image

Bruggen en verkeerslichten Rotterdam kwetsbaar voor hackers

donderdag 6 april 2017, 11:51 door Redactie, 16 reacties
Laatst bijgewerkt: 07-04-2017, 16:53

Bruggen en verkeerslichten in Rotterdam zijn kwetsbaar voor hackers en kunnen op afstand worden ontregeld, zo blijkt uit een rapport van de Rotterdamse Rekenkamer waar de Volkskrant over bericht. Vanwege een groot datalek bij de gemeente liet de Rekenkamer vorig jaar een audit uitvoeren.

Daarbij werden 700 ernstige technische zwakheden in systemen en applicaties aangetroffen die impact op burgers, ambtsdragers en publieke dienstverlening kunnen hebben. Het College van Burgemeester en Wethouders wil niet dat de Rekenkamer een gecensureerde versie van het auditrapport openbaar maakt. Er werd zelfs met een gang naar de rechter gedreigd, waarop de Rekenkamer de publicatie heeft uitgesteld. De Volkskrant kreeg het rapport in handen en meldt dat er veel mis is met de it-systemen van de stad.

"Door toegang te hebben tot informatiesystemen kunnen bijvoorbeeld bruggen en verkeerslichten op afstand bediend worden en het verkeer worden lamgelegd', zo schrijft de Rekenkamer in het rapport. "Dat kan vandalisme zijn, maar ook met het doel van ontwrichting worden gedaan." Ook zou burgemeester Ahmed Aboutaleb risico lopen omdat kwaadwillenden zijn agenda kunnen inzien. Beveiligingsbedrijf Fox-IT had twee jaar geleden al vastgesteld dat de it-beveiliging van de burgemeester niet op orde was, maar daar is weinig mee gedaan. Verder blijken harde schijven niet te worden versleuteld en wordt er met verouderde software gewerkt.

Reacties (16)
06-04-2017, 12:22 door Anoniem
Ik denk dat er in dit jaar en volgend jaar flink meer geïnvesteerd gaat worden in 'Cyber Security'. Wel nog steeds erg jammer dat we wachten op een grote aanval op onze infrastructuur tot er actie wordt ondernomen.
06-04-2017, 12:32 door Anoniem
Door Anoniem: Ik denk dat er in dit jaar en volgend jaar flink meer geïnvesteerd gaat worden in 'Cyber Security'. Wel nog steeds erg jammer dat we wachten op een grote aanval op onze infrastructuur tot er actie wordt ondernomen.
Klopt. Iets met kalf en gedempte put...
06-04-2017, 12:52 door Anoniem
En wederom lijkt het erop dat de drie pijlers "kennis - houding - gedrag" onvolwassen zijn. Maar goed, je kunt die lat ook niet te hoog leggen om verantwoord met andermans gegevens om te gaan natuurlijk. Misschien moeten mensen daadwerkelijk eens hoofdelijk aansprakelijk worden gesteld, inclusief management, dat wellicht te weinig budget vrijmaakt voor dit soort zaken en te weinig prioriteit geeft aan informatiebeveiliging. Fouten maken we allemaal, maar dit neigt naar onwil, onkunde en amateurisme.
06-04-2017, 13:06 door Anoniem
Door Anoniem: Ik denk dat er in dit jaar en volgend jaar flink meer geïnvesteerd gaat worden in 'Cyber Security'. Wel nog steeds erg jammer dat we wachten op een grote aanval op onze infrastructuur tot er actie wordt ondernomen.
Misschien een noodactie om deze gaten te dichten en vervolgens weer terug naar de orde van de dag.
Structureel geld voor cybersecurity, ik zie het niet gebeuren. Dan moet er eerst een groot/belangrijk systeem onderuit gaan.
06-04-2017, 15:39 door Anoniem
Zouden de kosten inmiddels niet zo hoog oplopen dat overheden maar een beetje lapmiddelen inzetten?
En: wie heeft goed overzicht en kan dan goed aansturen?
En zijn marktpartijen op dit gebied wel transparant en eerlijk op dit gebied?
Lopen we inderdaad al niet te ver achter de feiten aan?
06-04-2017, 19:04 door Anoniem
Door Anoniem: En zijn marktpartijen op dit gebied wel transparant en eerlijk op dit gebied?
Dit is een van de betere vragen waar journalisten het zelden over hebben als het om verontwaardigd nieuws gaat over beveiliging. Het bedrijfsleven heeft nauwelijks verplichting tot transparantie maar heeft wettelijk ook nauwelijks beperkingen welke data ze over personen verwerken. De overheid moet waar mogelijk verplichte transparant zijn en kan veel minder gegevens verwerken tenzij er een wettelijke uitzondering is.
06-04-2017, 19:21 door Anoniem
Dát is pas "Openbaarheid van Bestuur"!
06-04-2017, 20:01 door Anoniem
Het rapport en alle stukken zijn vanmiddag toch openbaar gemaakt.
http://nos.nl/artikel/2166887-rapport-over-ict-beveiliging-rotterdam-toch-openbaar.html
https://rekenkamer.rotterdam.nl/onderzoeken/in-onveilige-handen/

"Pogingen om van buitenaf in de systemen te komen, zijn niet gelukt. Wel zijn hackers die gebouwen van de gemeente zijn binnengekomen er in geslaagd om in de systemen te komen"

De formuleringen in het rapport over de veiligheid van Aboutaleb noemt Visser ‘"ondoordacht en onbezonnen". "Het is niet OK dat deze teksten in het rapport terecht zijn gekomen’’
Aldus de Rotterdamse wethouder Visser.

Die opmerking van de wethouder over de formulering in het rapport en lijkt te bevestigen waarom er zoveel misstanden zijn gevonden in de ICT beveiliging van de gemeente. Of hij trekt als inhoudelijk onkundig bestuurder liever eigenwijs de risico's in twijfel en bepaalt zijn eigen conclusies. Of hij hecht er meer waarde aan dat de conclusies niet te hard zijn ook al spreken de risico's voor een wel inhoudelijk kundig persoon voor zich.

Vermoedelijk heeft de rekenkamer doorzien dat de wethouder en de ambtelijke leiding niet van plan was om de beveiliging aan te pakken, ook al zijn er 700 kritieke lekken door FoxIT/Hoffman ontdekt bij het intern testen. Wie dat soort rapporten kent weet dat een kritiek lek meestal de mogelijkheid tot het eenvoudig krijgen van rechten op nivo van system of administrator gaan, je als hacker je eigen code kan uitvoeren of je door foute rechten bij gegevens van anderen kan komen. Als dat door 46 problemen komt dan zit daar als oorzaken vast tussen dat er heel veel verouderde software draait en professionele beheerprocedures of het naleven daarvan ontbreken.

Hoe dan ook kan je bij die opmerking van de wethouder op zijn minst de vraag stellen wanneer de wethouder dan wel meteen actie zou ondernemen om kritieke beveiligingsbevindingen te dichten. Er blijven niet veel andere opties over dan dat hij alleen in actie komt als het te laat is.
06-04-2017, 20:06 door Anoniem
@ anoniem van 15:39

Ik denk wat je daar opmerkt over "achter de feiten aanhobbelen", best wel eens als eufemistisch mag worden aangeduid.

De hele infrastructuur globaal is compleet "pn*wed", gatenkaas dus, ten behoeve van globaal commercieel data-slurp geweld en de surveillance-behoefte van overheden, groot en klein.

Heel Amazon net bijvoorbeeld deelt alles direct met de Amerikaanse bekende drie letter dienst met hun hoofdkantoor bij de DWW, namelijk te Frankfurt a. M., in het hart van het "Vierde Rijk"(in opbouw).

Kun je voldoende vingers krijgen achter wat ze aan de andere kant van je scherm aan het uitspoken zijn in de cloud. Vault7 van Assange laat er iets van doorschemeren, maar dat is maar een gecontroleerd lekje.

Waar cert. cyphers geserveerd worden van de zwakke kant boven in plaats van andersom. Daar waar cloudbleed helpt, samen met slechte configuraties. Waar geprofiteerd wordt van IT onkunde en incompetentie (zondigen tegen same origin, inline scripting, XSS dom injectie kwetsbaarheden, ontbrekende sri-hashes, ontbrekende security headers, kwetsbare verouderde en verlaten code, geobfusceerde kwaadaardige code, hand en span diensten van grote spelers desnoods under "gag" order en ga zo nog maar een kwartiertje door.

Wat men jaren en jaren met opzet ten behoeve van het beheersen van de infrastructuur puur vanwege de onstilbare honger naar macht heeft laten voortwoekeren, krijg je niet een twee drie weer een beetje veiliger. Het is al a priori onveilig. Nog een wonder dat het nog langer meegaat als de bekende zeem van het merk met de V. Daar zitten op laatst de gaten ook goed in.

Men heeft ons een lekkere worst voorgehouden en het bleek een plastic banaan te zijn geweest. ;)

Ga "code all sorts" maar eens doorpluizen op fout en kwetsbaarheid en je schrikt je rot.

De situatie nu aangetroffen in Rotjeknor <(..)> is alleen maar exemplarisch voor zo'n algemeen beeld.
Het deksel gaat een heel klein beetje van de put en nog houdt men het er liever op.
06-04-2017, 20:22 door Anoniem
Nooit wat van gemerkt. Zal wel loslopen. Ik denk dat de kwaliteit van (het rapport van) de Rotterdamse onderzoekers op hetzelfde niveau zitten als de (posts van de) posters. Maar een kritisch geluid is nooit weg en je kan je systemen daarop inrichten.
06-04-2017, 23:25 door Anoniem
Als er wat aan te merken valt, snel in ontkenningsmodus schieten. Hoe vaak heb ik dat al meegemaakt.

Eerst een verontwaardigde reactie op een aangetoond veiligheidsgebrek. Dan proberen de ander snel af te bluffen.
Agressief gedrag dat de onkunde moet verbloemen.

Vervolgens wordt aangetoond waar gemitigeerd moet gaan worden en dan snel over je hoofd heen vragen of de melding offline kan worden gehaald.

Snelle downplay van hetgeen aan de orde wordt gesteld, want als baas eens zou merken, hoe incompetent men eigenlijk is en hoe slordig, Dan is dat is niet zo goed.

Welke beveiligingsonderzoeker herkent dit scenario niet ergens uit de praktijk.

--------------------------------------

Helemaal anders kan ook. "Hi, thank you guys, You guys are awful". En na zo'n reactie gaan we dan ook de volle extra mijl en doen we nog iets extra's. Krul in de staart en extra aangescherpt.

Er zijn ook nog fijne lui, die samen met je naar een oplossing gaan zoeken. Win-win situatie. En beide partijen hebben er volop bij gewonnen, de bevestiging en de expertise gaan dan voortaan hand in hand.

Maar ja, goed en slecht komen tenslotte op hetzelfde punt uit. Het slechte doet er echter onnoemelijk veel langer over dan het goede en daar hoef je geen zen voor te kennen om dat in te zien.
06-04-2017, 23:25 door W.T.
Bovenstaande tekst slaat alleen maar op Rotterdam. Hoe zou het in alle andere grote en middelgrote steden zijn? Net zo beroerd of nog erger?
07-04-2017, 00:12 door Anoniem
Ik snap überhaupt niet waarom zulke informatie zonodig publiekelijk moet worden gemaakt.
07-04-2017, 09:40 door Anoniem
Door Anoniem: Als er wat aan te merken valt, snel in ontkenningsmodus schieten. Hoe vaak heb ik dat al meegemaakt.

Eerst een verontwaardigde reactie op een aangetoond veiligheidsgebrek. Dan proberen de ander snel af te bluffen.
Agressief gedrag dat de onkunde moet verbloemen.

Vervolgens wordt aangetoond waar gemitigeerd moet gaan worden en dan snel over je hoofd heen vragen of de melding offline kan worden gehaald.

Snelle downplay van hetgeen aan de orde wordt gesteld, want als baas eens zou merken, hoe incompetent men eigenlijk is en hoe slordig, Dan is dat is niet zo goed.

Welke beveiligingsonderzoeker herkent dit scenario niet ergens uit de praktijk.

--------------------------------------

Helemaal anders kan ook. "Hi, thank you guys, You guys are awful". En na zo'n reactie gaan we dan ook de volle extra mijl en doen we nog iets extra's. Krul in de staart en extra aangescherpt.

Er zijn ook nog fijne lui, die samen met je naar een oplossing gaan zoeken. Win-win situatie. En beide partijen hebben er volop bij gewonnen, de bevestiging en de expertise gaan dan voortaan hand in hand.

Maar ja, goed en slecht komen tenslotte op hetzelfde punt uit. Het slechte doet er echter onnoemelijk veel langer over dan het goede en daar hoef je geen zen voor te kennen om dat in te zien.

Zeer herkenbaar. En zeer hekelend om afgerekend te worden op datgene wat jouw taak is / "waar je voor betaald wordt". Het getuigt van een vergelijkbaar niveau als een agent uitschelden om het feit dat hij een proces verbaal op zou stellen.

Je komt dit vooral tegen in combinatie met haantjes gedrag waar competentie klaarblijkelijk laakt. Vaak lijken ze te denken dat zo te verbloemen, maar dat is juist een van de weinige sterke indicatoren dat je met een niet-competente-IT'er te maken hebt als hij, zeker onderbouwende, kritiek niet kan gebruiken in constructieve vorm.

Zelf doe ik daar mijn eigen ding mee en heb wel eens bij zo'n "contact" het gesprek opgenomen en die raaskal rechtstreeks aan de leidinggevende laten horen. In twee van de drie gevallen waren de betrokken mensen nagenoeg direct uit hun functie ontheven (tip!)
07-04-2017, 10:27 door Ron625
Door Anoniem: Ik snap überhaupt niet waarom zulke informatie zonodig publiekelijk moet worden gemaakt.
Omdat hun salaris en de infra-structuur door ons betaald zijn?
Omdat ze voor de burgers werken en dus verantwoording verschuldigd zijn aan de burgers?
Omdat ze voldoende tijd gehad hebben om maatregelen te nemen, maar dit niet gedaan hebben?
Omdat anders een beroep gedaan (kan) word(t)(en) op de WOB?
Omdat veiligheid één van de belangrijkste dingen in het leven is, en het dus iedereen aan gaat?
07-04-2017, 12:00 door karma4 - Bijgewerkt: 07-04-2017, 19:05
Door W.T.: Bovenstaande tekst slaat alleen maar op Rotterdam. Hoe zou het in alle andere grote en middelgrote steden zijn? Net zo beroerd of nog erger?
Ga maar van een gangbare aanpak in elke organisatie uit. Lees het rapportt (toch openbaar) https://rekenkamer.rotterdam.nl/app/uploads/2017/04/R.O.16.03-in-onveilige-handen-06.04.2017.pdf

"Desalniettemin heeft onvoldoende centrale sturing plaatsgevonden op informatieveiligheid.
a De in het beleid voorgeschreven PDCA-cyclus wordt niet gevolgd. Er wordt onvoldoende gemonitord op tussentijdse resultaten en daarnaar gehandeld."
en
"De voorgeschreven dataclassificaties hebben niet juist en volledig plaatsgevonden. Hierdoor is onbekend welke gegevens kwetsbaar zijn voor misbruik."

Deze vind ik wel wonderlijk
"7 In het geval van het datalek zijn te weinig mogelijke lessen getrokken.
Door het datalek in februari 2016 waren persoonsgegevens van 32.000 personen tijdelijk via internet te bereiken. Zowel de medewerker die het lek veroorzaakte als de gemeente hebben na het bekend worden van het datalek meteen acties ondernomen om het lek te dichten en relevante partijen te informeren."
Uitwerking pagina 46 aanduiding 3-2.

De gemeente Oegstgeest gaf namelijk aan in de voorlichting naar de burgers dat ze behalve dat ze van het datalek op de hoogte zijn gesteld niets wisten of het hoe en wat.(bewerkers taak).
Het CMI van BZK (4 fte) stelde dat de gemeente er niet veel aan kon doen en dat een deugdelijke controle op persoon (wab artikel 12 ) niet ingevuld hoeft te worden. Tja BZK CMI is verantwoordelijk voor vastleggen en uitgeven id-bewijzen https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/documenten/formulieren/2014/10/23/meldingsformulier-identiteitsfraude https://www.rvig.nl/documenten/brochures/2015/02/20/het-centraal-meldpunt-identiteitsfraude-en-fouten-cmi
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.