KPN vergeet router in trein te beveiligen
Het internet dat in de trein tussen Leeuwarden en Groningen wordt aangeboden is vrij eenvoudig te kraken, waardoor internetverkeer is te onderscheppen. Het OnlineInDeTrein-netwerk is een proef van KPN, ProRail en Arriva. Gebruikers loggen in op het lokale netwerk, om zo toegang tot het internet te krijgen. De router is echter gewoon bereikbaar en te configureren. NOS Headlines onderschepte zo de inloggegevens van een student en logde in op zijn e-mailaccount, wat een computermisdrijf is. "Jezelf toegang verschaffen tot andermans beveiligde mailbox is strafbaar", zo stelde ICT-jurist Arnoud Engelfriet al tijdens de hack van Jack de Vries zijn e-mailaccount.
De woordvoerder van KPN laat weten dat mensen moeten beseffen dat ze met een openbare internetverbinding te maken hebben, net zoals je dat in een café of op een terras hebt. Daarnaast waarschuwt de telecomaanbieder nadrukkelijk op de website van OnlineInDeTrein dat alle gegevens die men op webpagina's invoert bij voorbaat niet beveiligd zijn, tenzij dit via een veilig protocol gebeurt. Ook geeft het gebruikers het advies om voor het versturen van gegevens een VPN verbinding te gebruiken. In de voorwaarden van de dienst staat verder dat gebruikers zich niet schuldig mogen maken aan "het zonder toestemming binnendringen van andere computers of computersystemen (‘hacking’)".
Reacties (21)
Dus om nieuws te krijgen gaan de verslaggevers niet alleen zover dat ze heel asociaal over de vluchtstrook gaan rijden omdat het zogenaamd nodig is voor het uitoefenen van hun beroep. Nee, men gaat daar als echte verslaggevers graag nog wat verder door zelfs over te gaan tot criminele activiteiten. Ik heb weinig respect meer voor hun werk. Nee, eigenlijk is die hiermee volledig verdwenen. Het is niets ander meer dan een stel aandachtverslaafde personen die hun grenzen niet meer wensen te kennen voor hun eigen genoegen.
05-03-2009, 00:14 door
Kukel
>> De router is echter gewoon bereikbaar en te configureren.
Geen idee waar dit vandaan komt, maar in het stuk van NOS Headlines staat het niet. Kan me ook eigenlijk niet voorstellen dat KPN dat vergeten zou zijn.
En als je op een onbeveiligd wifi netwerk zit of op één met een gedeelde sleutel, dan kan iedereen alle data van iedereen zien als het geen https is of vpn.
Geen idee waar dit vandaan komt, maar in het stuk van NOS Headlines staat het niet. Kan me ook eigenlijk niet voorstellen dat KPN dat vergeten zou zijn.
En als je op een onbeveiligd wifi netwerk zit of op één met een gedeelde sleutel, dan kan iedereen alle data van iedereen zien als het geen https is of vpn.
Door Kukel>> De router is echter gewoon bereikbaar en te configureren.
Geen idee waar dit vandaan komt, maar in het stuk van NOS Headlines staat het niet. Kan me ook eigenlijk niet voorstellen dat KPN dat vergeten zou zijn.
En als je op een onbeveiligd wifi netwerk zit of op één met een gedeelde sleutel, dan kan iedereen alle data van iedereen zien als het geen https is of vpn.
Ack!Geen idee waar dit vandaan komt, maar in het stuk van NOS Headlines staat het niet. Kan me ook eigenlijk niet voorstellen dat KPN dat vergeten zou zijn.
En als je op een onbeveiligd wifi netwerk zit of op één met een gedeelde sleutel, dan kan iedereen alle data van iedereen zien als het geen https is of vpn.
Door Kukel>> De router is echter gewoon bereikbaar en te configureren.
Geen idee waar dit vandaan komt, maar in het stuk van NOS Headlines staat het niet.
Geen idee waar dit vandaan komt, maar in het stuk van NOS Headlines staat het niet.
In het filmpje op de pagina laten ze zien dat ze de router reconfigureren.
Precies.... Ik snap dan ook de hele commotie niet! Dit is echt weer zo'n popi-jopi bericht. Iedereen weet dat je op een netwerk met een gedeelte sleutel zit.
Dat die studenten-mail blijkbaar te sniffen was (waar ik even van uit ga als ze het over "kraken" hebben) betekent dat die mail toegang niet over HTTPS of een ssl-beveiligde IMAP of POP verbinding ging. Wat mij betreft treft de beheerder van die mail dan eerder blaam dan KPN.
Dat die studenten-mail blijkbaar te sniffen was (waar ik even van uit ga als ze het over "kraken" hebben) betekent dat die mail toegang niet over HTTPS of een ssl-beveiligde IMAP of POP verbinding ging. Wat mij betreft treft de beheerder van die mail dan eerder blaam dan KPN.
Ik vraag me af waar die student inlogde. Zijn er nog webmailproviders die niet met onversleutelde passwords werken?
- Zet je laptop aan
- Start Cain & Abel + wifi apparatuur
- Sitback and enjoy
- ....
- Profit.
- Start Cain & Abel + wifi apparatuur
- Sitback and enjoy
- ....
- Profit.
Als je inloggegevens van een (web)mailbox kunt onderscheppen, terwijl in de meeste gevallen dergelijke zaken over https gaan, moet je wel een proxy ertussen hebben geplant om dit te kunnen doen. Ofwel dat, ofwel heeft de student ingelogd over een normale http-verbinding op een openbaar netwerk. Dat moeten we die mensen ook eens afleren.
Door Kukel
...
En als je op een onbeveiligd wifi netwerk zit of op één met een gedeelde sleutel, dan kan iedereen alle data van iedereen zien als het geen https is of vpn.
...
En als je op een onbeveiligd wifi netwerk zit of op één met een gedeelde sleutel, dan kan iedereen alle data van iedereen zien als het geen https is of vpn.
https is inmiddels ook te onderscheppen d.m.v. een MITM attack (SSLStrip)
Door AnoniemIk vraag me af waar die student inlogde. Zijn er nog webmailproviders die niet met onversleutelde passwords werken?
http://www.online.nl/
http://webmail.online.nl/
Op beide pagina's kan je aan je webmail-account aanloggen, en dan gaan userid en password onversleuteld over de lijn. De webmail is ook via https te benaderen, maar dat is kennelijk een optie. Toen ze zich nog Wanadoo noemden was https helemaal niet beschikbaar, ze gaan dus vooruit. Maar de kreet "veilig" waar ze zo druk mee adverteren zouden ze misschien even in moeten slikken tot ze webmail via http hebben afgezonken ;-)
Door AnoniemDus om nieuws te krijgen gaan de verslaggevers niet alleen zover dat ze heel asociaal over de vluchtstrook gaan rijden omdat het zogenaamd nodig is voor het uitoefenen van hun beroep. Nee, men gaat daar als echte verslaggevers graag nog wat verder door zelfs over te gaan tot criminele activiteiten. Ik heb weinig respect meer voor hun werk. Nee, eigenlijk is die hiermee volledig verdwenen. Het is niets ander meer dan een stel aandachtverslaafde personen die hun grenzen niet meer wensen te kennen voor hun eigen genoegen.
Van rijden over de vluchtstrook is algemeen bekend dat het gevaarlijk en (daarom) verboden is. Dit wordt duidelijk gemaakt tijdens de verplichte rijlessen en het rij-examen.
Van (deur)sloten zal middels een praktijkproef moeten worden aangetoond dat ze bijv. met een paperclip makkelijk te openen zijn.
Van draadloze netwerken heeft vrijwel niemand enig idee welke gevaren dit met zicht meebrengt. Dat blijkt wel uit het feit dat zelfs KPN de boel niet beveiligt. Dergelijke praktijktests zijn dus noodzakelijk om deze problemen aan het licht te brengen.
05-03-2009, 12:27 door
RichieB
Door Anoniem
...
https is inmiddels ook te onderscheppen d.m.v. een MITM attack (SSLStrip)
...
https is inmiddels ook te onderscheppen d.m.v. een MITM attack (SSLStrip)
Nee, https is om te zetten (strippen) naar http met SSLStrip. Je moet dus erg goed op het slotje en certificaat letten voordat je je wachtwoord invoert.
Kunnen ze nog wat leren van Swisscom in Zwitserland. Die bieden ook onbeveiligd internet maar bieden op de welkomspagina wel direct een Cisco VPN client met een profiel om de verbinding tot binnen Swiscomm te beveiligen.
Dus dan heb je ineens een veilige wifi verbinding. en wat betreft de snelheid, dat verschil merk je echt niet. En indien je het wel merkt dan weet je dat het z'n voordeel heeft.
Dus dan heb je ineens een veilige wifi verbinding. en wat betreft de snelheid, dat verschil merk je echt niet. En indien je het wel merkt dan weet je dat het z'n voordeel heeft.
Ik heb gewoon een wachtwoord op mijn WiFi router zitten. Dan kan je niets configureren, maar je kan wel internetten met je juiste WPA2 sleutel. Vreemd dat KPN van deze mogelijkheid geen kennis heeft!
Door AnoniemVan rijden over de vluchtstrook is algemeen bekend dat het gevaarlijk en (daarom) verboden is. Dit wordt duidelijk gemaakt tijdens de verplichte rijlessen en het rij-examen.Van (deur)sloten zal middels een praktijkproef moeten worden aangetoond dat ze bijv. met een paperclip makkelijk te openen zijn. Van draadloze netwerken heeft vrijwel niemand enig idee welke gevaren dit met zicht meebrengt. Dat blijkt wel uit het feit dat zelfs KPN de boel niet beveiligt. Dergelijke praktijktests zijn dus noodzakelijk om deze problemen aan het licht te brengen.
Dat vind ik geen argumenten die stand houden. De wet is zeer duidelijk: je ongevraagd toegang verschaffen tot andermans computersysteem is strafbaar. Het criminele gedrag was in dit geval dat de verslaggevers zelfs zo ver gingen om niet alleen verkeer te onderscheppen maar informatie hieruit ook nog eens strafbaar te misbruiken voor zaken (inloggen op andermans mail account) die niets met het netwerk zelf te maken hadden.Ik ga niet zeggen dat er geen aandacht nodig is voor besef over beveiliging. Lettertjes in voorwaarden zijn niet voldoende. Maar om een onveilige situatie aan te tonen was het niet nodig om crimineel gedrag aan te gaan, zoals de NOS kennelijk maar wat graag tot deed. Het is lang en breed bekend dat draadloos netwerkverkeer onderschept kan worden en er voor een publiek netwerk grote risico's aan verbonden zijn. Dat de verslaggevers zich niets van die kennis hebben aangetrokken om dit nieuws te brengen hoort niet het probleem te zijn van de mogelijke slachtoffers. Ze hebben dus gewoon zeer slecht journalistiek werk geleverd en ze zijn weer voor de sensatie gegaan.
En hoe wou jij een WPA2 sleutel in zo'n sleutel implementeren? Unieke sleutels of één sleutel voor iedereen?
Reizigers stappen nog steeds anoniem in de trein.
Reizigers stappen nog steeds anoniem in de trein.
Als ik uit ga van de mogelijkheden van mijn 'KPN Experia' router dan heeft iedereen dezelfde WPA2 sleutel. Dat biedt toch enige bescherming. De regel boven de deur naar de coupé kan dan het wachtwoord bevatten.
05-03-2009, 16:02 door
Preddie
jammer dat onze jurist uit het stuk : ICT-jurist Arnoud Engelfriet
totaal niet weet wat hij loopt te blaten en totaal geen verstand van zaken heeft. ... het inloggen onder de gegevens van iemand anders heeft niks te maken met het kraken van een beveiligd systeem noch met computervredebreuk.
Het inloggen op een beveiligde emailbox met een wachtwoord en gebruikersnaam die toegang hebben tot het systeem valt onder fraude ...... zal voor meneer "De ICT-jurist" nog de definitie van fraude weergeven:
Fraude is een vorm van bedrog; de zaken worden anders voorgesteld dan ze zijn, door op papier of digitaal een onjuiste weergave te geven van de werkelijkheid (bron:wikipedia)
voordat meneer de ICT jurist het in het vervolg zou goed weet laat hem daar eerst is na trekken voordat hij voor de zoveelste keer loopt te blaten !
totaal niet weet wat hij loopt te blaten en totaal geen verstand van zaken heeft. ... het inloggen onder de gegevens van iemand anders heeft niks te maken met het kraken van een beveiligd systeem noch met computervredebreuk.
Het inloggen op een beveiligde emailbox met een wachtwoord en gebruikersnaam die toegang hebben tot het systeem valt onder fraude ...... zal voor meneer "De ICT-jurist" nog de definitie van fraude weergeven:
Fraude is een vorm van bedrog; de zaken worden anders voorgesteld dan ze zijn, door op papier of digitaal een onjuiste weergave te geven van de werkelijkheid (bron:wikipedia)
voordat meneer de ICT jurist het in het vervolg zou goed weet laat hem daar eerst is na trekken voordat hij voor de zoveelste keer loopt te blaten !
Door AnoniemAls ik uit ga van de mogelijkheden van mijn 'KPN Experia' router dan heeft iedereen dezelfde WPA2 sleutel. Dat biedt toch enige bescherming. De regel boven de deur naar de coupé kan dan het wachtwoord bevatten.
Waar haal je dat vandaan? Je kunt met een tooltje en het SSID de WPA2 sleutel achterhalen, en die sleutels verschillen wel degelijk!
Maar over Swisscom. Als je zelf geen toegang hebt tot een VPN server dan heb je toch een aardig probleem lijkt me. En waarom een Cisco VPN client als het meestgebruikte OS al een ingebouwde VPN client heeft?
06-03-2009, 08:39 door
Arnoud Engelfriet
De redactie haalde mij aan omdat ik wat schreef over de hack van de mailbox van Jack de Vries. Daar werd een wachtwoord met brute force geraden, en dat is computervredebreuk. Zie art. 138a lid 1 en met name sub c ("valse sleutel", zie ook MvT) of sub d ("valse hoedanigheid").
Verder: krijg jeuk op een onhandige plek.
Verder: krijg jeuk op een onhandige plek.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
