geen onderdeel geweest.
Ik ben benieuwd of het interne netwerk wel bekeken is, ik denk dat een hoop bedrijven daar de steekjes laten vallen.
18-02-2014, 12:34 door
Mysterio
Door SynC: Tja.. Ik weet niet of dit een realistisch beeld geeft van de dreigingen.
Social engineering is de manier om in te breken en dat is geen onderdeel geweest.
Ik ben benieuwd of het interne netwerk wel bekeken is, ik denk dat een hoop bedrijven daar de steekjes laten vallen.
Je kunt je afvragen of social enginering werkelijk hacken is. Ze zouden zich ook met een tractor een weg kunnen banen tot de serverruimte. Je moet ergens je scope bepalen natuurlijk.Social engineering is de manier om in te breken en dat is geen onderdeel geweest.
Ik ben benieuwd of het interne netwerk wel bekeken is, ik denk dat een hoop bedrijven daar de steekjes laten vallen.
De menselijke factor is waarschijnlijk ook in dit geval de zwakste schakel, maar voor een puur technische test kun je die moeilijk mee nemen. Anders zou er naar alle waarschijnlijkheid geen enkel systeem ooit veilig zijn.
18-02-2014, 12:36 door
Mysterio
Door Anoniem: Okay, waarom heb ik hier niet van gehoord?
Serieus? https://www.security.nl/posting/378120/De+gemeente+Eindhoven+wil+gehacked+worden!Anoniem 11:59,
dus het was daar feitelijk een grote gatenkaas begrijp ik hieruit?
Wel slim van Eindhoven: (een beetje) gecontroleerd laten hacken en ze kunnen bij I & A weer weken vooruit.
Scheelt een dure pen-tester, toch?
dus het was daar feitelijk een grote gatenkaas begrijp ik hieruit?
Wel slim van Eindhoven: (een beetje) gecontroleerd laten hacken en ze kunnen bij I & A weer weken vooruit.
Scheelt een dure pen-tester, toch?
Door Mysterio:
Door Anoniem: Okay, waarom heb ik hier niet van gehoord?
Serieus? https://www.security.nl/posting/378120/De+gemeente+Eindhoven+wil+gehacked+worden!Zo diep kijk ik niet in een website, daar heb ik gewoonweg geen tijd voor. Als het niet op de frontpage staat zie ik het simpelweg niet....
(en ik klik al helemaal niet op een link op een community / forum :-)
Maar thanks voor de info...
Het systeem is net zo veilig als de gebruiker die hem gebruikt of verbruikt. En aangezien de ambtenaren nou niet echt een hoog IQ hebben gaat er zo nu en dan weer eens wat mis. Zoals oeps klikte perrongelijk op die link in die mail hij was van een bekende kant van ons.
Ach ja.
Ach ja.
18-02-2014, 19:48 door
Erwtensoep
Dit kan ook wel beter:
https://www.ssllabs.com/ssltest/analyze.html?d=eindhoven.nl
https://www.ssllabs.com/ssltest/analyze.html?d=eindhoven.nl
18-02-2014, 23:55 door
Charley51
Door Anoniem: Het systeem is net zo veilig als de gebruiker die hem gebruikt of verbruikt. En aangezien de ambtenaren nou niet echt een hoog IQ hebben gaat er zo nu en dan weer eens wat mis. Zoals oeps klikte perrongelijk op die link in die mail hij was van een bekende kant van ons.
Ach ja.
Ho ho, nu voel ik mij toch wel een beetje beledigd met mijn IQ van >135. Maar ik geef je wel een beetje gelijk, veel collega's keken mij schaapachtig aan, als ik weer eens stond te oreren, hoe je bepaalde problemen moest oplossen.Ach ja.
Ik heb zelfs de ict-afdeling geholpen een probleempje op te lossen, waar zij niet uitkwamen. Kwestie van een macro in Word Perfect schrijven. Heb er zelfs nog een forse financiële beloning voor gekregen, waar ik niet om had gevraagd. Daarbij was het nog niet eens mijn werk ...
19-02-2014, 14:04 door
athrropos
Als je de hele trukendoos neer zet die dag dan vindt je best wel wat lekken.
Als ik als doel had binnen te komen, deed ik het toch zeker niet op hmm "afspraak".
Lijkt me.
We zullen zeker in de toekomt er wel meer over horen.
Er zijn nu eenmaal niet veel systemen die met EN voor ambtenaren gemaakt zijn veilig.
1 link in een email of bijlage script is meestal voldoende voor het betere (hack) werk.
Goede beveiliging zit tussen de oren, en hmm sorry voor de welnadenkende, niet veel ambtenaren (of particulieren) blinken hier in uit. (if any...)
Tot horens gemeente Eindhoven.
Als ik als doel had binnen te komen, deed ik het toch zeker niet op hmm "afspraak".
Lijkt me.
We zullen zeker in de toekomt er wel meer over horen.
Er zijn nu eenmaal niet veel systemen die met EN voor ambtenaren gemaakt zijn veilig.
1 link in een email of bijlage script is meestal voldoende voor het betere (hack) werk.
Goede beveiliging zit tussen de oren, en hmm sorry voor de welnadenkende, niet veel ambtenaren (of particulieren) blinken hier in uit. (if any...)
Tot horens gemeente Eindhoven.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
