Wat de NS op zijn minst zou kunnen doen is zorgen dat hun eigen app NS Reisplanner Xtra gebruik maakt van HTTPS voor meer dan alleen het inloggen. Plan je een reis dan gaat dat gewoon over HTTP over het net.

Dit is een open deur intrappen: alle openbare wifi netwerken hebben dit probleem, niet alleen de NS. De schuld ligt bij de applicaties die onveilig zijn en niet bij het wifi netwerk.

Sommige mensen grijpen elke gelegenheid aan om ophef te veroorzaken, ook als het helemaal nergens over gaat. En dan pleuren ze hun bevindingen ook nog eens achter een inlog. Dealtje gemaakt met de correspondent om het abonneebestand uit te breiden? Prutser.

Niet heel moeilijk om er wel een beveiligde verbinding van te maken: Er een PSK op zetten, en die bijvoorbeeld in de SSID aan te kondigen. Dan nog krijgt iedere gebruiker een aparte sessiesleutel toegewezen, en dat maakt het een stukje veiliger.

Ik zie juist steeds vaker dat gratis netwerken toch met WPA2 beveiligd worden. Kwam ik het een aantal jaar geleden in een enkel hotel tegen. Vorig jaar vond ik het in een aantal hotels en bars. Dit jaar moet ik nog gaan kijken, maar ik verwacht weer meer plaatsen waar men ook voor gratis wifi gewoon een code moet invoeren.

Dat men zich moet registreren, is onzin. Ja, in veel andere landen moet dat (Duitsland, Zwitserland), maar dat is vanwege wettelijke eisen. In Nederland is dat niet verplicht. Voor de NS is het zelfs heel eenvoudig te realiseren.

Ieder treinstel heeft een AP. Ieder treinstel heeft een uniek nummer. Geef de AP's een shared key afgeleid van het nummer van het treinstel. Zelfs dat is niet eens nodig. Gebruik voor ieder AP dezelfde key en hang het op, zet het op schermen, zet het in de krant. Dat maakt allemaal niet uit.

Als nu iedereen het netwerk kan en mag gebruiken, kan en mag die dat straks ook. Maar dan wel veiliger.

Biedt desnoods een onbeveiligd netwerk ernaast aan waarbij alle queries uitkomen op een pagina die uitlegt hoe je de beveiligde variant moet gebruiken. Lukt het de reiziger dan nog niet, dan kun je alsnog overwegen om hem, net als nu, onbeveiligd toegang te bieden.

Peter

Wel goed dat dit eens zo duidelijk gezegd wordt door een wifi-aanbieder, maar feitelijk is het een open deur. De droom van anytime anywhere internet en dan ook nog veilig - is een droom en eerder een boze dan een mooie, als het nu al niet een nachtmerrie is.

Peter,

Als de bad-guy op hetzelfde "beveiligde" WPA2 netwerk is ingelogd dan kan hij nog steeds met sniffer het netwerkverkeer van zijn slachtoffer volgen.

"maar dan moeten mensen zich eerst registreren. Heel veel mensen willen dat niet en dat begrijpen we ook."
.
wat een gotspe, m.i. is 99% al geregistreerd dmv de ov chipkaart.
.
maar wel fijn dat ze er begrip voor hebben...

Een belangrijk probleem met WPA2 is dat het verkeer eenvoudig te kraken is met behulp van bijv. Aircrack-ng: http://www.aircrack-ng.org/doku.php?id=cracking_wpa

Dit document legt o.a. uit hoe je de PSK kunt kraken (wat betrekkelijk moeilijk is als je een goed password gebruikt), maar dat is niet eens nodig als je die al weet. In dat geval kun je simpelweg de handshake opvangen en decoderen. Als je de connectie al bestaat is het ook mogelijk om een nieuwe handshake te forceren.

Als ik me niet vergis is de "corporate" WPA met RADIUS-server veel veiliger, omdat iedereen een unieke key krijgt, maar dat is ook veel ingewikkelder in het gebruik.

@anoniem :-)
De link naar het artikel op de Correspondent werkt gewoon. Inloggen is niet nodig. Ook niet op andere artikelen die binnen dit artikel geopend kunnen worden. Dat is juist de kracht van de Correspondent. Als een abonnee of een medewerker van de Correspondent een artikel deelt (via e-mail, social media) dan kan iedereen het artikel lezen. Wil je meer, dan neem je een abonnement.

Dat is geen gotspe, mensen vinden dat blijkbaar verschrikkelijk. Kijk maar naar de Windows 10 privacy discussie. Dikke tranen alom, terwijl de hele wereld aan je source ip adres kan zien waar je zit en wie je bent.

Mijn telefoon draait 24 uur per dag een OpenVPN-tunnel naar mijn netwerk thuis. Daar gaat het verkeer pas "de deur uit". Ik weet dat ik gedurende de setup-fase op een WiFi-netwerk even kwetsbaar ben door apps die op de achtergrond doorwerken, maar het duurt zelden meer dan 30 seconden voordat de tunnel weer werkt, en in die tijd zit ik echt niet op de site van de bank.. Het is wél vervelend dat steeds meer netwerken alles dichttimmeren behalve http/https, maar daar valt ook omheen te werken.

Helaas pindakaas nee. Gewoon nee. Het is een gotspe dat je die aanname hier zo doet: "Ze weten dit toch al, dus mogen ze dat ook weten en eraanvastkoppelen." Dat is dom en gevaarlijk en een kern van bijvoorbeeld waarom je SoFi/BSN aan Jan en alleman moeten afgeven zo'n probleem is.

Dat met die registratie is overigens ook onnodig: Je hoeft namelijk niet voor iedere gebruiker een ander wachtwoord te hebben om toch WPA(2) aan te zetten en daarmee gebruikersverkeer af te schermen voor willekeurige meeluisteraars binnen het lokale bereik.

Helaas biedt dit alleen schijnveiligheid. Een ontwerpfout in WiFi is dat een accespoint zich niet authenticeert. Daardoor kan ik in dezelfde coupé gaan zitten met een "evil twin" accesspoint (met een sterker signaal en/of eentje die kill-pakketjes naar het NS accesspoint stuurt). Als je versleutelde verbindingen wilt: prima. Dan zet ik gewoon hetzelfde WiFi wachtwoord op mijn evil-twin (dat natuurlijk al hetzelfde SSID had als het NS AP in het treinstel). Dan verbinden alle WiFi devices met mijn evil twin zonder dat iemand dat doorheeft. Tap tap tap nog even SSLStrip eroverheen en minstens de helft heeft geen idee dat een slotje ontbreekt (fatsoenlijke internetbankier-apps laten zich hier niet door van de wijs brengen, maar de meeste devices wisselen nog zoveel andere software -o.a. updates- onversleuteld en ongesigneerd uit, dat een doortastende aanvaller ook wel op andere wijze toegang tot jouw device kan krijgen).

By default onthoudt jouw device elke combinatie SSID/password. Als ik vervolgens met mijn fake-NS evil twin in de buurt van jouw voordeur ga staan, kan ik daarmee waarschijnlijk ook jouw device ervan overtuigen via mijn evil twin te verbinden in plaats van via jouw eigen vertrouwde access point.

Waarbij jouw vertrouwen in jouw AP zou moeten dalen sinds Microsoft het wachtwoord ervan uitdeelt. Maar dat is een andere issue dat de betrouwbaarheid van WiFi nog verder schaadt - met name voor die mensen (dat zijn er vast niet veel) die alle opgeslagen entries van (semi-) publieke hotspots (al dan niet versleuteld met gedeelde wachtwoorden) direct uit hun devices verwijderen na gebruik.

Vermoedelijk komen bovenstaande aanvallen in de praktijk zelden voor, maar ze zijn uitvoerbaar en statistieken erover ken ik niet (sowieso zijn deze aanvallen niet eenvoudig te detecteren, tenzij iemand met SSLstrip aan de gang gaat natuurlijk).

Kortom, als een kwaadwillende minstens één van de in jouw device opgeslagen combinaties van SSID en Pre-Shared-Key (of SSID zonder wachtwoord) in handen krijgt, of de combinatie die je op een gegeven moment gebruikt, kan hij potentieel al jouw WiFi verkeer kapen. In de trein en, als je die combinatie daarna niet verwijdert, ook daarbuiten.

Volgens mij deelt Microsoft jouw wachtwoord/key niet uit. Met WiFI sense doe je dat zelf, niet Microsoft. Je geeft in WiFi Sense per SSID aan of je de key wilt delen met jouw contacts en als je dat al wilt doen, dan moet je ter bevestiging nogmaals de key invoeren.

Daarna krijgen jouw contacts de key versleuteld (kunnen hem dus niet zien) en kunnen jouw key niet opnieuw delen.

Ook kun je het delen van jouw key weer stoppen en heeft niemand meer toegang via WiFi Sense.

Wat je ook van de functie als geheel vindt, het zit goed dichtgetimmmerd en per ongeluk jouw key delen met anderen lijkt mij uitgesloten.

Bovendien werkt dit beter dan wanneer je gasten bij jou thuis toegang geeft op jouw draadloze netwerk: dan ligt je WPA key namelijk wel op straat.

Ik snap het even niet helemaal.
Onbeveiligd netwerk OK, maar de bank heeft toch https, dus die gevens zijn dan toch versleuteld voor iemand die
probeert te verkeer te sniffen.

Gelul: banken hebben allemaal https, het hele internet is om dezelfde redenenen net zo onveilig.

Inderdaad, voor zover ik weet gebruiken alle banken https voor hun verkeer.
Echter, doordat niet alle bankierapps het SSL certificaat verifiëren (zie bijv: https://tweakers.net/nieuws/101397/belgische-banken-hebben-ssl-beveiliging-niet-op-orde.html) kan een aanvaller via een MITM attack alsnog je gegevens onderscheppen. In hoeverre deze gegevens te misbruiken zijn laat ik achterwege, maar er is een theoretisch risico.
Voor een realistische aanval zal een aanvaller wel een aantal seconden (minstens) in de buurt moeten zijn, dus in de trein zelf.

Dat is het marketing verhaal ja. Maar technisch kan dat natuurlijk NOOIT!

"ze kunnen hem dus niet zien" dat betekent alleen dat de key niet op het scherm komt te staan, niet dat ie versleuteld
is op een manier waarbij die persoon er niks mee zou kunnen. Want dan kan zijn WiFi client software er OOK niks mee!

"delen van de key stoppen en niemand heeft meer toegang" dat gaat er vanuit dat niemand die key tussentijds heeft
weten op te slaan. Nou, daar komt vast wel software voor om dat wel te doen!
Dan kun je het alleen nog maar stoppen door je WiFi key te veranderen. En hoe lang duurt het dan weer voor
Microsoft en Google hem weten?

Nee, dit gaat echt niet zo als je aangepraat wordt.

Aangezien je meestal niet alleen in de trein zit is een MRNTY* attack misschien nog wel het grootste gevaar.
En dan moet je onder bedreiging bijvoorbeeld geld overmaken naar de rekening van een katvanger, of je moet je spullen afgeven inclusief pas+pincode en wordt vervolgens de rekening leeg gehaald.
Internetbankieren kun je beter doen op een plek waar geen anderen (onbekenden) bij zijn. Thuis bijvoorbeeld.

*man right next to you

/meaaitwireshark

Erg boeiend inderdaad, of er iemand in de trein meeleest met de reisplanner. Iemand zou toch maar zien dat er ergens werkzaamheden zijn, of dat een bepaalde trein vertraging heeft. Leg eens uit *waarom* je zo graag wil dat deze hele website achter HTTPS verdwijnt, welke risico's neem je ermee weg ?

En u had op z'n minst ook kogelwerende ramen gewenst?

Dit is natuurlijk een veel slechtere manier dan je key gewoon op een briefje aan al je bezoekers te geven, zoals nu meestal gebeurd. .

HSTS ?

Ik mis HSTS in de discussie.
Dat was nou toch juist een tijd geleden door Brenno de Winter aangekaart?
Dat banken dat niet gebruikten maar eigenlijk wel moesten doen omdat je anders inderdaad via een MITM setup dat stukje onbeveiligde wifi kon misbruiken?

Dit hebben diverse banken inmiddels toch tergend langzaam maar zeker ingebed op hun site zodat van begin tot eind je verbinding versleuteld is, juist door implementatie van die HSTS?

Wat is nu nog het probleem met internetbankieren over de wifi ?
Los van de standaard gevaren die je loopt; malware, mitm met ontbrekend slotje, overige gevallen die zwaar drijven op social engineering tactieken?


https://www.security.nl/posting/389177/Bank+https+aanval+op+TV
https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security

Dat jij het niet geloofd wil niet zeggen dat het niet zo werkt. Dat is jouw probleem een beetje. Jij verzint je eigen verhaal en neemt dat voor waarheid aan.

Microsoft geeft technische uitleg over de implementatie en staat straks enorm in zijn hemd als het niet blijkt te werken. Dat laatste is de reden dat ik meer vertrouwen heb in de uitleg en kennis en kunde van Microsoft dan in die van jou.

Maar vooralsnog werkt het. WiFi Sense zit al geruime tijd in Windows Phone. En ik ben niet bekend met securityproblemen omtrent WiFi Sense. Alleen met de niet onderbouwde verhalen zoals van jou.

Anders neem ik aan dat jij wel een overzichtje kan geven van de gevallen dat er misbruik van is gemaakt.

Ik las dit stuk in combinatie met wpad, bent je het haasje in de trein


https://www.security.nl/posting/438528/Bedrijven+gewaarschuwd+voor+risico+van+NetBIOS

Risico is voor alle netwerken zonder encryptie hetzelfde. Er is al vaak op gewezen. Een gedeelde sleutel maakt het een klein beetje lastiger. Iedereen die je wil afluisteren, moet je dan opnieuw laten aanmelden. Geeft dus ook schijnveiligheid.

Internetbankieren gaat over het algemeen via een versleutelde verbinding (https). Zolang er geen vreemd certificaat wordt geaccepteerd, zal het toch goed moeten gaan.

Dit heeft inderdaad niets met de NS te maken. De verantwoordelijkheid ligt bij de gebruikers die ervoor kiezen om van een openbaar en onbeveiligd netwerk gebruik te maken; en die netwerken zijn overal: café's, restaurants, hotels, etc.

Klopt. Ik weet dat veel zaken te kraken zijn. Het nadeel daarvan is dat reacties vaak zijn in de trant van "100% is niet mogelijk, dus waarom zou ik de moeite doen." Terwijl je zaken in ieder geval veiliger maakt. Alle beetjes helpen.

Wat ik de NS probeer duidelijk te maken, is dat het verkeer in ieder geval niet meer door een willekeurige persoon op een woonboot opgevangen kan worden.

Peter

Zoals dit: http://trainwatch.u0d.de/

Peter

De wifi van een trein op volle snelheid valt maar heel kort binnen het bereik van iemand op een woonboot.

Dat klopt, en daarom vind ik het vreemd om nu de NS te kapittelen.
Doordring de gebruikers ervan dat het niet de vraag is of je op een openbaar netwerk wordt afgeluisterd, maar dat het zeker is dat je wordt afgeluisterd. Gedraag je er dan ook naar!

Het is een kwestie van OPVOEDEN!

Je hebt gelijk dat passieve aanvallen dan niet meer mogelijk zijn. Maar een doorsnee Wi-Fi gebruiker (woonboot of elders) vormt nauwelijks een bedreiging (je zal toch minstens je WLAN netwerkkaart in promiscuous mode moeten kunnen zetten om unicast netwerkverkeer tussen andere devices en het access point te zien).

Waar ik me zorgen om maak zijn aanvallers met de juiste apparatuur en kennis. Voor hen is het relatief een koud kunstje om aktieve (MitM) aanvallen uit te voeren. Daarom denk ik dat je schijnveiligheid creëert met zo'n wachtwoord.

Dank voor de link, leuke site! Maar die is niet van een simpele ziel op een woonboot...