Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Erasmusbrug
Volgens RTV Rijnmond was de sierverlichting voor de Erasmusbrug via Internet bereikbaar: https://www.rijnmond.nl/nieuws/200978/Beveiliging-faalt-en-plotseling-verschoot-de-Erasmusbrug-van-kleur. Geen wachtwoord nodig.
Aan het artikel heb ik niet veel meer toe te voegen...
Aan het artikel heb ik niet veel meer toe te voegen...
Reacties (13)
Leuk maar het is maar een lamp en niets meer dan dat.
Dat dit op een belangrijke brug schijnt wil niet zeggen dat infrastructuur in gevaar is.
De dingen worden met elkaar gecombineerd en dan lijkt het opeens kritisch terwijl het niets meer is dan grote versie van Gamma ledverlichting van 20 euro in de redactie zijn kinderkamer wanneer er weer onnodig gemodereerd moet worden.
De verlichting verandert dan van geel naar zwart naar geel naar zwart.
Dat dit op een belangrijke brug schijnt wil niet zeggen dat infrastructuur in gevaar is.
De dingen worden met elkaar gecombineerd en dan lijkt het opeens kritisch terwijl het niets meer is dan grote versie van Gamma ledverlichting van 20 euro in de redactie zijn kinderkamer wanneer er weer onnodig gemodereerd moet worden.
De verlichting verandert dan van geel naar zwart naar geel naar zwart.
Door Anoniem: Leuk maar het is maar een lamp en niets meer dan dat.
Dat dit op een belangrijke brug schijnt wil niet zeggen dat infrastructuur in gevaar is.
De dingen worden met elkaar gecombineerd en dan lijkt het opeens kritisch terwijl het niets meer is dan grote versie van Gamma ledverlichting van 20 euro in de redactie zijn kinderkamer wanneer er weer onnodig gemodereerd moet worden.
De verlichting verandert dan van geel naar zwart naar geel naar zwart.
Dat dit op een belangrijke brug schijnt wil niet zeggen dat infrastructuur in gevaar is.
De dingen worden met elkaar gecombineerd en dan lijkt het opeens kritisch terwijl het niets meer is dan grote versie van Gamma ledverlichting van 20 euro in de redactie zijn kinderkamer wanneer er weer onnodig gemodereerd moet worden.
De verlichting verandert dan van geel naar zwart naar geel naar zwart.
Leuk, Leuk? LEUK??
Overzie je nu écht niet wat voor signaalwerking TS hiervan tracht te laten uitgaan? Zo ongeveer wel de gehele technische maatschappelijke infrastructuur is een gigantische IT gestuurde systematiek net als de gekleurde lampjes op die brug.
Water dat bij jou uit de kraan komt?
IT ligt eraan ten grondslag om dit te laten gebeuren.
Afwalwater dat bij jou vanuit de gootsteen weg kan via het riool?
IT ligt eraan ten grondslag om dit te laten gebeuren.
Straatverlichting?
IT ligt eraan ten grondslag om dit te laten gebeuren.
Liftbesturing in (openbare) gebouwen?
IT ligt eraan ten grondslag om dit te laten gebeuren.
ATB (Automatische Trein Beïnvloeding) een landelijk netwerk t.b.v. de veilgheid op het spoor?
IT ligt eraan ten grondslag om dit te laten gebeuren.
Stormvloedkeringen?
IT ligt eraan ten grondslag om dit te laten gebeuren.
Door Anoniem: Leuk maar het is maar een lamp en niets meer dan dat.
Dat dit op een belangrijke brug schijnt wil niet zeggen dat infrastructuur in gevaar is.
De dingen worden met elkaar gecombineerd en dan lijkt het opeens kritisch terwijl het niets meer is dan grote versie van Gamma ledverlichting van 20 euro in de redactie zijn kinderkamer wanneer er weer onnodig gemodereerd moet worden.
De verlichting verandert dan van geel naar zwart naar geel naar zwart.
Dat dit op een belangrijke brug schijnt wil niet zeggen dat infrastructuur in gevaar is.
De dingen worden met elkaar gecombineerd en dan lijkt het opeens kritisch terwijl het niets meer is dan grote versie van Gamma ledverlichting van 20 euro in de redactie zijn kinderkamer wanneer er weer onnodig gemodereerd moet worden.
De verlichting verandert dan van geel naar zwart naar geel naar zwart.
Als de beheerder van deze lampjes hier beveiliging niet belangrijk vindt, wat zegt dat dan over de rest van de spullen?
De eigenaar van dit bruggetje is de gemeente Rotterdam, is de rest van de ICT bij de gemeente Rotterdam net zo goed beveiligd?
Zijn de andere projecten vna dit bedrijf ook aan internet aangesloten? Ik denk dat ze vandaag weinig rust zullen hebben.
Door Piet Slagwerker:
Overzie je nu écht niet wat voor signaalwerking TS hiervan tracht te laten uitgaan? Zo ongeveer wel de gehele technische maatschappelijke infrastructuur is een gigantische IT gestuurde systematiek net als de gekleurde lampjes op die brug.
Ik ben het met anoniem eens dat het artikel het heeft over onvoldoende beveiligde feestverlichting: Login-bypass die vanaf het Internet te benutten is. Op een website waarmee de verlichting op meerdere plaatsen aan te sturen is.Door Anoniem: Leuk maar het is maar een lamp en niets meer dan dat.
Dat dit op een belangrijke brug schijnt wil niet zeggen dat infrastructuur in gevaar is.
Leuk, Leuk? LEUK??Dat dit op een belangrijke brug schijnt wil niet zeggen dat infrastructuur in gevaar is.
Overzie je nu écht niet wat voor signaalwerking TS hiervan tracht te laten uitgaan? Zo ongeveer wel de gehele technische maatschappelijke infrastructuur is een gigantische IT gestuurde systematiek net als de gekleurde lampjes op die brug.
Nee, niet direct een "laten we een polder onderlopen" effect. Wel een bug die me doet vermoeden dat er een totaal ongeschikt systeem aan Internet is gehangen, waar als doekje voor het bloeden een inlogscherm voor geplaatst is. Ik zie het als "ter lering en vermaak" voor de beveiligingsprofessionals. Bij mij als programmeur borrelde iets op als "**** hoe kun je zoiets **** bedenken, maken en dan **** ook nog aan het Internet hangen".
Advies aan Anoniem@18:21: DON'T DO THIS; NEVER DO SOMETHING LIKE THIS!
Ik zou het terecht vinden als de gemeente Rotterdam haar geld terugvraagt.
Door MathFox:
Nee, niet direct een "laten we een polder onderlopen" effect. Wel een bug die me doet vermoeden dat er een totaal ongeschikt systeem aan Internet is gehangen, waar als doekje voor het bloeden een inlogscherm voor geplaatst is. Ik zie het als "ter lering en vermaak" voor de beveiligingsprofessionals. Bij mij als programmeur borrelde iets op als "**** hoe kun je zoiets **** bedenken, maken en dan **** ook nog aan het Internet hangen".
Advies aan Anoniem@18:21: DON'T DO THIS; NEVER DO SOMETHING LIKE THIS!
Ik zou het terecht vinden als de gemeente Rotterdam haar geld terugvraagt.
Door Piet Slagwerker:
Overzie je nu écht niet wat voor signaalwerking TS hiervan tracht te laten uitgaan? Zo ongeveer wel de gehele technische maatschappelijke infrastructuur is een gigantische IT gestuurde systematiek net als de gekleurde lampjes op die brug.
Ik ben het met anoniem eens dat het artikel het heeft over onvoldoende beveiligde feestverlichting: Login-bypass die vanaf het Internet te benutten is. Op een website waarmee de verlichting op meerdere plaatsen aan te sturen is.Door Anoniem: Leuk maar het is maar een lamp en niets meer dan dat.
Dat dit op een belangrijke brug schijnt wil niet zeggen dat infrastructuur in gevaar is.
Leuk, Leuk? LEUK??Dat dit op een belangrijke brug schijnt wil niet zeggen dat infrastructuur in gevaar is.
Overzie je nu écht niet wat voor signaalwerking TS hiervan tracht te laten uitgaan? Zo ongeveer wel de gehele technische maatschappelijke infrastructuur is een gigantische IT gestuurde systematiek net als de gekleurde lampjes op die brug.
Nee, niet direct een "laten we een polder onderlopen" effect. Wel een bug die me doet vermoeden dat er een totaal ongeschikt systeem aan Internet is gehangen, waar als doekje voor het bloeden een inlogscherm voor geplaatst is. Ik zie het als "ter lering en vermaak" voor de beveiligingsprofessionals. Bij mij als programmeur borrelde iets op als "**** hoe kun je zoiets **** bedenken, maken en dan **** ook nog aan het Internet hangen".
Advies aan Anoniem@18:21: DON'T DO THIS; NEVER DO SOMETHING LIKE THIS!
Ik zou het terecht vinden als de gemeente Rotterdam haar geld terugvraagt.
Ja, dat ook, maar dat wat je aanhaalt: "vermoeden dat er een totaal ongeschikt systeem aan Internet is gehangen" is precies wat mij ook veel meer zorgen baart dan weer eens vergooid geld uit algemene middelen.
Men levert een digitaal product; de gebruiker hangt het aan het internet, en later zien we wel waar het niet goed gaat (of niet) En dat in tweeledige zin: óf het deugt niet: De ene bug houd de andere in stand, óf het boeit ons niet want het is zo gewonnen zo geronnen.
Vervloekt denk ik dan. Houd het dan nooit op?
Blijven er dan toch programmeurs een al of niet bewuste nonchalance voortzettten door structureel te veronachtzamen de gouden regel: compileer geen vervuilde bits aan elkaar voor gebruik op het Internet.
Het is verdikkie toch geen digidump!
Testen, testen en nog een testen in een afgebakende omgeving en als je daar onvoldoende tijd voor hebt of een legitieme reden hebt dat niet of onvoldoende te kunnen doen... houd dan de eer aan jezelf, daarmee verdien je respect!
Het Internet is al een wildpark zonder god noch gebod; een runaway train, een verkeersader zonder verkeersregelaar.
11-11-2020, 00:48 door
MathFox
Door Piet Slagwerker:
Ja, dat ook, maar dat wat je aanhaalt: "vermoeden dat er een totaal ongeschikt systeem aan Internet is gehangen" is precies wat mij ook veel meer zorgen baart dan weer eens vergooid geld uit algemene middelen.
Men levert een digitaal product; de gebruiker hangt het aan het internet, en later zien we wel waar het niet goed gaat (of niet) En dat in tweeledige zin: óf het deugt niet: De ene bug houd de andere in stand, óf het boeit ons niet want het is zo gewonnen zo geronnen.
Vervloekt denk ik dan. Houd het dan nooit op?
Blijven er dan toch programmeurs een al of niet bewuste nonchalance voortzettten door structureel te veronachtzamen de gouden regel: compileer geen vervuilde bits aan elkaar voor gebruik op het Internet.
Het is mijn ervaring dat dit soort zaken vanuit de afdeling "verkoop" geïnitialiseerd en via "management" doorgedrukt worden. Technisch advies wordt terzijde gelegd omdat het op korte termijn (voor de volgende carrièrestap van de manager) geen geld oplevert. [Als ik cynisch klink: cynisme komt met ervaring.]Ja, dat ook, maar dat wat je aanhaalt: "vermoeden dat er een totaal ongeschikt systeem aan Internet is gehangen" is precies wat mij ook veel meer zorgen baart dan weer eens vergooid geld uit algemene middelen.
Men levert een digitaal product; de gebruiker hangt het aan het internet, en later zien we wel waar het niet goed gaat (of niet) En dat in tweeledige zin: óf het deugt niet: De ene bug houd de andere in stand, óf het boeit ons niet want het is zo gewonnen zo geronnen.
Vervloekt denk ik dan. Houd het dan nooit op?
Blijven er dan toch programmeurs een al of niet bewuste nonchalance voortzettten door structureel te veronachtzamen de gouden regel: compileer geen vervuilde bits aan elkaar voor gebruik op het Internet.
Ik zie dit als een (kleurrijk) schijnend voorbeeld van het Io(Shi)T: Internet connected Shit (Things).
Ik ben een ervaren programmeur en gecertificeerd tester. Ik heb "de nodige kennis" over computerbeveiliging. Goed en veilig programmeren is niet simpel. Goed (functioneel) testen is ook niet simpel en veel programmeurs hebben daar nooit een behoorlijke training in gehad.
Testen op veiligheidslekken is moeilijk. Het vereist een manier van kijken naar dingen die zowel bij testers als programmeurs zeldzaam is. (Ik ben het met iedereen eens die zegt dat ontwerp- en code- reviews heel belangrijk zijn bij het opsporen van veiligheidsfouten.) Met het testen van het eindproduct [black-box] kun je niet binnen redelijke termijn vaststellen dat een device zonder veiligheidsgaten is.
11-11-2020, 09:37 door
User2048
Door MathFox:
Testen op veiligheidslekken is moeilijk. Het vereist een manier van kijken naar dingen die zowel bij testers als programmeurs zeldzaam is. (Ik ben het met iedereen eens die zegt dat ontwerp- en code- reviews heel belangrijk zijn bij het opsporen van veiligheidsfouten.) Met het testen van het eindproduct [black-box] kun je niet binnen redelijke termijn vaststellen dat een device zonder veiligheidsgaten is.
Testen op veiligheidslekken is moeilijk. Het vereist een manier van kijken naar dingen die zowel bij testers als programmeurs zeldzaam is. (Ik ben het met iedereen eens die zegt dat ontwerp- en code- reviews heel belangrijk zijn bij het opsporen van veiligheidsfouten.) Met het testen van het eindproduct [black-box] kun je niet binnen redelijke termijn vaststellen dat een device zonder veiligheidsgaten is.
Helemaal mee eens. Ik denk zelfs dat er geen device zonder veiligheidsgaten is.
Maar als je met niets anders dan Shodan en een browser zo'n fout kunt vinden, dan had de opdrachtgever dit ook kunnen voorkomen. Een ingehuurde pentester had dit binnen een paar minuten ontdekt.
Een hoop mensen hebben het hier over programmeren en aanpassen van software enz enz maar ze vergeten daarbij
dat je zo'n lamp aan-uit systeem helemaal niet programmeert maar gewoon koopt. Je hoeft hooguit ergens wat te
configureren om leuke naampjes aan je lampen te hangen (zoals de kleur van de lamp) en je kunt effecten configureren.
Daar komt allemaal geen programmeur aan te pas.
Dat het vaak niet erg goed beveiligd is dat klopt wel, advies is: zet er gewoon een VPN routertje voor als je twijfelt
over de veiligheid. Dat kost ook maar een paar tientjes extra. VPN op de tablet en klaar ben je, de beveiliging van
de controller zelf is dan verder niet relevant.
dat je zo'n lamp aan-uit systeem helemaal niet programmeert maar gewoon koopt. Je hoeft hooguit ergens wat te
configureren om leuke naampjes aan je lampen te hangen (zoals de kleur van de lamp) en je kunt effecten configureren.
Daar komt allemaal geen programmeur aan te pas.
Dat het vaak niet erg goed beveiligd is dat klopt wel, advies is: zet er gewoon een VPN routertje voor als je twijfelt
over de veiligheid. Dat kost ook maar een paar tientjes extra. VPN op de tablet en klaar ben je, de beveiliging van
de controller zelf is dan verder niet relevant.
Door User2048:
Maar als je met niets anders dan Shodan en een browser zo'n fout kunt vinden, dan had de opdrachtgever dit ook kunnen voorkomen. Een ingehuurde pentester had dit binnen een paar minuten ontdekt.
Het duurt wel even om de testomgeving op te zetten, maar dit is zeker iets dat een competente pen-tester binnen een dag vindt.Maar als je met niets anders dan Shodan en een browser zo'n fout kunt vinden, dan had de opdrachtgever dit ook kunnen voorkomen. Een ingehuurde pentester had dit binnen een paar minuten ontdekt.
Door Anoniem: Een hoop mensen hebben het hier over programmeren en aanpassen van software enz enz maar ze vergeten daarbij
dat je zo'n lamp aan-uit systeem helemaal niet programmeert maar gewoon koopt. Je hoeft hooguit ergens wat te
configureren om leuke naampjes aan je lampen te hangen (zoals de kleur van de lamp) en je kunt effecten configureren.
Daar komt allemaal geen programmeur aan te pas.
Je hebt gelijk dat Rotterdam deze kat in de zak gekocht heeft. Maar bij de (leverancier van de) leverancier zitten uiteindelijk wel programmeurs en websitebouwers die stukken van het systeem in elkaar gezet hebben.dat je zo'n lamp aan-uit systeem helemaal niet programmeert maar gewoon koopt. Je hoeft hooguit ergens wat te
configureren om leuke naampjes aan je lampen te hangen (zoals de kleur van de lamp) en je kunt effecten configureren.
Daar komt allemaal geen programmeur aan te pas.
Dat het vaak niet erg goed beveiligd is dat klopt wel, advies is: zet er gewoon een VPN routertje voor als je twijfelt
over de veiligheid. Dat kost ook maar een paar tientjes extra. VPN op de tablet en klaar ben je, de beveiliging van
de controller zelf is dan verder niet relevant.
Jij maakt hier zelf een van de fouten die ik in de "beveiliging" vaak zie: Je stelt een oplossing voor terwijl je geen of onvoldoende analyse gedaan hebt of de oplossing wel geschikt is. Als je het artikel van de RTL leest (bij de redactionele bijdragen) dan suggereert dat dat het webportaal ook ingekocht is en dat meer klanten van dit leveranciersportaal gebruik maken. Je lost (misschien) een veiligheidsprobleem op, maar creëert een gebruikersbeheer-probleem.over de veiligheid. Dat kost ook maar een paar tientjes extra. VPN op de tablet en klaar ben je, de beveiliging van
de controller zelf is dan verder niet relevant.
En als ik bij die bepaalde leverancier een schakelbare buitenlamp met webtoegang koop, dan krijg ik ook toegang tot de portalsite waarmee ik de Erasmusbrug kan schakelen.... Met of zonder VPN.
Door Anoniem:
......
Als de beheerder van deze lampjes hier beveiliging niet belangrijk vindt, wat zegt dat dan over de rest van de spullen?
De eigenaar van dit bruggetje is de gemeente Rotterdam, is de rest van de ICT bij de gemeente Rotterdam net zo goed beveiligd?Dit is inderdaad het eigenlijke punt.
Het lampje van de brug zelf is niet zo spannend. En behalve dat dit iets zegt over het bewustzijn rond informatiebeveiliging, is ook interessant on te analyseren welke risico's hier er meer hebben gepeeld. De lamp zelf is onschuldig, maar als de aansturing van die lamp over hetzelfde netwerk gaat als systemen die meer kritisch zijn, dan kan zo'n onschuldig lamp-aanstuur-systeem gebruikt worden als stepping stone naar de kritische infrastructuur. Als dat het geval is, dan is het lek een stuk minder onschuldig dan dat het nu op het eerste gezicht lijkt.
......
Als de beheerder van deze lampjes hier beveiliging niet belangrijk vindt, wat zegt dat dan over de rest van de spullen?
De eigenaar van dit bruggetje is de gemeente Rotterdam, is de rest van de ICT bij de gemeente Rotterdam net zo goed beveiligd?
Het lampje van de brug zelf is niet zo spannend. En behalve dat dit iets zegt over het bewustzijn rond informatiebeveiliging, is ook interessant on te analyseren welke risico's hier er meer hebben gepeeld. De lamp zelf is onschuldig, maar als de aansturing van die lamp over hetzelfde netwerk gaat als systemen die meer kritisch zijn, dan kan zo'n onschuldig lamp-aanstuur-systeem gebruikt worden als stepping stone naar de kritische infrastructuur. Als dat het geval is, dan is het lek een stuk minder onschuldig dan dat het nu op het eerste gezicht lijkt.
Dit is toch wel weer een reden om voorzichtig te zijn met Internet-of-Things.
Men kan niet alles zomaar aan het internet hangen om op afstand "gemakkelijk" te kunnen beheren.
Alles wat "smart" is kan op een even "smarte" manier worden gecompromitteerd.
Smarte manier of smartelijke manier? ;)
Shodan is daar alleen maar een hulpje bij.
Smart-led lampjes in je gebouw centraal beheerd totdat een stukje malware de hele boel bliksemsnel infecteert.
Het hoeft niet het kan wel. Doe het air-gapped en beheer het secuur.
luntrus
Men kan niet alles zomaar aan het internet hangen om op afstand "gemakkelijk" te kunnen beheren.
Alles wat "smart" is kan op een even "smarte" manier worden gecompromitteerd.
Smarte manier of smartelijke manier? ;)
Shodan is daar alleen maar een hulpje bij.
Smart-led lampjes in je gebouw centraal beheerd totdat een stukje malware de hele boel bliksemsnel infecteert.
Het hoeft niet het kan wel. Doe het air-gapped en beheer het secuur.
luntrus
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
