Intern videobelsysteem Defensie wagenwijd open

Iedereen kan met het fabriekswachtwoord toegang krijgen tot videovergadersysteem van hoge militairen van de Nederlandse Defensie. Die sust dat het eigen netwerk niet in gevaar is.

Verschillende defensieonderdelen blijken met een teleconference systeem van Cisco te werken dat niet alleen aan het internet hangt, maar ook toegankelijk is met het standaard wachtwoord dat in de handleiding staat. Dat toonde securityexpert Rickey Gevers aan, na een tip van de SCADA-hacker @ntsec.

Dubbel onveilig
Met dit fabriekswachtoord kon Gevers zonder enige verdere problemen inloggen op het systeem als directeur Marinebedrijf CDRT dr. ir. A.J. de Waard. En zelfs al zou het wachtwoord veranderd zijn, dat kan een inbreker relatief eenvoudig alsnog binnen komen via een bruteforce aanval. Het systeem laat namelijk oneindig veel pogingen toe om wachtwoorden in te vullen. "In dit geval kunnen we stellen dat vrijwel alle routers in Nederland -dus ook die bij u thuis- beter beveiligd zijn", constateert Gevers.

Behalve dat een inbreker militair overleg kan afluisteren is ook het adresboek van het systeem te raadplegen, waarin een lijst met namen en locaties met verschillende ip- en telefoonnummers.



Defensie stelt in een reactie aan de Volkskrant dat het lekke videovergadersysteem ooit is aangeschaft door een onderhoudsbedrijf van Defensie. Deze systemen draaien op het reguliere, publieke internet. "Defensie betreurt het dat met dit voorval de schijn van onveiligheid kan zijn gewekt, maar we benadrukken dat het eigen netwerk nooit in gevaar is geweest."

Uit logfiles blijkt dat er meerdere malen per dag door militairen van het systeem gebruikt wordt gemaakt.

UPDATE 12.05 uur: Het Ministerie van Defensie zegt in een reactie aan Webwereld onderzoek te doen naar de kwestie. De woordvoerder benadrukt dat het videobelsysteem geheel los staat van het defensienetwerk. Het is aangeschaft door enkele medewerkers, zonder dat het ict-beheer hier iets van af wist.