'Risico voor Windows-laptops met draadloos netwerk'

Hacker Mark Loveless heeft gisteren tijdens SchmooCon een zwak punt in de implementatie van draadloze netwerken van Windows onthuld. Het probleem ontstaat als er geen verbinding kan worden gelegd met een access point; op dat moment geeft Windows zichzelf een ip-adres in de serie 169.254.x.x, bedoeld als 'private network'. Het probleem is dat het systeem zichzelf wel blijft zien als onderdeel van het draadloze netwerk waar het de laatste keer succesvol mee verbonden is geweest. De naam (SSID) van dat netwerk wordt uitgezonden en kan dus worden opgevangen door kwaadwillende personen die toevallig in de buurt zijn. Deze kunnen vervolgens zelf een draadloze verbinding opstellen met dezelfde naam, zodat de twee computers denken dat ze bij hetzelfde 'private' netwerk horen. In de specificatie van deze feature (RFC 3927 - nota bene deels door Microsoft zelf opgesteld) wordt expliciet gewaarschuwd voor deze valkuil, maar blijkbaar heeft men er tijdens het implementeren van WiFi in Windows toch geen rekening mee gehouden.

Het is vrij gemakkelijk om te voorkomen dat mensen misbruik maken van het systeem: een simpele firewall is in principe al voldoende om hackers die deze truc proberen te gebruiken tegen te houden. Gebruikers van Windows XP SP2 - waarin de firewall standaard aan staat - zijn in principe dus automatisch veilig. Andere maatregelen die genomen kunnen worden zijn het uitschakelen van de mogelijkheid om ad hoc-verbindingen aan te gaan, of gebruikmaken van de 'kill switch' die veel notebooks hebben om de draadloze adapter uit te schakelen. Microsoft heeft het probleem wel erkend, maar lijkt er geen hoge prioriteit aan te geven: pas in het volgende service pack zal er iets worden veranderd aan de standaard configuratie.

Door Wouter Tinus

Feedback • 15-01-2006 19:01 51

15-01-2006 • 19:01

51

Bron: Washington Post

Lees meer

Standaard-wifi-wachtwoorden Telenet-modems kunnen worden afgeleid van ssid
Standaard-wifi-wachtwoorden Telenet-modems kunnen worden afgeleid van ssid Nieuws van 1 november 2014
Demonstratie 'Macbook-hack' loopt op niets uit
Demonstratie 'Macbook-hack' loopt op niets uit Nieuws van 2 oktober 2006
Helft Windows Vista-firewall standaard uitgeschakeld
Helft Windows Vista-firewall standaard uitgeschakeld Nieuws van 27 april 2006
'WiFi-hotspots duur, lastig en onveilig'
'WiFi-hotspots duur, lastig en onveilig' Nieuws van 20 januari 2006
Microsofts reactietijd op kritieke bugs geëvalueerd
Microsofts reactietijd op kritieke bugs geëvalueerd Nieuws van 13 januari 2006
Microsofts patch voor wmf-bug uitgelekt
Microsofts patch voor wmf-bug uitgelekt Nieuws van 4 januari 2006
Tien drempels voor Microsoft in 2006 besproken
Tien drempels voor Microsoft in 2006 besproken Nieuws van 20 december 2005
Microsoft dicht lekken in Windows en Internet Explorer
Microsoft dicht lekken in Windows en Internet Explorer Nieuws van 14 december 2005
Kritieke Windows-patch fixt twee grafische bugs
Kritieke Windows-patch fixt twee grafische bugs Nieuws van 9 november 2005
'Bètaversies Windows Vista en IE7 tellen 20.000 bugs'
'Bètaversies Windows Vista en IE7 tellen 20.000 bugs' Nieuws van 1 november 2005
Meer producten en artikelen
Bedrijfsnieuws

Reacties (51)

-Moderatie-faq
51
49
37
22
2
6
Wijzig sortering
Wim-Bart 15 januari 2006 19:46
Wat een blaat blaat allemaal om niets. Het is geen Windows security leak maar een beheerders leak. Je kan dit probleem simpel oplossen door je werkstation/server of whatever goed in te richten:

1. File en printersharing. Kan standaard uit staan op een werkstation binnen een domein (voor bedrijven), is nl in heel veel gevallen niet nodig. Voor thuisgebruik kan het aan blijven staan indien gewenst.
2. Windows firewall goed inrichten. Bijvoorbeeld alleen verkeer van en naar je private IP-range accepteren. Krijg je onverhoopt toch een APIPA adres dan kan er niet met je systeem gecommuniceerd worden.
3. Administrator account andere naam geven, vanuit usermanger of via policy.
4. Guest account andere naam geven en uitschakelen, vanuit usermanager of via policy.
5. Wachtwoorden op je accounts zetten, dus geen open wachtwoorden.
6. Remote registry service uitschakelen. Kan in heeeeeeel veel gevallen geen kwaad.
7. Systeem policies "Allow annonymous ennumeration ..." op Disabled zetten.

Dan is het probleem zo weg.
Verwijderd @Wim-Bart15 januari 2006 20:50
Optie 8: Via het register uitschakelen dat er automatisch een APIPA IP-adres wordt toegekend. (IPAutoconfigurationEnabled). Beetje omslachtig voor de gemiddelde gebruiker maar voor een beheerder prima te doen (via script/policy.)
http://www.windowsnetwork...s_tutorials/w2knoaip.html
Olaf van der Spek @Wim-Bart15 januari 2006 19:53
Het is geen Windows security leak maar een beheerders leak.
Van secure by default hebben ze in Redmond blijkbaar nooit gehoord.
Verwijderd @Olaf van der Spek15 januari 2006 20:04
Je kan daar voor destkopsystemen ook niet te ver in gaan. Daarmee wil ik dit lek niet goedpraten, maar ik kom toch geregeld een overmaat van beveiliging tegen in andere systemen. Dat vergt heel wat configuratie, en voor thuisgebruikers is dat verre van triviaal.

Zowel veiligheid als gebruiksgemak nastreven is geen eenvoudige zaak. Ik hoop gewoon dat Vista in de mate van het mogelijke aan beide eisen voldoet...
Gomez12 @Wim-Bart15 januari 2006 20:50
En dit is dan dus een beheerders lek??? Mijn moeder gebruikt bijv. Windows op een draadloze laptop, ik zal wel het lijstje uitprinten en tegen haar zeggen dat ze dit moet doen.

Kom op, windows is een consumenten OS, voor mensen die het makkelijk willen hebben en gelijk willen werken. Deze mensen willen geen 100 stappen doorlopen om hun systeem veilig te maken. Dus het probleem ligt echt wel bij het OS.
alt-92 @Gomez1215 januari 2006 20:56
Kom op, windows is een consumenten OS, voor mensen die het makkelijk willen hebben en gelijk willen werken. Deze mensen willen geen 100 stappen doorlopen om hun systeem veilig te maken.
Ziedaar de paradox.

Als het secure by default zou moeten worden, kan het klikvee weer niet ermee omgaan.
GREENSKiN @alt-9215 januari 2006 21:00
Als het secure by default zou moeten worden, kan het klikvee weer niet ermee omgaan.
Verklaar OS X? :)
alt-92 @alt-9216 januari 2006 01:06
valt niet binnen de doelgroep ;)
We hebben het over Windows weet je wel?

Anders had Apple wel een groter marktaandeel.
Verwijderd @Gomez1216 januari 2006 13:33
Deze mensen willen ook geen 100 stappen doorlopen om hun net nieuwe pc aan de praat te krijgen. Een compleet dichtgetimmerd systeem zal alleen maar veel veel telefoontjes naar de helpdesk genereren.

Zo krijg je bij een installatie van Windows 2003 al bij zo'n beetje elke webpagina een waarschuwingspopup. U kunt niet downloaden, u mag niet geredirect worden, javascript, popups? no way!. Dat wil je dus niet op een systeem voor een Noob.
Verwijderd @Gomez1216 januari 2006 13:22
maar jouw moeder zou dan ook de standaard microsoft adviezen op moeten volgen (firewall, automatic updates aan, virusscanner)
McChouffe 15 januari 2006 19:07
De naam (SSID) van dat netwerk wordt uitgezonden
Is het uitschakkelen van SSID broadcasting dan ook geen goede remedie?
MneoreJ @McChouffe15 januari 2006 19:16
Nee. Hackers vangen de SSID op van het station dat met het access point contact probeert te maken, niet de AP zelf. Juist omdat geen verbinding meer gemaakt wordt met het echte station werkt deze truc.

Overigens is het uitzetten van SSID-broadcast een heel pover lapmiddeltje voor beveiliging. Je kunt beter investeren in fatsoenlijke WPA-encryptie en access control lists, dan kun je de SSID rustig aan de buitenwereld bekendmaken.
Verwijderd @McChouffe15 januari 2006 19:18
Nee, wat jij wilt is neem ik aan SSID broadcasting op je router uitzetten? (Dat is wat iedereen doet).

De SSID hoort in een verzonden packet, doet je router ook. Het broadcasten is alleen een extra van routers om de SSID ook te verzenden als er geen "verbinding" is.
Darkvater @Verwijderd15 januari 2006 21:03
Je bedoelt dat wat je probeert uit te zetten maar je het eigenlijk niet kan doen omdat anders het hele wireless gedoe niet werkt. Want wat windows namelijk doet is altijd met een AP te connecten die een SSID uitzendt, ook als zet je vast dat je je eigen wilt. En nee, dit is niet te fixen, staat zelfs als een support item op de MS website. Hun oplossing is om SSID niet uit te zetten |:(
MneoreJ @Darkvater15 januari 2006 21:21
Je bedoelt dit probleem?

Dat is nauwelijks onoverkomelijk. Dit is alleen een probleem wanneer de optie "automatically connect to non-preferred networks" aanstaat. Dat is sowieso geen goed idee, ook al is het "lekker makkelijk". Ik weet niet hoe het met jou zit, maar ik zie liever met welk netwerk ik verbind voor ik contact maak.

Staat deze optie uit, dan heb je alleen een probleem wanneer je meerdere netwerken in je "Preferred Networks" lijst hebt staan en je wilt op gevalsbasis met deze netwerken weken en een van die netwerken broadcast SSIDs en de ander niet. Dat zou haast nooit voor moeten komen.

Microsoft merkt ook op, geheel terecht voor de verandering, "disabling SSID broadcasts is not a sufficiently strong method for securing a wireless network". Tegen script kiddies beveiligen kan al door WEP-sleutels vaak te verversen. SSID broadcasts uitzetten maakt het er echt niet veiliger op.
ebx 15 januari 2006 19:04
Ik blijf het toch jammer vinden dat microsoft enkel problemen aanpakt die economisch intresant voor hen zijn.

Ze komen pas in actie als de halve wereld een bug kan exploiteren, en als er tools uit zijn voor eenvoudig misbruik.

Het zijn juist de minst gekende bugs die door echte hacker gebruikt worden, en die zijn meestal niet uit op spyware installeren, maar credit card /bedrijfsinfo

Ik kan me moeilijk voorstellen dat het veel werk is voor microsoft om de minder "commerciële" gaten te dichten.

[edit: overbodig ? dit is gewoon een feit, geen flame. Ook fanboys moeten eens met kritiek leren omgaan hoor]
engelbertus @ebx15 januari 2006 20:46
de chte hacker die jij bedoelt gebruikt ook maar publiekelijk bekende info, omdat volgens mij de gemiddelde hacker die een echt onbekend lek heeft gevonden, hier wel netjes mee om gaat. de eerste hacker die het gat exploiteerd voor commeciele doeleinden,in zijn eigen voordeel , die ook daadwerkelijk een eigen lek heeft gevonden moet denk ik nog geboren worden.

voor de rest is elk lek even bekend, er bestaat alleen een verschil tussen publiekelijk bekend en bekend bij de ondekker en de fabrikant oid.

het verschil zit hem er in hoe makkelijk ze zijn uit te buiten.

daarop moet je dus je onderscheid maken.

het verschijnen van tools betekent dus dat het niet makkelijker kan worden een exploit te gebruiken . ook voor de huis tuin en keuken hacer. die weer geen connecties heeft met misdadigers die creditcard info willen kopen.
ebx @engelbertus16 januari 2006 10:40
om maar even een voorbeeld te geven, want volgens mij snappen jullie het niet.

een duitse hacker is niet zo heel lang geleden eens ingebroken op het T-mobile netwerk. (nieuws: Hacker T-Mobile maakte gebruik van bekend lek)
Hij maakte gebruik van een lek dat hij zelf vond, maar ook gekend was bij de fabrikant.
Hij heeft zelf een methode gemaakt om hier misbruik van te maken.
Deze persoon heeft 18 maanden lang prive gegevens van celebs en overheid gevolgd en heeft deze informatie daarna zelf proberen verkopen.

Zelfde situatie bij microsoft, er zijn gekende lekken die ge-exploiteerd kunnen worden, microsoft vertikt het echter om dit te doen en wacht tot dat er op grote schaal misbruik van gemaakt wordt, dan pas beginnen ze met in actie te schieten
Verwijderd @ebx16 januari 2006 13:22
En hetzelfde bij Apple, hetzelfde bij Linux, BSD, samba en elk ander programma wat ik ken. Lekken die niet misbruikt worden en geen al te groot risico vormen worden tijdens het "gewone" updatetraject meegenomen.

Dat dit in sommige gevallen betekent dat een lek bekend was maar nog niet opgelost voordat een hacker er gebruik van maakte, is dan jammer. Als je elk lek direct ad hoc gaat oplossen is dat nadelig voor de programmacode, kostbaar, buggevoelig én je zult nog meer (en in potentie gevaarlijker) veiligheidslekken genereren doordat je te weinig tijd neemt om te testen.

Gelijk in de stress schieten lost bij veiligheidslekken echt totaal niets op. Er zal altijd een afweging moeten zijn tussen de noodzaak om snel te patchen en de potentiele gevolgen van het patchen. Over het algemeen heeft Microsoft de afgelopen jaren geen slecht werk verricht en de "juiste" keuzes gemaakt. Maar MS afkraken blijft natuurlijk lekker makkelijk
XyritZz @ebx15 januari 2006 19:48
Microsoft heeft zelf de oplossing al gegeven aan de mensen, SP2, kost niks en houd dit soort exploits tegen.

Ik snap dan juist het gezeur niet van mensen dat MS nooit goed werk aflevert e.d. De mensen moeten gewoon goed updaten, als ze dat niet doen moeten ze ook niet zeuren als er een keer wat mis gaat met de PC.

Overigens moeten mensen zich sowieso gaan realiseren dat het gebruik van een PC altijd risico's met zich meebrengt, en dat je dus altijd voorzichtig moet zijn met gevoelige gegevens.
ebx @XyritZz15 januari 2006 20:21
Je snapt het niet, het draait hier niet om wat voor fout of welke remedies er bestaan.

In principe is een firewall genoeg, ik moet je echter niet vertellen dat de standaard firewall van windows niet veel voorstelt en voor elke goede hacker deze probleemloos omzeilt.

Als je al je windows services uitzet, je PC off-line stelt, ga je NOG minder risico hebben.
De discussie gaat hier niet over hoe de gebruiker zelf zijn PC beveiligt, maar over hoe de fabrikant het nalaat om gekende fouten te fixen.

Mijn punt is en was dat microsoft weet heeft van deze valkuil, dus ook de mogelijkheid om deze valkuit te vermijden / dit potentieel probleem op te lossen

Ik heb er een probleem mee dat microsoft weet heeft van verschillende fouten en lekken, maar pas actie onderneemt tegen deze problemen als er wereldwijd misbruik van is. Dit zie je ook in een tweakers artikel van niet lang terug, waarin de reactie tijd op windows exploits uit de doeken wordt gedaan.

Risico's zijn er altijd, maar als jouw fabrikant van software weet heeft van fouten en potentieel gevaar voor jou en ze niet oplost omdat er nog geen 100.00en misbruiken zijn geweest, voel je toch bedrogen erdoor ?
Luppie @ebx15 januari 2006 21:15
In principe is een firewall genoeg, ik moet je echter niet vertellen dat de standaard firewall van windows niet veel voorstelt en voor elke goede hacker deze probleemloos omzeilt.
Waarop baseer je deze info ? De ingebouwde Firewall staat er om bekend dat deze niet de meest gebruiksvriendelijke interface heeft om te configureren en dat de logging ook niet echt je van het is. Maar dat ie zo makkelijk te hacken zou zijn is mijn inziens het grootste broodje aap verhaal die ik ooit gehoord heb.
ebx @ebx16 januari 2006 10:43
Ik baseer me op feiten die ik dagelijks zie, want als jij beweert dat ie waterdicht is, dan is het toch raar dat ik hier op mijn PC 5 tools heb waarmee je remote firewall van windows XP kunt uitzetten.

Bovendien zijn de meerderheid van de standaard firewalls slecht geconfigureerd omdat de gebruiker er niks van weet. Als ze er last van ondervinden zetten ze hem gewoon uit.

éen ervan kan je zelf in een webpagina integreren.
maar dat was de point niet :Z
Verwijderd @ebx16 januari 2006 11:56
Voor het uitzetten op afstand moet je er wel eerst bijkunnen en dat kan alleen als je een proces kan starten of een proces iets kan laten uitvoeren. De windows firewall is bedoeld om verkeer van buiten tegen te houden, er is geen intentie om verkeer van binnen naar buiten tegen te houden, en dat is maar goed ook want anders, en dat zeg je zelf ook, dan zetten ze hem gewoon uit. Gegeven dat je inlogt met alle rechten en overal op klikt kun je verwachten dat dat niet goed gaat idd. Maar dat is eigenlijk een ander verhaal.
Verwijderd @ebx16 januari 2006 12:23
Waarschijnlijk heeft EBX het over het uitzetten van een firewall op een lokaal netwerk. Door de standaard policies kan je vanaf een machine waarop ingelogd is met een admin-account alles op je netwerk aan/uitzetten.

Kan me niet voorstellen dat een gebruiker die ingelogd is als gebruiker, dmv het bezoeken van een webpagina de firewall uit zou kunnen zetten

Maar.. mocht je dit kunnen bewijzen met wat documentjes op internet... altijd welkom, en ik zou het graag willen testen..
Verwijderd @XyritZz16 januari 2006 14:46
tja je kan idd de vraag stellen of alternatieven beter zijn qua ontwerp of eenvoud. ifup ifdown....
Verwijderd 15 januari 2006 19:09
Beste oplossing is gewoon elke keer die Wifi te disablen. Want anders blijft window toch lekker lastig doen dat hij geen netwerk vindt.
Verwijderd @Verwijderd15 januari 2006 19:17
Dat geldt waarschijnlijk voor jou laptoppie, maar in sommige gevallen geldt dit ook voor bijvoorbeeld (kantoor) werkstations die door een slechte automatiseerder worden beheerd.
Hup...Access-point valt uit en s' avonds staat het pc'tje constant verbinding proberen te maken. Zwart busje rijdt voorbij..... 8-) 8-) 8-)

Anyway, niet iedereen is zo verstandig om wifi "zomaar even te disabelen".....
friend @Verwijderd15 januari 2006 22:40
Dat is natuurlijk ook te s(t)imuleren, stoorsignaal uitzenden in de buurt van het access point, en dicht bij de PC's een access point met een sterker signaal de PC verbinding overnemen. En in bedrijfsomgevingen komt het nogal eens voor dat de firewall uit staat. Even een spyware/keylogger installeren en je bent binnen.
Zeker een reeel probleem dus, deze bug.
wortelsoft @Verwijderd15 januari 2006 19:17
Je kunt ook in de properties van het tcp-ip een eigen vast ip adres instellen als alternatief i.p.v. de automatische apipa adressen. Dan zit je tenminste weer in een andere ip range.
DaRealRenzel @wortelsoft16 januari 2006 12:41
Een beetje goede SysAdmin heeft het gebruik van automatische IP's al tijdens het opzetten van een Default Machine Policy golbaal uitgezet.
rtgo @Verwijderd15 januari 2006 19:21
Dat is meteen ook beter voor de battery-life van je laptop.
Quacka 15 januari 2006 23:45
ff over de oplossing:

Een firewall zorgt ervoor dat binnendringers worden tegengehouden.
Ik ga er dan alleen vanuit dat de firewall zo ingesteld moet zijn dat deze verbindingen tussen de verschillende pcs op je netwerken moet tegenhouden.
Ik heb zelf juist mijn netwerk zo ingesteld dat ik wel verbinding kan maken met een andere pc in mijn netwerk. (mijn pcs verbonden met draad, dus geen probleem)

Ik denk dat andere mensen dit ook zo kunnen hebben ingesteld, ook met draadloos netwerk. Dan denken ze veilig te zijn met firewall, maar ze zijn het in feite niet.
Toff @Quacka17 januari 2006 01:04
Eigenlijk vind ik wat er uitgaat belangrijker.
Natuurlijk zijn binnendringers irri, maar een standaard router houdt ze prima tegen, dus mensen met een netwerk zullen daar weinig problemen van ondervinden.
Een software firewall is dan ook standaard op al mijn netwerkPC's. Daarin wordt een beperkt aantal IP's als "trusted" aangemerkt, waarbij de range 169.254.xxx.xxx zeker niet is inbegrepen.
"In feite" ben ik redelijk veilig toch?
Oet 15 januari 2006 19:04
Opzich is het risico niet zo groot dus, alleen XP en 2003 versies van windows hebben deze built-in WiFi support.
Daarbij hebben deze windowsversies standaard al een firewall, dus de meeste standaardgebruikers zijn gewoon goed beschermt, totaal geen reden voor paniek of wat dan ook dus :)
Vrij logisch ook dat MS er ook geen prioriteit aan geeft..
alt-92 16 januari 2006 01:04
Om het nog duidelijker te maken, want het artikel hier meldt dat niet terwijl de write-up dat duidelijk wel vermeldt:

Het gaat met name om ad-hoc netwerk-configuraties.

http://www.securityfocus.com/archive/1/421868


Als je ad-hoc connecties niet aan hebt staan heb je er ook geen last van (das trouwens de aanbevolen workaround).
kodak
@alt-9216 januari 2006 01:43
Alleen jammer dat de meeste gebruikers de standaard instelling dat elk netwerk type gebruikt moet kunnen worden geactiveerd hebben...
Dat het voornamelijk ad-hoc betreft is daarmee niet het grootste probleem.
mlowijs 15 januari 2006 23:31
..en tegelijkertijd staat de ad van Microsoft "Getraind in de kunsten van netwerkverdediging" bovenaan de pagina :+
Mr.S 16 januari 2006 00:19
Ik zie hier een groter probleem voor PDA's en Smartfone's met Windows CE, aangezien hier de/een firewall niet of nauwelijks goed werkt en de implementatie van de techniek vrijwel idemdito is aan die van de nieuwspost.
Verwijderd 16 januari 2006 10:28
Microsft windows, de rootkit met de mooiste grafische interface.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq