Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 52 reacties, 20.462 views •

Het wifi-netwerk in de Thalys kan eenvoudig worden gekraakt; logingegevens van treinreizigers worden onversleuteld verzonden. Dat stelt beveiligingsexpert Lauren Oudot. Of creditcardtransacties wel veilig zijn, is niet onderzocht.

ThalysTreinreizigers kunnen tegen betaling internetten op de Thalys-treinen die rijden tussen Amsterdam, Brussel en Parijs. Volgens Lauren Oudot, oprichter van beveiligingsbedrijf Tehtri Security, is het netwerk echter zeer slecht beveiligd. Het wordt niet versleuteld, zodat kwaadwillenden internetverkeer kunnen sniffen. Dat zei Oudot op de Hack in the Box-beveiligingsconferentie in Amsterdam.

Bovendien bevat ook het loginsysteem van de Thalys-hotspots grote lekken, stelt Oudot. Op het moment dat een reiziger inlogt of zich registreert, worden zijn logingegevens onversleuteld verstuurd. Zodra dat gebeurt, kan een andere treinreiziger de logingegevens stelen en gebruiken om zelf op het netwerk in te loggen. Bovendien wordt het wachtwoord van reizigers opgeslagen in een cookie, die telkens wordt meegestuurd wanneer een Thalys-dienst, bijvoorbeeld een pagina met locatie-informatie, wordt opgevraagd. Bij goed beveiligde diensten worden geen wachtwoorden, maar bijvoorbeeld sessie-id's in cookies opgeslagen.

Oudot en zijn mede-onderzoekers hebben niet onderzocht of ook betalingstransacties in gevaar zijn, bijvoorbeeld door lekken in het betalingsproces. "Daarvoor zouden aanvallen op het netwerk moeten worden uitgevoerd en dat hebben we niet gedaan", zei Oudot na afloop van zijn presentatie tegen Tweakers.net. "We hebben nu simpelweg gekeken naar het internetverkeer dat onze laptop verliet." Betalingen verlopen wel via een beveiligde verbinding, maar het kan zijn dat er lekken in het betalingsproces zitten. Inbrekers kunnen in ieder geval gebruikmaken van het saldo op gekaapte Thalys-accounts.

Reacties (52)

Reactiefilter:-152050+139+20+30
Moderatie-faq Wijzig weergave
Euhm, het gaat om een netwerk dat publiek toegangkelijk is. Daar moet echt geen hoop beveiliging op. Zakenmensen (die wel met kostbare data werken) doen dat via een VPN tunnel ofzo. Hoe die logingegevens dan verstuurd worden voor dat trein netwerk, zal hun worst wezen.

@FiVAL: is het voor surfminuten echt nodig dat dat allemaal 128bit AES moet versleuteld gaan worden? Dat is niet echt belangrijke info.

[Reactie gewijzigd door ieperlingetje op 1 juli 2010 15:22]

Dat was ook mijn eerste reactie.

Het is óf openbaar, óf beveiligd, lijkt me. Tenzij ze bedoelen dat ze onbedoeld gebruikers zullen treffen (als ze zouden opletten) die het oneigenlijk gebruiken, dus niet alleen maar even surfen, maar nog meer, zoals andere gebruikers zieken, o.i.d.

Ik zou niet zo snel in een trein geld gaan zitten overmaken of zo. :+

Alhoewel, waarom niet? Dat is het pakkie aan van de banken...
Je beveiliging naar de banken gebeurt via https. Je moet dan dus extra driedubbel kijken of er een slotje staat op de plek waar het hoort. Als je waarschuwingen krijgt van je browser via publieke netwerken moet je die juist extra serieus nemen aangezien iemand met een man in the middle aanval bezig kan zijn.

Verder ben ik het eens met ieperlingetje. Het is een publiek netwerk. Gebruikers moet zich juist bewust zijn dat deze niet beveiligd zijn. WPA zijn geen echte beveiliging aangezien je toch niet kunt bepalen of de beveiliging van het accesspoint in orde is.
Daarvoor moet je eerst wel account hebben op de hotspot van de Thalys!
En als dan iemand anders jouw minuten opmaakt maakt het dus geen ruk
uit of jij VPNt. Want voordat je in Parijs bent is je verbinding gestaakt omdat
je minuten op zijn!
1e klas reizigers krijgen een gratis WiFi verbinding, dat zal dan niet met belminuten gaan. Tweede klas reizigers mogen wel betalen, maar het verschil is maar 11 euro voor een reis van amsterdam naar parijs. Niet de moeite waard om daarop te besparen.

http://onlineboeken.nshispeed.nl/microtips/display

Dus nagenoeg iedereen zal een gratis WiFi verbinding hebben. Opmaken van belminuten van een ander lijkt me dan ook niet aan de orde.

Het is gewoon een openbaar netwerk met minimale beveiliging.
Wel als later blijkt dat andere mensen met die login gegevens constant inloggen en jou laten betalen.....
Voor de mensen die zich afvragen of dit terecht aan de kaak gesteld is:

Het gaat hier niet om een simpele boerencamping waar een paar mensen gratis hun hotmail account mogen checken, maar het gaat bij gebruikers van de Thalys vaak ook om hoge mensen uit het bedrijfsleven, overheid, justitie etc. die met vertrouwelijke gegevens werken en een goedbetaalde dienst van een groot bedrijf afnemen.

En als zelfs daar de zaken niet op orde zijn, dan kan je er vanuit gaan dat in veel andere situaties het niet veel beter zal zijn. En ja dat komt omdat iedereen zijn eigen oplossing knutselt en er geen goede standaard is voor dit soort situaties. (Ik bedoel met radius: http://www.google.nl/search?hl=nl&q=802.1x+radius heb je het probleem niet iedereen van te voren een account heeft en wellicht iets complexer is en dan snappen je klanten het misschien niet en bij zelf knutsel oplossingen schiet de beveiliging er bij in)

Misbruik hiervan valt overigens ongetwijfeld in het wetboek van strafrecht, waardoor Lauren Oudot waarschijnlijk niet stond te springen om de analyse verder door te trekken dan het netwerkverkeer van zijn eigen laptop. Heel verstandig van hem.
Het gaat hier puur om de verbinding om in te loggen op het systeem. Ik mag toch echt hopen dat vanaf er vertrouwelijke info word verzonden er een beveiligde verbinding word opgesteld.
Voor de mensen die zich afvragen of dit terecht aan de kaak gesteld is:

Het gaat hier niet om een simpele boerencamping waar een paar mensen gratis hun hotmail account mogen checken, maar het gaat bij gebruikers van de Thalys vaak ook om hoge mensen uit het bedrijfsleven, overheid, justitie etc. die met vertrouwelijke gegevens werken en een goedbetaalde dienst van een groot bedrijf afnemen.
En die moeten sowieso al verplicht via een ipsec/SSL VPN met hun data online werken.
Het gaat hier niet om data leakage prevention maar om het login/registratiesysteem om uberhaupt eerst een werkende internet verbinding te krijgen.
Ik kan je verzekeren, een openbaar netwerk opstellen MET beveiliging voor alle denkbare clients (windows, linux, mac os, android, zelfgebakken rommel,...) is titanenwerk. Je kan het beter weglaten als het effectief moet werken. Er is anders altijd iemand die niet kan verbinden.

Als je geld vraagt, moet je (in zeker mate) garanties bieden. Als je dat niet wil of kan, maak het dan gratis. Hebben wij ook gedaan.

[Reactie gewijzigd door mieJas op 2 juli 2010 08:32]

Is het niet verstandig, om er van tevoren vanuit te gaan dat een openbaar netwerk onveilig is? 3g en hotspots lijkt me nog niet echt geschikt voor bijvoorbeeld internet bankieren?
Waarom zou 3G niet geschikt zijn? Dat zit voor zover ik weet heel anders in elkaar en is net als het GSM netwerk gewoon fatsoenlijk beveiligd.

Edit: al zijn er inmiddels geloof ik wel wat scheurtjes in de beveiliging van GSM verbindingen, maar in elk geval niet van dusdanige aard dat je het gelijk kan trekken met hotspots.

Bovendien gaat internetbankieren nog altijd gewoon over een SSL verbinding, dus zo lang als je goed oplet dat je echt met de bank communiceert en niet met een man-in-the-middle die net doet alsof ie de bank is is er weinig aan de hand.

[Reactie gewijzigd door Orion84 op 1 juli 2010 15:25]

Het GSM netwerk is niet fatsoenlijk beveiligd, de A3 encryptie is redelijk makkelijk te kraken .... vorig jaar gepubliceerd door de CCC (Chaos Computer Club) ....
Dit is wel een erg snelle conclusie.

3G heeft goede ingebouwde versleuteling als je een USIM in je laptop hebt zitten.

Ook hotspots zijn mogelijk goed te beveiligen maar dit gebeurt meestal niet.
Gebruik gewoon asymmetrische encryptie...

http://nl.wikipedia.org/wiki/Asymmetrische_cryptografie

dan kun je vanaf je access point een key uitgeven waarmee andere met jouw kunnen connect-en. Dan hoef je de sleutel die nodig is voor decryptie niet mee te sturen. hier kun je vervolgens een simpelere manier van versleuteling mee opzetten die minder processing power kost.

Dit lijkt mij de snelst toepasbare, veilige en handigste methode om er voor te zorgen dat je klanten veilig met jouw kunnen verbinden. Ik heb alleen geen idee wat voor protocollen hier aan te pas komen.
Dat is makkelijker gezegd dan in de praktijk toegepast, in de huidige WLAN standaarden zit namelijk niet echt ondersteuning voor device certificaten. Wat dat betreft zou WiMax geschikter zijn, aangezien daar elk apparaat een certificaat heeft om inderdaad veilige verbindingen op te zetten.

Als je al iets dergelijks wilt doen dan komt het neer op SSL voor de landingpage (registratie/login) of 802.1x technieken om een WPA key uit te wisselen.

Dat eerste is een fluitje van een cent, dat laatste vereist wat meer infrastructuur en betekent ook dat er op de clients een paar instellingen aangepast moeten worden.
Nee, dat is dus totaal niet toepasbaar. Het maken van een windows client die dat implementeert bovenop een onbeveiligde wifi is nog tot daar aan toe, maar hotspots moeten ook werken voor os x, linux, iphone, android, winmo, etc.etc. gebruikers.

Tenzij je hier dus een standaard voor schrijft, en die is er gewoon nu niet, gaat dat nooit gebeuren.
Als je bewust kiest voor een gratis en laagdrempelig systeem, zoals NS in de normale treinen wil invoeren, dan kan ik me voorstellen dat je geen geneuzel zoals registratie wilt gaan invoeren en dan wordt het fatsoenlijk inzetten van encryptietechnieken ook lastig.

Echter is er bij dit systeem dus al sprake van een registratie. Hoe moeilijk kan het dan zijn om gewoon middels 802.1x en dergelijke op een veilige manier een WPA2 key uit te wisselen tussen client en AP en daarna op veilige wijze verder te werken :N

[Reactie gewijzigd door Orion84 op 1 juli 2010 15:14]

Tja, je zult toch op een of andere manier op de landingspagina terecht moeten komen en dat gaat het makkelijkst zonder beveiliging. Als je klant daarna alsnog een nieuwe verbinding moet opbouwen met wellicht verouderde apparatuur loop je je geld mis, want dat wil de klant terug.
Ik vergelijk het altijd maar met als dame over een doorzichtige brug lopen, je bent snel over, maar als iedereen onder je rokje kijkt is het niet fijn. Je trekt dus een broek aan als je over die brug loopt.
m.a.w. een beetje jezelf beveiligen is nooit slecht.
Oh, zeker, als je gevoelige zaken wilt versturen over een openbaar netwerk dan moet je inderdaad zelf zo verstandig zijn om dat op een goede manier te beschermen. En zeker in het geval van zakelijke gebruikers mag je dat ook wel wat meer verwachten.

Wat ik vooral vreemd vind is dat ze dus al een registratiesysteem hebben, maar dat niet benutten om de boel wat verder dicht te spijkeren. Dat dat bij een systeem waar überhaupt registratie onwenselijk is niet gebeurt kan ik me voorstellen, maar hier zouden toch wel mogelijkheden moeten liggen zou je zeggen.

Verder is het natuurlijk uiterst knullig dat juist het registratie en login systeem niet afgeschermd is middels iets als SSL.
Sure, maar dit is een heel simpele afweging tussen enerzijds gemak en anderzijds beveiliging. Als je tijd op het internet wilt verkopen is het eerste belangrijker dan het tweede, want die laatse zou nog wel eens klanten af kunnen schrikken.

Daarnaast is er geen handover tussen onbeveiligd en beveiligd wifi mogelijk bij mijn weten op een automatische manier....
Ik doe het hier altijd als volgt, kies dat netwerk, dat heeft die sleutel en je kunt het internet op, maar een hotspot heeft die eerste vorm van communicatie niet omdat dat lastig is.

Voor SSL e.d. geldt waarschijnlijk hetzelfde, hoewel mobiele en desktop browsers dat zonder enig probleem aankunnen.
nou, onderling moet het wel veilig zijn natuurlijk, juist als het openbaar is...
Als er 10 mensen tegelijk op zo'n spot zitten hoeft er maar 1 kwaadwillend te zijn en te gaan zitten sniffen bij de anderen als er niks geencrypt word...lijkt me wel een eis als je zoeits openbaar als bedrijf aanbied...
De enige manier om beveiliging te hebben waardoor 2 clients elkaar niet kunnen zien is door per client een SSID te gebruiken, of door per client een VPN op te zetten. Dat eerste kunnen accesspoints gewoon niet, en het tweede kunnen veel clients niet en kan sowieso niet automatisch.

Op een openbare hotspot ben je gewoon altijd sniffbaar, daar moet je van uit gaan. Met een volledig onbeveiligd netwerk kan iedereen dat, en met een beveiligd netwerk kan iedere andere legitieme gebruiker het.

Maar dat is helemaal niet waar dit artikel over gaat.

Dit artikel gaat vooral over de slechte beveiliging van de landingpage en de inlog gegevens nadat je eenmaal bent ingelogd op die page.

Iedere exploit die logingegevens zichtbaar maakt, ook al kun je er op zich nog niets mee, levert ook risico's op ivm hergebruik van wachtwoorden voor andere sites. De meeste mensen hebben er maar een of een paar, en dat kan problemen opleveren.
Eerlijk gezegd word ik ook een beetje moe van al die mensen/clubs die een soort genoegen scheppen om bij elk nieuwe dienst/ding wat wordt geintroduceerd te roepen, ONVEILIG!!!...
Ik vraag me dan af of ze dit roepen vanuit een "ik wil wat doen voor de samenleving" idee .. of dat ze het roepen omdat hun naam/club dan op grote nieuwssites terecht komt en dat ze daar dan misschien een beetje opgewonden van worden.

Sommige dingen zijn in beginsel onveiliger dan andere zaken.. openbare netwerken is daar één van. Je moet als gebruiker altijd blijven nadenken wat je aan het doen bent en waar, er wordt ook bepaalde verantwoordelijkheid bij jou gelegd.

Gezond wantrouwend blijven is het devies.. je gaat ook niet je geld tellen midden op de dam.
Je gaat ook niet je pincode doorgeven aan die vriendelijke mijnheer die wel even het typwerk voor je wil doen.

Je kan beveiligen en versleutelen wat je wilt, je moet altijd zelf blijven nadenken.
Maar in dit geval betekent dat dus dat je het hele systeem maar moet mijden. Immers zit een deel van de zwakheden in het registratie en login systeem. Daar kan je zelf niks aan doen.
openbare netwerken stellen tegenwoordig ook niets meer voor ook al zijn ze beveiligd (nouja beveiligd?)

vind dat hier meer aan gedaan moet worden.. en merk ook dat versleuteling echt een hot issue gaat worden in 2011 en 2012..
Het gros van de betaalde WiFi ap's werkt zo.

Maar het zou imho geen problemen hoeven opleveren
- Authenticatie van een https server.
- Hierna met VPN tunnel werken.
Bij goed beveiligde diensten worden geen wachtwoorden, maar bijvoorbeeld sessie-id's in cookies opgeslagen.
Alsof je nog een wachtwoord nodig zou hebben als je iemand sessie-id hebt bemachtigd |:(

Je voorkomt dat als iemand je wachtwoord/session-id onderschept, hij er ook meteen mee kan inloggen bij je bank. Maar als je hetzelfde wachtwoord gebruikt voor je bank als voor het wifi in de Thalys, ben je zowiezo niet slim bezig.

Bij goed beveiligde diensten wordt helemaal niets in cookies opgeslagen.
Cookies zijn gewoon dom. Ze worden bij elke request meegestuurd, nodig of niet, en komen zelfs op de harddisk terecht. Iets dat in een cookie terecht komt is we heel makkelijk te onderscheppen. Cookies hebben minstens zoveel nadelen als voordelen, zeker als het om beveiliging gaat.
Session ID's zijn absoluut geen vorm van beveiliging.

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True