Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 170 reacties

Twittergebruiker blasty heeft een tool beschikbaar gesteld waarmee de standaardwachtwoorden van draadloze UPC-routers achterhaald kunnen worden. Dit werkt alleen bij routers met zeven cijfers in de naam van het netwerk; het standaardwachtwoord kan hieruit worden afgeleid.

In de tweet verwijst blasty, beter bekend als Peter Geissler, naar een internetpagina waarop de code voor de tool is gepubliceerd. Naar eigen zeggen heeft hij een van de algoritmes uitgewerkt die zijn beschreven in het recente werk van een aantal wetenschappers van de Radboud Universiteit in Nijmegen. De resultaten van het onderzoek zijn al sinds vorig jaar bekend bij grote Nederlandse providers, waaronder KPN en Ziggo. Ook kondigde de ACM destijds aan een onderzoek in te stellen. Het is niet duidelijk wat daarvan de uitkomst is.

De tool van blasty zou werken doordat er een verband is tussen de standaard-wpa2-wachtwoorden en het serienummer van UPC-routers. Daarnaast zou er een verband zijn tussen de standaard-ssid van het netwerk en het serienummer. Dit betekent dat het programma aan de hand van de naam van het draadloze netwerk een lijst met ongeveer twintig mogelijke serienummers kan aanmaken. Vervolgens toont de tool voor elk serienummer een wpa-sleutel, waarmee het dus uiteindelijk zeer eenvoudig is om bij de router in te loggen.

Dit heeft tot gevolg dat elke router met een standaardnaam en -wachtwoord kwetsbaar is voor deze aanval. Het is dan ook altijd verstandig een zelfgekozen wachtwoord in te stellen. Daarnaast zouden providers draadloze routers van een standaardwachtwoord moeten voorzien dat aan strenge eisen voldoet en waarbij er geen verband bestaat met het serienummer van het apparaat, zo stelde een van de onderzoekers van de Radboud Universiteit. Er was geen woordvoerder van Ziggo beschikbaar.

Moderatie-faq Wijzig weergave

Reacties (170)

Het zou handig zijn dat wanneer iemand een nieuw modem/router aansluit dat je meteen de melding krijgt om de standaardwachtwoord te wijzigen.
Met als risco dat iedereen zijn geboorteplaats+geboortejaar kiest. De standaard wachtwoorden zijn dan veiliger, ware het niet dat ze blijkbaar terugvertaald kunnen worden.
Waarom zou neem Amersfoort1980 onveiliger zijn dan neem E8W3J2K4 ?
EDIT: Alleen voor je vrienden wellicht makkelijker te 'hacken'... ;)

[Reactie gewijzigd door bluefish007 op 4 januari 2016 16:11]

Misschien zouden ze de software zo moeten aanpassen dat je verplicht wordt een combinatie te gebruiken van grote en kleine letters, cijfers en tekens?

Blijkbaar is dat wel nodig... Er zijn zo ontzettend veel mensen die als password "wifi" hebben ingesteld...
Bruteforce is het dan makkelijker te hacken zelfs! Wat je wel kan doen is aangeven hoe sterk een wachtwoord is. Maar als ik het wachtwoord
Jannetjeheeft wifimaar isnooitthuis is sterker dan Jannetje_01
En makkelijker te onthouden!
Maar waarom zou je een thuisnetwerk willen hacken?

[Reactie gewijzigd door stijn12 op 4 januari 2016 16:43]

Meeliften op de wifi van de buren? Overigens staat er alleen code. Moet dat nog worden gecompileerd :*)
Sterke wachwoorden zijn geen bestaande woorden, er zijn overal woordenboeken online, brute force enzo.

Die zoekt zo drie woorden uit in: pietisziek

[Reactie gewijzigd door RAAF12 op 4 januari 2016 18:00]

als wachtwoord lang (zeg 26 tekens en je gebruikt ook nog underscores of hekjes voor de spaties) is dan ben je echt letterlijk weken bezig dan pak je wel een makkelijker buurman. En ja met raspberry pi zero en accu pack plus zonnecel kan je hacker spelen via iemand anders zijn/haar verbinding :)
Er zijn heel veel meer woorden dan letters/cijfers/tekens, waardoor een wachtwoord van vijf willekeurig gekozen woorden toch een stuk moeilijker te kraken is met een brute force woordenboekaanval dan een volstrekt willekeurig wachtwoord van 8 tekens.
Maar waarom zou je een thuisnetwerk willen hacken?
Direct via malafide firmware op de router een MitM aanval plegen en o.a. bankgegevens manipuleren?

Of een manier om zonder traceerbaar te zijn bepaalde files uit te wisselen met andere personen. Makkelijk even vanuit de achterbank van de auto op de parkeerplaats binnen breken bij Bep op de hoek; je ding doen; en daarna weer wegwezen.
Jij hebt echt teveel films gekeken 8)7
Jij hebt echt teveel films gekeken 8)7
Nee, in films zijn het altijd louche overheidsorganen die burgers digitaal bespioneren, toch?

Oh wacht...
Om data te sniffen misschien?
Ja, laat ons zeer complexe wachtwoorden nemen die voor een computer relatief snel te raden zijn. Misschien kunnen we nog limieten opleggen aan maximale wachtwoordlengte ook nog ...

https://xkcd.com/936/

Mijn wifi heeft zelfs helemaal geen wachtwoord.
Je loopt steeds meer tegen dat probleem aan,
je hebt overal een inlogcode voor nodig, je wilt het niet overal hetzelfde hebben, het moet complex,

vervolgens gebruik je een tool met een wachtwoord waar al je andere wachtwoorden in staan voor het geval je het vergeet.
Je moet zoveel wachtwoorden gebruiken dat je maximaal kan onthouden. Vind een derde partij gebruiken erg onveilig
Dan zou ik daar toch nog even twee keer over nadenken. Want de enige wachtwoorden die niet gekraakt werden in de test van arstechnica waren.. Jawel wachtwoorden van een passwordmanager.
(arstechnica Anatomy of a hack 28-05-2013)

[Reactie gewijzigd door analogworm op 5 januari 2016 10:50]

Als 1 keer zo'n password manager word gekraakt en de wachtwoorden kunnen gedecrypt worden (neem aann dat ze gecrypt worden), heeft de hacker een mooie buit. Nee bedankt ;) houdt liever mezelf verantwoordelijk dan een password manager.
Je hebt gelijk dat er een single point of failure zou kunnen bestaan bij het gebruik van een password manager. Dat is dan ook de reden dat sommigen er voor kiezen om de database lokaal op te slaan. Waarbij gezegd mag worden dat je in de database ook weer delays, beperkt aantal invoerpogingen en two factor kan instellen.
Al met al zou je in zo'n geval specifiek getarget moeten worden en dan nog zal een hacker er een flinke kluit aan hebben.

Dit terwijl password cracking zich volgens mij vooral richt op massive aanvallen. Databases van miljoenen gebruikers die, met een beetje geluk (voor de hacker dan), wachtwoorden of variaties daarvan hergebruiken voor belangrijkere zaken...

Dus nee bedankt, ik hou mijzelf liever verantwoordelijker dan vertrouwen op geheugensteuntjes en alle logische variaties die hier uit volgen.

[Reactie gewijzigd door analogworm op 5 januari 2016 11:00]

Je weet ook dat brute force tools hier rekening mee houden en speciale karakters tabellen gebruiken. Hiermee verander je dus effectief je passwoord in 4 woorden oftewel 4 posities met een behoorlijk aantal mogelijkheden per positie. Ik ben met je eens dat het een stuk veiliger kan zijn, maar het is minder veilig dan geschetst door XKCD.
edit: laat maar

[Reactie gewijzigd door thomas_n op 4 januari 2016 22:05]

Klopt, maar 4 maal duizend is alsnog stukken minder dan de 44 maal 80-100 of wat karakters. Het zit em in het feit dat de boel niet lineair schaalt maar exponentieel. Ga je vier losse woorden per karakter oplossen dan duurt het inderdaad lang, maar zie je die woorden daadwerkelijk als woorden dan gaat het veel sneller. Een geboortedatum bijvoorbeeld: 1-januari-1970. Dat zijn 14 karakters alfanumeriek. Een bruteforce methode geeft zo'n 805 sextiljoen mogelijkheden en met een extra 0 vooraan 41 septiljoen. Weet je echter dat het om een datum gaat dan houd je er nog 366 over. Misschien een andere schrijfwijze maar veel meer dan een paar duizend houd je er niet over. Een desktop pc met goed geoptimaliseerde software die hier rekening mee houd zou hier ongeveer 3 miljoenste van een seconde over doen (met 4 biljoen calculaties per seconde). Dit geeft wel weer aan dat langer zeker niet direct beter betekent.
Mijne ook, er zit een captive portal achter.
Alleen is dat niet zo echt veilig. Al je wireless netwerkverkeer is dan gewoon te sniffen door iedereen die toevallig in de buurt is. Alleen al daarvoor zet ik WPA(2) aan.
Alsjeblieft niet, zeg. Dan heb ik een ijzersterk wachtwoord van 30 tekens bedacht, en dan wordt er weer geklaagd dat er geen speciale tekens inzitten. Nee, want die onthoud ik niet. Laat staan als ik hashes gebruik als wachtwoord, en daar moet ik dan weer speciale tekens in weten te krijgen.

Dat speciale-tekens-gedoe is veel nagepapegaai en weinig gebaseerd op feiten. Ja, als je wachtwoord maar 6 tekens lang is is het verstandig. Dan nog komt de veiligheid niet in de buurt van 6 aan elkaar geplakte woorden.

Dat zie ik dan zelfs als tip terug op webpagina's van banken: "weet je dat je heel gemakkelijk cijfers in je wachtwoord kan toevoegen, door elke 'o' door een 0 te vervangen?" Argh!
kan je toch een riedeltje verzinnen a la: Ho'Ho'Ho,i_love2doUR-router;) ?
Als je er daar 500 van moet onthouden dan wens ik je veel succes. Wachtwoorden onthouden is op lange termijn niet te doen. Zo'n beetje alle "slimme" systemen om makkelijk te onthouden wachtwoorden te maken zijn niet echt veilig of niet echt makkelijk. Een password-manager is imho de enige realistische optie voor de meeste mensen.
Dan nog komt de veiligheid niet in de buurt van 6 aan elkaar geplakte woorden.
En dan nu nog diensten die dergelijke wachtwoorden ook accepteren; zelfs een Blizzard pakt er toch echt niet meer dan 16 voor Battle.net. En dan dus ook nog eens case INsensitive ook.

Nee, doe mij maar gewoon volledig willekeurige nonsense via mijn zelfgeschreven password manager. Veel veiliger en veel meer compatibel met 99.99999% van de beschikbare diensten.

Voor wat betreft WLAN wachtwoord danwel router's admin password -- ook gewoon random tekens in mijn geval; als ik dan toch bezig ben met een password manager, waarom ook niet? ;)
Dan kan je altijd nog een password policy definiëren in de router. Dat lijkt me ook geen rocket science om dat toe te voegen. Je zou zelfs straatnaam, woonplaats, naam, postcode, geboortedatum e.d. op een blacklist kunnen zetten. Dat zijn immers gegevens die je bij de bestelling hebt opgegeven.
Dat zijn immers gegevens die je bij de bestelling hebt opgegeven.
Dat zijn ook gegevens die ik absoluut niet in het flash geheugen van de router zou willen aantreffen...
is het niet zo dat een computer beter overweg kan met een random generated wachtwoord dan bijvoorbeeld MaanRoosPaardmacaroni22?

maar ik denk dat het wachtwoord een klein gedeelte is. laatst met software bij mijn eigen router binnen 20 minuten gewoon binnen via WPS en voor de rest alles goed afgeschermt met ander password, SSID. e.d. maar WPS was de zwakke schakel (staat nu uit)

in feite ben je volgens mij redelijk veilig. mits
  • het modem naar bijvoorbeeld 5 pogingen een macadress uitsluit voor bijvoorbeeld een dag (is te spoofen maar ik denk dat de meesten gewoon voor gratis wifi willen gaan dus hier niet al te veel benul van hebben)
  • het modem WPS aanvragen limiteerd (als dit aanstaat)
of het nou maanroospaard is of een random tekenreeks, het word vertaald naar 1 en 0 wat het gewoon compleet random maakt, een computer vertaald de 1 en 0 niet naar letters en vergelijkt dat, maar vergelijkt gewoon de binaire nummers ;)
dus de binaire representatie van een ascii karakter is random? Dacht het niet. Wel eens gehoord van de ascii tabel?
lol, wat ik bedoelde is dat random tekens of "voor ons" makkelijk te onthouden reeksen voor een computer niet uitmaken gezien het gewoon een reeks 1's en 0's word ;)
Maar zoals de comic van xckd aangeeft gebruik je een langer wachtwoord wat de reeks van 1 tjes en 0tjes veel langer maakt zorgt het er ook niet voor dat een dictionary attack moeilijker is omdat je nu random worden aan elkaar hebt geplakt ipv een reeks uit een algoritme?
maakt geen drol uit. De software die een "hacker" gebruikt heeft als input ook gewoon een berg woorden. niet zomaar random 1/0 ofzo.
Dus een Dictionary attack bestaat ook niet? HelloMoonwalk is wel degelijk even sterk als een wachtwoord van 3 karakters.
HMAC-SHA1 verzekert je ervan dat de output niet te onderscheiden is van random. De input lengte heeft er geen invloed op.
Waarop de provider een extra helpdesk kan inzetten om iedereen te helpen die hun eigen aangemaakte wachtwoord vergeten/kwijt is.
Beter zou zijn een ECHT random wachtwoord bestaande uit letters, cijfers, hoofd en kleine letters én minimaal 2 leestekens.
En dat met een stickertje achterop de modem.
Er zit een reset knop. Dus als niemand meer het wachtwoord meer weet. Dan staat alles weer hoe het was toen je hem weer kreeg. Anders plak zelf het wachtwoord op de router die je zelf hebt ingesteld.
Of kijk even in je computer. De wachtwoorden voor wifi zijn vaak vrij eenvoudig weer op te vragen omdat ze gewoon in een interne password manager staan.
Niet bij een UPC/Ziggo Horizon!

Dat doen ze op afstand dat!

[Reactie gewijzigd door Cybertek op 4 januari 2016 22:52]

Klopt de Horizon heeft geen reset knopje, dat moet je zelf doen door in te loggen op het modem van de Horizon (of op afstand, maar jij kan dat zelf ook gewoon heel makkelijk).

Maar ik weet niet of het wifi van de horizon ook te ''kraken'' valt door middel van deze tool, volgens mij niet?

Het heeft wel lang geduurd zeg, ik weet dat het bijna 10 jaar geleden is dat er zowel via offline als online tools het standaard WiFi wachtwoord van de speedtouch en thomson routers achterhaald konden worden ( voornamelijk door planet/ KPN gebruikt volgens mij ). Hiervoor diende je alleen de reeks cijfers in te type, ENTER en binnen enkele secondes had je 1 tot 3 mogelijke wachtwoorden waarvan 1 het altijd was ( tenzij het wachtwoord aangepast was door de gebruiker ).
Sorry, maar een WPA PSK moet altijd minimaal 8 karakters lang zijn. Zoveel mensen zullen "wifi" dus niet ingesteld hebben :+
@Fairy hieronder:
Ook WEP is altijd langer dan 10hex of 5 ascii karakters. Het voorbeeld waarvan je zegt te weten dat veel mensen deze hebben gekozen is dus niet mogelijk.
Ik weet wat je bedoelt, maar ik zou dan geen beweringen doen die helemaal niet waar kunnen zijn.

[Reactie gewijzigd door MaZeS op 5 januari 2016 13:48]

Je wil niet weten hoeveel mensen nog op WEP draaien. Maar wat ik bedoel is dat heel veel mensen een supereenvoudig wachtwoord hebben zoals: "wachtwoord" : password" "wifi1234"
Voordeel van providerwachtwoord is dat het achterop de router staat. Dat scheelt vele honderduizenden telefoontjes van mensen die hun wachtwoord zijn vergeten. Snap de provider wel. Ze zouden wel wat meer "onlogica" mogen stoppen tussen serienummer en wifiwachtwoord
Het zou mooi zijn als ze die sticker zouden vervangen door een klein e-paper display zodat er geen voorgegenereerd wachtwoord hoeft te worden meegestuurd maar het door de klant kan worden ingesteld. (Als het echt nodig is om het wachtwoord op de router te hebben staan).
Of de klant gewoon zelf de ruimte geven een kaartje of sticker te plakken met een door de klant geschreven wachtwoord. (Een e-paper schermpje is waarschijnlijk nogal ... duur voor zoiets.)

Ik heb bijv. ook gewoon één van de bijgeleverde stikkers met MAC adres en serienummer gewoon voor het gemak op de front dash van mijn modem geplakt zodat ik niet wanneer de helpdesk er om zou vragen dat pokkeding uit de meterkast gefrut moet krijgen om de stikker op de onderkant te kunnen lezen.

[Reactie gewijzigd door R4gnax op 4 januari 2016 22:40]

Dat kunnen ze nu al, iedereen heeft pen, papier en plakband, maar het gaat blijkbaar te vaak fout, daarom doen ze die stickers er op.
Het voordeel van e-paper is dat het automatisch bijgewerkt wordt en dus altijd klopt. Misschien is het nu nog te duur maar het wordt vast wel goedkoper.
Het hoeft niet op de achterkant, ze kunnen het natuurlijk ook op de voorkant zetten en een beetje mooi wegwerken.
zet er een hekje/dollarteken tussen en het is ineens een heel stuk sterker.
ervoor en erna ! beginnen met een $ of ' . ' is heel effectief. Dan ziet het programma het als een variabel. Echter hebben Gmail etc er ook nog problemen mee.
Echter hebben Gmail etc er ook nog problemen mee.
Lijkt me stug dat GMail er moeite mee heeft; ik gebruik voor mijn Google account een wachtwoord van 100 compleet willekeurige tekens. Met dus best wel een aardige kans op gereserveerde tekens en combinaties van tekens en, geen enkel probleem.
100 tekens, hoe paranoïde ben je dan?
100 tekens, hoe paranoïde ben je dan?
Extreem
Klopt, dat is niet het probleem. Misschien hebben ze het inmiddels verholpen. Laat ik het dan zo zeggen. Er was een probleem als wachtwoorden begonnen en eindigden met een punt of dollar teken. Dat was ook bij microsoft zo.
Nee.
Weet je hoe makkelijk plaats en data te achterhalen zijn. Daarnaast is brute force op zoiets veeeel makkelijker voor de PC dan random characters.
Voordeel van providerwachtwoord is dat het achterop de router staat. Dat scheelt vele honderduizenden telefoontjes van mensen die hun wachtwoord zijn vergeten. Snap de provider wel. Ze zouden wel wat meer "onlogica" mogen stoppen tussen serienummer en wifiwachtwoord
Kijk op de naam naast de deur en vervolgens op Facebook/linkedin etc. Amersfoort1980 is wel af te leiden.
Zelfs als je zou weten dat iedereen in Nederland geboorteplaats plus geboortejaar als wifi wachtwoord ingesteld had staan zou deze methode nog far-fetched zijn. Laat staan dat je de moeite gaat nemen deze informatie op te zoeken 'voor het geval de bewoner zijn wifi key heeft bestaan uit geboorteplaats + geboortejaar'.
Dat klopt. Maar je vraag was waarom geboorteplaats+geboortejaar onveiliger is dan een willekeurige cijferletterreeks. Het antwoord is dus social engineering.
OK. Maar dat antwoord had ik min of meer zelf al gegeven.
EDIT: Alleen voor je vrienden wellicht makkelijker te 'hacken'... ;)
Draai het om: waarschijnlijk heeft iemand in Amersfoort het wachtwoord Amersfoort1980. Een beetje rondrijden door de stad en je hebt prijs. Als je een specifiek iemand wilt "hacken" is het lastiger, maar dat is vaak niet het doel.
Met als risco dat iedereen zijn geboorteplaats+geboortejaar kiest. De standaard wachtwoorden zijn dan veiliger, ware het niet dat ze blijkbaar terugvertaald kunnen worden.
Er is dan al allerminst een besef dat er verantwoordelijkheid bij de gebruiker ligt. Momenteel denkt de doorsnee gebruiker dat alles wel goed ingesteld is.

En zelfs al kiezen ze de geboortedatum, dan nog is het veiliger dan het wachtwoord dat er nu staat. Zelfs het wachtwoord "12345678" is veiliger, daar moet men nog een dictionary attack voor starten. Daarmee raad ik dat laatste wachtwoord niet aan overigens :P .

Helemaal goed is natuurlijk als ze standaard een sterk wachtwoord zetten dat niet terug te halen is uit een serienummer of een ander kenmerk. Ik zie ze het al 'fixen' door het voortaan op het MAC adres te baseren :+ .

[Reactie gewijzigd door Giesber op 4 januari 2016 16:15]

Apple stelt een een reeks aan eisen waaraan een nieuw wachtwoord moet voldoen (paar speciale karakters bijvoorbeeld). Geen reden waarom dat soort vereisten hier ook niet ingebouwd kunnen worden.
Inderdaad wat eigenlijk mogelijk gemaakt zou moeten worden is zodra je de eerste keer een internet verbinding maakt via je upc / ziggo modem en je een browser opent dat je direct op een pagina komt om je WiFi wachtwoord aan te passen.

Ik wens mijn neefje die volgens mij vandaag na college een paar uur moet werken aan de helpdesk, heel veel sterkte toe.. Hij zal wel weer een hoop gedonder van klanten op zijn nek krijgen.
Al zou dat het geval zijn dan zou dat nog altijd veilig zijn dan wat ze nu doen, en UPC is niet de enige, is heel gebruikelijk om paswoorden te gebruiken die te achterhalen zijn, wel zo handig voor technisch personeel en ondersteuning. 8)7
Tja, ik geloof dat niemand hier 10 euro extra wil betalen zodat we allemaal een verplicht veilig wachtwoord moeten instellen, wat iedereen vergeet en waardoor de helpdesk extra werk krijgt.

Beveiliging is nog altijd een noodzakelijk kwaad, maar vooral een kostenpost voor een provider.
Inderdaad, je krijgt zelfs nog een activatiescherm te zien bij Ziggo, een mooi moment om de Wi-Fi key ook in te stellen.
En dan installeert de technieker het en dan maakt die er weer iets eenvoudigs van. De Telenet technieker die bij mijn vader de installatie in orde heeft gezet heeft gewoon zijn initialen en de postcode gebruikt. Als dat standaard is dan kan ik ook relatief snel beginnen met het "kraken" van netwerken.
Tja, je kan natuurlijk wel de nodige eisen aan een key stellen, zo moeilijk is dat niet.
Welke eisen wil je stellen? Lengte? Complexiteit? Dat je iets moet ingeven dat door de bewoner nog teruggevonden kan worden is positief, maar gebruik ook je hersennen denk ik dan. Nu heb je een wachtwoord van 6 tekens. En dat van iemand die meerdere installaties per dag moet doen.

Als men zelfs de eigen techniekers dit niet krijgt aangeleerd, wat zouden we dan gaan verwachten dat de klant het zelf goed zal doen?
Een eis als minimaal 15 tekens zou niet onverstandig zijn denk ik.
Gewoon een passphrase. Is ook handiger bij het delen van het wachtwoord. "Dit is een onveilig wachtwoord." duurt best lang om te kraken.
Waarom krijgt men dit hun eigen ''techniekers'' (geen correct woord trouwens) niet aangeleerd? Omdat hij bij je pa dit wachtwoord gebruikt heeft maar vermoedelijk bij andere klanten iets totaal anders?

Als ik de verhalen soms hoor van mijn neefje die voor UPC werkt (ofja ziggo) dan vallen je de klompen uit hoor hoe klanten kunnen reageren. Stel hij zou voor een klant een heel moeilijk wachtwoord instellen dan wordt de klant boos want het moet makkelijk en veilig zijn en niet moeilijk en veilig. Meeste klanten die bellen zeiken om alles en niks puur om dwars te liggen. Maak je een moeilijk wachtwoord voor zo iemand dan krijg je reacties als:
klant: Moet het zo moeilijk dat onthoud ik niet
reactie: schrijf het op
klant: nee

Dat soort gesprekken krijgt mijn neefje, hoe goed hij het ook bedoelt klanten moeten en zullen dwars liggen. ''Vroegah'' wees ik ook snel met het vingertje naar de provider, alsof het mijn oppas, ouders, begeleiders, maatschappelijk werker zou zijn. Na veel verhalen gehoord te hebben van mijn neefje die al een aantal jaar een bijbaantje heeft bij UPC, weet ik 1 ding zeker en dat is dat de meeste klanten echte azijn pissers zijn die niks geloven en alleen maar kunnen wijzen.

Ik weet ook dat indien ziggo nu alle klanten een mail + brief zouden sturen met een handleiding om het wachtwoord te veranderen dat de klanten een jaar lang gratis abo willen hebben of dat ze het vertikken te doen omdat ziggo maffia is etc etc. De raarste reacties krijgen ze daar..

Uiteraard wil ik dit artikel niet goed praten want het is slecht dat het achterhaald kan worden en dat er een link is tussen het SSID en het wachtwoord, dat is gewoonweg fout. Ze hadden van de grote KPN fouten kunnen leren maar hebben dat blijkbaar niet goed gedaan..

[Reactie gewijzigd door LopendeVogel op 5 januari 2016 06:51]

Als dat onderdeel is van de set-up van het modem lijkt me dat een koud kunstje inderdaad.
Zou zeker handig zijn en zeker nadat er melding gemaakt werd dat bepaalde routers lek waren, vorig jaar meen ik. Ik heb toen meteen standaard wachtwoord veranderd. Wist niet eens dat dat ding een wachtwoord had. Meer mensen weten dit volgens mij niet.
Ik schrijf zelf alle wachtwoorden op die ik heb. Op elke website een ander soort wachtwoord natuurlijk.

Ken verder niemand die dat doet.
Ow die mensen ken ik ook. Is overigens een van de meest veilige methoden; gewoon een hardcopy noteblokje met je wachtwoorden op een veilige plek thuis opbergen.

Tuurlijk is puur alles in je koppie onthouden beter maar áls je iets wilt gebruiken als geheugen steun is opschrijven echt geen slechte optie.
Nou ik verzin altijd hele ingewikkelde wachtwoorden en die zijn onmogelijk te onthouden. Een paar bewaar ik in de browser, maar dingen zoals digid, verzekeringen bewaar ik nooit in de browser.
Een enkele keer kan dat zeker handig zijn…zoals voor je wifi password, omdat deze vaak op verschillende devices ingevoerd moet worden, maar waarom ook niet gewoon je KeyChain (MacOS) gebruiken als password-manager voor websites en mail-accounts icm wachtwoorden op inlog-sites?
Makkelijk zoeken op account/zoeknaam en dan eerst je root-password invoeren voordat je het paswoord van die betreffende site kunt zien bijv.
Bij MacOS is een losse password-manager onnodig imo- hij zit immers al in je OS.

Wifi password: gewoon lekker 62-63 tekens, een stukje random met 'lastige' characters tussendoor en dan met name het patroon eruit halen; de ene keer gebruik je voor de "o" een klein o, dan weer een 0 dan weer een O etc. en rekening houden met entropie, dus een lang wachtwoord- als het dan toch moeilijk, maar ook te onthouden moet zijn, gemengde woorden, hoofdletters afwisselen, een blokje met 'vervang'-tekens erin en het liefst nog meerdere talen toepassen.

Je moet er vanuit gaan, dat indien je met tools werkt zoals Pyrit, John the Ripper en nog een paar van dat soort tools (in Kali en BT o.a.) dat de lijsten die zij opbouwen, ook door zelf woordenlijsten te generen (!), dat patroon moet je doorbreken waardoor dat soort tooling niet meer werkt, waardoor semi-brute forcen met geëxtrapoleerde woordlijsten uiteindelijk zal leiden tot ECHT bruteforcen, waarbij na ieder karakter >8 tekens de hele string gehashed/gesalt etc. moet worden volgens het PBKDF2-protocol, wat bij >62 tekens gewoon >x-duizend jaar duurt op de normaal beschikbare machines met 4 graka's, tenzij je een quantumbit-computer tot je beschikking hebt of een Tesla-cluster, vergelijkbaar met het CERN-netwerk bijv. dan wordt het wellicht een ander verhaal. Veel 'normale' gebuikers denken: dit paswoord raadt niemand…maar dit is niet hoe computers en woordenlijsten icm Pyrit etc. werken- die bouwt lijsten op, op basis van bestaande wordlists en nummercombinaties, dus die 'raadden' de wachtwoorden, die men normaal niet voor mogelijk houdt, dat zij worden geraden. Een menselijke fout dus, waar ook providers zich in ernstige mate schuldig aan maken. Daarnaast gebruiken de meeste mensen niet meer dan 12 tekens, dat is al uit zoveel onderzoeken gebleken- en dan het liefst nog een eigen naam+een paar cijfers, ervoor of erachter en dan de a als @ etc. :') Als je je in deze materie verdiept, sta je echt versteld.
Daarnaast zijn er kant-en-klare woordenlijsten te downloaden van soms wel > 30GB als total package met alle EU talen etc.
Waarom niet je OSX KeyChain gebruiken? Omdat Mac OS het meest -onveilige- stukje software van 2015 is gebleken, kijkend naar het aantal gerapporteerdesecurity flaws. Check eens LightEater; creepy wormpje....

Punt dat beveiligings experts maken waarom het hardcopy opschrijven van je passwords voor Jan Modaal -beter- is (kan zijn) dan password managers is dat de kans dat een attacker fysiek toegang heeft tot jouw woning echt minimaal is. Daarnaast zal een cyber attacker echt niet snel het risico nemen om in te breken in iemands huis om op zoek te gaan naar een password boekje. Gezegd hebbende; niet bij Jan Modaal. Tevens zijn password managers natuurlijk een belangrijk mikpunt geworden voor hackerscollectieven om vulnerabilities in bloot te leggen. Daarnaast zal Jan Modaal ook eerst nog uitgelegd moeten worden dat een password manager zonder 2FA nou ook niet echt 'je-van-het' is.

Ik ga mijn Wi-Fi password nevernooit 62 tekens lang maken. Er komen regelmatig vrienden op bezoek, mijn 23 tekens lange pass voldoet prima I'd say.

Jij noemt wel nog een heel belangrijk punt; doorbreek herhaalde patronen. Computers LOVE patronen. Helaas mensen ook en zullen daarom hetzelfde trucje keer op keer herhalen in verschillende wachtwoorden en dat is gevaarlijk.
Dat geldt anders ook voor de naam, dan zie je in ieder geval niet gelijk met welk model router je te maken hebt.
Volgens mij kan ik doormidd3l van een macadress gewoon zien welk fabricaat het modem is. Tenminste in de Linux variant die ik gebruik voor hobbymatige testjes die vangt alle gegevens zoals. MAC. Fabrikaat. Channel. Sterkte. SSID. enz
De eerste drie octetten van een mac-adres identificeren de vendor. Zie OUI lookup.
Het zou ook handig zijn als ze dit standaard in een van de user-manuals zouden zetten die je bij je nieuwe modem/router krijgt.
Oh wacht, dit doen ze al!

Veel routers/modems adviseren dit al in de first-installation die je moet runnen om je apparaat de lucht in te krijgen.
Het zou ook handig zijn als ze dit standaard in een van de user-manuals zouden zetten die je bij je nieuwe modem/router krijgt.
Oh wacht, dit doen ze al!
Bij Ziggo echt niet, tenzij het ergens in de kleine lettertjes buiten de standaard installatiegids staat. Ergens in het materiaal dat niemand ooit leest tenzij ze specifiek naar iets gaan zoeken.

Pak hem beet de helft van de installatieinstructies die je bij Ziggo in het pakket mee krijgt zijn sowieso al hopeloos achterhaald, dus dat ze ook op dit front achterlopen verbaast dan ook niet.

[Reactie gewijzigd door R4gnax op 4 januari 2016 22:43]

Het zou nog handiger zijn dat alle telecomproviders eens ten rade gaan bij de experts en de les gespeld worden dat een wachtwoord genereren op basis van een serienummer niet bepaald verstandig is...
Dit gebeurt al toevallig bij de Experia box v8 van telfort.
Dat is ook een optie. Een andere logische uitweg lijkt me gewoon wat willekeur toepassen. Waarom zou je per se een wachtwoord op basis van een serienummer willen genereren, dat is gewoon een slecht idee.
Dat is ook een optie. Een andere logische uitweg lijkt me gewoon wat willekeur toepassen. Waarom zou je per se een wachtwoord op basis van een serienummer willen genereren, dat is gewoon een slecht idee.
Alleen al gewoon een GUID pakken is al een betere manier om een initieel wachtwoord te genereren.
Prima, maar naar welk apparaat moet dit dan gestuurd worden en via welk protocol? Het modem zelf heeft immers geen GUI. Hoe weet je computer dat je voor het eerst gebruik maakt van dit modem/deze router?
Alle http requests opvangen en redirecten naar een interne "verander uw wachtwoord" pagina voordat het te gebruiken is? Of in ieder geval tonen met een "nee dankjewel" knop erbij om het standaard wachtwoord te gebruiken.
Groot nadeel daarvan is is dat je je verbinding verliest. Dat is voor ons tweakers natuurlijk geen probleem, maar het kan voor ongemak zorgen (zeker als je ook je SSID aanpasst naar iets dat je makkelijk als 'van jezelf' kan identificeren dan ZIGGO_1782hw81 of wat het nu dan ook is).
Waarom dit een 'kraaktool' noemen ? Het doet niet meer dan uit bepaalde gegevens een resultaat afleiden, wat ook door de fabrikant gedaan werd.

Is IMHO niet veel 'kraken' aan... enkel netjes 'uitgezocht'..
Idd. Geen crack, maar eerder keygen.
De "crack" staat hier: https://github.com/skftn/upc_keys.py die maakt gebruik van NetwerkManager en gebruikt de data van upc_keys.c als input.
De auteurs is het zelf ook opgevallen, de allereerste regels van het programma zijn:
* You'd think vendors would stop using weak algorithms that allow
* people to recover the credentials for a WiFi network based on
* purely the ESSID. Sadly, these days aren't over yet.
:) het zou je verbazen hoe veel mijn site nog gebruikt wordt, na al die jaren. Zo maar eens lezen over dat algo; kijken of ik daar ook een lookup voor toe kan voegen :)

[Update]

Ben nu zo ver dat ik het algo geimplementeerd heb; precies 17.5miljoen unieke SSID combo's. Morgen maar even wat schrijven om dat allemaal naar DB te kunnen jassen en dan kan ik een 2e pagina maken op nickkusters.com voor de UPC lookup.

[update2]
Zijn er trouwens mensen die foto's van hun sticker willen delen waarop Serial, mac, ssid en wpa key te zien zijn? Dan kan ik kijken of de code klopt :) Wel zo fijn.

[Update3]
Code is af; DB is nu aan het bulk copyen; morgen website maken. Work in progress: http://i.imgur.com/dR41Ax2.png

[Reactie gewijzigd door CMG op 5 januari 2016 22:43]

Zodat je er een hoop geld aan kunt verdienen met ads en een sms dienst?

Veel mooier zou toch zijn als je de database openbaar maakt en je source code vrij geeft? wellicht kunnen meer mensen er dan iets mee zoals een mobiele applicatie bouwen of wellicht integreren in een add-on voor DD/Open WRT zodat deze automatisch verbinding maakt met een UPC hotspot.

[Reactie gewijzigd door MvZeeland op 6 januari 2016 08:49]

Ik huur een server die betaald moet worden; van daar reclame. SMS dienst gebruikt niemand; ooit in 2008 gemaakt toen nog niet iedereen mobiel internet had.

Peter Geissler (Blasty) heeft de C++ broncode gepubliceerd; ik doe niets nieuws; heb gekeken hoe het werkte, algoritme in C# geimplementeerd en code geschreven die gewoon alle mogelijke combinaties uitrekent en in een database opslaat (12GB+).

Voor jouw voorbeelden is de code van Blasty prima te gebruiken (behalve dat het natuurlijk illigaal is dit soort UPC modems als 'hotspot' te gebruiken...)
Online lookup voor UPC modems staat nu online: http://www.nickkusters.com/en/Services/UPC
Kan het kloppen dat de tabellen van je output omgedraaid staan? Het lukt mij te verbinden met een UPCxxxxxxx 2.4 GHz netwerk, met een wachtwoord vanuit de 5 GHz tabel.
Zie ook https://twitter.com/bl4sty/status/685274846947840000

Hij heeft de code bijgewerkt; de delen van 2.4 en 5 GHz omgedraaid en nog een extra stuk toegevoegd voor het 5 GHz stuk, dus voor nu ga ik er van uit dat alleen de 5Ghz sleutels werken voor 2.4 GHz netwerken en dat de 2.4 GHz sleutels niet werken totdat ik het algo heb bijgewerkt. Zie dit nu net pas, dus zal pas wat voor vanavond laat zijn eer ik het algo kan bijwerken en een nieuwe dataset kan creëren.
Top, ik zal met de nieuwe dataset nog wat pogingen wagen. In je mail zouden 2 voorbeelden moeten zitten van mijn eerdere opmerking.
Ja, dankjewel, top
Grappig; Peter Geissler heeft het algoritme uitgebracht maar is er nog mee bezig; ik zal je opmerking doorgeven; wellicht heeft hij er wat aan. Je kunt me de details mailen naar upc@ domain van de site als je wilt.
Leren ISP's/Fabrikanten hier nou nooit van? Ik weet nog wel dat het ook mogelijk was/is bij vrijwel alle speedtouch routers (welke bijna alle ADSL providers leverde). Het is toch absurd dat het wachtwoord gewoon uit het SSID te halen valt.
Bij de meeste routers is dit zo. Toevallig had Speedtouch een zwakke methode voor het genereren.

De SSID bevat heel vaak een deel van het MAC adres. En dat deel wordt vaak gebruikt om het wachtwoord te genereren.
De SSID bevat heel vaak een deel van het MAC adres. En dat deel wordt vaak gebruikt om het wachtwoord te genereren.
Alle systemen die zo werken zijn kwetsbaar. Het aantal MAC-adressen is zeer beperkt en de eerste helft van het adres ligt vast per fabrikant. In totaal zijn er maximaal 24 bits te gebruiken (en soms minder). Als er dan ook nog een deel in het SSID zit dan blijft er weinig over dat geheim is en kan je het in een een paar seconde bruteforcen.
Ooit een app gehad op mijn iPod touch die daar heel goed in was ;) had 90% van de tijd wel ergens beet als ik wifi nodig had! (Het ergste is dat ik toen nog vrij weinig van software wist en een jailbreak had gedaan en daarna dit in die speciale appstore zag staan)
Nee... het is voor iedereen die beetje hoge stem heeft om een abbo aan te passen via de telefoon.
Ik kon bijvoorbeeld een dure monteur afspraak inplannen bij KPN voor mijn voormalige werkgever en waarmee belde ik?
Via mijn eigen 06 telefoon en nee... die was en is niet bekend bij KPN.
Nog niet lang geleden meerder malen contact gehad met KPN, belde niet vanaf mijn eigen mobiele nummer en werd alle keren dat ik ze aan de telefoon had om laatste cijfers van rekeningnummer te noemen ter verificatie.
Laatste cijfers van een rekeningnummer... dat is prima te achterhalen.. riant makkelijk zelfs.
Even de post 'phishen' en hoppa.. je kan de abbo aanpassen, als kind zijnde is het dan helemaal makkelijk.
Tuurlijk, maar het is niet dat er helemaal geen verificatie plaatsvind zoals jij het wil laten geloven. Bovendien krijg ik geen post van mijn bank....
Ik heb het tooltje geprobeerd met mn eigen ziggo ssid, maar hij komt niet met het juiste standaard wachtwoord op de proppen. (Die ik natuurlijk niet standaard meer heb)
Ik heb het tooltje geprobeerd met mn eigen ziggo ssid, maar hij komt niet met het juiste standaard wachtwoord op de proppen. (Die ik natuurlijk niet standaard meer heb)
Niet alle modellen zullen gedekt zijn door de tool in kwestie. Het gaat ook over UPC, dus misschien betreft het hier alleen spullen uitgegeven in voormalig UPC gebied of spullen uitgegeven na de overname van Ziggo door UPC.
Het is wel een UPC modem en idd staat er in de code; "Do not complain if it fails to recover some keys, there could very well be variations out there I am not aware of."
Ach UPC bestrijkt maar 90% van alle huishoudens in NL. Dus vast niet 'allemaal'.
De mijne ook niet hoor. En mijn router valt toch echt wel onder de genoemde serie.
voor de geintereseerden over paswoorden:

https://www.grc.com/haystack.htm
"Qwerty01#" is zeer veilig volgen Ggrc.com
"Qwerty01#" is zeer veilig volgen Ggrc.com
Directe quote vanaf de pagina:

"IMPORTANT!!! What this calculator is NOT . . .

It is NOT a “Password Strength Meter.""
" Er was geen woordvoerder van Ziggo beschikbaar."
Goh, opvallend is dat ze wel vooraan staan als er commercieel iets uit te buiten valt.
Nu er problemen zijn geeft men niet thuis.
Triest wel omdat het probleem dus al langer bekend is, men kan zich dus niet verschuilen achter "ik wist het niet..."

[Reactie gewijzigd door HoppyF op 4 januari 2016 16:14]

Triest wel omdat het probleem dus al langer bekend is, men kan zich dus niet verschuilen achter "ik wist het niet..."
Omgekeerd; als je hiervan als consument de dupe wordt en iemand gaat er meeliften op jouw WiFi, vraag ik me af of je nu succesvol plausible deniability kunt claimen in het geval er criminele zaken met je verbinding ondernomen zijn.
Zo'n 10-15 jaar geleden kon je het MAC-adres al veranderen om de zogenaamde 'Fair Use Policy" van Chello al te omzijlen. Nu blijken dit soort zaken nog steeds makkelijk aan te passen te zijn. Blijf het jammer vinden dat power users geen gebruik kunnen maken van hun eigen apparatuur. Al is een Cisco EPC bridgemodempje in principe ook al voldoende :). Die draadloze crap-routers van UPC inclusief die Horizon box zijn sowieso al bedroevend.
Ik gebruik mijn eigen router, die jammer genoeg verbonden is aan die domme modem van Ziggo.
Alles is beter dan een Experiabox.

Maar je kunt de NAT functie van je coaxmodem toch laten uitschakelen? Alleen bij het ZZP abonnement is dat administratief niet mogelijk (waarom eigenlijk niet?).
Ik heb er een tijdje naar zitten kijken maar alles functioneert verder goed en is veilig. Heeft me een paar jaar geleden een hoop pijn en moeite gekost om nog een bridge modem te krijgen maar nowadays is dat weer totaal geen issue.
Misschien een stomme vraag maar spatie(s) in wachtwoorden worden die makkelijkerachterhaald?

Ben van mening dat meeste software van uitgaat dat men alles aanelkaar tijpt als wachtwoord.

Iemand een idee?
Misschien een stomme vraag maar spatie(s) in wachtwoorden worden die makkelijkerachterhaald?

Ben van mening dat meeste software van uitgaat dat men alles aanelkaar tijpt als wachtwoord.

Iemand een idee?
Het wordt allemaal vertaald naar een reeks nulletjes en ééntjes: hoofdletters, kleine letters, cijfers, etc. maar ook witruimte karakters zoals de standaard spatie. Dus dat maakt echt niet uit voor de veiligheid.

Wat wel uitmaakt voor veiligheid is de lengte van het gekozen wachtwoord en hoe breed de set karakters is waaruit je de karakters voor het wachtwoord geput hebt. Dit bepaalt hoeveel entropie je wachtwoord heeft en dat is wat het moeilijk te brute-forcen maakt.

Door daarnaast patronen te gebruiken die niet uit normale woorden bestaan vergroot je de kans dat je wachtwoord ook niet door een aanval gebaseerd op een dictionary achterhaald kan worden.

[Reactie gewijzigd door R4gnax op 5 januari 2016 09:00]

Doet me meteen denken aan het tooltje voor Sitcom routers enkele jaren geleden. Best handig was dat wanneer mijn netwerk er even uitlag :D
Heel handig. Verklaar je nu echt dat je onrechtmatig toegang hebt verkregen op routers van anderen? Dat heet computervredebreuk en is strafbaar.
Heel handig dat daar tegenwoordig apps voor zijn in de playstore ;)
Ik heb het al een enkele keer gebruikt om vrienden beter te beveiligen. Kreeg er slechts een beetje gefoeter van.
Ik had je een lief virusje gestuurd ;-)
Of de speedtouch routers ;)
www.wassenaar.org

Alle goedkope routers zijn relatief simpel te kraken remote. Zie verdrag.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Microsoft Xbox One S FIFA 17 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True