![[RSS]](http://tweakimg.net/g/if/v2/icons/rss_small.png){kind=icon}
![[quick]](http://tweakimg.net/g/if/icons/world_link_cropped.png){kind=icon}
KPN heeft aangekondigd zijn adsl-klanten beter te informeren over een beveiligingsprobleem met Speedtouch-routers. Aanleiding vormt een hack die ingezet kan worden als de router de standaardinstellingen gebruikt.
Het beveilingsprobleem rondom de Speedtouch 780-routers, die door KPN als 'Experia Box' worden verkocht, is al sinds april bekend. Een Britse hacker legde destijds een gat in de wep- en wpa-encryptie van Thomson Speedtouch-routers bloot. Beide soorten sleutels bleken bij het toepassen van de standaardinstellingen eenvoudig te achterhalen. De hackers wisten zich toegang te verschaffen tot Thomson-routers van British Telecom en soortgelijke exemplaren die door het Spaanse Orange worden uitgeleverd. KPN gebruikt dezelfde apparatuur als zijn buitenlandse collega's. Gedetailleerde informatie over de kwetsbaarheid werd gepubliceerd op de site GNU Citizen.
De router kiest per default een vrij uit te lezen ssid, die uit de aanduiding 'Speedtouch' en zes karakters bestaat. Deze karakters worden door de firmware aan de hand van het in flash opgeslagen serienummer toegevoegd, nadat een hash is toegepast. Tevens wordt op basis van een deel van het serienummer de standaard wep- of wpa-sleutel bepaald. Deze methode wordt onder andere gebruikt bij het doorlopen van een setup-wizard, waarbij stapsgewijs en met zo min mogelijk interactie van de gebruiker de beveiliging wordt 'geregeld'. Wanneer een klant met een Speedtouch-router zijn ssid en/of encyptiesleutel niet wijzigt, dan loopt hij het risico dat zijn wifi-netwerk wordt gekraakt.
Inmiddels is op de Nederlandse website Wifisecure.nl een tool verkrijgbaar die de encryptiesleutel van een standaard ingestelde Speedtouch-router binnen vijftien seconden weet te achterhalen. Piet de Bekker, eigenaar van Wifisecure.nl, verdient zijn geld met het beveiligen van wifi-netwerken en stelt tegenover Tweakers.net dat hij het probleem diverse malen bij KPN heeft aangekaart. Hij zou echter tot op de dag van vandaag geen enkele feedback van de telecomaanbieder hebben gekregen en daarom de publiciteit hebben gezocht.
KPN laat bij monde van woordvoerder Simone Boitelle weten dat de telecomaanbieder sinds april op de hoogte is van het beveiligingsrisico en dat het bedrijf stappen onderneemt om zijn klanten te waarschuwen. Inmiddels is de handleiding van het modem herschreven en is er op kpn.com informatie geplaatst over het aanpassen van de beveiligingssleutels, maar de installatie-cd met de netwerkwizard moet nog worden aangepast. Ook wil het telecombedrijf zijn adsl-klanten via een nieuwsbrief van het probleem op de hoogte stellen, maar een schriftelijke waarschuwing voor abonnees die geen elektronische nieuwsbrieven ontvangen zou niet aan de orde zijn. Onduidelijk is verder of KPN de firmware van nog uit te leveren routers zal aanpassen.
Bezitters van een Speedtouch-router kunnen de kans op een inbraak op hun wifi-netwerk fors verkleinen door zowel de ssid- als de wpa-sleutel te veranderen. Ook is aan te raden om de toegang tot de webinterface van de router met een wachtwoord af te schermen. Overigens is het gebruik van wep-encryptie op elke router een taboe, omdat deze versleuteling al enkele jaren zeer eenvoudig te kraken is.
 17:34 |
Leadtek introduceert nieuwe serie grafische kaarten |
 16:34 |
Iriver presenteert amoled-mediaspeler Spinn |
Door 
![[show]](http://tweakimg.net/g/if/comments/button_down.png "Reactie uitklappen")
.
