image

Onveilige hotspots op NS-stations

vrijdag 21 juli 2006, 17:00 door Redactie, 10 reacties

Sinds vorig jaar biedt de Nederlanse Spoorwegen op tal van treinstations hotspots aan. Security bewuste treinreizigers doen er echter verstandig aan om hier geen gebruik van te maken, zo waarschuwt de Nederlandse virusanalist Roel Schouwenberg.

Schouwenberg was met de trein aan het reizen toen hij op een van de stations zijn e-mail wilde checken. Nadat hij verbinding met het access point had gemaakt opende hij zijn browser en wilde hij inloggen. Hij ontdekte echter iets verdachts. In plaats van een HTTPS site, kreeg hij een HTTP site te zien.

Volgens Schouwenberg kon dit twee dingen betekenen. Of de inlogprocedure was veranderd, of hij had te maken met een "kwaadaardig" access point. Het bleek echter het eerste te zijn en dat is reden tot zorgen. Alles wat je verstuurt over een onversleutelde Wi-Fi verbinding kan gesnift worden. Daarom zou juist de login pagina HTTPS moeten gebruiken.

Er is een aantal ISPs dat gratis internettoegang via deze station hotspots biedt. Dit betekent dat als je inlogt, je gegevens voor iedereen met een netwerksniffer in de buurt beschikbaar zijn. De hotspots zijn dan gemakkelijk, op dit moment zijn ze onveilig en zolang er geen HTTPS voor het inloggen is, kun je ze maar beter niet gebruiken aldus Schouwenberg.

Reacties (10)
21-07-2006, 17:43 door wimbo
hmmm. dat is leuk. Maar eens wat accountjes sniffen in de buurt.
XS4ALL staat ook in het lijstje. Eens kijken hoelang het
duurt voordat het aangepast is (of dat de quality providers
uit het lijstje zijn).

Ik heb zelf het vermoeden dat men het te ingewikkeld vond om
een SSL certificataat te installeren (of het is verlopen en
men heeft het maar weggehaald, want dat is nu eenmaal
goedkoper).

uit de FAQ van de NS:

Welke gegevens worden "versleuteld"?
Alle gegevens die nodig zijn voor het inloggen en eventueel online betalen van toegang via een creditcard betaling, worden via "versleuteling" beschermt. Hieronder vallen uw inlogcode en wachtwoord, de online-tijd en de verzonden data.........

NOT :)
21-07-2006, 21:34 door Anoniem
Deze informatie klopt inderdaad ik gebruik zelf deze service
ook af en toe. Er is wel een oplossing in de vorm van een
VPN-verbinding gerealiseerd waarvoor de software lokaal op
de access-points is te downloaden.

Op deze wijze worden de inloggegevens in ieder geval wel
versleuteld verstuurd, welk protocol daarvoor gebruikt is
heb ik echter nog niet bekeken.
21-07-2006, 23:47 door Anoniem
Laatst had ik ook zo'n accespoint.. Dus ik moord en brand geroepen... Bij
nader inzien bleek het aan de browser te liggen. Alles werd TOCH
versleuteld verstuurt via een HTTP website ipv HTTPS. Toen ik overstapte
op mijn eigen laptop (Firefox) kreeg ik wel netjes HTTPS te zien, de MSIE-
laptop gaf niets aan, zelfs geen slotje ofzo.

maarja, ik kom nooit in de buurt van openbaar vee-vervoer, dus of dat hier
ook zo is?
23-07-2006, 12:21 door Anoniem
@artikel: ik gebruik de kpn/ns-hotspots nu enkele maanden en
ik krijg altijd netjes een https inlogpagina. Ik denk dat
dit eerder een van de vele browserbugs is waarbij de
url-balk geen juiste informatie weergeeft, dan een echt
probleem.

@wimbo: hun SSL-certificaat verloopt pas ergens in 2008, dus
dat zal het ook niet zijn :)

Al met al een storm in een glas water omdat een idioot niet
met z'n browser om kan gaan en daar op z'n weblog over post!

- Habbie
23-07-2006, 12:40 door raboof
Het blijft irritant dat je aan een form niet in 1 oogopslag
kunt zien of het over http of https wordt gesubmit.

Die "u gaat informatie over een onbeveiligde verbinding
versturen'-popups zijn natuurlijk de huidige oplossing, maar
dat is gewoon irritant als je daar voor ieder form
mee lastig wordt gevallen.

Is er een firefox plugin oid die je dat op een handige
manier per website/form kan laten beslissen of iets dergelijks?
23-07-2006, 12:42 door raboof
Alles werd TOCH versleuteld verstuurt via een HTTP
website ipv HTTPS. Toen ik overstapte op mijn eigen laptop
(Firefox) kreeg ik wel netjes HTTPS te zien

Huh, wat bedoel je nou? HTTPS op poort 80 ofzo?
24-07-2006, 16:25 door Anoniem
Apart. Zeker weten dat de gegevens niet gePOST werden naar
een https-iets Schouw? Sowieso heb ik een VPN-servertje voor
dit soort gevallen en maak ik geen gebruik van KPN tegen die
uitzuig-tarieven (vandaar GB-bundel bij bekende telco)
24-07-2006, 17:58 door Schouw
Apart. Zeker weten dat de gegevens niet gePOST werden
naar een https-iets Schouw?
Yes. Ik heb de daadwerkelijke informatie natuurlijk niet uit
de browser gehaald, maar ik heb op networklevel gekeken. De
submission ging unencrypted via http.
25-07-2006, 12:58 door Anoniem
Reactie van KPN Hotspots.
Op alle Hotspots van KPN wordt gewerkt met beveiligde sites (SSL).
Helaas is door een release fout op de NS Hotspots dit niet meer het geval.
De fout is inmiddels hersteld waardoor ook op NS hotspots weer veilig
ingelogd kan worden (middels SSL).

[email]Info@kpnhotspots.com[/email]
28-07-2006, 08:59 door raboof
Het is misschien flauw dit erbij te betrekken, maar ik zie
dit toch wel weer als een duidelijke aanwijzing dat het goed
is dat "white hats" als Schouwenberg hun nieuwsgierigheid de
vrije loop laten en dit soort systemen eens tegen het licht
houden.

Als dat soort nieuwsgierigheid bij goedwillenden de kop in
wordt gedrukt door strenge wetgeving en dreigementen met
hoge straffen, zoals de trend een beetje lijkt te zijn, wie
weet hoe lang dit lek dan alleen bekend zou zijn bij
kwaadwillenden die er niet over piekeren het bekend te maken?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.