CoNGNes 2006 : De WiFi-crisis in het Ampt van Nijkerk

Geschreven op door

Vandaag heb ik het volgende bericht verstuurd naar de directie van het Ampt van Nijkerk:

Onderwerp: Onbeveiligde interne infrastructuur
Van: Dae Punt
Aan: sales@amptvannijkerk.nl
Bcc: info@ngn.nl
Datum: 2 feb 2006

Geachte directie van Ampt van Nijkerk,

Allereerst mijn hartelijke dank voor het zeer aangename verblijf in uw hotel, waar is was vanwege het CoNGNes 2006.
Ik had bij de receptie al gezien dat er de mogelijkheid bestond draadloze internettoegang, dus ik ben meteen gaan kijken toen ik op mijn hotelkamer was.

Daar ontdekte ik tot mijn schrik dat, nog zonder betaald te hebben voor internettoegang, ik kon draadloos kon “praten” met een behoorlijk aantal van de systemen op jullie eigen interne backoffice-netwerk.

Op datzelfde netwerk vond ik twee HP ProCuve switches (die elk ruim 240 dagen onafgebroken hadden gefunctioneerd) die tot mijn grote schrik absoluut op geen enkele wijze waren beveiligd!

Het was voor mij als buitenstaander (ik had niet eens een gast van uw hotel hoeven zijn!) mogelijk om poorten op de switches te deactiveren of om instellingen te wijzigen, met als gevolg dat bijvoorbeeld het in-/uitchecken van gasten bemoeilijkt zou worden of zelfs onmogelijk. Uw bedrijfsvoering zou hierdoor kunnen worden beïnvloed of zelfs gevaar lopen.

De NGN bestaat uit netwerkprofessionals met, in het dagelijkse leven, grote verantwoordelijkheden, dus van hen hoeft u geen gevaar te verwachten. Maar zij zijn niet uw enige gasten en ik heb daarom uit voorzorg het initiatief genomen en de switches voorzien van een wachtwoord, wat onmogelijk zou zijn geweest als ze reeds eerder van een wachtwoord waren voorzien. Overigens staat de NGN los van deze actie; ik vond het nodig, als één van de 500 bij de NGN aangesloten bezoekers, actie te ondernemen om u te beschermen tegen mogelijke kwaadwillenden.

Ik stel daarom voor dat de verantwoordelijke binnen uw organisatie contact met mij opneemt, zodat ik de wachtwoorden op een veilige manier kan overdragen aan de juiste persoon.

Ik hoop u hiermee van dienst te zijn geweest.

Met vriendelijke groet,

Dae Punt
Punt & Partners automatisering B.V.
w: http://www.pp.nl
PGP fingerprint: 55B9 38A4 50F0 26A6 018C EA34 1268 445F 40F3 E102
Thawte fingerprint: EAFF 486B 8A4D 21AF 93E9 3364 2189 4118 B4A7 C7D5

Zo! Eens kijken hoe ze daar op reageren…