Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Ethische hacker dringt ICT-Arnhem binnen

18-05-2018, 00:29 door [Account Verwijderd], 12 reacties
De beveiliging van computersystemen van de gemeente Arnhem bleek zo lek als een mandje. Een ingehuurde ethische hacker wist het systeem binnen te dringen en kreeg de rechten van een systeembeheerder, waardoor hij toegang kreeg tot de complete infrastructuur van de gemeente Arnhem. Op die manier kon de ethische hacker toegang krijgen tot privacy-gevoelige informatie van burgers, ambtenaren én bestuurders. Dit was dus inclusief de informatie van het college van Burgemeester en Wethouders die door de hacker te bewerken was.

Het college zegt geschrokken te zijn van de bevindingen en heeft gezegd dat dit nooit zover had mogen komen.

Meer informatie is te lezen op de website van de gemeente Arnhem:
https://www.arnhem.nl/actueel/alle_nieuwsberichten:R-hsF1b7T5SC7K5T8o4zOA/Reactie_van_het_college_van_burgemeester_en_wethouders_op_onderzoek_naar_informatieveiligheid

En ook op NU.nl staat een artikel hierover:
https://www.nu.nl/internet/5270408/computersystemen-gemeente-arnhem-gevoelig-hackers.html
Reacties (12)
18-05-2018, 02:08 door Anoniem
Had ie daar uitdrukkelijke schriftelijke toestemming gehad?
Of is tie iets doorgeschoten.
18-05-2018, 04:28 door Anoniem
Het ging dus om een aanval van binnenuit. Dat is vaak makkelijker dan van buitenaf maar de claim dat men veilig is voor aanvallen van buitenaf lijkt mij dubieus. Ik ga er van uit dat een deel van de medewerkers toch email moet ontvangen of het internet wil browsen. Een goede phish zal je waarschijnlijk wel een stepping stone naar het interne net opleveren.
18-05-2018, 08:47 door Anoniem
Je kan jezelf nog zo hard "democratisch" en "volksrepubliek" noemen, het maakt je geen van beiden.
Je kan jezelf nog zo hard "ethisch" en "hacker" noemen, het maakt je geen van beiden.

De technische term is "pentester", en het enige wat zo iemand inhuren je vertelt is dat'ie wat gevonden heeft; of als'ie niets vindt, dat'ie niets gevonden heeft. Het zegt niets over hoeveel er nog meer te vinden is.

Dat er wat te vinden is, is niet verbazend. De hele stack van hardware, via firmware, besturingssoftware, tussensoftware, applicatiesoftware en zo verder, het zit vol met gaten en zwakheden. Dat als je administratieve toegang te pakken krijgt je overal toegang toe hebt is ook al niet verbazend, zo zijn de systemen opgezet. Dat dit te doen is, nouja gaten in de software of zelfs een simpele misconfiguratie want meestal worden de goedkoopste mensen die nog net kunnen wat er van ze verwacht wordt ingehuurd. Systeembeheer voor een enkel machientje kun je wel door MBOers laten doen maar voor een hele organisatie wordt dat snel anders, gewoon omdat de complexiteit toeneemt met de grootte.

Dit weten we al jaren. Iedereen die het niet wist had het op z'n vingers na kunnen tellen. Waarmee deze sensatie de gebruikelijke s'kiddie-hype is waar de security industrie zichzelf relevant mee probeert te maken. Het werkt al 30 jaar niet. Erger nog, je hebt helemaal niets aan zulke aankondigingen. Je zou denken van wel, maar in de praktijk toch niet. Het grotere gevaar is niet dat deze gemeente nu met de billen bloot gaat, maar al die andere gemeentes die dat nog niet gegaan zijn. En alweer, je weet absoluut niet of hiermee de kous af is.

Waarmee we onszelf met zulke berichtjes in slaap sussen dat er toch iets gebeurt dus moet het wel de goede richting op gaan... alleen dat doet het dus niet. Maar toch weer mooi in het nieuws geweest en jezelf als "ethisch" en "hacker" weggezet. Goed gedaan hoor, maar je bent en blijft een poser, een s'kiddie, en onderdeel van het probleem.
18-05-2018, 09:09 door MathFox
Geslaagde pentest, het falen van de beheersorganisatie is blootgelegd. Met deze resultaten is het terecht dat er op het hoogste nivo aandacht voor de problemen is.

Ik lees dat er al maatregelen genomen zijn; laten we volgend jaar eens hertesten.
18-05-2018, 11:27 door Anoniem
Door MathFox: Geslaagde pentest, het falen van de beheersorganisatie is blootgelegd. Met deze resultaten is het terecht dat er op het hoogste nivo aandacht voor de problemen is.

Ik lees dat er al maatregelen genomen zijn; laten we volgend jaar eens hertesten.
En wanneer dezelfde pentester niets vindt, misschien iemand van een heel ander bedrijf ook eens laten testen. Verschillende werkwijzen kunnen verschillende resultaten opleveren en 2 zien meer dan 1.
18-05-2018, 12:12 door MathFox
Door Anoniem:
Door MathFox: Geslaagde pentest, het falen van de beheersorganisatie is blootgelegd. Met deze resultaten is het terecht dat er op het hoogste nivo aandacht voor de problemen is.

Ik lees dat er al maatregelen genomen zijn; laten we volgend jaar eens hertesten.
En wanneer dezelfde pentester niets vindt, misschien iemand van een heel ander bedrijf ook eens laten testen. Verschillende werkwijzen kunnen verschillende resultaten opleveren en 2 zien meer dan 1.
Eens! Ik verwacht eigenlijk dat het college een andere pentester inhuurt wanneer de beheersorganisatie meldt de zaken op orde te hebben, kan de rekenkamer later nog eens een hertest door de oorspronkelijke tester laten doen.
18-05-2018, 12:12 door Anoniem
Het door een enkele pentester laten testen heeft idd niet zo veel nut. Minstens een team maar het liefst zoiets als HackerOne maar dan moet je wel goede beloning kunnen bieden. Voor overheid onbegonnen werk tenzij men nog meer belastinggeld wil uitgeven. Dan kan men beter meer centraal proberen te regelen of dmv samenwerken. Nu zal waarschijnlijk elke gemeente het wiel opnieuw uitvinden. Maar idd de afgelopen 30 jaar is er helaas te weinig veranderd en zijn we alleen maar kwetsbaarder geworden.
18-05-2018, 13:41 door karma4
Het lijkt er op dat men de gangbare bekende pentesten voor aanvallers met Cyber tools in beeld had. Deze waren opgepakt.

Waar het dan mis gaat is het onverwacht gebruik op andere manieren. In dit geval vanuit de interne fysieke locatie. Wat zou nog meer als een alternatief aanvalspunt open kunnen staan?
18-05-2018, 15:16 door Anoniem
Door MathFox: Geslaagde pentest, het falen van de beheersorganisatie is blootgelegd. Met deze resultaten is het terecht dat er op het hoogste nivo aandacht voor de problemen is.

Ik lees dat er al maatregelen genomen zijn; laten we volgend jaar eens hertesten.

Ik wacht nu op de beloofde goed betaalde IT banen of is de "pentest" bedoeld om een punt te demonstreren? In dit geval is het een (nutteloze) stunt te noemen.
18-05-2018, 15:51 door Anoniem
Door Anoniem: Waarmee we onszelf met zulke berichtjes in slaap sussen dat er toch iets gebeurt dus moet het wel de goede richting op gaan... alleen dat doet het dus niet. Maar toch weer mooi in het nieuws geweest en jezelf als "ethisch" en "hacker" weggezet. Goed gedaan hoor, maar je bent en blijft een poser, een s'kiddie, en onderdeel van het probleem.

Niemand zet zichzelf als ethisch en hacker weg, dat doet het persbericht. En zonder te weten wat hoe het precies in zijn werk ik gegaan iemand afserveren als poser, scriptkiddie en onderdeel van het probleem gaat ook volledig onnodig lekker kort door de bocht. Opbouwen is moeilijk, afbreken des te makkelijker. Jammer dat ik in heel je bericht niets opbouwends tegenkom, terwijl je daar misschien wel ideeën over hebt. Het maakt je post onnodig betweterig en uit de hoogte. Probeer het anders nog een keer.
18-05-2018, 16:50 door Anoniem
Zodra je toegang hebt tot GRUB in een Virtuele Machine, in wat voor cloud dan ook, een eenvoudige reboot afwachten.

The passwd command changes passwords for user accounts. A normal user
may only change the password for his/her own account, while the
superuser may change the password for any account. passwd also
changes the account or associated password validity period.
18-05-2018, 16:51 door Anoniem
Door Anoniem: Had ie daar uitdrukkelijke schriftelijke toestemming gehad?
Of is tie iets doorgeschoten.
Als je ' passwd ' invoert op een systeem zonder paswoord 'et al' ???
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.