Onveilige hotspots op NS-stations
Sinds vorig jaar biedt de Nederlanse Spoorwegen op tal van treinstations hotspots aan. Security bewuste treinreizigers doen er echter verstandig aan om hier geen gebruik van te maken, zo waarschuwt de Nederlandse virusanalist Roel Schouwenberg.
Schouwenberg was met de trein aan het reizen toen hij op een van de stations zijn e-mail wilde checken. Nadat hij verbinding met het access point had gemaakt opende hij zijn browser en wilde hij inloggen. Hij ontdekte echter iets verdachts. In plaats van een HTTPS site, kreeg hij een HTTP site te zien.
Volgens Schouwenberg kon dit twee dingen betekenen. Of de inlogprocedure was veranderd, of hij had te maken met een "kwaadaardig" access point. Het bleek echter het eerste te zijn en dat is reden tot zorgen. Alles wat je verstuurt over een onversleutelde Wi-Fi verbinding kan gesnift worden. Daarom zou juist de login pagina HTTPS moeten gebruiken.
Er is een aantal ISPs dat gratis internettoegang via deze station hotspots biedt. Dit betekent dat als je inlogt, je gegevens voor iedereen met een netwerksniffer in de buurt beschikbaar zijn. De hotspots zijn dan gemakkelijk, op dit moment zijn ze onveilig en zolang er geen HTTPS voor het inloggen is, kun je ze maar beter niet gebruiken aldus Schouwenberg.
XS4ALL staat ook in het lijstje. Eens kijken hoelang het
duurt voordat het aangepast is (of dat de quality providers
uit het lijstje zijn).
Ik heb zelf het vermoeden dat men het te ingewikkeld vond om
een SSL certificataat te installeren (of het is verlopen en
men heeft het maar weggehaald, want dat is nu eenmaal
goedkoper).
uit de FAQ van de NS:
Welke gegevens worden "versleuteld"?
Alle gegevens die nodig zijn voor het inloggen en eventueel online betalen van toegang via een creditcard betaling, worden via "versleuteling" beschermt. Hieronder vallen uw inlogcode en wachtwoord, de online-tijd en de verzonden data.........
NOT :)
ook af en toe. Er is wel een oplossing in de vorm van een
VPN-verbinding gerealiseerd waarvoor de software lokaal op
de access-points is te downloaden.
Op deze wijze worden de inloggegevens in ieder geval wel
versleuteld verstuurd, welk protocol daarvoor gebruikt is
heb ik echter nog niet bekeken.
nader inzien bleek het aan de browser te liggen. Alles werd TOCH
versleuteld verstuurt via een HTTP website ipv HTTPS. Toen ik overstapte
op mijn eigen laptop (Firefox) kreeg ik wel netjes HTTPS te zien, de MSIE-
laptop gaf niets aan, zelfs geen slotje ofzo.
maarja, ik kom nooit in de buurt van openbaar vee-vervoer, dus of dat hier
ook zo is?
ik krijg altijd netjes een https inlogpagina. Ik denk dat
dit eerder een van de vele browserbugs is waarbij de
url-balk geen juiste informatie weergeeft, dan een echt
probleem.
@wimbo: hun SSL-certificaat verloopt pas ergens in 2008, dus
dat zal het ook niet zijn :)
Al met al een storm in een glas water omdat een idioot niet
met z'n browser om kan gaan en daar op z'n weblog over post!
- Habbie
kunt zien of het over http of https wordt gesubmit.
Die "u gaat informatie over een onbeveiligde verbinding
versturen'-popups zijn natuurlijk de huidige oplossing, maar
dat is gewoon irritant als je daar voor ieder form
mee lastig wordt gevallen.
Is er een firefox plugin oid die je dat op een handige
manier per website/form kan laten beslissen of iets dergelijks?
website ipv HTTPS. Toen ik overstapte op mijn eigen laptop
(Firefox) kreeg ik wel netjes HTTPS te zien
Huh, wat bedoel je nou? HTTPS op poort 80 ofzo?
een https-iets Schouw? Sowieso heb ik een VPN-servertje voor
dit soort gevallen en maak ik geen gebruik van KPN tegen die
uitzuig-tarieven (vandaar GB-bundel bij bekende telco)
naar een https-iets Schouw?
de browser gehaald, maar ik heb op networklevel gekeken. De
submission ging unencrypted via http.
Op alle Hotspots van KPN wordt gewerkt met beveiligde sites (SSL).
Helaas is door een release fout op de NS Hotspots dit niet meer het geval.
De fout is inmiddels hersteld waardoor ook op NS hotspots weer veilig
ingelogd kan worden (middels SSL).
[email]Info@kpnhotspots.com[/email]
dit toch wel weer als een duidelijke aanwijzing dat het goed
is dat "white hats" als Schouwenberg hun nieuwsgierigheid de
vrije loop laten en dit soort systemen eens tegen het licht
houden.
Als dat soort nieuwsgierigheid bij goedwillenden de kop in
wordt gedrukt door strenge wetgeving en dreigementen met
hoge straffen, zoals de trend een beetje lijkt te zijn, wie
weet hoe lang dit lek dan alleen bekend zou zijn bij
kwaadwillenden die er niet over piekeren het bekend te maken?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
