Hackevent legt ernstige lekken in Haagse ict bloot

Dit artikel delen:

Ethische hackers hebben tijdens het evenement Hack The Hague twee grote kwetsbaarheden gevonden in de ict-omgeving van de gemeente Den Haag. Het gaat om een beveiligingslek in een systeem van een externe leverancier. Dat is gekoppeld aan de gemeente-ict en wordt door het hele land door organisaties gebruikt. Ook konden hackers via een ingewikkelde weg door de gemeente-ict ‘iets op straat doen.’

Dat zegt chief information security officer (ciso) Jeroen Schipper in een gesprek met Computable. Hij maakt daags na het evenement de balans op, maar kan niet specifiek ingaan op de gevonden kwetsbaarheden. Schipper: 'Het evenement vindt plaats onder strenge voorwaarden omdat het snel publiceren van bepaalde kwetsbaarheden schade toe kan brengen aan andere organisaties die nog kwetsbaar zijn.’

Hij deelt wel mee dat de kwetsbaarheid in het systeem van de toeleverancier ‘nationale impact’ heeft en direct is gemeld bij de Informatiebeveiligingsdienst (IBD). Deze dienst vormt het computer emergency response team (cert) voor Nederlandse gemeenten en licht in samenspraak met het Nationaal Cyber Security Centrum (NCSC) kwetsbare gebruikers in.

Ook over de kwetsbaarheid in de gemeente-ict ‘die ingreep op de fysieke wereld’ - Schipper ontkomt niet aan een cryptische omschrijving - wil de ciso geen details prijsgeven. ‘Het komt erop neer dat de hackers op een heel ingewikkelde wijze ergens binnen konden komen en op straat iets konden doen.’

Tijdens Hack The Hague namen 206 ethische hackers de ict van de gemeente Den Haag onder vuur. Ze bekeken de ict van de gemeente zelf, de Azure-omgevingen en de systemen van toeleveranciers.

Er zijn 125 meldingen ingediend. Ongeveer tien procent van die meldingen heeft een hoogrisicoprofiel. Van een kwart van de meldingen is het risicoprofiel op ‘medium’ ingeschaald en de helft van de meldingen heeft een laagrisicoprofiel. De overige vijftien procent betreft meldingen die nauwelijks impact hebben, maar waarvan het wel verstandig is om ze op te lossen.

Dit jaar vond het evenement op afstand plaats. Normaal komen de hackers naar het gemeentehuis om daar in de centrale hal de systemen te beproeven.

De hackers waren afkomstig uit 22 landen, waaronder Irak, India en Oekraïne. Zij kregen via vpn en onder scherp toezicht toegang tot de gemeente-systemen. Het is nog niet bekend hoe het evenement er volgend jaar uit zal zien.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

“Het gaat om een beveiligingslek in een systeem van een externe leverancier. Dat is gekoppeld aan de gemeente-ict en wordt door het hele land door organisaties gebruikt.” “Ze vonden kwetsbaarheden als onveilige toegang tot accounts, verouderde software, de mogelijkheid tot het injecteren van kwaadaardige codes in een website en een account dat volledig kon worden overgenomen.”
Goed dat het hackevent de lekken heeft gevonden, maar weer blijkt dat er ook een belangrijk lek bij derden is te vinden. Dus kijk altijd naar inbraakmogelijkheden via derden. Derde partijen met koppelingen naar veel organisatie zijn extra interessant voor hackers. Het meenemen van derden in de pentest is ook goed voor die derde partijen, omdat die via meerdere klanten getest kunnen worden.

Jaap,
Ik las het artikel gisteravond en moest het even laten bezinken, reden hiervoor was de 'verjaringstermijn' want ik heb mijn bedenkingen bij een hackevent hoewel 125 meldingen zo'n beetje de gemiddelde oogst is met de gebruikelijke constateringen. Nu heeft Den Haag de zaken beter op orde dan bijvoorbeeld een Hof van Twente maar de cryptische omschrijving dat de hackers op een heel ingewikkelde wijze ergens binnen konden komen als er een account volledig kan worden overgenomen is nogal bedenkelijk en ik zeg daarom cryptisch dat de (installatie) handleiding lezen nog weleens nuttig kan zijn.

Ja, Ewout Read The Bloody Manual geldt nog steeds. En ook dan kan je nog niet alles weten als je onvoldoende tijd hebt voor online waarschuwingen, et cetera. Het vervelende is dat vandaag te lezen is dat het Nationaal Cyber Security Center blijkbaar nog geen 5 % van de ontvangen nuttige informatie mag delen met het “niet-vitale bedrijfsleven” wegens de beperkingen van de Wet beveiliging netwerk- en informatiesystemen.

Jaap,
Ik wijs even op de handleiding in verband met 'Local Privilege Escalation' door gebruik te maken van embedded (service) accounts, het injecteren van kwaadaardige code in een website kan tenslotte ook gedaan worden in allerlei devices als ze een interne webserver draaien wat met de toenemende lights-off operations in combinatie met IoT een groeiend aanvalsvlak wordt.

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2021-09-28T12:03:00.000Z Pim van der Beek
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.