Verlichtingssysteem Erasmusbrug niet beveiligd met wachtwoord
Het online bedieningssysteem van de Erasmusbrug en Hofpleinfontein in Rotterdam was niet beveiligd met een wachtwoord waardoor iedereen de kleuren van de brug en fontein kon aanpassen. Dat meldt RTL Nieuws na te zijn ingelicht door een anonieme tipgever. Die had via zoekmachine Shodan.io het online bedieningssysteem van de brugverlichting gevonden.
Shodan indexeert allerlei systemen die via internet toegankelijk zijn. De tipgever wist door op de term 'rotterdam' te zoeken het bedieningssysteem te vinden, het was één van de eerste resultaten. Het bedieningssysteem was via een ip-adres voor heel het internet bereikbaar. Bij alleen het opgeven van het ip-adres verscheen er een inlogpagina. Wanneer naast het ip-adres ook het juiste poortnummer werd opgegeven kon er meteen toegang tot het systeem worden verkregen.
RTL Nieuws wist op deze manier de kleuren van de brug aan te passen. Eerder had de tipgever al de kleuren van de Hofpleinfontein aangepast. "Uiteraard is het niet de bedoeling dat de sierverlichting door derden kan worden aangepast", zo stelt de gemeente Rotterdam in een reactie. De gemeente kijkt met de leverancier van het systeem wat moet worden gedaan om herhaling te voorkomen. Tot die tijd is het online bedieningssysteem buiten gebruik gesteld.
Reacties (13)
" De gemeente kijkt met de leverancier van het systeem wat moet worden gedaan om herhaling te voorkomen. Tot die tijd is het online bedieningssysteem buiten gebruik gesteld."
De leverancier en een batterij ambtenaren staan erbij en kijken ernaar...
Blijkbaar geen goede ict tot hun beschikking. Een tweak van 10 minuten op die kerstverlichting gaat een minstens week duren schat ik zo in.
De leverancier en een batterij ambtenaren staan erbij en kijken ernaar...
Blijkbaar geen goede ict tot hun beschikking. Een tweak van 10 minuten op die kerstverlichting gaat een minstens week duren schat ik zo in.
Deze was het: https://industrielicht.nl/projects/verlichting-erasmusbrug/
Je kan er ook een online-promo van maken om te laten zien dat Rotterdam wel hip is.
"Click here to change the colours of the Rotterdam Bridge".
Met een live-video eronder om het geheel in realtime te tonen.
Gegarandeerd bezoekers van over de hele wereld.
"Click here to change the colours of the Rotterdam Bridge".
Met een live-video eronder om het geheel in realtime te tonen.
Gegarandeerd bezoekers van over de hele wereld.
Door Anoniem: " De gemeente kijkt met de leverancier van het systeem wat moet worden gedaan om herhaling te voorkomen. Tot die tijd is het online bedieningssysteem buiten gebruik gesteld."
De leverancier en een batterij ambtenaren staan erbij en kijken ernaar...
Blijkbaar geen goede ict tot hun beschikking. Een tweak van 10 minuten op die kerstverlichting gaat een minstens week duren schat ik zo in.
Ja nu zeg je "simpel toch zet er een wachtwoord op en klaar" maar als ze dat gedaan hadden was het weer geweestDe leverancier en een batterij ambtenaren staan erbij en kijken ernaar...
Blijkbaar geen goede ict tot hun beschikking. Een tweak van 10 minuten op die kerstverlichting gaat een minstens week duren schat ik zo in.
"wellicht hebben statelijke actoren het systeem gecompromitteerd, het moet door de shredder gehaald worden en vervangen
door een nieuwe want zelfs als je hem reset naar factory defaults ben je niet zeker dat er geen chip geflashed is" oid...
Zo is het nooit goed hier.
11-11-2020, 08:19 door
Bitje-scheef
Door Anoniem: Je kan er ook een online-promo van maken om te laten zien dat Rotterdam wel hip is.
"Click here to change the colours of the Rotterdam Bridge".
Met een live-video eronder om het geheel in realtime te tonen.
Gegarandeerd bezoekers van over de hele wereld.
"Click here to change the colours of the Rotterdam Bridge".
Met een live-video eronder om het geheel in realtime te tonen.
Gegarandeerd bezoekers van over de hele wereld.
Ja vond ik ook.
11-11-2020, 09:09 door
-Peter-
Door Anoniem:
Door Anoniem: " De gemeente kijkt met de leverancier van het systeem wat moet worden gedaan om herhaling te voorkomen. Tot die tijd is het online bedieningssysteem buiten gebruik gesteld."
De leverancier en een batterij ambtenaren staan erbij en kijken ernaar...
Blijkbaar geen goede ict tot hun beschikking. Een tweak van 10 minuten op die kerstverlichting gaat een minstens week duren schat ik zo in.
Ja nu zeg je "simpel toch zet er een wachtwoord op en klaar".De leverancier en een batterij ambtenaren staan erbij en kijken ernaar...
Blijkbaar geen goede ict tot hun beschikking. Een tweak van 10 minuten op die kerstverlichting gaat een minstens week duren schat ik zo in.
Het artikel maakt duidelijk dat het waarschijnlijk niet eens zo gemakkelijk zal zijn om er een wachtwoord op te zetten. Als je een gewone http(s) verbinding maakt, kom je zo te zien op een standaard webserver MET authenticatie. De besturingssoftware voor de verlichting draait op een andere poort en zal gespecialiseerde software zijn waar je niet zo snel authenticatie in zult kunnen bouwen. Veel gebruikers hebben dit waarschijnlijk op hun lokale netwerk draaien, met een firewall naar de buitenwereld. Die zullen niet gecharmeerd zijn van het feit dat ze zich nu plotseling moeten authenticeren. Misschien hebben ze wel eigen software geschreven die op die poort hun verlichting aanstuurt. Die zou dan omgebouwd moeten worden naar een authenticatie schema.
Je kunt dan overwegen om authenticatie met een configuratieparameter in te kunnen stellen. Maar ook dat betekent een forse wijziging aan de applicatie. Met de kans dat je op sommige plaatsen vergeet een controle uit te voeren op die parameter en er nog steeds zaken kapot gaan.
En om dezelfde redenen kan het voor Rotterdam ook best lastig zijn om een firewall te gaan plaatsen. Als we het al niet hebben over bestelprocessen en goedkeuringen voor zoiets, weet je ook niet zeker of er vanuit het stadhuis niet wel verbinding gemaakt hoort te worden voor het aansturen van de verlichting. Of de Dienst Openbare Zaken of hoe dat in Rotterdam ook mag heten. Misschien is het zelfs zo dat de ambtenaren van die Dienst een tablet hebben, waarmee ze "lokaal" maar remote de verlichting aansturen.
Peter
Misschien moeten we een parlementaire enquite instellen naar het riscio waaraan de Rotterdamse burger jarenlang is blootgesteld.
Niet meer optreden > gewoon aftreden.
Niet meer optreden > gewoon aftreden.
Jaren geleden konden hackers camera's overnemen.
Nu de verlichting van een bruggetje.
Na een groot aantal jaren krijg je weer de krantenkoppen met als tekst, dat er weer iets op afstand is overgenomen omdat er geen wachtwoord beveiliging was ingesteld.
Nu de verlichting van een bruggetje.
Na een groot aantal jaren krijg je weer de krantenkoppen met als tekst, dat er weer iets op afstand is overgenomen omdat er geen wachtwoord beveiliging was ingesteld.
Door Anoniem: Misschien moeten we een parlementaire enquite instellen naar het riscio waaraan de Rotterdamse burger jarenlang is blootgesteld.
Niet meer optreden > gewoon aftreden.
Je bedoelt enquête.Niet meer optreden > gewoon aftreden.
Door -Peter-:
Het artikel maakt duidelijk dat het waarschijnlijk niet eens zo gemakkelijk zal zijn om er een wachtwoord op te zetten.
Door Anoniem:
Door Anoniem: " De gemeente kijkt met de leverancier van het systeem wat moet worden gedaan om herhaling te voorkomen. Tot die tijd is het online bedieningssysteem buiten gebruik gesteld."
De leverancier en een batterij ambtenaren staan erbij en kijken ernaar...
Blijkbaar geen goede ict tot hun beschikking. Een tweak van 10 minuten op die kerstverlichting gaat een minstens week duren schat ik zo in.
Ja nu zeg je "simpel toch zet er een wachtwoord op en klaar".De leverancier en een batterij ambtenaren staan erbij en kijken ernaar...
Blijkbaar geen goede ict tot hun beschikking. Een tweak van 10 minuten op die kerstverlichting gaat een minstens week duren schat ik zo in.
Het artikel maakt duidelijk dat het waarschijnlijk niet eens zo gemakkelijk zal zijn om er een wachtwoord op te zetten.
Dat is WEL makkelijk! Prak er een reverse proxy voor die authenticatie afhandeling doet. Hiermee hoeft er ook geen aanpassing in de applicatie gedaan te worden.
11-11-2020, 15:03 door
spatieman
*brugje open ** brugje dicht **brugje open ** brugje dicht *
Door -Peter-:
Het artikel maakt duidelijk dat het waarschijnlijk niet eens zo gemakkelijk zal zijn om er een wachtwoord op te zetten. Als je een gewone http(s) verbinding maakt, kom je zo te zien op een standaard webserver MET authenticatie. De besturingssoftware voor de verlichting draait op een andere poort en zal gespecialiseerde software zijn waar je niet zo snel authenticatie in zult kunnen bouwen. Veel gebruikers hebben dit waarschijnlijk op hun lokale netwerk draaien, met een firewall naar de buitenwereld. Die zullen niet gecharmeerd zijn van het feit dat ze zich nu plotseling moeten authenticeren. Misschien hebben ze wel eigen software geschreven die op die poort hun verlichting aanstuurt. Die zou dan omgebouwd moeten worden naar een authenticatie schema.
Je kunt dan overwegen om authenticatie met een configuratieparameter in te kunnen stellen. Maar ook dat betekent een forse wijziging aan de applicatie. Met de kans dat je op sommige plaatsen vergeet een controle uit te voeren op die parameter en er nog steeds zaken kapot gaan.
En om dezelfde redenen kan het voor Rotterdam ook best lastig zijn om een firewall te gaan plaatsen. Als we het al niet hebben over bestelprocessen en goedkeuringen voor zoiets, weet je ook niet zeker of er vanuit het stadhuis niet wel verbinding gemaakt hoort te worden voor het aansturen van de verlichting. Of de Dienst Openbare Zaken of hoe dat in Rotterdam ook mag heten. Misschien is het zelfs zo dat de ambtenaren van die Dienst een tablet hebben, waarmee ze "lokaal" maar remote de verlichting aansturen.
Peter
Door Anoniem:
Door Anoniem: " De gemeente kijkt met de leverancier van het systeem wat moet worden gedaan om herhaling te voorkomen. Tot die tijd is het online bedieningssysteem buiten gebruik gesteld."
De leverancier en een batterij ambtenaren staan erbij en kijken ernaar...
Blijkbaar geen goede ict tot hun beschikking. Een tweak van 10 minuten op die kerstverlichting gaat een minstens week duren schat ik zo in.
Ja nu zeg je "simpel toch zet er een wachtwoord op en klaar".De leverancier en een batterij ambtenaren staan erbij en kijken ernaar...
Blijkbaar geen goede ict tot hun beschikking. Een tweak van 10 minuten op die kerstverlichting gaat een minstens week duren schat ik zo in.
Het artikel maakt duidelijk dat het waarschijnlijk niet eens zo gemakkelijk zal zijn om er een wachtwoord op te zetten. Als je een gewone http(s) verbinding maakt, kom je zo te zien op een standaard webserver MET authenticatie. De besturingssoftware voor de verlichting draait op een andere poort en zal gespecialiseerde software zijn waar je niet zo snel authenticatie in zult kunnen bouwen. Veel gebruikers hebben dit waarschijnlijk op hun lokale netwerk draaien, met een firewall naar de buitenwereld. Die zullen niet gecharmeerd zijn van het feit dat ze zich nu plotseling moeten authenticeren. Misschien hebben ze wel eigen software geschreven die op die poort hun verlichting aanstuurt. Die zou dan omgebouwd moeten worden naar een authenticatie schema.
Je kunt dan overwegen om authenticatie met een configuratieparameter in te kunnen stellen. Maar ook dat betekent een forse wijziging aan de applicatie. Met de kans dat je op sommige plaatsen vergeet een controle uit te voeren op die parameter en er nog steeds zaken kapot gaan.
En om dezelfde redenen kan het voor Rotterdam ook best lastig zijn om een firewall te gaan plaatsen. Als we het al niet hebben over bestelprocessen en goedkeuringen voor zoiets, weet je ook niet zeker of er vanuit het stadhuis niet wel verbinding gemaakt hoort te worden voor het aansturen van de verlichting. Of de Dienst Openbare Zaken of hoe dat in Rotterdam ook mag heten. Misschien is het zelfs zo dat de ambtenaren van die Dienst een tablet hebben, waarmee ze "lokaal" maar remote de verlichting aansturen.
Peter
- Het artikel maakt duidelijk dat het waarschijnlijk…
- zal gespecialiseerde software zijn
- gebruikers hebben dit waarschijnlijk
- Misschien hebben ze wel eigen software geschreven
- Misschien is het zelfs zo dat de ambtenaren van
Wat een hoop onzekerheden zijn er toch in de wereld en ook in jouw redenatie......
Maar misschien is het toch wel makkelijker om te implementeren dan dat jij probeert voor te doen.
Door Anoniem:
Een herhaling van wat ik in een andere thread gezegd heb:Door -Peter-:
Het artikel maakt duidelijk dat het waarschijnlijk niet eens zo gemakkelijk zal zijn om er een wachtwoord op te zetten.
Dat is WEL makkelijk! Prak er een reverse proxy voor die authenticatie afhandeling doet. Hiermee hoeft er ook geen aanpassing in de applicatie gedaan te worden.Het artikel maakt duidelijk dat het waarschijnlijk niet eens zo gemakkelijk zal zijn om er een wachtwoord op te zetten.
En als ik bij die bepaalde leverancier een schakelbare buitenlamp met webtoegang koop, dan krijg ik ook toegang tot de portalsite waarmee ik de Erasmusbrug kan schakelen...
Daar moet die reverse proxy dan wel goed op geconfigureerd worden.Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
