Gratis internet in trein blijkt eenvoudig af te tappen

De draadloze internettoegang, die momenteel als proef gratis wordt aangeboden in de trein tussen Groningen en Leeuwarden, blijkt slecht beveiligd te zijn. Een hacker slaagde er zonder veel moeite in het systeem te kraken.

Sinds enkele weken loopt er in de treinen op het traject Groningen-Leeuwarden een proef met gratis internet. In die treinen is een WiFi-hotspot geplaatst, waar reizigers gratis gebruik van kunnen maken. De NOS liet deskundige Bastiaan Brink eens uitproberen hoe goed dit beveiligd was. Brink slaagde er moeiteloos in om op de router in te loggen, waarna hij het verkeer van andere gebruikers kon bestuderen. Het was makkelijk te zien welke websites werden bezocht, en als het verkeer niet versleuteld was vielen ook login-gegevens te onderscheppen. Het zou ook mogelijk zijn om bepaalde pagina's om te leiden en zo gebruikers van internetbankieren naar een namaaksite te sturen om hun gegevens te onderscheppen.

Arriva, de exploitant van de treinen, verwijst voor commentaar op de geslaagde hackpoging naar KPN, dat het technische deel van het experiment verzorgt. Volgens een woordvoerder van KPN gaat het nog slechts om een proef. Bovendien is internetten in de trein te vergelijken met het voeren van een gesprek in een café: ook dat kan worden afgeluisterd, aldus de KPN-woordvoerder op de NOS.

IT-banen

Reacties (120)

CopyCatz 5 maart 2009 12:04

En wat is het verschil met thuis? Of een hotspot in de stad? Daar kan toch precies hetzelfde gebeuren met je wireless acces point. Hoeveel mensen niet eens encryptie op hun huis-router gezet hebben.

Ik internet al veel in de trein met mijn iphone, maar dan ga ik bewust bijvoorbeeld geen apps bestellen in de store om maar iets te noemen. Verder vind ik het neerzetten van een normaal accesspoint in de trein meer dan voldoende, zeker als het gratis is. Voor je het weet moet er een handleiding aan de muur gehangen worden met een secure vpn app en een bijbehorende dongle/key... Dat trekt de gemiddelde reiziger toch niet.

Anoniem: 69767 @CopyCatz • 5 maart 2009 12:13

Een van de grootste attracties voor het OV zijn met het OV reizende werknemers. Dat wordt ook overal gepromoot. Internet is daar één van de redenen voor: "Je kunt doorwerken in de trein!". Maar nu gaat het OV dus zeggen: "Ho Ho, je mag dus bij ons wel fijn Internetten, maar werken kun je beter niet doen, want dat is onbeveiligd - want iedereen kan je e-mail lezen".

Als je niet veilig in de trein kunt doorwerken, dan vervalt toch het hele nut: juist meer reizigers aantrekken omdat je zou kunnen doorwerken in de trein...

miw @Anoniem: 69767 • 5 maart 2009 12:35

Voor toegang tot gevoelige bedrijfsgegevens is het uitermate stom om een niet te vertrouwen netwerkverbinding te gebruiken. Dan is het minimaal nodig om eerst even een VPN op te zetten en dan pas die informatie te raadplegen of te versturen.
Wat dat betreft heeft KPN gewoon helemaal gelijk. Internet toegang staat nu eenmaal niet gelijk aan een veilige internet toegang.
De ingehuurde hacker(s) hebben er alleen belang bij om hun "werk" te promoten en overdrijven nog eens even flink de mogelijke gevaren. Bij dit soort berichten hoor je nou eens nooit een degelijk advies over hoe men ongeacht dit soort hacks toch van de aangeboden infrastructuur gebruik kan maken.

Roytoch @miw • 5 maart 2009 13:06

Niet helemaal waar. A is het geen ingehuurde hacker, maar gewoon iemand die op de juiste knopjes heeft gedrukt, en B is KPN in gesprek met betreffende persoon om eea veiliger te maken.

Verder zijn de gevaren niet overdreven, alleen is oa door MSN en NU een andere toon gekozen voor de berichtgeving. Het oorspronkelijke persbericht van desbetreffende persoon was terughoudend over de gevaren, en prees in ieder geval het initiatief.

Daarnaast heeft KPN de info al binnen gekregen, en gefixt, en pas daarna is het openbaar geworden. Alleszins netjes dus.

TheCapK @Roytoch • 5 maart 2009 19:30

Het is wel een ingehuurde hacker quote: "De NOS liet deskundige Bastiaan Brink eens uitproberen hoe goed dit beveiligd was."
Dat het gewoon iemand is die gewoon de juiste knopjes heeft ingedrukt is helaas dus onzin.
Dat bepaalde media dit soort berichten opkloppen kan ik het verder helemaal mee eens zijn. Dat kan je echter verwachten daar overdreven berichten meer hits opleveren dan de ingetogen berichten. Het oorspronkelijke bericht was dus van de NOS en die zijn over het algemeen idd niet zo opgefokt in hun berichtgeving itt NU e.d.!

Roytoch @TheCapK • 5 maart 2009 23:01

Brink is een hoster die in Leeuwarden woont en dus op zijn woon-werk verkeer op de juiste knopjes drukte. Daarna is pas NOS erbij gekomen, waaraan hij eea liet zien. Hij is zeker geen hacker of wat dan ook.

Waar lees jij ook dat hij ingehuurd is? Die quote zegt niets namelijk. Daarnaast ben ik degene die het persbericht heeft meehelpen schrijven, dus ik hoef niet te gokken naar het gebeurde.

90710 @CopyCatz • 5 maart 2009 12:09

Als het goed is gaat de Apple App Store over een beveiligde verbinding en is de data die je verstuurt / ontvangt dus al geencrypt

HAL 9000 @CopyCatz • 5 maart 2009 12:13

Een minimum aaan beveiliging kan je toch wel verwachten? Of is het normaal dat iemand met een beetje kennis zomaar in de router kan en instellingen kan wijzihgen?

miw @HAL 9000 • 5 maart 2009 12:35

Dus jij vertrouwt elk open WiFi netwerk?

VisionMaster @HAL 9000 • 6 maart 2009 09:04

Je hebt nooit serieus gekeken naar KPN hotspots blijkbaar... Zelfde situatie, zelfde probleem.

Daarnaast: security is moeilijk, encryptie is moeilijk. En niet iedere OS maker doet simpelweg alle mogelijke tools meeleveren. Misschien is het met Vista anders, maar EAP/TTLS lijkt me toch wel een makkelijke (al is de protocol stack wat ingewikkeld misschien).

[Reactie gewijzigd door VisionMaster op 23 juli 2024 22:31]

Anoniem: 69767 @CopyCatz • 5 maart 2009 12:21

Ach wat maakt het uit dat anderen meekunnen lezen...Ik heb toch niets te verbergen!
Degenen die zich hier druk overmaken hebben zeker iets te verbergen...!!

[Reactie gewijzigd door Anoniem: 69767 op 23 juli 2024 22:31]

Andros @Anoniem: 69767 • 5 maart 2009 12:43

Tuurlijk joh. De volgende keer als u gaat vliegen mag u even mee naar achteren. Broek uit en bukken, ik pak even een handschoen. Meneer heeft toch niets te verbergen

vizion88 5 maart 2009 12:03

In de voorwaarden staat dat het geen beveiligde verbinding is. Hierdoor zouden gebruikers dus niet in hun recht staan wanneer ze hieraan rechten willen ontlenen.

Het in de router kunnen komen is inderdaad een grove fout van KPN. Een dergelijke testomgeving dient ook veilig te zijn.

Wat betreft het afluisteren in een cafe zijn ook diverse opvattingen over. Iemand die in het cafe aan het praten is weet dat hij kan worden afgeluisterd. Iemand zonder kennis van internettechnologie heeft hier geen benul van.

HMeijer 5 maart 2009 22:46

Alle beveilingen zijn te kraken, om maar een oude koe uit de sloot te halen.

Het oorspronkelijke doel van de internetverbinding was om realtime beveilingscamera's die in de trein zijn opgehangen te verbinden met een centraal punt en om andere snelle communicatie voor intern gebruik mogelijk te maken. Zover ik alle plaatselijke flyers en informatie goed heb begrepen bleek er wat bandbreedte over te zijn, waarom men maar wat routers plaatste en gratis internet in de trein mogelijk maakte. Een erg goed en leuk initiatief lijkt mij.

Vandaar dat het dan ook extra jammer is dat maar per se weer moest worden aangetoond dat dit netwerk ook te kraken is. Het verhaal is daarnaast behoorlijk opgeblazen. Hoeveel mensen checken ff hun bankzaken in de trein? Dat zijn dingen die de meeste verstandige mensen nooit in het openbaar zullen doen, juist omdat ze niet weten hoe het is gesteld met de beveiliging. Vooral ook omdat openbare netwerken erg aantrekkelijk zijn voor kwaadwillenden.

Enige punt wat deze hacker heeft aangetoond is dat ze uiteindelijk in alle Arriva treinen, mocht de proef slagen, een verbeterde beveiliging moeten toepassen. KPN heeft hierbij zelfs al het geluk dat ze niet twee keer het wiel hoeven uit te vinden: de technologie zoals die nu aanwezig is bij een hotspot kunnen ze toepassen, ditmaal met de verandering dat elke computer gratis verbinding kan maken.

Anoniem: 291785 5 maart 2009 11:59

mijn vaders bedrijf onderhoudt die treinen, ze hebben die modules er ook zelf ingebouwd. het is 3.6Mb/ Hspda. ook had die Bastiaan Brink instellingen in het modem verandert zodat andere mensen niet meer op internet konden!!! Per trein zitten er 2 modems. met elk een eigen lijn. ook wordt p2p verkeer geblokt om de snelheid te behouden.

Roytoch @Anoniem: 291785 • 5 maart 2009 13:09

Volslagen l*lkoek. Er zijn geen instellingen veranderd, en er is niks gehackt. Het admin password was 'admin'. Voor je op Brink begint te pikken, realiseer je even dat er wellicht bij het inbouwen eea is misgegaan (aan de kant van KPN dan in dit geval).

Je kan iets wel beveiligen maar als het password nóg gewoon op admin staat, is het leuk geprobeerd maar tragisch slecht.

Loekie

@Roytoch • 5 maart 2009 15:23

Tja, het lijkt erop dat ze apparatuur zo van de plank hebben gepakt in ingebouwd zonder extra configuratie. Ik vind opvallend dat er screenshots van DD-WRT worden gebruikt terwijl ik me afvraag of die apparatuur ook werkelijk gebruikt wordt.
KPN gebruikt bij voorkeur apparatuur van Alcatel-Lucent danwel Siemens en bij mijn weten zijn er 2 modelllen van siemens ondersteund door DD-WRT(SE505, SX550) en alcatel niet.
Ik vraag me duidelijk af wat er klopt, een wireshark sessie opzetten zou ook de gegevens van 'de student' al opleveren.
Ik vond het opvallend dat de gegevens voor de webmail van saxion onversleuteld over de lijn zouden gaan, bij mijn weten gaat dat nl via https. En dan zou er een mitm uitgevoerd moeten zijn.

[Reactie gewijzigd door Loekie op 23 juli 2024 22:31]

moto-moi @Anoniem: 291785 • 5 maart 2009 12:07

Wat voor beveiliging gebruiken ze? WPA? WEP? EAP/TTLS?

Anoniem: 291785 @moto-moi • 5 maart 2009 12:08

Wat voor beveiliging gebruiken ze? WPA? WEP? EAP/TTLS?

het internet is zelf onbeveiligd, het modem is beveiligt met een 256bits encryptie

Umbrah @moto-moi • 5 maart 2009 12:12

Je moet je IP wel activeren om naar buiten te gaan via een webpagina die je verbinding vrijgeeft, maar de WiFi verbinding zelf is niet versleuteld.

Overigens, en hetzelfde geld voor alle openbare plekken, de ultieme vorm van hacken blijft: Meekijken.

Loekie

@Umbrah • 5 maart 2009 12:57

Ah zelfde als thalys dus, tja, daar bouw ik ook altijd een VPN op naar huisserver en dan verder internet op. Het snelheidsverlies neem ik dan op de koop toe.
Irritante is wel dat Vista al op internet zit voordat je ook maar een VPN hebt kunnen opbouwen, dus een mailchecker in de sidebar is dan ook niet handig.

HenkEisDS @Loekie • 5 maart 2009 16:50

Gmail notifier kun je met een hack ook geschikt maken voor https en outlook 2007 kun je volgens mij ook verplichten alleen via beveiligde verbinding te connecten.

http://groups.google.com/...d/thread/c1270fcfffecd144

Hoeloeloe @Nickname55 • 5 maart 2009 13:32

Alleen netwerken die van te voren al ingesteld zijn worden automatisch verbonden.
En bij onbeveiligde netwerken wordt van tevoren een waarschuwing gegeven mocht je daar een verbinding mee willen maken

Umbrah @Hoeloeloe • 5 maart 2009 19:11

Je kan een vinkje aan of uitzetten bij elk netwerk of hij er automatisch weer verbinding mee moet maken. Dat, en bij eigenlijk elk netwerk waar je op inplugt vraagt hij wat het is; openbaar, privé, of werk. Afhankelijk daarvan regelt hij een sloot instellingen die O.A. betrekking hebben op shares, en een daarvan is het vinkje bij Openbaar.

Loekie

@Nickname55 • 5 maart 2009 15:12

Nope, vista gebruikt alleen van te voren ingestelde netwerken automatisch. In dit geval zal je ws de std vangpagina krijgen waar je bevestigend moet antwoorden op de voorwaarden, daarna ben je online.
Waar ik meer op doel is dat als je vista gebruikt met een sidebar mailchecker je die dus direct online laat gaan, voor die tijd kun je dus de VPN verbinding niet opstarten.
Ik gebruik daarom geen mailchecker in de sidebar meer, maar std outlook met exchange(= een versleutelde verbinding in mijn geval) Daarvoor maak ik een VPN-verbinding over poort 80 aan naar de huisserver, welke versleuteld is.

RagEnigma 5 maart 2009 11:57

Fijn dat ze vinden dat het net een conversatie in een cafe is maar dat weet ik dan wel graag van te voren. Bordjes met alles wat u hier typt is gemeengoed voor de rest van de wereld zou dan geen kwaad kunnen. Maar ja zolang VPN mogelijk is internet ik wel veilig via thuis

CherandarGuard @RagEnigma • 5 maart 2009 13:08

Ik ben het eens met de stelling dat het beter aangekondigd zou moeten zijn.

Dat een publiek netwerk onveilig is is niets nieuws en wat dat betreft valt Arriva en KPN niet veel te verwijten. Vele leken zullen zich daar echter niet van bewust zijn, dus een waarschuwing (bij voorbeeld via een pagina bij het aanmelden met een uitleg) zou zeker op zijn plaats zijn.

DwarV @CherandarGuard • 5 maart 2009 13:24

Voordat je naar een site kan browsen in deze trein, krijg je een schermpje te zien in je browser waarop vermeld staat dat het netwerk niet veilig is, en dat je over een VPN het veiligst kan surfen. Daaronder moet je eerst nog de voorwaarden accepteren voordat je uberhaupt het netwerk op kan.

KompjoeFriek @RagEnigma • 5 maart 2009 13:46

In de trein kijkt iemand meestal makkelijker ongemerkt mee over je schouder dan wanneer je thuis zit. Ook daar moet je je van bewust zijn als je in de trein gaat zitten internetbankieren of andere sites met bv een password bezoekt.

Als je dat als internetter al niet begrijpt dan heeft het beveiligen van zo'n router verder ook weinig toegevoegde waarde voor de internettende treinreiziger

Pmf1971 @RagEnigma • 6 maart 2009 00:24

Lijkt mij dat ze in ieder geval de router zelf ontoegankelijk maken voor gebruikers van het netwerk in de trein.

Tevens zouden ze een op java gebaseerde VPN client kunnen implementeren zodat mensen de keus hebben om via die VPN verbinding te kunnen surfen (daarvan is de gateway buiten de trein) zodat ze zowieso niet afgeluisterd kunnen worden.

Ventieldopje @RagEnigma • 6 maart 2009 01:12

De geit is gemolken!

Nee maar, WPA2 encryptie is toch een kleine moeite? Of er nou iemand over je schouder mee kijkt of niet, dat je zonder al te veel moeite van iedereen in de trein kan zien wat ze doen op het internet lijkt me nou een minder leuk idee!

ZpAz

@Ventieldopje • 6 maart 2009 09:02

Als je op de router in kan loggen en de log gegegevens e.d kan bekijken dan kan je het wel WPA encrypten, maar de logs zijn dat zeer zeker niet he.

Keneo @Ventieldopje • 6 maart 2009 09:33

je kan dan nog altijd zelf doen alsof jij het access point bent, en (ongeveer de helf van) de gebruikers langs u laten passeren vooraleer het naar het echte access point door te sturen en alsnog alle verkeer lezen...

Verplicht vpn laten gebruiken (zoals ze vb bij de universiteiten doen) is de veiligste oplossing.

Een pagina met uitleg en de uurroosters van de trein toelaten zonder vpn is dan wel weer handig...

Reteip @RagEnigma • 6 maart 2009 08:43

Ik vind de stelling niet echt opgaan. Mijn gesprekken in een cafe zijn nou meestal ook niet geheim, dan voer ik het gesprek namelijk wel ergens op een 'veiligere' plaats. En in een cafe roep ik doorgaans ook niet mijn wachtwoorden in het rond.

Nou is het grote verschil met een cafe en internet dat ik voor een goed gesprek in een cafe ook geen geheime dingen of wachtwoorden HOEF rond te bazuinen. Voor een beetje internet doe ik dat wel (al is het alleen maar inloggen op tweakers!).

plm @RagEnigma • 9 maart 2009 08:04

Internet is altijd "gemeengoed", in principe kan elke router op internet niet vertrouwd worden. Als je security wil, moet je dit zelf end-to-end regelen (bijv. vpn of ten minste alles versleutelen).

Wannial 5 maart 2009 11:57

"Bovendien vond hij dat internetten in de trein moest worden vergeleken met het voeren van een gesprek in een café: ook dat kan worden afgeluisterd"

haha nog even!
op zo een manier "afgeluisterd" worden kan je toch iets meer kosten...
zeker als ze via zo een weg kunnen binnen dringen op iemand zijn laptop....
leuk ook als je nietsvermoedend aan het werk bent.. van een cafe kan je nog begrijpen dat andere het horen.. en in een cafe regel je je bankzaken ook niet "even snel"

slechte zaak dit.. mogen ze echt wel eens goed naar gaan kijken!

foppe-jan @Wannial • 5 maart 2009 12:08

Je bankzaken gaan (als je bij een normale bank zit) toch echt via SSL.

GrooV @foppe-jan • 5 maart 2009 12:29

SSL is makkelijk te faken hoor. Je geeft de gebruiker gewoon een vals certificaat en laat al het verkeer via jou eigen laptop lopen. In de praktijk is het iets complexer maar dit kan gewoon hoor. Ook SSL is maar een schijnmaatregel, mensen die echt kwaad willen krijgen ook dat voorelkaar

XBL @GrooV • 5 maart 2009 12:50

Behalve dan dat de geldigheid van het certificaat bij slechts enkele instanties gecheckt worden. Behalve als jij zo'n instantie bent of de computer van je slachtoffer kan hacken (het controleren van certificaten aanpassen op die computer) is het allemaal lastig te faken. Makkelijk faken is zeker niet waar.

Wel zou je natuurlijk https://www.bank.nl kunnen omleiden naar https://www.bonk.nl waarna jij vervolgens een geldig certificaat hebt voor https://www.bonk.nl. Maar daarom moet je ook altijd checken of de URL die je bezoekt, de URL is die wilt bezoeken. Overigens geeft de browser vaak een melding als je wisselt van SSL-website of van SSL-beveiligd naar SSL-onbeveiligd is... is het wel de zaak dat de gebruiker weet wat-ie moet doen.

Sorcix @XBL • 5 maart 2009 12:54

Hij kan natuurlijk ook gewoon de website van die enkele instanties naar een andere locatie doorverwijzen en alle certificaten goedkeuren. Zoals GrooV zegt, zelfs SSL is op zo'n moment gewoon een schijn van veiligheid.

brompot758 @Sorcix • 5 maart 2009 13:05

Dat klopt niet. Een X509V3 certificaat (dat als server autenticatie bij SSL minimaal nodig is) wordt geverifieerd aan de hand van de public key van de CA. Die public key staat in je laptop. Er wordt dan gekeken of de digitale handtekening in het server certificaat gegenereerd is door een bekende CA.

Wil je dat faken dan moet je een CA certificaat op de laptop van het slachtoffer geinstalleerd krijgen. Als die goed beveiligd is gaat je dat niet lukken.

Als je bovendien in je browser nog even kijkt wie eigenaar en uitgever van het certificaat zijn dan ben je redelijk zeker.

.oisyn Moderator Devschuur®

Beveiliging

@Sorcix • 5 maart 2009 13:13

Je kunt helemaal niet zomaar een certificaat goedkeuren. Daarvoor dien je te beschikken over de private key van de certificate authority, die je niet hebt. En de public keys van de bekende instanties zoals Verisign zijn doorgaans voorgeïnstalleerd op de PC van de gebruiker, waardoor je niet zomaar even een andere private+public key paar kunt gebruiken. Dan zul je je voor moeten doen als authority die nog niet bekend is bij de gebruiker, waardoor z'n browser een warning zal geven dat de authority niet bekend is.

cameleon25 @.oisyn • 5 maart 2009 15:58

Niet helemaal, er zijn manieren om SSL te omzeilen en te faken waar zelfs de meeste tweakers voor zouden vallen denk ik; zie http://hackademix.net/2009/02/19/more-https-troubles/

MrBlueEyes

@foppe-jan • 5 maart 2009 12:11

Er staat dat het mogelijk is mensen naar een andere website te leiden, die bijvoorbeeld een namaakwebsite van hun bankwebsite is.

smokalot @MrBlueEyes • 5 maart 2009 12:40

Dan krijg je dus gewoon te zien dat het certificaat niet klopt.

Het internet is niet te vertrouwen, en daarom is SSL uitgevonden. Het verkeer van mijn PC naar willekeurig welke andere PC op het internet gaat via een route die ik niet eens ken, maar het uitgangspunt van veel mensen is dat ik het wel "gewoon" moet vertrouwen?

Ik vertrouw mijn verbinding thuis ook meer dan de verbinding zonder WEP in een of ander cafe, maar alsnog check ik mijn mail over IMAPS, doe ik mijn bankzaken over SSL (en gaan er alarmbellen af als ik een certificaat foutmelding krijg), gebruik ik geen MSN maar jabber met SSL, heb ik het vinkje "use SSL" bij gmail aan staan, gebruik ik sftp en geen ftp, enz enz.

Als mensen dan bewust gemaakt moeten worden van beveiligingsrisico's, laat ze dan op hun eigen pc beginnen, ipv ze in de waan laten dat het internet te vertrouwen is!

@nickname55:
ik denk dat een heleboel mensen via bookmarks (of de autocomplete van hun browser) hun banksite bezoeken, daar staat al https, dus je kunt niet zomaar http gebruiken als phisher.

[Reactie gewijzigd door smokalot op 23 juli 2024 22:31]

Nickname55 @smokalot • 5 maart 2009 13:15

Als die namaak site een normale http site is, dan is van een certificaat geen sprake. Hoeveel mensen zal het opvallen dat het protocol niet https is?

Blowthebullet @MrBlueEyes • 5 maart 2009 22:39

Wie gaat er nou in een trein waar men ook nog eens over je schouders kan kijken geldzaken regelen ? een persoon met goed verstand regelt zijn geldzaken thuis en niet in een trein of cafe met wifi-hotspot. Gebruik het dan om de nieuws te checken op tweakers of dergelijke zoals rtlz of geenstijl. Werken aan mijn documenten in de trein via een VPS verbinding ga ik zeker niet doen, dat doe ik op kantoor en niet in mijn vrije tijd

.

Zelf twijfel ik het nut van een wifi-hotspot in de trein gezien de opkomst van mobiel internet.

Mellow Jack @Wannial • 5 maart 2009 12:03

Als iemand toegang op je laptop kan krijgen ligt het probleem echt bij je laptop en niet bij je wireless

Weer zoiets van als je je eigen zaken goed geregeld hebt zal je er geen last van hebben

Tenzei ze het gebruik van internet onmogelijk maken dmv instellingen in de router

densoN @Mellow Jack • 5 maart 2009 12:46

onzin.
je kan niet verwachten dat de gebruiker of zijn software moet kunnen zien wanneer er een MITM attack word uitgevoerd. Vooral als de hacker in de router banksites kan doorlussen naar zijn eigen fish-site..

en zoals grooV al aangeeft is SSL zeker te faken.

[Reactie gewijzigd door densoN op 23 juli 2024 22:31]

Mellow Jack @densoN • 5 maart 2009 12:59

en VPN??? want over SSL hebben we hierboven geen woord gerept...

Ik vraag me echt af in hoeverre VPN veilig is in zulke situaties, ik vermoed mits goed ingesteld dat dat zeker wel veilig is

Vooral als je de webpagina ophaalt via de DNS server in het netwerk waar jij met VPN naar bent verbonden

Enige wat je dan kan zien is ingepakte VPN packages met daarin ingepakte SSL packages dus SSL is in zo'n geval pas de 2e partij en de gegevens krijg jij niet via de router maar via je eigen netwerk waarmee je in verbinding zit dus een phishing site is in zo'n geval lastig

hackerhater @Mellow Jack • 5 maart 2009 14:08

Onder de *nixen is een VPN veilig
Gister had mijn baas de server veranderd
mijn VPN sloeg direct alarm omdat de key niet klopte

vizion88 @Mellow Jack • 5 maart 2009 12:06

Misschien moet je eerst even nadenken voordat je post. Wanneer er qua beveiliging van de verbinding zaken mis zijn, dan ligt dat niet per definitie aan je laptop.Denk bijvoorbeeld aan de versleuteling van data. Dat ga jij niet oplossen met je laptop, dat is de taak van de router.

Mellow Jack @vizion88 • 5 maart 2009 12:22

Uuuh daarom zeg ik als iemand toegang op jou laptop krijgt is dat zeker wel een zaak in jou laptop... (was een reactie op Yeseterror)

Daarna zeg ik als je je eigen zaken goed hebt geregeld zal jij er ook niet veel last van hebben, ik vermoed dat wanneer je een VPN verbinding opzet de datastream redelijk beveiligd is en je van goede huize moet zijn om dit te onderscheppen

Ja niet geëncrypteerde http requests kan je gemakkelijk van het netwerk halen maar ja dat kan vaak (altijd?) wanneer je op een netwerk bent aangesloten

Moest ik eerst na denken voordat ik iets post of jij voordat je reageert?

[Reactie gewijzigd door Mellow Jack op 23 juli 2024 22:31]

comecme @Mellow Jack • 5 maart 2009 15:28

Kan het opzetten van een VPN verbinding dan niet via een Man-in-the-middle attack worden afgeluisterd?

telenut @comecme • 5 maart 2009 16:36

ssl vpn, data versleutelen hé

HenkEisDS @comecme • 5 maart 2009 16:44

Nee, want omdat de data versleuteld is kun je er ook geen wijzigingen aan toevoegen. Je weet immers niet wat je moet wijzigen want je kunt het niet lezen. Je spreekt een heel andere 'taal' zonder juiste sleutel.

brompot758 @vizion88 • 5 maart 2009 12:59

Ook als de data wel versleuteld is kunnen de laptops die aan hetzelfde access point zitten elkaar vaak benaderen. Dus moet je wel degelijk een goede beveiliging zelf hebben als je via zo'n publiek netwerk communiceert. Of ga je ook zonder virus scanner en firewall het internet op?

alt-92 @vizion88 • 5 maart 2009 21:28

Denk bijvoorbeeld aan de versleuteling van data. Dat ga jij niet oplossen met je laptop, dat is de taak van de router.

Oh ja joh?

LinuX-TUX 5 maart 2009 12:08

Router open, dat is ZEER slordig.

Aftappen van anderen daarentegen heb je echt geen router toegang nodig. Open netwerk is open netwerk, je start een simpel programmaatje als kismet icm wireshark en je kan het net zo goed loggen als bij andere 'open' hotspots.

Router toegang kan het wel makkelijker maken als je jezelf in kan stellen als console/dump.

Andros 5 maart 2009 12:46

Ze zijn hier nu al jaren mee bezig maar imo is het nu mosterd na de maaltijd. De mensen die al willen internetten doen dat allang met UMTS. Techniek heeft ze ingehaald...

R-O-Y @Andros • 5 maart 2009 16:22

Dat is precies wat ik dacht. 's Ochtends naar school gebruik ik m'n mobiel om even te msn'en of te internetten. Gaat prima via een 3G verbinding. Tegenwoordig kost zo'n abonnementje ook niet veel. Voor hooguit 10 euro in de maand ben je klaar.

Ik zie tegenwoordig ook erg veel mensen met een laptop met mobiel internet via een USB-adapter. Iedereen die internet nodig heeft gebruikt het allang. Voor de kosten hoeft men het niet te laten

burne 5 maart 2009 14:29

Ik heb drie keer gekeken of het niet stiekum woensdagmiddag is, maar helaas. Het is echt donderdag. Het merendeel van de bovenstaande reacties is namelijk te droevig voor woorden. Kleuterniveau.

Regel je beveiliging zelf! Zorg dat je niet afhankelijk bent van KPN ofzo.

Als je wilt weten waarom moet je eens met een packetsniffer op het CS in Amsterdam gaan staan. Wat je daar als plaintekst langs ziet komen is niet anders dan wat je in die trein ziet. Als je data verstuurt via een open wifi-verbinding is de enige die verantwoordelijk is voor de beveiliging van je data jij zelf. Als je het niet doet ben je dom bezig. Boos worden op anderen is zinloos. Het is een open netwerk, en welk deel van 'open' heb je niet goed begrepen?

Als je van mening bent dat anderen je gegevens voor je moeten beveiligen stel ik voor dat je nu je bankpas en pin bij mij inlevert, dan zorg ik er wel voor dat dat netjes beveiligd wordt. Vergeet je spaarrekening niet, en eventuele aandelenrekeningen die je hebt. Ik ben best te vertrouwen met jouw geld. Echt waar.

Anoniem: 256386 5 maart 2009 12:11

In een cafe vertel je ook luid en duidelijk je gebruikersnaam en wachtwoord..

Little Penguin @Anoniem: 256386 • 5 maart 2009 12:22

Nee, dat doet je niet. Als je echter ziet dat je internetverbinding niet versleuteld, dan moet je ook niet via een onbeveiligde verbinding gaan werken...

Ofwel: POP, IMAP e.d. over SSL of met TLS.

Als je sites bezoekt, dan kijken of je via een https-verbinding kan werken - anders moet je het misschien nalaten. (Diverse webmail-diensten hebben overigens een optie om via https te connecten ipv http - ff je mail checken is dus wel degelijk mogelijk)

Fuzzillogic @Little Penguin • 5 maart 2009 13:58

Helaas is het ronduit schokkend hoe nalatig mensen zijn, zelfs ICT'ers met WO-opleiding, als het aankomt op beveiliging. Terwijl het soms toch inderdaad werkelijk heel simpel is, zoals bij je mail-client het SSL/TLS-checkboxje aan te vinken. Dat kan zelfs bij elke hedendaagse mobiel.

Natuurlijk moet de mail-provider meewerken door het te ondersteunen. Als je provider dat niet doet, dan is dat meer dan voldoende reden om een betere te zoeken.

Op dit item kan niet meer gereageerd worden.

Gratis internet in trein blijkt eenvoudig af te tappen

Lees meer

IT-banen

Reacties (120)

Sorteer op:

Weergave: