Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 52, views: 20.199 •

Het wifi-netwerk in de Thalys kan eenvoudig worden gekraakt; logingegevens van treinreizigers worden onversleuteld verzonden. Dat stelt beveiligingsexpert Lauren Oudot. Of creditcardtransacties wel veilig zijn, is niet onderzocht.

ThalysTreinreizigers kunnen tegen betaling internetten op de Thalys-treinen die rijden tussen Amsterdam, Brussel en Parijs. Volgens Lauren Oudot, oprichter van beveiligingsbedrijf Tehtri Security, is het netwerk echter zeer slecht beveiligd. Het wordt niet versleuteld, zodat kwaadwillenden internetverkeer kunnen sniffen. Dat zei Oudot op de Hack in the Box-beveiligingsconferentie in Amsterdam.

Bovendien bevat ook het loginsysteem van de Thalys-hotspots grote lekken, stelt Oudot. Op het moment dat een reiziger inlogt of zich registreert, worden zijn logingegevens onversleuteld verstuurd. Zodra dat gebeurt, kan een andere treinreiziger de logingegevens stelen en gebruiken om zelf op het netwerk in te loggen. Bovendien wordt het wachtwoord van reizigers opgeslagen in een cookie, die telkens wordt meegestuurd wanneer een Thalys-dienst, bijvoorbeeld een pagina met locatie-informatie, wordt opgevraagd. Bij goed beveiligde diensten worden geen wachtwoorden, maar bijvoorbeeld sessie-id's in cookies opgeslagen.

Oudot en zijn mede-onderzoekers hebben niet onderzocht of ook betalingstransacties in gevaar zijn, bijvoorbeeld door lekken in het betalingsproces. "Daarvoor zouden aanvallen op het netwerk moeten worden uitgevoerd en dat hebben we niet gedaan", zei Oudot na afloop van zijn presentatie tegen Tweakers.net. "We hebben nu simpelweg gekeken naar het internetverkeer dat onze laptop verliet." Betalingen verlopen wel via een beveiligde verbinding, maar het kan zijn dat er lekken in het betalingsproces zitten. Inbrekers kunnen in ieder geval gebruikmaken van het saldo op gekaapte Thalys-accounts.

Reacties (52)

NS heeft niets te maken met dat de OV-chipkaart slecht is. Die kaart is gemaakt door een ander bedrijf in opdracht van de overheid.
NS heeft ook niets met de wifi in de Thalys te maken...

[Reactie gewijzigd door EBOOZ op 1 juli 2010 15:30]

De Thalys rijd ook in Nederland.
Die kaart is gemaakt door een ander bedrijf in opdracht van de overheid.
Je kunt de overheid niet de schuld geven van alles dat flopt c.q. niet fatsoenlijk werkt.

De OV-Chipkaart is een initiatief van een aantal OV bedrijven.
De ov-chipkaart is een gezamenlijk initiatief van vijf grote openbaarvervoerbedrijven: Connexxion, GVB, HTM, NS en RET. Deze bedrijven hebben samen de joint venture 'Trans Link Systems' (TLS) opgericht om gezamenlijk de introductie van de OV-chipkaart vorm te geven.
Zoals je ziet is de NS er een van.

[Reactie gewijzigd door worldcitizen op 1 juli 2010 15:50]

Ik weet niet waar jij die informatie over de OV-chipkaart vandaan hebt (bron?) maar na mijn weten klopt daar niks van. Deze bedrijven heb in ruil voor geld de opdracht aangepakt. De overheid blijft initiatiefnemer van deze actie, die betaald wordt met ons geld.

in 90% van de gevallen flopt het product wel wanneer de overheid opdrachtgever of in andere bewoording initiatiefnemer is. In het geval van de OV-chipkaart is het een te duur systeem dat slecht in elkaar zit en betaald is met het geld van de burgers.

Geef mij maar gewoon weer de strippenkaart terug, dat was wereldwijd bijna het goedkoopste systeem dat er was en het werkte perfect. Nu krijgen we zoon brak k*t-systeem door onze strot heen geduwd (EPD idem). Het geld dat hiermee over de balk gegooid is had beter geinversteerd kunnen worden in bezuinigingen, milieu of wat mij part voor beter leefomstandigheden voor dieren.

De markt is dan wel geliberaliseerd maar de overheid heeft nog steeds de touwtjes in handen..... uiteindelijk heeft het een boel moeite gekost en is niemand er mee opgeschoten ..... maarja dan kennen we inmiddels in Nederland
Ik weet niet waar jij die informatie over de OV-chipkaart vandaan hebt (bron?) maar na mijn weten klopt daar niks van.
Pot, ketel verwijt?

De link staat er gewoon in.

Waar is jouw link met een bewijs naar jouw verhaal?
Het schijnt dat de tramkaarten in Antwerpen nog handiger zijn, maar ik weet niet exact hoe die werken.
Thalys is geen openbaar vervoer, kijk maar even naar de prijskaartjes. Thalys is (geen slecht) alternatief op intercity-vluchten.
Als je op tijd boekt kan je op normale tijdstippen op en neer naar Parijs voor 70 euro (vanaf Amsterdam). Vliegen is duurder en duurt langer (in- en uitchecken meegerekend).

Dit is gewoon een grote misser van Thalys en we mogen blij zijn met deze hackers. Ik neem aan dat ze de resultaten hebben doorgespeeld aan Thalys en dat zij de boel oplossen (of ben ik nu te optimistisch ;) ).
mwah, het tijdsverschil is hooguit een kwartiertje vanaf schiphol, en met die laptop kun je ook prima werken als je op een vliegveld moet wachten. Het hangt er helemaal vanaf waar je moet wezen. Vanaf A'dam of Rotterdam is een stuk makkelijker naar Parijs vliegen dan vanaf Den Haag aangezien je dan wat lastiger bij het vliegveld komt.
Thalys is geen openbaar vervoer
Thalys is wel openbaar vervoer, het is alleen duur openbaar vervoer. (Lijn)vluchten, taxi's, ferries...allemaal openbaar vervoer.
offtopic: Zowel de (lijn-)vluchten alsook taxi's zijn geen openbaar vervoer! Ze hebben bv geen vervoersplicht, je kan ze alleen voor je zelf bestellen (als je maar betaald). De ferries is even afhankelijk van welke je bedoelt: die over rieviertjes en kanalen liggen ipv bruggen vallen vaak wel onder het OV, de ferry van bv IJmuiden naar Newcastle dan weer niet. Google even op openbaar vervoer (bv de Wiki)
Euhm, het gaat om een netwerk dat publiek toegangkelijk is. Daar moet echt geen hoop beveiliging op. Zakenmensen (die wel met kostbare data werken) doen dat via een VPN tunnel ofzo. Hoe die logingegevens dan verstuurd worden voor dat trein netwerk, zal hun worst wezen.

@FiVAL: is het voor surfminuten echt nodig dat dat allemaal 128bit AES moet versleuteld gaan worden? Dat is niet echt belangrijke info.

[Reactie gewijzigd door ieperlingetje op 1 juli 2010 15:22]

Wel als later blijkt dat andere mensen met die login gegevens constant inloggen en jou laten betalen.....
Dat was ook mijn eerste reactie.

Het is óf openbaar, óf beveiligd, lijkt me. Tenzij ze bedoelen dat ze onbedoeld gebruikers zullen treffen (als ze zouden opletten) die het oneigenlijk gebruiken, dus niet alleen maar even surfen, maar nog meer, zoals andere gebruikers zieken, o.i.d.

Ik zou niet zo snel in een trein geld gaan zitten overmaken of zo. :+

Alhoewel, waarom niet? Dat is het pakkie aan van de banken...
Je beveiliging naar de banken gebeurt via https. Je moet dan dus extra driedubbel kijken of er een slotje staat op de plek waar het hoort. Als je waarschuwingen krijgt van je browser via publieke netwerken moet je die juist extra serieus nemen aangezien iemand met een man in the middle aanval bezig kan zijn.

Verder ben ik het eens met ieperlingetje. Het is een publiek netwerk. Gebruikers moet zich juist bewust zijn dat deze niet beveiligd zijn. WPA zijn geen echte beveiliging aangezien je toch niet kunt bepalen of de beveiliging van het accesspoint in orde is.
Daarvoor moet je eerst wel account hebben op de hotspot van de Thalys!
En als dan iemand anders jouw minuten opmaakt maakt het dus geen ruk
uit of jij VPNt. Want voordat je in Parijs bent is je verbinding gestaakt omdat
je minuten op zijn!
1e klas reizigers krijgen een gratis WiFi verbinding, dat zal dan niet met belminuten gaan. Tweede klas reizigers mogen wel betalen, maar het verschil is maar 11 euro voor een reis van amsterdam naar parijs. Niet de moeite waard om daarop te besparen.

http://onlineboeken.nshispeed.nl/microtips/display

Dus nagenoeg iedereen zal een gratis WiFi verbinding hebben. Opmaken van belminuten van een ander lijkt me dan ook niet aan de orde.

Het is gewoon een openbaar netwerk met minimale beveiliging.
Is het niet verstandig, om er van tevoren vanuit te gaan dat een openbaar netwerk onveilig is? 3g en hotspots lijkt me nog niet echt geschikt voor bijvoorbeeld internet bankieren?
Waarom zou 3G niet geschikt zijn? Dat zit voor zover ik weet heel anders in elkaar en is net als het GSM netwerk gewoon fatsoenlijk beveiligd.

Edit: al zijn er inmiddels geloof ik wel wat scheurtjes in de beveiliging van GSM verbindingen, maar in elk geval niet van dusdanige aard dat je het gelijk kan trekken met hotspots.

Bovendien gaat internetbankieren nog altijd gewoon over een SSL verbinding, dus zo lang als je goed oplet dat je echt met de bank communiceert en niet met een man-in-the-middle die net doet alsof ie de bank is is er weinig aan de hand.

[Reactie gewijzigd door Orion84 op 1 juli 2010 15:25]

Het GSM netwerk is niet fatsoenlijk beveiligd, de A3 encryptie is redelijk makkelijk te kraken .... vorig jaar gepubliceerd door de CCC (Chaos Computer Club) ....
Dit is wel een erg snelle conclusie.

3G heeft goede ingebouwde versleuteling als je een USIM in je laptop hebt zitten.

Ook hotspots zijn mogelijk goed te beveiligen maar dit gebeurt meestal niet.
Als je bewust kiest voor een gratis en laagdrempelig systeem, zoals NS in de normale treinen wil invoeren, dan kan ik me voorstellen dat je geen geneuzel zoals registratie wilt gaan invoeren en dan wordt het fatsoenlijk inzetten van encryptietechnieken ook lastig.

Echter is er bij dit systeem dus al sprake van een registratie. Hoe moeilijk kan het dan zijn om gewoon middels 802.1x en dergelijke op een veilige manier een WPA2 key uit te wisselen tussen client en AP en daarna op veilige wijze verder te werken :N

[Reactie gewijzigd door Orion84 op 1 juli 2010 15:14]

Tja, je zult toch op een of andere manier op de landingspagina terecht moeten komen en dat gaat het makkelijkst zonder beveiliging. Als je klant daarna alsnog een nieuwe verbinding moet opbouwen met wellicht verouderde apparatuur loop je je geld mis, want dat wil de klant terug.
Ik vergelijk het altijd maar met als dame over een doorzichtige brug lopen, je bent snel over, maar als iedereen onder je rokje kijkt is het niet fijn. Je trekt dus een broek aan als je over die brug loopt.
m.a.w. een beetje jezelf beveiligen is nooit slecht.
Oh, zeker, als je gevoelige zaken wilt versturen over een openbaar netwerk dan moet je inderdaad zelf zo verstandig zijn om dat op een goede manier te beschermen. En zeker in het geval van zakelijke gebruikers mag je dat ook wel wat meer verwachten.

Wat ik vooral vreemd vind is dat ze dus al een registratiesysteem hebben, maar dat niet benutten om de boel wat verder dicht te spijkeren. Dat dat bij een systeem waar überhaupt registratie onwenselijk is niet gebeurt kan ik me voorstellen, maar hier zouden toch wel mogelijkheden moeten liggen zou je zeggen.

Verder is het natuurlijk uiterst knullig dat juist het registratie en login systeem niet afgeschermd is middels iets als SSL.
Sure, maar dit is een heel simpele afweging tussen enerzijds gemak en anderzijds beveiliging. Als je tijd op het internet wilt verkopen is het eerste belangrijker dan het tweede, want die laatse zou nog wel eens klanten af kunnen schrikken.

Daarnaast is er geen handover tussen onbeveiligd en beveiligd wifi mogelijk bij mijn weten op een automatische manier....
Ik doe het hier altijd als volgt, kies dat netwerk, dat heeft die sleutel en je kunt het internet op, maar een hotspot heeft die eerste vorm van communicatie niet omdat dat lastig is.

Voor SSL e.d. geldt waarschijnlijk hetzelfde, hoewel mobiele en desktop browsers dat zonder enig probleem aankunnen.
nou, onderling moet het wel veilig zijn natuurlijk, juist als het openbaar is...
Als er 10 mensen tegelijk op zo'n spot zitten hoeft er maar 1 kwaadwillend te zijn en te gaan zitten sniffen bij de anderen als er niks geencrypt word...lijkt me wel een eis als je zoeits openbaar als bedrijf aanbied...
De enige manier om beveiliging te hebben waardoor 2 clients elkaar niet kunnen zien is door per client een SSID te gebruiken, of door per client een VPN op te zetten. Dat eerste kunnen accesspoints gewoon niet, en het tweede kunnen veel clients niet en kan sowieso niet automatisch.

Op een openbare hotspot ben je gewoon altijd sniffbaar, daar moet je van uit gaan. Met een volledig onbeveiligd netwerk kan iedereen dat, en met een beveiligd netwerk kan iedere andere legitieme gebruiker het.

Maar dat is helemaal niet waar dit artikel over gaat.

Dit artikel gaat vooral over de slechte beveiliging van de landingpage en de inlog gegevens nadat je eenmaal bent ingelogd op die page.

Iedere exploit die logingegevens zichtbaar maakt, ook al kun je er op zich nog niets mee, levert ook risico's op ivm hergebruik van wachtwoorden voor andere sites. De meeste mensen hebben er maar een of een paar, en dat kan problemen opleveren.
openbare netwerken stellen tegenwoordig ook niets meer voor ook al zijn ze beveiligd (nouja beveiligd?)

vind dat hier meer aan gedaan moet worden.. en merk ook dat versleuteling echt een hot issue gaat worden in 2011 en 2012..
Het gros van de betaalde WiFi ap's werkt zo.

Maar het zou imho geen problemen hoeven opleveren
- Authenticatie van een https server.
- Hierna met VPN tunnel werken.
Dat zou ik ook eens willen onderzoeken bij de Roompot vakantie huisjes.
Alle verbindingen zijn open, ook nadat je je code heb ik gevoerd.
Eerlijk gezegd word ik ook een beetje moe van al die mensen/clubs die een soort genoegen scheppen om bij elk nieuwe dienst/ding wat wordt geintroduceerd te roepen, ONVEILIG!!!...
Ik vraag me dan af of ze dit roepen vanuit een "ik wil wat doen voor de samenleving" idee .. of dat ze het roepen omdat hun naam/club dan op grote nieuwssites terecht komt en dat ze daar dan misschien een beetje opgewonden van worden.

Sommige dingen zijn in beginsel onveiliger dan andere zaken.. openbare netwerken is daar één van. Je moet als gebruiker altijd blijven nadenken wat je aan het doen bent en waar, er wordt ook bepaalde verantwoordelijkheid bij jou gelegd.

Gezond wantrouwend blijven is het devies.. je gaat ook niet je geld tellen midden op de dam.
Je gaat ook niet je pincode doorgeven aan die vriendelijke mijnheer die wel even het typwerk voor je wil doen.

Je kan beveiligen en versleutelen wat je wilt, je moet altijd zelf blijven nadenken.
Maar in dit geval betekent dat dus dat je het hele systeem maar moet mijden. Immers zit een deel van de zwakheden in het registratie en login systeem. Daar kan je zelf niks aan doen.
Gebruik gewoon asymmetrische encryptie...

http://nl.wikipedia.org/wiki/Asymmetrische_cryptografie

dan kun je vanaf je access point een key uitgeven waarmee andere met jouw kunnen connect-en. Dan hoef je de sleutel die nodig is voor decryptie niet mee te sturen. hier kun je vervolgens een simpelere manier van versleuteling mee opzetten die minder processing power kost.

Dit lijkt mij de snelst toepasbare, veilige en handigste methode om er voor te zorgen dat je klanten veilig met jouw kunnen verbinden. Ik heb alleen geen idee wat voor protocollen hier aan te pas komen.
Dat is makkelijker gezegd dan in de praktijk toegepast, in de huidige WLAN standaarden zit namelijk niet echt ondersteuning voor device certificaten. Wat dat betreft zou WiMax geschikter zijn, aangezien daar elk apparaat een certificaat heeft om inderdaad veilige verbindingen op te zetten.

Als je al iets dergelijks wilt doen dan komt het neer op SSL voor de landingpage (registratie/login) of 802.1x technieken om een WPA key uit te wisselen.

Dat eerste is een fluitje van een cent, dat laatste vereist wat meer infrastructuur en betekent ook dat er op de clients een paar instellingen aangepast moeten worden.
Nee, dat is dus totaal niet toepasbaar. Het maken van een windows client die dat implementeert bovenop een onbeveiligde wifi is nog tot daar aan toe, maar hotspots moeten ook werken voor os x, linux, iphone, android, winmo, etc.etc. gebruikers.

Tenzij je hier dus een standaard voor schrijft, en die is er gewoon nu niet, gaat dat nooit gebeuren.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013