Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Gratis internet in trein blijkt eenvoudig af te tappen

De draadloze internettoegang, die momenteel als proef gratis wordt aangeboden in de trein tussen Groningen en Leeuwarden, blijkt slecht beveiligd te zijn. Een hacker slaagde er zonder veel moeite in het systeem te kraken.

Sinds enkele weken loopt er in de treinen op het traject Groningen-Leeuwarden een proef met gratis internet. In die treinen is een WiFi-hotspot geplaatst, waar reizigers gratis gebruik van kunnen maken. De NOS liet deskundige Bastiaan Brink eens uitproberen hoe goed dit beveiligd was. Brink slaagde er moeiteloos in om op de router in te loggen, waarna hij het verkeer van andere gebruikers kon bestuderen. Het was makkelijk te zien welke websites werden bezocht, en als het verkeer niet versleuteld was vielen ook login-gegevens te onderscheppen. Het zou ook mogelijk zijn om bepaalde pagina's om te leiden en zo gebruikers van internetbankieren naar een namaaksite te sturen om hun gegevens te onderscheppen.

Arriva, de exploitant van de treinen, verwijst voor commentaar op de geslaagde hackpoging naar KPN, dat het technische deel van het experiment verzorgt. Volgens een woordvoerder van KPN gaat het nog slechts om een proef. Bovendien is internetten in de trein te vergelijken met het voeren van een gesprek in een café: ook dat kan worden afgeluisterd, aldus de KPN-woordvoerder op de NOS.

Door Arie Jan Stapel

Nieuwsposter / PowerMod

05-03-2009 • 11:55

120 Linkedin Google+

Submitter: Roytoch

Lees meer

Reacties (120)

Wijzig sortering
"Bovendien vond hij dat internetten in de trein moest worden vergeleken met het voeren van een gesprek in een café: daarmee geef je mensen ook onbewust toegang tot je bankrekening."
Een bankrekening zal wel meevallen, want dat gaat over https, dus zelfs als je de packets onderschept heb je daar nog niet zo veel aan.

Bij veel mensen gaan dingen als mail wel gewoon over een niet-geencrypte verbinding, en dat is wel een groot risico natuurlijk.
als jij er al tussen zit kun je het tot stand komen van de ssl verbinding monitoren, of ze zelfs gewoon op jouw site laten inloggen zodat jij weet wat hun wachtwoord is, en dat is met zo'n onbeveiligde verbinding heel gemakkelijk.

maar ik zie even niet hoe ze dit wel gaan beveiligend, dan moeten ze het zo maken dat mensen zich eerst ergens anders moeten aan melden en dan in de trein in kunnen loggen op bijvoorbeeld een radius server.
alleen versleutelen heb je namelijk nog niks aan als iedereen de selfde pre-shared key gebruikt.
als jij er al tussen zit kun je het tot stand komen van de ssl verbinding monitoren,
of ze zelfs gewoon op jouw site laten inloggen zodat jij weet wat hun wachtwoord is, en dat is met zo'n onbeveiligde verbinding heel gemakkelijk.
SSL is juist expliciet om dit te voorkomen. Ook als je van het begin tot eind een SSL verbinding kan "meelezen", kun de inhoud van de pakketten niet ontsleutelen. Als je jouw systeem voordoet als de server van de bank, dan moet de browser een waarschuwing geven: met een SSL verbinding kun je controleren of de host aan het andere eind van de verbinding daadwerkelijk is wie hij zegt te zijn. (Dat veel mensen zo'n waarschuwing wegklikken is hun eigen probleem). Uiteraard staat of valt dit weer met het gebruiken van de juiste encryptietechnieken, maar ik mag aannemen dat de Nederlandse banken dit wel op orde hebben.
Overrated. Als je zaken doet met een site over een beveiligde site moet je ook even het certificaat controleren. Zelfs een snelle blik in de adresbalk van je browser is voldoende om deze "hack" door de mand te laten vallen.
Wat nu als er dit in de adresbalk staat: https://www.paypal.com╱login╱abcdef.g54321.cn ?

Da's een site in China, de 'slashes' rondom login zijn unicode karakters die eruit zien als slashes. Zie meer details op http://hackademix.net/2009/02/19/more-https-troubles/.
Dan nog zal het certificaat verwijzen naar "g54321.cn" ipv "paypal.com". Maar inderdaad, IE6 en Firefox laten die informatie standaard niet zien in de adresbalk. Slecht hoor. Opera doet dat wel, het is daarmee veel makkelijker en duidelijker te controleren.

Hoe dan ook, je weet dat paypal tegenwoordig een EV-cert heeft, dus dat valt wel op (mij igg wel) als dat opeens niet zo zou zijn.
Een gesprek in de café is toch echt wat anders dan internetten in de trein met slechte beveiliging....
Magoed, in een café vraag je er om.. en in de trein vind ik meer privacy breuk
Midden in een druk cafe je bankzaken regelen is ook al niet zo'n goed idee, iedereen kan zo over je schouder mee kijken ook al is de beveiliging nog zo goed.
Het is echter wel vrij normaal om even je mail te checken. Heb je dan gewoon Outlook met een POP account, dan gaan automatisch je userid en wachtwoord onversleuteld over het netwerk.

Natuurlijk kun je beter secure login gebruiken, of een gmail account over https, maar niet iedereen staat daar bij stil
Tja menig zaken kerel begeeft zich niet in de trein maar heeft een auto.

De overigen die met laptops of pda's slepen in treinen, die moeten zich maar eens verdiepen in secure pop en secure mail. Of gewoon secure webmail verkeer gebruiken, hotmail is dus niet secure nadat je ingelogd bent!

Fout van beide kanten maar ook naiëf van de gebruiker zelf.
Wat nou test? De router zit op de trein zelf, dat kan je beveiligen zonder iets te doen aan de verbinding zelf. als ik even met mijn laptop wil kijken of mijn salaris al gestort is, dan wil ik niet dat andere mensen mee gaan zitten kijken, of zelfs mijn inloggegevens kunnen verkrijgen.
Iemand die achter je zit zou zo over je schouder mee kunnen kijken.
Ze doen hun best maar. http://www.overtoom.nl/3m...-filter-15-_77012025.html

(Ik kreeg een keer van een reiziger te horen "hela, ik kan niets lezen op jouw beeldscherm!". Sjonge.)
Raar ding. Het plaatje op de site toont een losse monitor, geen laptop. En de beschikbare afmetingen zijn geen breedbeeldformaten.
Er is tevens ook een plaatje te zien van een laptop.

En de bedoeling van dit product zit 'em in het feit dat je vaak meekijkers hebt in openbare ruimtes (vandaar ook dat het voor de laptop is), ik neem aan dat je thuis liever hebt dat je vrienden ook het scherm kunnen zien als je aan 't youtuben bent.
Router is niet open, hij was beveiligd met een 256 bits encryptie, maar die is dus gehackt ( dat laten ze niet zien) dat is mij verteld door de monteurs van de treinen
Klopt niet, niks geen beveiliging aan, dat is dus het dramatische. Was echt 192.168... intypen, password admin en klaar...

[Reactie gewijzigd door Roytoch op 5 maart 2009 12:18]

ja op het filmpje, nadat hij het wachtwoord had uitgeschakeld, Ik kan het weten, staat in logfile van de trein;) daar heb ik toegang toe :+
Beetje laat om logfiles te bekijken niet? Iets met koe en dempen. Ik zou de logs er nog wat beter op nalezen, post ze anders eens voor de lol. Brink is een goede vriend van me, daarnaast is het hele testen wat hij kan doen al eerder gebeurd (voor de NOS erbij was). Daarnaast was toen hij begon, het netwerk al 'bierislekker' genoemd, dus iemand had al eerder in het systeem zaken aangepast.

Als de logs gewoon tussentijds bekeken waren, had men kunnen zien dat al vóór dit hele verhaal, het netwerk anders genoemd was (niet door Brink dus).
Hoe kun je een router nu beveiligen met 256-bits encryptie? Je kunt verbindingen en bestanden op die manier beveiligen, maar als het wachtwoord dan gewoon nog op default staat is het zo lek als een mandje.
" Bovendien vond hij dat internetten in de trein moest worden vergeleken met het voeren van een gesprek in een café: ook dat kan worden afgeluisterd"

Maar in een café ga ik niet tegen een ander mijn pincode vertellen?

Hoe dan ook is deze proef duidelijk mislukt. Als ze de beveiliging niet op orde kunnen krijgen dan zullen er waarschijnlijk weinig mensen gebruik van maken.
Maar in een café ga ik niet tegen een ander mijn pincode vertellen
Dat jij dat wel doet over een openbaar netwerk is jouw probleem.
Beveiliging is voor een dergelijk netwerk niet van belang, als het maar duidelijk is voor de gebruikers dat het om een onveilig netwerk gaat. Helaas zijn de meeste gebruikers nogal naïef. Persoonlijk heb ik geen moeite om een onbeveiligd netwerk te gebruiken, maar ik let dan wel op wat ik doe, net als in de kroeg zal ik er niet van uitgaan dat ik privacy heb.
Alleen de beveiliging van de router zelf is van belang, zodat er niet in de configuratie gerommeld kan worden.
Kul. Er wordt je een verbindingsmogelijkheid aangeboden. Het is aan de gebruiker om te beoordelen of die verbinding vertrouwd genoeg is om pincodes over te verspreiden. Net zoals je een pincode niet door het cafe schreeuwt, stuur je die pincode ook niet over een open access netwerk. Zet eerst eens een VPN op met een vertrouwd internet toegangspunt en ga daarna vertrouwelijke informatie versturen.
Bovendien vond hij dat internetten in de trein moest worden vergeleken met het voeren van een gesprek in een café: ook dat kan worden afgeluisterd, zo meldt de NOS.


lmao

gezellig als men meekijkt hoe je je bankzaken doet. of dat men intussen je shares aan het bekijken is. vergeet niet dat het overgrote deel van de mensheid geen kaas heeft gegeten van beveiliging en wel of niet bepaalde services draaien.
zoals bij inbraak het geval is.. men zal toch moeten aantonen dat iemand daadwerkelijk heeft ingebroken. en in dat geval zullen er sporen van braak getoond moeten worden..
tijd voor een nieuw wetsartikel :)
Ik ben blij dat er dd-wrt wordt gebruikt: dat is natuurlijk een zeer fijn stukje software waarmee je je netwerk zeer goed kunt beveiligen en aan goed QOS beheer kunt doen.
Dat is beiden in potentie in het belang van de internettende reiziger.

Ik hoop dat de KPN deze waarschuwing als motivatie beschouwt om zo snel de potentie van dd-wrt te benutten om de internet-ervaring van de reizigers te optimaliseren.
Niet alleen de WiFi hotspots in de trein zijn onveilig. Ook de hotspots op de stations zijn zonder veel moeite kosteloos te gebruiken, en alle data zijn moeiteloos af te tappen. Dat kan overigens al 5 jaar lang, zonder dat er ooit een fix is uitgerold. Een email met het probleem (de problemen) en de oplosing hiervan werd niet beantwoord met actie.

Overigens is de laatste keer dat ik dit checkte, een half jaar geleden ongeveer.

Het is belachelijk dat de woordvoerder van de KPN glashard ontkent dat de verbinding gehackt is.
Het is niet zo dat die gegevens zo op straat liggen. Het gaat erom dat als je gebruik maakt van een openbare internetverbinding waar alle mensen om je heen ook gebruik van kunnen maken dat je dan bewust bent dat je je eigen zaakjes zoveel mogelijk beveiligd.
Huh? De gegevens liggen niet op straat?

[Reactie gewijzigd door Ruudjah op 5 maart 2009 13:15]

Ja je gaat ook in een gesprek in een cafe je pincode en rekeningnummer vertellen, of je inlog voor je mail ofzo :S
Wat een TE domme vergelijking, beveilig het gewoon. Moet de kpn toch wel lukken neem ik aan, aangezien je al wel honderden hotspots aan leggen die wel goed beveiligd zijn.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Elektrische voertuigen

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True