vrijdag 24 februari 2012

Videoconference systemen van Defensie eenvoudig te hacken

Maandag de 20ste werd ik getipt door hacker @ntisec. Hij vertelt me iets bizars te hebben gevonden en weet niet wat hij ermee aan moet. Hij verteld me dat Anonymous op zoek is gegaan naar gaten bij de overheid, deze gevonden heeft, en deze nu graag wil melden, om zo de overheid te helpen. Echter is deze vondst mogelijk van een dermate hoog kaliber dat ook @ntisec zijn vingers hier liever niet aan wil branden. Ik vertel hem de gegevens te willen bekijken om vervolgens te besluiten wat ik er mee doe.

@ntisec stuurt mij via allerlei encrypted wegen een handleiding van een video conference systeem, en een ip adres. De opdracht luidt: "log in met het default wachtwoord op dit ip."

Het resultaat is schokkend. Ik kom terecht op het video conference systeem van de Directeur Marinebedrijf CDRT dr. ir. A.J. de Waard.

Hoewel de toegang tot het systeem beveiligd is met een username en wachtwoord is het natuurlijk niet erg handig om de default hiervoor te gebruiken welke in een -overal on the webz beschikbare- handleiding staat. Sterker nog, het systeem heeft geen enkele afweer tegen bijvoorbeeld een bruteforce attack. In dit geval kunnen we stellen dat vrijwel alle routers in Nederland -dus ook die bij u thuis- beter beveiligd zijn. Want die is namelijk vrijwel altijd geheel niet toegankelijk via het internet, laat staan dat we die kunnen bruteforcen.

Buiten het feit dat het erg interessant is dat we nu bij een video conference systemen kunnen van een directeur, notabene een bij het ministerie van defensie, wordt het pas echt leuk als we gaan kijken in het adresboek:

We komen een lijstje tegen met verschillende ip nummers en telefoonnummers. Als we naar de corresponderende namen kijken weten we direct welke kazernes het zijn... Wat die "Warroom" in Den Haag nu precies is, daar kunnen we alleen maar naar gissen natuurlijk. *kuch*

Ik loop het lijstje na om te checken of ik hier niet voor de gek wordt gehouden. Ik controleer de ip nummers en de login gegevens:
BELGIE: ADSL Lijn van skynet.be -offline
DMO @ Den Haag_NL: BINGO! Defensie Materieel Organisatie -offline
DMO TMO: BINGO! Commando DienstenCentra -offline
Den Haag: BINGO! Koninklijke Luchtmacht -ONLINE
Force Vision @ Den Helder-NL: BINGO! CAMS-Force Vision -ONLINE
KSG @ Vlissingen-NL: Zeelandnet lijn (Header -> BINGO!) -ONLINE
LCW @ Woensdrecht-NL: BINGO! Commando DienstenCentra -offline
Testsite @ US: Klopt, inderdaad een testsite. -offline
Warroom @ Den Haag-NL: BINGO! Commando DienstenCentra -offline

Het is zo goed als uitgesloten dat iemand dit voor de lol in elkaar heeft geknutseld. 4 sites geven een login mogelijkheid, en ook deze sites hangen dus blijkbaar aan het internet. De sites geven daarbij keurig weer welke software er achter draait, en in alle gevallen was dit inderdaad videoconference software. Ik heb kunnen constateren dat men het wachtwoord zo vaak mag proberen als men wil. Bruteforce wordt hier dus ook wel weer heeeul makkelijk gemaakt.

De woordvoerder van defensie reageert (uiteraard) wat terughoudend en beweert dat de systemen zelden gebruikt worden. En hoewel wij dus zelf geen videoconferencing hebben mee gekeken dan wel mee geluisterd, leert de logging van het systeem ons het volgende.
De logging van 20 Feb t/m 21 Feb (en ik skip bizar veel):
Feb 20 15:31:18 VLC_readyConfigureOutput_Cnf: Waiting for VPE to configure output HDMI 1...
Feb 21 09:14:48 VLC_readyGateQueryOutput_Cnf: PnP configure HDMI 2 to 1920x1080@60Hz HDMI
Feb 21 09:15:24 Received SourceFormatEvent from video link 17 (1280x720@60, digital, ok)
Feb 21 09:16:23 _call::makeOutgoingCall : Sending call request src uri='h232:[--IP:Den Haag--]' to src uri='h232[--IP:Force Vision--]'
Feb 21 16:00:47 LocalVideoInputGate::setIncomingMode (ig=1) res=1280x720@6000

En doet dit toch wel iets anders vermoeden. Evenals wat bronnen binnen defensie ons bevestigen.

Laten we wel zijn, dit is niet niets, en door het huidige afschrikwekkende effect van alle hackers die veroordeelt worden om simpele hacks, lijkt men wel gek bovenstaande feiten te melden. Echter doe ik het wel. Ik vind dat het mogelijk moet zijn in dit land dit soort problemen aan de kaak te stellen. Als Anonymous onze conference calls al kan mee luisteren, kan een Cyber leger dat al helemaal. We zouden als Nederland erg naïef zijn wanneer het niet mogelijk is dit soort problemen (zonder consequenties) te kunnen melden. En mocht er ooit oorlog uitbreken, dan zullen we waarschijnlijk direct op deze -stomme- blaren zitten.

Ik wil met dit blog wederom een statement maken. De Nederlandse overheid veroordeelt veel jeugdige hackers, wat hen een baan in de security industrie onmogelijk maakt. Echter zijn dít juist de jonge gemotiveerde personen die de overheid vooruit kúnnen en wíllen helpen!


Reactie defensie:
We zijn er uit.

Een onderhoudsbedrijf van Defensie heeft ooit zeven vtc-systemen
aangeschaft voor zichzelf. Deze systemen draaien op het reguliere,
publieke internet. De cyber-veiligheidsafdeling van Defensie waarschuwt
tegen dergelijke systemen, omdat die makkelijk gehackt kunnen worden. En
dat blijkt.

Defensie betreurt het dat met dit voorval de schijn van onveiligheid kan
zijn gewekt, maar we benadrukken dat het eigen netwerk nooit in gevaar
is geweest.

Mvg

*hatsjoe*

Voor dit blog heb ik supervisie van De Volkskrant in geroepen, in persoon van Victor de Kok, om dit veilig naar buiten te kunnen brengen.

1 opmerking: