Netwerk KLM en Rijkswaterstaat vrij toegankelijk
Computernetwerken van Rijkswaterstaat, KLM en het televisieprogramma '2Vandaag' staan open. In het televisieprogramma 'Zembla' is vanavond (VARA/NPS, 21.10 uur Ned. 3) te zien hoe binnen vijf minuten vertrouwelijke informatie van deze bedrijven vrij toegankelijk is. De drie organisaties gebruiken draadloos internet, ook wel 'wifi' genoemd, dat niet beveiligd is.
Bij Rijkswaterstaat was al het computerverkeer tussen ingenieurs van het Rotterdamse kantoor van de directie Zuid Holland te volgen. Om er zeker te zijn dat het open staan van deze verbinding geen incident was, is een week na de eerste test de verbinding opnieuw onderzocht. Ook toen waren documenten en e-mails van het personeel direct toegankelijk. Een medewerker van Rijkswaterstaat bezocht een pornosite op het Internet.
'Zembla' constateerde op luchthaven Schiphol 15 niet beveiligde computerverbindingen van KLM. Computerdeskundige Chris Dee ontdekte een niet beveiligd wifi netwerk van het bedrijf Eurocargo en niet beveiligde KLM systemen bij de aankomst- en vertrekhal en het kantoor van KLM op Schiphol Oost. Al deze netwerken waren ook aan elkaar gekoppeld.
Ook bij het televisieprogramma '2Vandaag' was het wifi netwerk niet beveiligd. Al het computerverkeer van de redactie in Den Haag was te volgen.
Het onderzoek naar de beveiliging van computernetwerken bij deze drie instellingen maakt deel uit van 'Zembla' over computerterreur.
Door de vele gekoppelde computersystemen op het Internet is de onveiligheid enorm toegenomen. Zo stelt Eric Luijf van TNO dat er grote bezorgdheid is over de energievoorziening. Per 1 juli zal deze markt een grote toename kennen van het computerverkeer door de liberalisering. Het computersysteem dat al het dataverkeer van consumenten via het Internet verwerkt, van het Energie Clearing House, is nooit getest door TNO. Grootschalige stroomuitval bij het binnendringen van hackers, zoals in de VS al gebeurd is, kan in ons land ook, zegt Theo Camps, voorzitter van adviesbureau Berenschot, die zich als hoogleraar specialiseerde in de energievoorziening.
Roel Pieper, hoogleraar informatica, pleit voor een veel krachtiger aanpak van computerveiligheid door het kabinet. De risico's van systeemuitval die er nu bestaan moeten worden teruggedrongen door één centrale regie. Nu ligt het ICT beleid verspreid over vijf ministeries. Pieper pleit ook voor het invoeren van een nationaal veiligheids keurmerk voor alle computersystemen. Het is een van zijn adviezen die hij in de commissie Breedband aan het ministerie van Economische Zaken naar voren brengt. In september zal deze commissie haar rapport uitbrengen.
Volgens Roel Pieper gaat het bij de toegankelijkheid van KLM, Rijkswaterstaat en '2Vandaag' om een fout van het management. De wifi techniek is volgens hem gemakkelijk te beveiligen. "Het is gewoon een kwestie van een goede tik op vingers hier", aldus de voormalig topman van Philips.
Rijkswaterstaat betreurt de kwestie zeer en laat weten de openstaande verbinding onmiddellijk te hebben gesloten. Tegen de medewerker die porno websites bekeek zijn 'passende maatregelen' genomen.
KLM erkent dat 'Zembla' toegang heeft gehad tot het wifi netwerk van KLM-Schiphol. Verder het systeem binnendringen zou volgens de KLM niet mogelijk zijn geweest.
De woordvoerder van '2Vandaag' laat weten dat het systeem niet zomaar toegankelijk is, maar kondigt wel aan dat het wifi netwerk op korte termijn vervangen wordt.
ze kijkcijfers nodig ofzo,kunnen ze niet met iets nieuws komen.
Hoewel......
Kijk, dat bij Rijkswaterstaat op sommige plekken de boel
openstaat: er lopen wel meer ambtenaren rond die even een
wifi punt meenemen en installeren. Bij KLM verbaasd het me
ook niets: een complete dns zonetransfer van klm.com en
klm.nl is ook zo gepiept omdat ze daar wat vergeten zijn
dicht te timmeren (iedereen ziet wel eens wat over het
hoofd) en een management laat zich uit onkunde vaak wat
aansmeren zonder dat ze de inhoud kennen, als het maar
vertrouwd genoeg lijkt.
De reacties zijn ook allerminst vreemd. De experts noemen
het een ramp en maken dankbaar gebruik van de mogelijkheid
om publiekelijk hun afschuw te spuwen. De slachtoffers
bagetaliseren het een beetje en beloven verbetering.
Gelukkig valt er wel wat meer openheid van zaken te
bespeuren ipv geen commentaar of afdoen als een demo
opstelling zoals KPN ooit reageerde ed.
Alleen wat ik mis..... worden er geen stappen ondernomen
tegen de gelegenheids gebruikers van het de netwerken? Ik
neem aan dat hier wel een paar wetten van computervredebreuk
oid zijn overtreden. Zal mij benieuwen of het dus alsnog een
staartje krijgt. Of zijn de managers echt zo slecht op de
hoogte van IT en wetgeving dat ze ook daar ook nog niet eens
aan gedacht hebben?
Oud nieuws bestaat niet zeggen ze dan wat een onzin, hebben
ze kijkcijfers nodig ofzo,kunnen ze niet met iets nieuws
komen.
Bijna 3/4 van alle wifi netwerken en achterliggende systemen
liggen open en bloot als prooi voor kwaadwillenden zonder
dat de gebruiker hiervan bewust is. Bij bedrijven is het een
stuk minder, maar zelfs bij grote organisaties valt er op
sommige plaatsen wel heel gemakkelijk gevoelige informatie
te bemachtigen of zelfs te manipuleren. Oud nieuws voor
ieder die zich hier echt mee bezig wil houden. Maar vertel
dat maar aan die onbeschermde gebruikers of de slachtoffers
van een lek bij zo'n grote organisatie die het nog steeds
niet door hadden. Oud wil niet zeggen dat je er niets meer
aan hoeft te doen en het niet intressant zou zijn. Als zelfs
met 'oud' nieuws nog veel mensen wakker geschud kunnen
worden vind ik dat alleen maar meegenomen, ook al komt het
bij de kenners over als een sensatiestuk wat begint te
vervelen. Als security je begint te vervelen dan is er juist
vaak wat mis.
Informatie over geselecteerde inschrijving
Naam: E.M. Solutions B.V.
Vestigingsadres: Postbus 575
Vestigingsplaats: 1440AN Purmerend
KvK-inschrijfnummer: 37085520
Soort inschrijving: Rechtspersoon
Status: Faillissement
Kenmerk: Telefoonnummer curator: 0299-433333
Chris D. is zeker op zoek naar een nieuwe baan:
Informatie over geselecteerde inschrijving
Naam:
Vestigingsadres:
Vestigingsplaats:
KvK-inschrijfnummer:
Soort inschrijving: Rechtspersoon
Status: Faillissement
Kenmerk: Telefoonnummer curator:
Mag je zoiets wel posten? Wel grappig feit overigens.
instanties? Dan was een WiFI AP opzetten binnen een organiatie ook niet
meer aantrekkelijk. Problemen zijn er om opgelost te worden. En soms is
het erg simpel.
XaNcE
Wordt er dan geen gebruik gemaakt van VPN of SSL Tunneling
bij deze
instanties?
Hoeveel bedrijven denk je zelf dat dit op het interne
netwerk gebruiken?
Bij KLM verbaasd het me
ook niets: een complete dns zonetransfer van klm.com en
klm.nl is ook zo gepiept omdat ze daar wat vergeten zijn
dicht te timmeren
Klopt inderdaad. Nog steeds mogelijk.
klm.com; klm.nl; klmcargo.com; klmcargo.nl; klmcorp.net, etc.,
etc.....
Wie doet het beheer daar?
Voor KLM op Schihol-Oost is het Fujitsu.
Wie doet het beheer daar?
Voor KLM op Schihol-Oost is het Fujitsu.
Klopt,
Ze zijn dan misschien wel goedkoop, maar kwaliteit en Fujitsu
gaat niet echt samen. Ik heb er hele slechte ervaringen mee
van lekken niet zo netjes is. Zeker als het betreffende bedrijf niet op de
hoogte is gesteld, het nog een actueel lek is en er geen enkel ander
belang mee gediend is dan 'scoren'.
Ik zou er niet mee zitten als iemand die dit zomaar doet een flinke
civielrechtelijke claim krijgt en bovendien ook strafrechtelijk een paar
uur dienstverlening in een plantsoen moet verrichten.
van 2003 aan de oostkust van de US. Zie
http://www.nerc.com/~filez/blackout.html
Ik vraag me soms af of men beseft dat het publiekelijk
bekend maken
van lekken niet zo netjes is. Zeker als het betreffende
bedrijf niet op de
hoogte is gesteld, het nog een actueel lek is en er geen
enkel ander
belang mee gediend is dan 'scoren'.
Zembla werkt wat dit betreft tot nu toe altijd correct: niet
inbreken, informatie controleren, slachtoffers tijdig
inlichten en gelegenheid geven een reactie te geven, niet de
wet overtreden. Zo is het ook nu gegaan, veel opnames hebben
in april plaatsgevonden valt uit de uitzending op te maken
en nergens wordt in beeld getoont hoe het precies mogelijk
is om het afteluisteren of zelfs in te breken.
Keurige uitzending. Nu maar hopen dat het effect heeft.
Gezeur dat het overdreven is noem ik onterecht. Bij
beveiliging moet je je aanpassen aan het belang van wat je
beveiligt. De uitzending laat duidelijk zien wat het belang
van beveiliging is van belangrijke netwerken en dat grote
bedrijven die hier mee te maken hebben soms nog steken laten
vallen en niet altijd genoeg aandacht hebben.
Ik vraag me soms af of men beseft dat het publiekelijk
bekend maken
van lekken niet zo netjes is. Zeker als het betreffende
bedrijf niet op de
hoogte is gesteld, het nog een actueel lek is en er geen
enkel ander
belang mee gediend is dan 'scoren'.
Zembla werkt wat dit betreft tot nu toe altijd correct: niet
inbreken, informatie controleren, slachtoffers tijdig
inlichten en gelegenheid geven een reactie te geven, niet de
wet overtreden. Zo is het ook nu gegaan, veel opnames hebben
in april plaatsgevonden valt uit de uitzending op te maken
en nergens wordt in beeld getoont hoe het precies mogelijk
is om het afteluisteren of zelfs in te breken.
Keurige uitzending. Nu maar hopen dat het effect heeft.
Gezeur dat het overdreven is noem ik onterecht. Bij
beveiliging moet je je aanpassen aan het belang van wat je
beveiligt. De uitzending laat duidelijk zien wat het belang
van beveiliging is van belangrijke netwerken en dat grote
bedrijven die hier mee te maken hebben soms nog steken laten
vallen en niet altijd genoeg aandacht hebben.
Het ging mij niet over zembla, die doen dat inderdaad correct (alhoewel
er geen don't try this at home mededeling bij zat). Het gaat over enkele
postings hier.
Ik vond het bagger, compleet met space invaders. Als dit alle bedrijven,
overheidsinstellingen zijn die ze hebben kunnen vinden waar WIFI niet
goed beveiligd is dan vind ik het heel erg meevallen.
Het was zwaar overdreven. De voorgespiegelde gevolgen sloegen kant
nog wal. Daarbij werd de amerikaanse aanpak gepromoot, die haaks
staat op de Nederlandse die op zich al beter is. Waarom werden de
amerikanen erbij gehaald? Onze oosterburen zijn wat dat betreft veel
beter bezig en werken in lijn met de Nederlandse aanpak.
TNO, Berenschot, Clingendael hebben wat mij betreft helemaal
afgedaan. De enige zinnige uitlatingen kwamen uit de hoek van
Kahuna, ondanks dat er flink verknipt was door Zembla.
en om reactie gevraagd
Ik vraag me soms af of men beseft dat het publiekelijk bekend
maken
van lekken niet zo netjes is. Zeker als het betreffende bedrijf niet
op de
hoogte is gesteld, het nog een actueel lek is en er geen enkel
ander
belang mee gediend is dan 'scoren'.
Ik zou er niet mee zitten als iemand die dit zomaar doet een flinke
civielrechtelijke claim krijgt en bovendien ook strafrechtelijk een
paar
uur dienstverlening in een plantsoen moet verrichten.
is NIET strafbaar.
Ik zou er niet mee zitten als iemand die dit zomaar doet een flinke
civielrechtelijke claim krijgt en bovendien ook strafrechtelijk een
paar
uur dienstverlening in een plantsoen moet verrichten.
ze zijn vooraf op de hoogte gebracht door Zembla
en om reactie gevraagd
Ik vraag me soms af of men beseft dat het publiekelijk bekend
maken
van lekken niet zo netjes is. Zeker als het betreffende bedrijf niet
op de
hoogte is gesteld, het nog een actueel lek is en er geen enkel
ander
belang mee gediend is dan 'scoren'.
Ik zou er niet mee zitten als iemand die dit zomaar doet een flinke
civielrechtelijke claim krijgt en bovendien ook strafrechtelijk een
paar
uur dienstverlening in een plantsoen moet verrichten.
Zucht.. mensen kunnen niet meer lezen als het laat wordt. Zie mijn vorige
reactie: Zembla heeft 't volgens de regels gedaan maar onder andere hier
in het forum wordt eea. gepost wat mi. niet door de beugel kan. Zembla is
hooguit 'schuldig' aan uitlokking.
aan de orde. De rol die de overheid kan en moet spelen bij het aanpakken
van deze hiaten.
Er kan via wetgeving wel degelijk een bijdrage geleverd worden aan een
betere beveiliging. Tot heden wordt dat in Nederland uitsluitend via strafrecht
gepoogd: hogere straffen voor hackers... Enig idee hoe klein de pakkans is?
Zelfs als je met een bus + camera aan het wardriven bent, wordt je niet eens
opgemerkt, laat staan aangesproken (even los van de wel of niet strafbaar
discussie).
Wat wel blijkt te werken is een civielrechtelijke weg, die organisaties
aansprakelijk maakt voor schade van derden als gevolg van onzorgvuldige of
onvolledige informatiebeveiliging. Als je niet kan aantonen dat je alles hebt
gedaan om goed beveiligd te zijn, ga je financieel voor schut. Dat motiveert
bedrijven.
Natuurlijk levert de "homelands" aanpak vanuit terrorismebestrijding in de
USA een bijdrage aan de voorsprong die dat land heeft. De hele situatie daar
rond liability is minstens zo effectief. De wetgever in dit land heeft dus een
unieke kans om dat mechanisme aan te grijpen. Groot bijkomend voordeel:
je hoeft niet eens echt iets van ICT en beveiliging te snappen om wetgeving
in die richting te maken en te begrijpen dat dit werkt.
Heeft iemand een URL van het Zembla programma?
wel eens van google gehoord?
http://www.omroep.nl/vara/zembla/
bin/streams?/tv/vara/zembla/bb.20040603.asf
Een belangrijk aspect kwam in de uitzending naar mijn mening maar
beperkt
aan de orde. De rol die de overheid kan en moet spelen bij het aanpakken
van deze hiaten.
Er kan via wetgeving wel degelijk een bijdrage geleverd worden aan een
betere beveiliging. Tot heden wordt dat in Nederland uitsluitend via
strafrecht
gepoogd: hogere straffen voor hackers... Enig idee hoe klein de pakkans
is?
Zelfs als je met een bus + camera aan het wardriven bent, wordt je niet
eens
opgemerkt, laat staan aangesproken (even los van de wel of niet strafbaar
discussie).
Wat wel blijkt te werken is een civielrechtelijke weg, die organisaties
aansprakelijk maakt voor schade van derden als gevolg van onzorgvuldige
of
onvolledige informatiebeveiliging. Als je niet kan aantonen dat je alles hebt
gedaan om goed beveiligd te zijn, ga je financieel voor schut. Dat motiveert
bedrijven.
Natuurlijk levert de "homelands" aanpak vanuit terrorismebestrijding in de
USA een bijdrage aan de voorsprong die dat land heeft. De hele situatie
daar
rond liability is minstens zo effectief. De wetgever in dit land heeft dus een
unieke kans om dat mechanisme aan te grijpen. Groot bijkomend voordeel:
je hoeft niet eens echt iets van ICT en beveiliging te snappen om wetgeving
in die richting te maken en te begrijpen dat dit werkt.
Mee eens. Wel zou ik er voor willen waken dat we niet volgens amerikaans
model te werk gaan. Gelukkig hebben wij hier een principieel ander
rechtsstelsel dan in de V.S.
Om de wetgeving goed aan te passen moet je juist zo min mogelijk kijken
naar de technische kant van ICT, wel naar de veranderende
karakteristieken in snelheid en eenvoud van communicatie in brede zin.
veel hardere aanpak van de e-conomie. Als een bakker om de hoek met 101
veiligheids en gezondheidsregels kan worden overdonderd, dan kan de e-
conomie er ook een pak krijgen - in het belang van de consument, van het
algemeen belang en van het netwerk zelf
http://manifest.skynetblogs.be
http://ekz.skynetblogs.be
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.