vrijdag 24 februari 2012

Videoconference systemen van Defensie eenvoudig te hacken

Maandag de 20ste werd ik getipt door hacker @ntisec. Hij vertelt me iets bizars te hebben gevonden en weet niet wat hij ermee aan moet. Hij verteld me dat Anonymous op zoek is gegaan naar gaten bij de overheid, deze gevonden heeft, en deze nu graag wil melden, om zo de overheid te helpen. Echter is deze vondst mogelijk van een dermate hoog kaliber dat ook @ntisec zijn vingers hier liever niet aan wil branden. Ik vertel hem de gegevens te willen bekijken om vervolgens te besluiten wat ik er mee doe.

@ntisec stuurt mij via allerlei encrypted wegen een handleiding van een video conference systeem, en een ip adres. De opdracht luidt: "log in met het default wachtwoord op dit ip."

Het resultaat is schokkend. Ik kom terecht op het video conference systeem van de Directeur Marinebedrijf CDRT dr. ir. A.J. de Waard.

Hoewel de toegang tot het systeem beveiligd is met een username en wachtwoord is het natuurlijk niet erg handig om de default hiervoor te gebruiken welke in een -overal on the webz beschikbare- handleiding staat. Sterker nog, het systeem heeft geen enkele afweer tegen bijvoorbeeld een bruteforce attack. In dit geval kunnen we stellen dat vrijwel alle routers in Nederland -dus ook die bij u thuis- beter beveiligd zijn. Want die is namelijk vrijwel altijd geheel niet toegankelijk via het internet, laat staan dat we die kunnen bruteforcen.

Buiten het feit dat het erg interessant is dat we nu bij een video conference systemen kunnen van een directeur, notabene een bij het ministerie van defensie, wordt het pas echt leuk als we gaan kijken in het adresboek:

We komen een lijstje tegen met verschillende ip nummers en telefoonnummers. Als we naar de corresponderende namen kijken weten we direct welke kazernes het zijn... Wat die "Warroom" in Den Haag nu precies is, daar kunnen we alleen maar naar gissen natuurlijk. *kuch*

Ik loop het lijstje na om te checken of ik hier niet voor de gek wordt gehouden. Ik controleer de ip nummers en de login gegevens:
BELGIE: ADSL Lijn van skynet.be -offline
DMO @ Den Haag_NL: BINGO! Defensie Materieel Organisatie -offline
DMO TMO: BINGO! Commando DienstenCentra -offline
Den Haag: BINGO! Koninklijke Luchtmacht -ONLINE
Force Vision @ Den Helder-NL: BINGO! CAMS-Force Vision -ONLINE
KSG @ Vlissingen-NL: Zeelandnet lijn (Header -> BINGO!) -ONLINE
LCW @ Woensdrecht-NL: BINGO! Commando DienstenCentra -offline
Testsite @ US: Klopt, inderdaad een testsite. -offline
Warroom @ Den Haag-NL: BINGO! Commando DienstenCentra -offline

Het is zo goed als uitgesloten dat iemand dit voor de lol in elkaar heeft geknutseld. 4 sites geven een login mogelijkheid, en ook deze sites hangen dus blijkbaar aan het internet. De sites geven daarbij keurig weer welke software er achter draait, en in alle gevallen was dit inderdaad videoconference software. Ik heb kunnen constateren dat men het wachtwoord zo vaak mag proberen als men wil. Bruteforce wordt hier dus ook wel weer heeeul makkelijk gemaakt.

De woordvoerder van defensie reageert (uiteraard) wat terughoudend en beweert dat de systemen zelden gebruikt worden. En hoewel wij dus zelf geen videoconferencing hebben mee gekeken dan wel mee geluisterd, leert de logging van het systeem ons het volgende.
De logging van 20 Feb t/m 21 Feb (en ik skip bizar veel):
Feb 20 15:31:18 VLC_readyConfigureOutput_Cnf: Waiting for VPE to configure output HDMI 1...
Feb 21 09:14:48 VLC_readyGateQueryOutput_Cnf: PnP configure HDMI 2 to 1920x1080@60Hz HDMI
Feb 21 09:15:24 Received SourceFormatEvent from video link 17 (1280x720@60, digital, ok)
Feb 21 09:16:23 _call::makeOutgoingCall : Sending call request src uri='h232:[--IP:Den Haag--]' to src uri='h232[--IP:Force Vision--]'
Feb 21 16:00:47 LocalVideoInputGate::setIncomingMode (ig=1) res=1280x720@6000

En doet dit toch wel iets anders vermoeden. Evenals wat bronnen binnen defensie ons bevestigen.

Laten we wel zijn, dit is niet niets, en door het huidige afschrikwekkende effect van alle hackers die veroordeelt worden om simpele hacks, lijkt men wel gek bovenstaande feiten te melden. Echter doe ik het wel. Ik vind dat het mogelijk moet zijn in dit land dit soort problemen aan de kaak te stellen. Als Anonymous onze conference calls al kan mee luisteren, kan een Cyber leger dat al helemaal. We zouden als Nederland erg naïef zijn wanneer het niet mogelijk is dit soort problemen (zonder consequenties) te kunnen melden. En mocht er ooit oorlog uitbreken, dan zullen we waarschijnlijk direct op deze -stomme- blaren zitten.

Ik wil met dit blog wederom een statement maken. De Nederlandse overheid veroordeelt veel jeugdige hackers, wat hen een baan in de security industrie onmogelijk maakt. Echter zijn dít juist de jonge gemotiveerde personen die de overheid vooruit kúnnen en wíllen helpen!


Reactie defensie:
We zijn er uit.

Een onderhoudsbedrijf van Defensie heeft ooit zeven vtc-systemen
aangeschaft voor zichzelf. Deze systemen draaien op het reguliere,
publieke internet. De cyber-veiligheidsafdeling van Defensie waarschuwt
tegen dergelijke systemen, omdat die makkelijk gehackt kunnen worden. En
dat blijkt.

Defensie betreurt het dat met dit voorval de schijn van onveiligheid kan
zijn gewekt, maar we benadrukken dat het eigen netwerk nooit in gevaar
is geweest.

Mvg

*hatsjoe*

Voor dit blog heb ik supervisie van De Volkskrant in geroepen, in persoon van Victor de Kok, om dit veilig naar buiten te kunnen brengen.

5 opmerkingen:

  1. Ik kan maar een ding zeggen....O my God

    BeantwoordenVerwijderen
  2. Thanks for sharing
    Looking for Vertel Digitalky, Max Wireless is well named known for providing Vertel Digitalky in Delhi/NCR. We have an extensive variety of amazing Walky Talky At Maxxwireless.It includes key components, for example, LCD show, 16 channels and up to 4 km extend. Maxwireless is Best Motorola Walky Talky Providers in Delhi NCR.
    For more details : http://www.maxxwireless.in/vertel.html

    BeantwoordenVerwijderen
  3. TESTIMONY TESTIMONY TESTIMONY Hello friends!!! My name is Jeff Chandler. I want to testify of the good Loan Lender who showed light to me after been scammed by 3 different Internet international lender, they all promise to give me a loan after making me pay a lot of fees which yield nothing and amounted to no positive result. I lost my hard earn money and it was a total of $1,000.00. One day I was browsing through the internet looking frustrated when I came across a testimony of a woman who was also scammed and eventually got linked to a legit loan company called mr peter Loan Company and where she finally got her loan, so I decided to contact the same loan company and then told them my story on how I have been scammed by 3 different lenders who did nothing but to cause me more pain. I explain to the company by whattsApp (+2349063879939) you can also Email the company on their Email Address on (peterloanfirmcompany112@gmail.com (mailto:peterloanfirmcompany112@gmail.com)) and all they told me was to cry no more because I will get my loan in their company and also I have made the right choice of contacting them. I filled the loan application form and proceeded with all that was requested of me and to my greatest astonishment I was given a loan amount of $580,000.00 US Dollars at a very low interest rate of 4% by this great Company. if there is anyone who is also in need of an urgent loan should kindly whattsapp this great loan company offers on (+2349063879939) or kindly email them. (peterloanfirmcompany112@gmail.com (mailto:peterloanfirmcompany112@gmail.com)) managed by mr peter loan a God fearing man and here I am today happy because this company has given me a loan so I made a vow to my self that I will keep testifying on the internet on how I got my loan. Do you need a loan urgently? kindly and quickly contact This great company now for your loan via whattsApp +2349063879939. or Email (peterloanfirmcompany112@gmail.com (mailto:peterloanfirmcompany112@gmail.com)) and share your own testimony thanks. Peter loan company offers is a great company and they are the only loan lender who can offers you loan without collateral others are fraud. Mr peter is a very good and kind man he is a God fearing man And i believe God has sent him to come and help us so any one who is really in need of an urgent loan should contact him own and get your instant loan thanks once again. contact him on (+2349063879939). OR Email him on (peterloanfirmcompany112@gmail.com (mailto:peterloanfirmcompany112@gmail.com)) and celebrate by sharing your own great testimony too do not lose this great opportunity thanks.

    BeantwoordenVerwijderen