Consumentenbond beklaagt zich over slechte beveiliging routers

De Consumentenbond stelt dat veel wifi-routers die door providers worden geleverd, onvoldoende of geheel niet zijn beveiligd. Met name de draadloze Zyxel-router van Telfort zou onveilig zijn, maar ook Zeelandnet maakt blunders.

Wifi logo De bond testte acht wifi-routers voor het blad Digitaalgids. Er zijn vijf basiseisen voor veilige draadloze communicatie, vindt de consumentenorganisatie; zo moet de router na het doorlopen van de installatieprocedure minimaal wpa-encryptie geactiveerd hebben, moeten de gebruikte sleutel en ssid uniek zijn en de firewall mag geen poorten open hebben staan. Ook is het volgens de bond een vereiste dat het upnp-protocol gedeactiveerd is en dat de gebruiker wordt gedwongen om een veilige login voor de beheeromgeving van de router te kiezen. Uit de inventarisatie blijkt dat de Zyxel 2602HW-router die door Telfort bij adsl-abonnementen wordt aangeboden, 'onveilig' bij de klant wordt afgeleverd. Telfort laat het geheel aan de klant over om zelf de instellingen te bepalen, waardoor de kans groot is dat er geen enkele versleuteling, of alleen de eenvoudig te kraken wep-encryptie wordt gebruikt. Opmerkelijk is verder ook dat er voor de router 70 euro euro dient te worden betaald, maar dat het apparaat na het opzeggen van het abonnement weer moet worden ingeleverd. Telfort was woensdag niet bereikbaar voor commentaar.

Er blijken echter meer isp's in de fout te gaan. KPN, moederbedrijf van Telfort, levert volgens de Consumentenbond nog steeds Thomson-routers waarbij aan de hand van het ssid het standaard wachtwoord te herleiden is. KPN liet aan Tweakers.net in juli nog weten dat het onder andere de handleiding en de installatiesoftware zou gaan aanpassen, maar dit lijkt nog niet te zijn gebeurd. Isp Zeelandnet maakt het volgens de Consumentenbond nog bonter door de ssid standaard in te stellen op 'Zeelandnet' en de wpa-pass phrase op 'z33l4ndn3t'. Kabelaars Ziggo en UPC laten in beide gevallen verwijzingen in de ssid achter waaruit de gebruikte router is te herleiden, terwijl de Sitecom WL-173 van Ziggo ook standaard enkele poorten open heeft staan. De gebruiker wordt alleen bij de router van Telfort gedwongen om het default wachtwoord van de router te veranderen. Tenslotte zou bij de Netgear WGR614 van Zeelandnet en de Netgear WPN824 die UPC verkoopt, standaard upnp geactiveerd zijn, waardoor het risico bestaat dat door malware ongemerkt poorten worden opgezet.

Volgens de Consumentenbond is er met de genoemde hiaten sprake van een 'zorgwekkende ontwikkeling'. Alleen Tele2, Ziggo en Xs4all hebben volgens de consumentenwaakhond hun zaakjes voldoende op orde. Isp's zouden beter hun best moeten doen om de routers die zij aanbieden afdoende te beveiligen. Toch blijft ook de eindgebruiker onzorgvuldig. Bij een wardrive door Den Haag en Scheveningen werden door een tweetal 'deskundigen' met behulp van het programma Kismac drieduizend ssid's gevonden. Daarvan waren er 595 open - en dus in de meeste gevallen onbeveiligd - en 900 voorzien van de lekke wep-versleuteling. De wardrivers benadrukken echter dat zij niet op de netwerken hebben ingelogd, omdat het in Nederland strafbaar is om zonder toestemming van de eigenaar een wifi-verbinding te gebruiken.

Reacties (140)

ssmeding 6 november 2008 08:47

Is de Consumentenbond net zo kritisch richting de fabrikanten van dit soort apparatuur en de retailkanalen? Als ik zo'n draadloze router in de winkel koop is deze ook in het geheel niet dichtgespijkerd en heb ik niet een n00b-handleiding met zaken als het vereist aanpassen van het administratorwachtwoord die de ISP's er bijleveren.

Het lijkt me handiger voor de Consumentenbond om het probleem bij de bron op te lossen; door de fabrikanten te dwingen de standaardconfiguratie aan te scherpen en beter voor te lichten. Op deze manier bescherm je niet alleen mensen die hun router via hun ISP ontvangen, maar ook klanten die zelf routers aanschaffen.

mangahuisman 6 november 2008 09:56

Heel leuk allemaal, mensen die suggereren dat het legaal is. De wet en de politie denken daar helaas anders over. Ben zelf ook voor het idee, iedereen zijn accespoint open voor iedereen. Maar voor dit soort solidariteit kun je dit land nog aardig gestraft worden door eventueel misbruik. (kans acht ik zeer klein).

Om even een paar voorbeelden te geven van mensen die het hebben moeten ontgelden door zomaar even gebruik te maken van een "open netwerk"

1. UK-Londen :

http://www.nu.nl/news/120...ik_open_wifi-netwerk.html

2. NL-Asten :

http://frontpage.fok.nl/nieuws/88499

3.NL-Voorthuizen:

http://www.nu.nl/news/177...or_diefstal_internet.html

Pas dus maar als je denkt dat je gratis mag wifi'en op een open netwerk... je kunt zo een paar nachtjes op het politie-bureau belanden.

Dit zijn slechts enkele voorbeelden van een grote lijst met incidenten die in het nieuws gehaald hebben.

[Reactie gewijzigd door mangahuisman op 23 juli 2024 13:00]

iew 6 november 2008 10:51

ziggo leverd geen routers bij een abbo,je krijgt een modem in bruikleen.
als je problemen hebt met je internetverbinding is de eerste vraag van ziggo: heeft u een router?

waarna de helpdesk je de router er tussenuit laat halen als zij vinden dat deze niet compatible is [volgens hun] en om te kijken of het probleem in de router zit.
vervolgens vertellen ze je dat je bij hun een router aan kan schaffen [kopen] die wel compatible is.

het stukje positivisme over ziggo in dit bericht klopt van geen kant,en gezien de enorme problemen die veel mensen nog steeds ondervinden bij ziggo,vind ik dit zeer storend in dit bericht en lijkt het wel alsof men,door ze in één adem te noemen met xs4all de hand boven het hoofd proberen te houden.

de kwaliteit van mijn alles in 1 extra bundel bij ziggo is sinds de fusie kwalitatief drastisch gedaald in alle opzichten.
de beveiliging bij ziggo moet je tegenwoordig "bestellen" en brengt extra maandelijkse kosten met zich mee...

ik kan zo boos worden om dit soort leugens in persberichten.

Wobcat 5 november 2008 17:53

Telfort laat het geheel aan de klant over om zelf de instellingen te bepalen, waardoor de kans groot is dat er geen enkele versleuteling, of alleen de eenvoudig te kraken wep-encryptie wordt gebruikt.

Amerikaanse toestanden hier, aan het handje genomen moeten worden enzo, ik wil graag draadloos internettuhhh maar ik snap ut nie....

Mensen hebben toch een eigen verantwoording wat dat aangaat, mijn modem/router, mijn beveiliging. Zal helemaal lekker worden, kun je straks je provider de schuld geven omdat jouw i-net verbinding misbruikt wordt. Misschien is een soort van internet rijbewijs met de basisbeginselen nog geeneens zo'n gek idee.

DynaMikeY @Wobcat • 5 november 2008 21:07

Amerikaanse toestanden hier

Grappig dat je dit aanhaalt. In de USA kun je zowat op elke hoek van de straat gratis draadloos internetten. Ik was (2 maanden terug) verdwaald in Los Angeles. Gestopt op hoek van een drukke straat, laptopje open, google maps erbij gepakt...en hoppakee, screenshotje gemaakt, en 30min later stonden we bij het hotel

Bijna alle hotels, cafe's, restaurants en barretjes hebben 'free wifi access', evenals veel (grote) pompstations...erg handig.

Nu ik hier het voordeel van gemerkt heb, ga ik zelf ook een free hotspot maken... uiteraard wel beperkt tot http/s verkeer only, en gelimiteerde bandbreedte... maar MOCHT er iemand in Zeist-oost de weg kwijt raken en een laptop bij hebben...

henkiskaal @DynaMikeY • 6 november 2008 00:12

Das grappig, ik zit ook in Zeist

Dus ik weet waar ik moet zijn

(Zonder eerst op google maps te kijken en een draadloze verbinding van iemand anders te lenen

)

En inderdaad wat je zegt, als je naar grote steden gaat in het buitenland zie je meestal zo'n stikker of bordje waarop free wifi staat. In Parijs kun je ze ook veel vinden in parken enzo.

Trouwens, ik ben benieuwt hoe je je eigen draadloze gaat beveiligen. Als iemand zit te rotzooien heb jij een probleem.

Miglow @Wobcat • 5 november 2008 18:43

Niks internet-rijbewijs, gewoon sommige mensen verbieden met computers om te gaan!

coretx 5 november 2008 17:50

Alsof het beveiligen van wifi verplicht is.... Ik zie het als een sociale daad om het open te laten staan.

Zero Grav @coretx • 5 november 2008 17:54

Op zich wel, tot er iemand kinderporno begint te downloaden op jouw lijn. Of hier in België als je limiet op een uurtje wordt doorgetrokken waarop je extra moet gaan betalen.

Die slechte beveiliging van de routers is de verantwoordelijkheid van de kopers. Als zij er 5 minuten de tijd voor zouden nemen om de handleiding even te lezen zouden er een pak meer routers beveiligd zijn.

Daarbij is WEP misschien wel een vrij lekke beveiliging. Maar het is wel een stap verder dan onbeveiligde netwerken omdat je daadwerkelijk stappen moet ondernemen om het netwerk te kraken en binnen te geraken.

Roland684 @Zero Grav • 5 november 2008 19:07

Het is wel weer meteen een doem-scenario om over kinderporno te beginnen. Waarom haal je er niet meteen terroristen bij? Dat is echt pure bangmakerij.
En wat dan nog? Het is nog steeds zo dat de dader de dader is ze niet zomaar de eigenaar van de lijn in de gevangenis stoppen. Als er voldoende kiddiepron over jouw lijn gaat wordt hooguit je pc in beslag genomen (wat bij onschuldige consumenten al een zeldzaamheid is) want ze moeten nog wel even vaststellen dat jij het geweest bent.
En als jij het niet was, kunnen ze mooi in jouw buurt gaan posten om de werkelijke viespeuk uit zijn auto te vissen, heb je mooi bijgedragen aan de bestrijding. Whatever.

De kans dat een hacker volautomatisch vanaf het internet je pc overneemt en gebruikt als proxy voor zijn 'evil deeds' is overigens miljoenen malen groter dan dat iemand je wifi-verbinding misbruikt.

HyperBart @Roland684 • 5 november 2008 20:19

Het is wel weer meteen een doem-scenario om over kinderporno te beginnen. Waarom haal je er niet meteen terroristen bij? Dat is echt pure bangmakerij.

een doemscenario, ok, hij gaf toch MAAR een voorbeeld, dat moet je er niet direct van denken, maar dit is wel één van de mogelijkheden die mensen hebben als je netwerk niet beveiligd is. En bij mij is het nog altijd "hope for the best, prepare for the rest", en je bent nog steeds verantwoordelijk voor wat er met je lijn gebeurd, punt.

En wat dan nog? Het is nog steeds zo dat de dader de dader is ze niet zomaar de eigenaar van de lijn in de gevangenis stoppen.

Wettelijk gezien zou het wel kunnen, want je bent verantwoordelijk voor je beveiliging en het gebruik van je lijn...

Als er voldoende kiddiepron over jouw lijn gaat wordt hooguit je pc in beslag genomen (wat bij onschuldige consumenten al een zeldzaamheid is) want ze moeten nog wel even vaststellen dat jij het geweest bent.

Wordt "hooguit" je pc in beslag genomen ?

Vindt jij dat een zeldzaamheid ?
Een medestudent zijn pc is in beslag genomen omdat zijn pc in een netwerkje hing met russische hackers die verschillende europese bankaccounts leegplunderden, kinderporno ligt zo wat op dezelfde graad van criminaliteit...

Heel fijn als je net allemaal met een projectje bezig bent, al dan niet individueel en de brave mannen met de blauwe pet staan voor je deur en nemen je pc in beslag, de jongen heeft een laptop gekocht om maar verder te kunnen (dat was wel niet de enige reden, maar één van de hoofdredenen), fijn hoor, als dat gebeurd omdat één of andere hannes kinderporno heeft zitten sharen/binnenhengelen via jouw lijn...

En als jij het niet was, kunnen ze mooi in jouw buurt gaan posten om de werkelijke viespeuk uit zijn auto te vissen, heb je mooi bijgedragen aan de bestrijding. Whatever.

éénmaal dat je toch al zo criminieel met kinderporno bezig bent denk ik dat de crimineel ook wel zo slim is om het geen 3 keer op dezelfde plek te gaan uploaden he...

De kans dat een hacker volautomatisch vanaf het internet je pc overneemt en gebruikt als proxy voor zijn 'evil deeds' is overigens miljoenen malen groter dan dat iemand je wifi-verbinding misbruikt.

In dichtbevolkte gebieden wil ik daar nog wel even voor in discussie gaan, ken genoeg gastjes die meeliften op het internet van de buren in hun blok om te downloaden in belgie...

Rob Coops

Beveiliging

@Roland684 • 6 november 2008 09:49

Das allemaal mooi en aardig en de kans dat er iemand voor zijn of haar "evil deeds" je open wifi verbinding gebruikt is natuurlijk uiterst klein maar...
Als jis in de vroege ochtend uit bed wordt gesleurt door een stel malloten met kogel vrije vesten aan, je PC en andere digitale media uit je huis worden gedragen en je huis door zocht dan heb je toch wel een iets groter probleem. Want schuldig of niet je werkgever zal je hoogst waarschijnlijk toch echt voorzichtig aan de kant zetten omdat hij daar niets mee te maken wil hebben, je buren kijken je vreemd aan en zullen je op zijn best voorzichtig vragen om toch maar eens na te denken over een verhuizing. Zij hebben zelf ook kinderen en doen wat iedere ouder zou moeten doen, hun kroost beschermen.
Dan is er nog de vervelende telefoon tap waardoor je dus echt niets meer met iemand kan bespreken zonder dat er een of andere pet stiekem mee zit te luisteren, dat is ook niet echt fijn natuurlijk...

Jij en anderen hebben helemaal gelijk met de stelling dat het hoogst onwaarschijnlijk is dat je verbinding echt voor dat soort slechte dingen gebruikt wordt maar dat neemt niet weg dat als je zelf totaal geen verstand hebt van het geen je doet. En dat heb je niet anders had je de beveiliging wel aan gezet. Dat je ondanks dat van je provider mag verwachten dat ze je een redelijk beveiligde verbinding aanbieden. Echt veilig is het natuurlijk nooit uit eindelijk is het gewoon een vorm van ether communicatie en dus kan een ieder die dat echt wil het afluisteren en of er zelf gebruik van maken door de beveiliging te omzeilen dan wel de codes op de een of andere manier te achter halen. Maar nog steeds neemt dat niet weg dat van een ISP verwacht mag worden dat zij hun klanten standaard een veilige verbinding aanbieden.

digifan @Rob Coops • 8 november 2008 10:21

Rob Coops ben jij 13 of zo? wat een onzin, niemand zal mij dwingen te verhuizen zeker niet het type wat jij schetst, met een dikke auto van de bank. Er is weer een hoop fantasie in dit draadje.
Als er kinderporno wordt gedownload door jouw verbinding betekent dit dat de perverseling waarschijnlijk een van jouw buren is, in een straal van nog geen 50meter.
Die gast stopt echt niet dus krijgen ze hem echt wel te pakken.
Wat ik erger vindt is het bewust mogelijk maken van afluister praktijken zoals die ontwikkelingen in GB met die black box etc. Dat is pas angstaanjagend. En de basis van dit soort ellende.

[Reactie gewijzigd door digifan op 23 juli 2024 13:00]

Bor Coördinator Frontpage Admins / FP Powermod @Roland684 • 6 november 2008 18:30

Ik vind dat Ronald Witvoet de risico's enorm bagataliseert. Graag zie ik een betrouwbare risico analyse waaruit blijkt dat de kans op een hack (volautomatisch nog wel) miljoenen malen groter is dan misbruik van een wifi verbinding. Die conclusie slaat als een tang op een varken namelijk.

Het punt van kinderporno is natuurlijk een voorbeeld. Verdere opties zijn het verspreiden van malware als virussen via jouw verbinding. Sterker nog, dit schijnt (ik kan dit zelf helaas niet met cijfers onderbouwen gezien dit nogal in de illegale sfeer zit waar weinig objectieve informatie over te vinden is) op dit moment een van de meest voorkomende manieren te zijn om nieuwe virussen " in the wild" te brengen.

ASS-Ware @Roland684 • 5 november 2008 20:11

Het is wel weer meteen een doem-scenario om over kinderporno te beginnen. Waarom haal je er niet meteen terroristen bij? Dat is echt pure bangmakerij.
En wat dan nog?

Je zet de mogelijkheid open om dat soort spul te downloaden, dat kan niet de bedoeling zijn.
Bovendien word jij er wel mee lastig gevallen, je zal je PC's wel een tijdje kwijt zijn.

Anoniem: 26447 @ASS-Ware • 5 november 2008 22:04

Als ik het zo hoor en de reacties lees, rijden er tienduizenden mensen door de nederlandse straten met donker gekleurde ramen en antenne's op hun dak om de hele dag kinderporno te downloaden via openstaande netwerken. Volgens mij wordt er weer voor 99,999 % overdreven gereageerd. Zelf staat mijn router ook open oondanks dat er kabel tussenzit en ikheb nog nooit een aanval of wat dan ook gehad, de meeste narigheid komt via het internet, want daar had ik vanmiddag sinds 4 jaar een trojan te pakken omdat ik naar anagram software zocht, toen ik het programma had gedownload wist ik eigenlijk al dat het narigheid was, dus even goed opgelet en ja hoor na uitpakken en starten zat de boel vol, gelukkig had ik een image van 3 dagen oud en was het probleem binnen 5 minuten opgelost, maar dat was gewoon via het internet en mijn bekabelde router en niet via mijn draadloze gedeelte die ook gewoon aanstaat.

[Reactie gewijzigd door Anoniem: 26447 op 23 juli 2024 13:00]

Sorcix @Zero Grav • 5 november 2008 18:00

Ik ken veel mensen die hun router niet beveiligen omdat "hun PC dan niet meer automatisch verbinding maakt". Ook al komen er meestal handleidingen bij de routers, ze blijken nog steeds te moeilijk te werken voor veel mensen.

Al ben ik ook van het standpunt dat de beveiliging de verantwoordelijkheid is van de koper. De providers worden steeds meer de oppas van hun klanten, onderandere met de verplichte logging en nu deze klacht over de slechte beveiliging.

4play @Sorcix • 5 november 2008 21:54

Als ik mijn router op een minderwaardige beveiliging zet (WEP) dan kan mijn Nintendo DS niet meer online en dus heb ik WEP aan en kunnen alleen mijn MAC adresen op internet via mijn router.

Maar liever had ik ook WPA erop gehad maar helaas...

Anoniem: 19339 @4play • 5 november 2008 22:13

Een grote tekortkoming van de DS inderdaad. De nieuwe DSi heeft volgens de specs wel WPA/WPA2.

Bor Coördinator Frontpage Admins / FP Powermod @4play • 6 november 2008 18:27

MAC adressen zijn echter eenvoudig te sniffen en te achterhalen. MAC adres beveiliging is zonder extra maatregelen vrijwel niets waard.

Anoniem: 180040 @4play • 13 november 2008 22:10

offtopic: Als ik jouw verhaal lees dan zeg je dat met WEP aan je DS niet meer online kan, maar vervolgens zeg je dat je WEP aanzet met MAC filtering

ontopic:
eigenlijk wel een mooie zaak dat consumentenbond valt over de slechte beveiliging
want blijkbaar bewijzen genoeg providers dat het ook anders kan
Ze zouden ook zoiets kunnen maken dat je pas internet hebt als je een redelijke beveiliging hebt ingesteld
andere wachtwoord, minimaal WPA aan, router access geblokkeerd via draadloos and etc..

Anoniem: 152769 @Sorcix • 5 november 2008 23:00

wat nog niet klopt ook, want mijn netwerk zit beveiligd (zowel met key als macadresfilter) en ik moet nooit iets van keys instellen als ik opstart, ik zit direct na starten online.

Cafe Del Mar

@Anoniem: 152769 • 6 november 2008 07:22

volgens beveiligingsexperts is MAC-address filtering een vals gevoel van veiligheid
je zou nl makkelijk kunnen sniffen wie er wel op de router mag en het MAC-address wordt blijkbaar telkens in plain-text meegestuurd.
Dus als je de MAC van 1 van de toegelaten clients hebt, kopieer je die voor uzelf

Of het allemaal zo simpel is weet ik niet, maar ik geef het maar mee

Deurges @Cafe Del Mar • 6 november 2008 10:30

Daarom zet je de broadcast van je wifi netwerk ook uit... Dan moeten ze al je netwerknaam hebben.. Enige nadeel is, is dat je je router altijd moet instellen als iemand ff bij je thuis is en op internet wilt. Maar dat is maar een kleine moeite.

Ik verander zowieso 1x per maand mijn netwerk naam..

The Realone @Deurges • 6 november 2008 10:40

Dat helpt natuurlijk ook geen klap. Als je SSID broadcast uit staat kost het je wel 2 seconden langer om daar weer achter te moeten komen.

Anoniem: 180040 @Deurges • 13 november 2008 22:12

je kan beter je preshared key veranderen dan je netwerknaam
aangezien preshared key het lastigste is en als men eenmaal weet welke preshared key je gebruikt proberen ze het op nieuwe onbekende draadloze access points

hellfighter87 @Zero Grav • 5 november 2008 18:01

Ik kom anders nog genoeg mensen tegen die, zelfs nadat ze de handleiding hebben gelezen er nog niet uitkomen hoe ze nou precies wat moeten beveiligen.

Meestal moet ik dan ff langs komen en een kleine handl;eiding schrijven hoe je bijvoorbeeld de wireless key verandert etc. specefiek voor hun router. stap voor stap met schreenshots erbij anders komen ze er nog neit uit

Anoniem: 265515 @coretx • 5 november 2008 17:58

Mee eens. Een beetje tweaker checkt trouwens gewoon of er poorten open staan of niet en stelt het wachtwoord en de SSID gewoon zelf in. Maar natuurlijk is niet iedereen een tweaker

.

Off-topic: als je wifi onbeveiligd laat en de SSID uitzendt, hoe kun je dan voorkomen dat iemand niet gewoon bij jou in de werkgroep gaat hangen en ook jou gedeelde mappen kan zien?

ieperlingetje @Anoniem: 265515 • 5 november 2008 18:03

Mac adress filtering, zorgt ervoor dat pc's enkel met dat specefiek mac adress op je netwerk inloggen. Is voldoende om te voorkomen dat je buur verbinding met jouw netwerk omdat dat signaal sterker is maar gerichte aanvallen houd het niet tegen. Of je kunt de naam van je gedeelde mappen met een $ laten eindigen, dan verschijnt de gedeelde map niet automatisch, maar moet je het pad op geven, dus bijv \\pc\share$

Edit: nog eens benadrukt dat het geen perfecte beveiliging is, maar voldoende om nabijstaande pc's niet direct verbinding maakt met je netwerk.

[Reactie gewijzigd door ieperlingetje op 23 juli 2024 13:00]

Loekie

@ieperlingetje • 5 november 2008 18:22

Dat is het allemaal net niet, sorry hoor, een goede beveiliging voorkomt dat je gegevens netjes meegeluisterd kunnen worden. MAC-filtering klinkt leuk, maar ik kan zo het MAC-adres van de buurjongen opvangen, op mijn wireless-kaartje programmeren en lekker mee kijken, als ik het helemaal handig wil doen, voeg ik een eigen MAC toe aan die lijst.
Voor de meeste mensen is dit wellicht veel werk, maar een beetje tweaker kan dit met een beetje timing binnen 5 minuten, daarna gratis internet.
Onder onder linux zie je gewoon de $ shares staan en kun je daar ook makkelijk op verbinden, wachtwoordbeveiliging van share is het enige dat je daar enigszins tegen kan beschermen.

Mr_Light @Loekie • 5 november 2008 19:01

Met het risico dat iemand anders mee kan kijken wat voor bestanden er op jouw PC staan.

Daar moet je zo i zo maatregelen voor nemen, ik herriner me nog een tijd toen niet iedereen een router had en vervolgens hun hard drive inclusief hun os met volledige rechten aan het delen waren met de rest van de wereld.

meekijken wat je op internet doet (internetbankieren!)

Als jouw bank geen ssl(etc) gebruikt zou ik gauw m'n geld ergens anders heen gaan brengen.

wachtwoordbeveiliging van share

lost het afluister probleem niet op, iedereen kan nog steeds in de buurt de stroom van gegevens opvangen tussen jouw en de share. Je zult toch echt de verbinding linksom of rechtsom moeten encrypten.

Wachtwoord lost alleen het probleem op dat men niet zelf het bestand kan opvragen en dat bestanden op de share niet zo maar veranderd/verwijderd of toegevoegd kunnen worden. (Integrity vs Confidenciality)

Gescheiden vlan/guest account is een oplossing, maar ja de 'guest' stuurt dan nog steeds z'n data de 'ether' in. Dus ik zou gevoelige data nog altijd wel over ssl(etc) verbinding sturen.

[Reactie gewijzigd door Mr_Light op 23 juli 2024 13:00]

Mijulio @Anoniem: 265515 • 5 november 2008 18:24

off-topic: goed punt dat je hier maakt. Mijn D-link DIR-655 heeft met de laatste firmware update de functionaliteit ingebracht dat je een wifi gast-account kunt instellen zodat iemand wel op je verbinding kan, maar niet op je werkgroep. mooie oplossing dus!

Roland684 @Anoniem: 265515 • 5 november 2008 19:34

Evenzogoed kunnen je buren je gedeelde mappen ook zien als je geen router gebruikt.
Je kunt gewoon in windows regelen wie je gedeelde mappen mag openen.

Jackybeer @Anoniem: 265515 • 5 november 2008 19:40

In augustus gaf KPN ieder klant een veiligheids tip:

KPN doet er alles aan uw internetverbinding zo veilig mogelijk te maken. Wij willen u in deze veiligheidsbrief attenderen op maatregelen die u zelf kunt nemen om veilig te internetten.

Draadloos internetten
Steeds meer klanten van KPN internetten draadloos. Dit is een gebruiksvriendelijke en veilige manier van internetten. Vanaf 2007 levert KPN de Experia Box bij haar internetaansluitingen. Dit modem is in de fabriek voorzien van een standaard netwerknaam (SSID). Om nog veiliger te internetten raden wij u aan de standaard netwerknaam te wijzigen in een door uzelf gekozen naam. Zo kunnen derden in uw directe omgeving geen misbruik maken van uw draadloze netwerk.

Roland684 @Jackybeer • 6 november 2008 12:10

hahaha wat een grap.
Maar wel met een kern van waarheid, dwz, het is wel een goede tip. want als alle netwerken "kpn" heten, is de kans groot dat je per ongeluk op het netwerk van je buren werkt ipv jouw eigen. Maar wat veiligheid betreft maakt het niets uit.

Facepalm @coretx • 5 november 2008 17:55

Met het risico dat iemand anders mee kan kijken wat voor bestanden er op jouw PC staan, meekijken wat je op internet doet (internetbankieren!), illegale dingen gaat doen via jouw internetverbinding, spammen onder jouw IP, hacken van je PCs en nog een aantal dingen.

Ik vindt eigenlijk dat providers mensen goed moeten voorlichten over het gebruik van beveiliging. Wel niet een taak van een ISP vindt ik, maar veel mensen denken dat dit niet nodig is, laat staan dat ze weten dat het kan. Vaak weten ze ook niet wat de risico's zijn en de gevolgen. Als ze de tijd dan niet nemen om de handleiding door te nemen waar het al wel in staat, of gewoon te lui zijn dan mogen ze dan ook niet janken over de gevolgen, want het is hun eigen schuld.

Als je graag je verbinding wilt openstellen voor anderen, kijk dan een keer naar iets als FON. Daar kan je volgens mij ook instellen wat mag en wat niet.

[Reactie gewijzigd door Facepalm op 23 juli 2024 13:00]

Roland684 @Facepalm • 5 november 2008 19:21

De voorbeelden die jij noemt zijn verwaarloosbaar vergeleken met de rest van het internet. En telebankieren doe je zowiezo al via een encrypted verbinding.
Sorry hoor, maar de criminaliteit op het internet komt echt niet via een open wifi, die komt gewoon via spam, geinfecteerde websites en botnets de pc binnen. Dat is duizenden malen makkelijker dan een open wifi gaan zoeken.
In 2 jaar tijd zijn er welgeteld 5 mensen op mijn wifi (in Eindhoven) geweest, terwijl er continu tientallen connecties per minuut vanaf het internet naar mijn router worden gemaakt. Russen, chinesen, amerikanen, ghanesen, alles probeert op mijn router in te breken, gewoon vanaf het internet, thuis vanuit hun luie stoel.

Mensen die een pc nog zonder router aan het internet hangen, die zijn pas onverantwoord bezig!

Pikoe @Roland684 • 5 november 2008 19:31

Het feit dat ze het blijven proberen zou toch bijna zeggen dat het ze lukt..
Ik was ook in een botnetwerk enkele weken geleden. (had alleen windows firewall die was gebypassed en werd gespammed door aanvals waarschuwingen toen ik Comodo installeerde)
Nu wordt ik nauwelijks meer aangevallen.

Of download je gewoon veel te veel via p2p?

Roland684 @Pikoe • 6 november 2008 12:07

Het is niet 1 persoon die het steeds opnieuw probeert, het zijn miljoenen personen/bots/virussen die het elk één keer proberen.

Het is gewoon heel makkelijk om kwetsbare systemen te vinden door een portscan te doen op de hele ip-range. En er zijn duizenden mensen (en een groot aantal botnets) die aan de lopende band proberen te in te breken. Gewoon volautomatisch.
Bij mij zit alles dicht, en dan gaan ze gewoon door naar de volgende. Aan de lopende band worden er connecties gemaakt op poorten 20, 21, 443, 80, en dat soort standaard poorten, op zoek naar windows share, remote desktop connecties en dergelijken, maar ook op een hele berg hoge poorten waarvan ik me afvraag waarom ze het proberen?

Ik heb ooit eens 5 identieke windows2000 machines geinstalleerd, die stom genoeg direct aan het internet gehangen waren (voor de windows update). 3 ervan waren al gehacked voordat de windows instal klaar was, Binnen 30 minuten.
Gelukkig viel het op doordat er 3 aanmerkelijk trager waren dat de 2 overgebleven machines.

Bor Coördinator Frontpage Admins / FP Powermod @Roland684 • 6 november 2008 18:34

In 2 jaar tijd zijn er welgeteld 5 mensen op mijn wifi (in Eindhoven) geweest, terwijl er continu tientallen connecties per minuut vanaf het internet naar mijn router worden gemaakt. Russen, chinesen, amerikanen, ghanesen, alles probeert op mijn router in te breken, gewoon vanaf het internet, thuis vanuit hun luie stoel.

Nu vergelijk je waarschijnlijk mensen die al een connectie naar jouw router hebben opgezet danwel daadwerkelijk gebruik maken van jouw internet verbinding met simpele poortscans. Die vergelijking gaat compleet scheef.

Ultraman Moderator VB

Wifi

@Facepalm • 5 november 2008 18:39

Met het risico dat iemand anders mee kan kijken wat voor bestanden er op jouw PC staan, meekijken wat je op internet doet (internetbankieren!), illegale dingen gaat doen via jouw internetverbinding, spammen onder jouw IP, hacken van je PCs en nog een aantal dingen.

Wat je daar zegt vind ik kort door de bocht. Ik ben met je eens dat het niet de meest veilige keuze is maar zaken die je daar noemt zijn ook nogal afhankelijk van hoe je netwerk is ingedeeld en hoe je verbinding maakt met je router.
En er is altijd nog het begrip firewall.

Mijn wireless is ook open, enkel voorzien van een MAC filter. Puur omdat het gewoon een hoop gekloot scheelt telkens. Gevoelige data gaat er niet overheen en als een verbinding makkelijk over een SSL tunnel kan dan doe ik dat.
Verder hangt er achter het draadloos router een Linux machine die firewalled en pas daar weer achter hangt het bedrade netwerk waarvoor die Linux machine de adressen uitdeelt en de regels opstelt.

[Reactie gewijzigd door Ultraman op 23 juli 2024 13:00]

Mr_Dirk @coretx • 5 november 2008 17:52

Ik vind ook dat de eigenaar verantwoordelijk is voor het beveiligen van zijn hotspot. Je kan daar de provider toch niet verantwoordelijk voor stellen!

CH4OS @Mr_Dirk • 6 november 2008 00:14

Ik vind ook dat de eigenaar verantwoordelijk is voor het beveiligen van zijn hotspot. Je kan daar de provider toch niet verantwoordelijk voor stellen!

Aan de andere kant kan de ISP natuurlijk dit wel adviseren om te doen, de apparatuur ondersteund het, dus waarom er dan niets over zeggen in de handleidingen?

Jasper Janssen @CH4OS • 6 november 2008 00:30

Bij de handleiding van Telfort is het in ieder geval zo dat beveiligen wel degelijk genoemd wordt, alleen wordt er voor de screenshots ed verwezen naar de website.

http://klantenservice.int.../Internet/Beveiligen.aspx <- die dus.

Overigens, als je wifi routers gaat testen dan zul je er ook een hoop tussen zien zitten die onbeveiligd gaan tenzij je ergens expliciet voor kiest.

sariel @Mr_Dirk • 6 november 2008 09:11

Je kan de gebruiker er ook niet voor verantwoordelijk stellen want 99% van de gebruikers die een internet verbinding hebben weten nauwelijks hoe ze Windows (de computer dus) aan moeten zetten laat staan dat ze een idee hebben hoe ze hun draadloze router moeten beveiligen.

StefanTs @sariel • 6 november 2008 10:10

Dus bij al die 16 jarige figuurtjes die op een scooters mensen aanrijden is de winkel verantwoordelijk? Want los van een lullig certificaat hebben ze nooit leren rijden. Als je iets wilt gebruiken zul je toch echt zelf initiatief moeten tonen om te weten wat je doet. Dat mensen dit niet nodig achten bij computers ligt niet aan fabrikanten of leveranciers.

En als het je niets kan boeien en je alleen je e-mail wilt lezen en je pr0n wilt kijken dan zijn er handige mensen die je kunt betalen om het voor je te doen. Je betaalt ook om je alarm thuis te installeren/onderhouden, dus waarom je computer niet? Als ik zelf mijn alarm ga installeren en m'n huis wordt leeg geroofd omdat het alarm niet werkt is de leverancier van het alarm ook niet de schuldige. Onwetendheid is nooit een excuus.

memphis @StefanTs • 6 november 2008 11:42

Een router kan vanuit de leverancier geconfigureerd worden op een maximale beveiliging, een scooter kan je niet van te voren beveiligen tegen ongelukken.

Persoonlijk vind ik dat men juist alles dicht moet zetten en de gebruiker van daar uit zijn daadloze apparaten moet gaan toevoegen ipv. alles open zetten zodat de gebruiker niets hoeft te doen.

StefanTs @memphis • 6 november 2008 14:01

Dan krijg je hetzelfde artikel, maar dan gaat het over dat programmas niet goed werken omdat alles dicht getimmerd is.

Maar dat is mijn punt ook niet, het punt is dat de leverancier niet verantwoordelijk is voor het gebrek aan kennis bij een eindgebruiker. De leverancier levert een werkend systeem, dat de eindgebruiker het vertikt om de juiste kennis in huis te halen is niet hun fout.

Daarnaast bieden providers ook zelf aan tegen vergoeding de installatie uit te voeren, zolang die monteurs dat goed regelen zie ik geen probleem. Als die monteurs dit niet doen mogen ze zeiken. Dat lijkt me ook een veel nuttigere test.

digifan @StefanTs • 8 november 2008 10:10

Precies, ben ik het ook helemaal mee eens. Een aantal jaren geleden hadden mensen niet eens een intern netwerk en werd het configureren door it'ers/td'ers gedaan.
Een kenmerk van voortschrijdende technologie is ook dat je jezelf moet scholen om het bij te blijven. Een simpel voorbeeld is dat een overstap van XP naar Vista al deze "bijscholing" (gewenning) vereist. Je moet er even "induiken" om op hetzelfde niveau te komen.

Zer0 @coretx • 5 november 2008 17:55

Het is geen sociale daad om een accespoint open te laten zonder aan verdere beveiliging te denken. Als je bepaald verkeer niet blokkeert/reguleert geef je hackers en spammers een mooie gelegenheid om hun werk te doen zonder dat ze achterhaald kunnen worden.

Roland684 @Zer0 • 5 november 2008 19:31

Hoeveel hackers denk je dat er bij jou in de buurt zitten die de moeite nemen om jouw wifi op te zoeken? En hoeveel hackers denk je dat er even een poortscan doen op het internet en een van de miljoenen slecht beveiligde pc's gebruiken?
hmmm.. in de buurt gaan zitten van jouw wifi met beperkte bandbreedte of ontraceerbaar met een vrijwel ongelimiteerde bandbreedte en rekenkracht vanuit mijn luie stoel... laat me even denken.

De alternatieven zijn gewoon op alle vlakken vele malen aantrekkelijker, dus jouw risico verwaarloosbaar, het gebeurd gewoon niet.

Het is nog waarschijnlijker dat ze je auto jatten om een ramkraak mee te zetten bij de lokale kringloopwinkel dan dat je wifi gebruikt wordt om te hacken/spammen.
Maar iedereen moet dus altijd minstens 2 wielklemmen op zijn auto zetten, of ben ik nu (net als jij) aan het doorslaan met bangmakerij?

Bor Coördinator Frontpage Admins / FP Powermod @Roland684 • 6 november 2008 18:36

De alternatieven zijn gewoon op alle vlakken vele malen aantrekkelijker, dus jouw risico verwaarloosbaar, het gebeurd gewoon niet.

En toch wijst de praktijk totaal anders uit. Waarop baseer je dat misbruik van wifi verbindingen niet gebeurt? Wederom onderschatting van de risico's wat al eerder is opgemerkt in deze thread.

FONfanatic 6 november 2008 01:19

Ik kopieer maar van Webwereld ... (het is mijn eigen tekst).

Even wat aanmerkingen bij het artikel. Die routers geproduceerd door Thomson heten Speedtouch. Online is twee weken geleden overgenomen door Ziggo.

Aangezien routers van FON niet afkomstig zijn van een ISP (die met elkaar zich storten op WiMAX en/of LTE en daarom niet aan FON willen deelnemen ...) toch ook een reactie van de FON Community. Onze FONera's zijn standaard WPA-beveiligd en in de handleiding (op papier, op de CD-ROM, op de inlogpagina van MyPlace) staat telkens dat men geacht wordt de inlogcode zelf te wijzigen. Iedereen doet dat dan ook!

Niettemin zijn er FONero's (= degenen uit onze wereldwijde community) in het buitenland die hun door de ISP geleverde router waarmee men deelneemt aan FON (dat zijn geen FONera's!) als plug 'n play behandelen. Deze worden soms gekaapt door de eerste de beste inloggende voorbijganger die het Access Point prompt op eigen naam zet (als anonymus heet je bij FON UWON....) en zichzelf Bill maakt (een FONero die voor 50% deelt in de opbrengsten van een Access Point).

Concluderend lijkt het mij aan de onduidelijke installatieprocedures van de geleverde routers te liggen. Aangezien ISP's allemaal in hun leveringsvoorwaarden het openbaar verspreiden van internetverbindingen voorbehouden (argumenten variëren van veiligheid op het internet tot mogelijke auteursrechtenschendingen tot het verzwijgen van het streven naar monopolisering van het hotspotaanbod tot vermeende strafbaarheid) zouden zij als de wiedeweerga in de leer moeten bij FON, of liever nog, zich eens verdiepen in wat FON onderhand nog meer doet om het streven naar een wereldwijd draadloos internetnetwerk niet te laten ontaarden in een Wilde Westentafereel met alle vrijheid voor de wardrivende internetcrimineel.

teaser @FONfanatic • 6 november 2008 13:17

Die routers geproduceerd door Thomson heten Speedtouch.

De SpeedTouch merknaam is onlangs gedropt door Thomson, alle routers dragen nu het Thomson logo.

ikkuhqhp

5 november 2008 17:56

kan iemand mij uitleggen of het inderdaad strafbaar is om op een openstaande accesspoint in te loggen en hoe zit het met passief wep kraken?

Th3Eagle @ikkuhqhp • 5 november 2008 18:06

Nee inloggen op een onbeveiligd netwerk is niet strafbaar mits er geen illegale activiteiten mee worden uitgevoerd. Wat je met passief wep kraken bedoel snap ik even niet, maar het is uiteraard verboden om de beveiliging van een wel beveiligd netwerk te hacken.

In sommige landen als bv de USA is het zelfs verboden om je draadloze netwerk niet te beveiligen hier word jij aansprakelijk gehouden voor jouw verbinding en wat ermee gedaan word als deze niet beveiligd is.

pcgek @Th3Eagle • 5 november 2008 18:13

''omdat het in Nederland strafbaar is om zonder toestemming van de eigenaar een wifi-verbinding te gebruiken.''

Het staat toch wel in de tekst hoor.

Th3Eagle @pcgek • 5 november 2008 18:47

Wat je zegt klopt deels (het staat in het artikel oke, maar het klopt deels

). Het is alleen strafbaar als door de eigenaar kenbaar word gemaakt dat het verboden is om openbaar gebruik te maken van het netwerk.

Dit kan al vrij simpel door in de naam te zetten, verboden voor openbaar gebruik, word dit niet gedaan en het netwerk heet alleen bv: Kees, thuis of watdank ook, dan is het niet verboden om hierop in te loggen en gebruik te maken van de verbinding mits dit niet gedaan word voor illegale doeleinden.

Als er namelijk niet in de netwerk naam staat aangegeven dat jij niet wilt dat andere mensen op jouw netwerk mogen dan weiger jij wettelijk gezien de mensen niet de toegang tot jouw verbinding.

(Dat je door de netwerk naam aangeeft jij mag niet hiermee verbinden betekend natuurlijk niet dat je hiermee mensen blokkeert, weer lekkere vage Nederlandse wetgeving dus.. denk zelfs dat je het uitlokt....)

Arnoud Engelfriet @Th3Eagle • 5 november 2008 20:25

Nog iets subtieler. Het is strafbaar als jij weet of moet weten dat je geen toestemming hebt om van dat netwerk gebruik te maken. Dat kan zijn omdat uit de netwerknaam blijkt dat het niet mag (mijn SSID is "boegawegksst" dus dat lijkt me duidelijk), maar dat is niet het enige. Ik zou best durven verdedigen dat je zou moeten weten dat je niet op een netwerk van zo'n net-uit-de-doos getrokken KPN-router moet gaan zitten.

Th3Eagle @Arnoud Engelfriet • 5 november 2008 22:15

Klopt, wij zeker wel maar de gemiddelde consument zou het geeneens door hebben dat hij of zij op het verkeerde netwerk zou zitten dan zijn eigen draadloze. Immers vaak zijn de ssid van de providers genoemd naar het type router, of gewoon een simpele algemene naam.

Vandaar dat het volgens de wet niet strafbaar is mits er niet duidelijk bijstaat het mag niet en je er niks illegaals op doet. Zou de gemiddelde tweaker op zo een netwerk inloggen en hij zou bij wijze van aangeklaagd worden dan zou in die situatie er zeker worden gezegd, hij moet weten dat hij op een netwerk zat dat het zijne en dat niet de bedoeling was dat hij erop zat.

Maja das verder juridisch gepraat en daar ga ik me niet teveel mee bezig houden.

RedLizard @Arnoud Engelfriet • 6 november 2008 00:35

Mijn wifi management programma (die automatisch voor mij verbindingen maakt met open hotspots) snapt echter niks van hints in SSIDs. Zolang ik dat programma gebruik (en er verder niet naar kijk) kan ik dus niet redelijkerwijs weten dat ik geen toestemming heb om je netwerk te gebruiken.

Een versleuteling op de verbinding wordt daarintegen door mijn programma uitstekend begrepen.

Roland684 @pcgek • 5 november 2008 19:50

Het staat op internet, dus het is waar!

Anoniem: 172495 @pcgek • 5 november 2008 23:43

Dus is het waar?

Voor zover ik weet is het alleen strafbaar in elders genoemde gevallen. Dus als de eigenaar kenbaar maakt dat er niet op het netwerk mag worden ingelogd. Bijvoorbeeld door middel van een wachtwoord.

Als je namelijk een onbeveiligd netwerk tegenkomt dan kan dat net zo goed een openbaar netwerk zijn. Daar mag je als gebruiker ook vanuit gaan. Zo is bijv. het McDonalds WiFi netwerk onbeveiligd en free for use en zo zijn er nog veel meer bedrijven die hun netwerk openstellen.

Immers, als je op de openbare weg WC tegenkomt waarvan je er redelijkerwijs vanuit kunt gaan dat het openbaar is, tja, dan mag je het natuurlijk gebruiken.

Van een onbeveiligd netwerk mag je redelijkerwijs aannemen dat de eigenaar het goed vindt dat je er gebruik van maakt, het signaal reikt vaak immers verder dan het huis en de tuin van de eigenaar, namelijk tot aan de openbare weg. Het signaal is dus openbaar, anders had je het maar op slot moeten zetten.

Anoniem: 19339 @ikkuhqhp • 5 november 2008 22:04

In Belgie is 1 of 2 maanden geleden iemand de bak in gestuurd omdat hij dus wel zichzelf toegang verschafte tot andermans draadloze netwerk, continu spul downloadde waardoor de eigenaar van de lijn zelf er geen of nauwelijks meer gebruik van kon maken.

Hij is opgepakt omdat hij er speciaal elke dag voor naar een bepaalde straat reed, en daar een paar uur lang met z'n laptop in de auto zat, en dat ging opvallen.

Las ik in de GvA, dacht ik.

rodie83 5 november 2008 18:02

Off-topic: als je wifi onbeveiligd laat en de SSID uitzendt, hoe kun je dan voorkomen dat iemand niet gewoon bij jou in de werkgroep gaat hangen en ook jou gedeelde mappen kan zien?

Als je weet hoe je mappen moet delen via een netwerk weet je ook de gevaren van een onbeveiligd netwerk, zo lijkt me. Zo niet, dan is het ook een goed stuk eigen schuld als mensen in je documenten gaan vissen.

Th3Eagle 5 november 2008 18:04

Wat een gezeik zeg. Hoeveel mensen ik daadwerkelijk heb moeten helpen met het opzetten van hun draadloze netwerk juist omdat ze het niet voor elkaar kregen met de door de provider geleverde router. De meeste mensen snappen er helemaal geen bal van zelfs al staat het stap voor stap beschreven.

Zat laatst een keer bij mensen die orange leuk standaart ingesteld. Alleen snapten ze geen reet van die sleutels, niet dat ze het in de gaten hadden want ze zaten ingelogd bij de buuren, al een half jaar lang. Toen vroegen ze aan mij of ik even kon kijken want internet was zo traag. 5min later wap2 sleuteltjes ingesteld en voila zaten ze op hun eigen verbinding....

Zowiezo in NL is het niet in tegenstelling tot de vs verboden om je draadloze netwerk onbeveiligd te laten. Hoogstens dat je buuren meepikken, maja iedereen heeft toch wel een handige kennis die het zo kan instellen voor ze of anders de moeite nemen om eens de handleiding van de router goed door te lezen.

lordsnow 5 november 2008 19:00

Ik zou helemaal niet willen dat UPNP standaard uit staat. WTF... daar heb je immers UPNP voor!

Als ze bang zijn dat er malware is geinstalleerd op de PC dat poorten kan openen via UPNP dan heb je sowieso al een probleem, ook zonder UPNP.

ASS-Ware @lordsnow • 6 november 2008 02:38

Ik zou helemaal niet willen dat UPNP standaard uit staat. WTF... daar heb je immers UPNP voor!

Sure, zet die poorten maar open hoor.
Ik bepaal dat liever zelf.

Op dit item kan niet meer gereageerd worden.

Consumentenbond beklaagt zich over slechte beveiliging routers

Lees meer

Reacties (140)

Sorteer op:

Weergave: