image

Verlichtingssysteem Erasmusbrug niet beveiligd met wachtwoord

dinsdag 10 november 2020, 16:33 door Redactie, 13 reacties
Laatst bijgewerkt: 11-11-2020, 09:02

Het online bedieningssysteem van de Erasmusbrug en Hofpleinfontein in Rotterdam was niet beveiligd met een wachtwoord waardoor iedereen de kleuren van de brug en fontein kon aanpassen. Dat meldt RTL Nieuws na te zijn ingelicht door een anonieme tipgever. Die had via zoekmachine Shodan.io het online bedieningssysteem van de brugverlichting gevonden.

Shodan indexeert allerlei systemen die via internet toegankelijk zijn. De tipgever wist door op de term 'rotterdam' te zoeken het bedieningssysteem te vinden, het was één van de eerste resultaten. Het bedieningssysteem was via een ip-adres voor heel het internet bereikbaar. Bij alleen het opgeven van het ip-adres verscheen er een inlogpagina. Wanneer naast het ip-adres ook het juiste poortnummer werd opgegeven kon er meteen toegang tot het systeem worden verkregen.

RTL Nieuws wist op deze manier de kleuren van de brug aan te passen. Eerder had de tipgever al de kleuren van de Hofpleinfontein aangepast. "Uiteraard is het niet de bedoeling dat de sierverlichting door derden kan worden aangepast", zo stelt de gemeente Rotterdam in een reactie. De gemeente kijkt met de leverancier van het systeem wat moet worden gedaan om herhaling te voorkomen. Tot die tijd is het online bedieningssysteem buiten gebruik gesteld.

Reacties (13)
10-11-2020, 17:08 door Anoniem
" De gemeente kijkt met de leverancier van het systeem wat moet worden gedaan om herhaling te voorkomen. Tot die tijd is het online bedieningssysteem buiten gebruik gesteld."

De leverancier en een batterij ambtenaren staan erbij en kijken ernaar...
Blijkbaar geen goede ict tot hun beschikking. Een tweak van 10 minuten op die kerstverlichting gaat een minstens week duren schat ik zo in.
10-11-2020, 17:56 door Anoniem
Deze was het: https://industrielicht.nl/projects/verlichting-erasmusbrug/
10-11-2020, 18:17 door Anoniem
Je kan er ook een online-promo van maken om te laten zien dat Rotterdam wel hip is.

"Click here to change the colours of the Rotterdam Bridge".
Met een live-video eronder om het geheel in realtime te tonen.

Gegarandeerd bezoekers van over de hele wereld.
10-11-2020, 19:33 door Anoniem
Door Anoniem: " De gemeente kijkt met de leverancier van het systeem wat moet worden gedaan om herhaling te voorkomen. Tot die tijd is het online bedieningssysteem buiten gebruik gesteld."

De leverancier en een batterij ambtenaren staan erbij en kijken ernaar...
Blijkbaar geen goede ict tot hun beschikking. Een tweak van 10 minuten op die kerstverlichting gaat een minstens week duren schat ik zo in.
Ja nu zeg je "simpel toch zet er een wachtwoord op en klaar" maar als ze dat gedaan hadden was het weer geweest
"wellicht hebben statelijke actoren het systeem gecompromitteerd, het moet door de shredder gehaald worden en vervangen
door een nieuwe want zelfs als je hem reset naar factory defaults ben je niet zeker dat er geen chip geflashed is" oid...
Zo is het nooit goed hier.
11-11-2020, 08:19 door Bitje-scheef
Door Anoniem: Je kan er ook een online-promo van maken om te laten zien dat Rotterdam wel hip is.

"Click here to change the colours of the Rotterdam Bridge".
Met een live-video eronder om het geheel in realtime te tonen.

Gegarandeerd bezoekers van over de hele wereld.

Ja vond ik ook.
11-11-2020, 09:09 door -Peter-
Door Anoniem:
Door Anoniem: " De gemeente kijkt met de leverancier van het systeem wat moet worden gedaan om herhaling te voorkomen. Tot die tijd is het online bedieningssysteem buiten gebruik gesteld."

De leverancier en een batterij ambtenaren staan erbij en kijken ernaar...
Blijkbaar geen goede ict tot hun beschikking. Een tweak van 10 minuten op die kerstverlichting gaat een minstens week duren schat ik zo in.
Ja nu zeg je "simpel toch zet er een wachtwoord op en klaar".

Het artikel maakt duidelijk dat het waarschijnlijk niet eens zo gemakkelijk zal zijn om er een wachtwoord op te zetten. Als je een gewone http(s) verbinding maakt, kom je zo te zien op een standaard webserver MET authenticatie. De besturingssoftware voor de verlichting draait op een andere poort en zal gespecialiseerde software zijn waar je niet zo snel authenticatie in zult kunnen bouwen. Veel gebruikers hebben dit waarschijnlijk op hun lokale netwerk draaien, met een firewall naar de buitenwereld. Die zullen niet gecharmeerd zijn van het feit dat ze zich nu plotseling moeten authenticeren. Misschien hebben ze wel eigen software geschreven die op die poort hun verlichting aanstuurt. Die zou dan omgebouwd moeten worden naar een authenticatie schema.
Je kunt dan overwegen om authenticatie met een configuratieparameter in te kunnen stellen. Maar ook dat betekent een forse wijziging aan de applicatie. Met de kans dat je op sommige plaatsen vergeet een controle uit te voeren op die parameter en er nog steeds zaken kapot gaan.
En om dezelfde redenen kan het voor Rotterdam ook best lastig zijn om een firewall te gaan plaatsen. Als we het al niet hebben over bestelprocessen en goedkeuringen voor zoiets, weet je ook niet zeker of er vanuit het stadhuis niet wel verbinding gemaakt hoort te worden voor het aansturen van de verlichting. Of de Dienst Openbare Zaken of hoe dat in Rotterdam ook mag heten. Misschien is het zelfs zo dat de ambtenaren van die Dienst een tablet hebben, waarmee ze "lokaal" maar remote de verlichting aansturen.

Peter
11-11-2020, 11:04 door Anoniem
Misschien moeten we een parlementaire enquite instellen naar het riscio waaraan de Rotterdamse burger jarenlang is blootgesteld.
Niet meer optreden > gewoon aftreden.
11-11-2020, 13:18 door [Account Verwijderd]
Jaren geleden konden hackers camera's overnemen.
Nu de verlichting van een bruggetje.

Na een groot aantal jaren krijg je weer de krantenkoppen met als tekst, dat er weer iets op afstand is overgenomen omdat er geen wachtwoord beveiliging was ingesteld.
11-11-2020, 13:20 door [Account Verwijderd]
Door Anoniem: Misschien moeten we een parlementaire enquite instellen naar het riscio waaraan de Rotterdamse burger jarenlang is blootgesteld.
Niet meer optreden > gewoon aftreden.
Je bedoelt enquête.
11-11-2020, 14:05 door Anoniem
Door -Peter-:
Door Anoniem:
Door Anoniem: " De gemeente kijkt met de leverancier van het systeem wat moet worden gedaan om herhaling te voorkomen. Tot die tijd is het online bedieningssysteem buiten gebruik gesteld."

De leverancier en een batterij ambtenaren staan erbij en kijken ernaar...
Blijkbaar geen goede ict tot hun beschikking. Een tweak van 10 minuten op die kerstverlichting gaat een minstens week duren schat ik zo in.
Ja nu zeg je "simpel toch zet er een wachtwoord op en klaar".

Het artikel maakt duidelijk dat het waarschijnlijk niet eens zo gemakkelijk zal zijn om er een wachtwoord op te zetten.

Dat is WEL makkelijk! Prak er een reverse proxy voor die authenticatie afhandeling doet. Hiermee hoeft er ook geen aanpassing in de applicatie gedaan te worden.
11-11-2020, 15:03 door spatieman
*brugje open ** brugje dicht **brugje open ** brugje dicht *
11-11-2020, 15:08 door Anoniem
Door -Peter-:
Door Anoniem:
Door Anoniem: " De gemeente kijkt met de leverancier van het systeem wat moet worden gedaan om herhaling te voorkomen. Tot die tijd is het online bedieningssysteem buiten gebruik gesteld."

De leverancier en een batterij ambtenaren staan erbij en kijken ernaar...
Blijkbaar geen goede ict tot hun beschikking. Een tweak van 10 minuten op die kerstverlichting gaat een minstens week duren schat ik zo in.
Ja nu zeg je "simpel toch zet er een wachtwoord op en klaar".

Het artikel maakt duidelijk dat het waarschijnlijk niet eens zo gemakkelijk zal zijn om er een wachtwoord op te zetten. Als je een gewone http(s) verbinding maakt, kom je zo te zien op een standaard webserver MET authenticatie. De besturingssoftware voor de verlichting draait op een andere poort en zal gespecialiseerde software zijn waar je niet zo snel authenticatie in zult kunnen bouwen. Veel gebruikers hebben dit waarschijnlijk op hun lokale netwerk draaien, met een firewall naar de buitenwereld. Die zullen niet gecharmeerd zijn van het feit dat ze zich nu plotseling moeten authenticeren. Misschien hebben ze wel eigen software geschreven die op die poort hun verlichting aanstuurt. Die zou dan omgebouwd moeten worden naar een authenticatie schema.
Je kunt dan overwegen om authenticatie met een configuratieparameter in te kunnen stellen. Maar ook dat betekent een forse wijziging aan de applicatie. Met de kans dat je op sommige plaatsen vergeet een controle uit te voeren op die parameter en er nog steeds zaken kapot gaan.
En om dezelfde redenen kan het voor Rotterdam ook best lastig zijn om een firewall te gaan plaatsen. Als we het al niet hebben over bestelprocessen en goedkeuringen voor zoiets, weet je ook niet zeker of er vanuit het stadhuis niet wel verbinding gemaakt hoort te worden voor het aansturen van de verlichting. Of de Dienst Openbare Zaken of hoe dat in Rotterdam ook mag heten. Misschien is het zelfs zo dat de ambtenaren van die Dienst een tablet hebben, waarmee ze "lokaal" maar remote de verlichting aansturen.

Peter

- Het artikel maakt duidelijk dat het waarschijnlijk…
- zal gespecialiseerde software zijn
- gebruikers hebben dit waarschijnlijk
- Misschien hebben ze wel eigen software geschreven
- Misschien is het zelfs zo dat de ambtenaren van

Wat een hoop onzekerheden zijn er toch in de wereld en ook in jouw redenatie......

Maar misschien is het toch wel makkelijker om te implementeren dan dat jij probeert voor te doen.
11-11-2020, 15:08 door MathFox - Bijgewerkt: 11-11-2020, 15:09
Door Anoniem:
Door -Peter-:
Het artikel maakt duidelijk dat het waarschijnlijk niet eens zo gemakkelijk zal zijn om er een wachtwoord op te zetten.
Dat is WEL makkelijk! Prak er een reverse proxy voor die authenticatie afhandeling doet. Hiermee hoeft er ook geen aanpassing in de applicatie gedaan te worden.
Een herhaling van wat ik in een andere thread gezegd heb:
En als ik bij die bepaalde leverancier een schakelbare buitenlamp met webtoegang koop, dan krijg ik ook toegang tot de portalsite waarmee ik de Erasmusbrug kan schakelen...
Daar moet die reverse proxy dan wel goed op geconfigureerd worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.