Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Gratis internet in trein blijkt eenvoudig af te tappen

De draadloze internettoegang, die momenteel als proef gratis wordt aangeboden in de trein tussen Groningen en Leeuwarden, blijkt slecht beveiligd te zijn. Een hacker slaagde er zonder veel moeite in het systeem te kraken.

Sinds enkele weken loopt er in de treinen op het traject Groningen-Leeuwarden een proef met gratis internet. In die treinen is een WiFi-hotspot geplaatst, waar reizigers gratis gebruik van kunnen maken. De NOS liet deskundige Bastiaan Brink eens uitproberen hoe goed dit beveiligd was. Brink slaagde er moeiteloos in om op de router in te loggen, waarna hij het verkeer van andere gebruikers kon bestuderen. Het was makkelijk te zien welke websites werden bezocht, en als het verkeer niet versleuteld was vielen ook login-gegevens te onderscheppen. Het zou ook mogelijk zijn om bepaalde pagina's om te leiden en zo gebruikers van internetbankieren naar een namaaksite te sturen om hun gegevens te onderscheppen.

Arriva, de exploitant van de treinen, verwijst voor commentaar op de geslaagde hackpoging naar KPN, dat het technische deel van het experiment verzorgt. Volgens een woordvoerder van KPN gaat het nog slechts om een proef. Bovendien is internetten in de trein te vergelijken met het voeren van een gesprek in een café: ook dat kan worden afgeluisterd, aldus de KPN-woordvoerder op de NOS.

Door Arie Jan Stapel

Nieuwsposter / PowerMod

05-03-2009 • 11:55

120 Linkedin Google+

Submitter: Roytoch

Lees meer

Reacties (120)

Wijzig sortering
En wat is het verschil met thuis? Of een hotspot in de stad? Daar kan toch precies hetzelfde gebeuren met je wireless acces point. Hoeveel mensen niet eens encryptie op hun huis-router gezet hebben.

Ik internet al veel in de trein met mijn iphone, maar dan ga ik bewust bijvoorbeeld geen apps bestellen in de store om maar iets te noemen. Verder vind ik het neerzetten van een normaal accesspoint in de trein meer dan voldoende, zeker als het gratis is. Voor je het weet moet er een handleiding aan de muur gehangen worden met een secure vpn app en een bijbehorende dongle/key... Dat trekt de gemiddelde reiziger toch niet.
Een van de grootste attracties voor het OV zijn met het OV reizende werknemers. Dat wordt ook overal gepromoot. Internet is daar één van de redenen voor: "Je kunt doorwerken in de trein!". Maar nu gaat het OV dus zeggen: "Ho Ho, je mag dus bij ons wel fijn Internetten, maar werken kun je beter niet doen, want dat is onbeveiligd - want iedereen kan je e-mail lezen".

Als je niet veilig in de trein kunt doorwerken, dan vervalt toch het hele nut: juist meer reizigers aantrekken omdat je zou kunnen doorwerken in de trein...
Voor toegang tot gevoelige bedrijfsgegevens is het uitermate stom om een niet te vertrouwen netwerkverbinding te gebruiken. Dan is het minimaal nodig om eerst even een VPN op te zetten en dan pas die informatie te raadplegen of te versturen.
Wat dat betreft heeft KPN gewoon helemaal gelijk. Internet toegang staat nu eenmaal niet gelijk aan een veilige internet toegang.
De ingehuurde hacker(s) hebben er alleen belang bij om hun "werk" te promoten en overdrijven nog eens even flink de mogelijke gevaren. Bij dit soort berichten hoor je nou eens nooit een degelijk advies over hoe men ongeacht dit soort hacks toch van de aangeboden infrastructuur gebruik kan maken.
Niet helemaal waar. A is het geen ingehuurde hacker, maar gewoon iemand die op de juiste knopjes heeft gedrukt, en B is KPN in gesprek met betreffende persoon om eea veiliger te maken.

Verder zijn de gevaren niet overdreven, alleen is oa door MSN en NU een andere toon gekozen voor de berichtgeving. Het oorspronkelijke persbericht van desbetreffende persoon was terughoudend over de gevaren, en prees in ieder geval het initiatief.

Daarnaast heeft KPN de info al binnen gekregen, en gefixt, en pas daarna is het openbaar geworden. Alleszins netjes dus.
In de voorwaarden staat dat het geen beveiligde verbinding is. Hierdoor zouden gebruikers dus niet in hun recht staan wanneer ze hieraan rechten willen ontlenen.

Het in de router kunnen komen is inderdaad een grove fout van KPN. Een dergelijke testomgeving dient ook veilig te zijn.

Wat betreft het afluisteren in een cafe zijn ook diverse opvattingen over. Iemand die in het cafe aan het praten is weet dat hij kan worden afgeluisterd. Iemand zonder kennis van internettechnologie heeft hier geen benul van. 8)7
Alle beveilingen zijn te kraken, om maar een oude koe uit de sloot te halen.

Het oorspronkelijke doel van de internetverbinding was om realtime beveilingscamera's die in de trein zijn opgehangen te verbinden met een centraal punt en om andere snelle communicatie voor intern gebruik mogelijk te maken. Zover ik alle plaatselijke flyers en informatie goed heb begrepen bleek er wat bandbreedte over te zijn, waarom men maar wat routers plaatste en gratis internet in de trein mogelijk maakte. Een erg goed en leuk initiatief lijkt mij.

Vandaar dat het dan ook extra jammer is dat maar per se weer moest worden aangetoond dat dit netwerk ook te kraken is. Het verhaal is daarnaast behoorlijk opgeblazen. Hoeveel mensen checken ff hun bankzaken in de trein? Dat zijn dingen die de meeste verstandige mensen nooit in het openbaar zullen doen, juist omdat ze niet weten hoe het is gesteld met de beveiliging. Vooral ook omdat openbare netwerken erg aantrekkelijk zijn voor kwaadwillenden.

Enige punt wat deze hacker heeft aangetoond is dat ze uiteindelijk in alle Arriva treinen, mocht de proef slagen, een verbeterde beveiliging moeten toepassen. KPN heeft hierbij zelfs al het geluk dat ze niet twee keer het wiel hoeven uit te vinden: de technologie zoals die nu aanwezig is bij een hotspot kunnen ze toepassen, ditmaal met de verandering dat elke computer gratis verbinding kan maken.
mijn vaders bedrijf onderhoudt die treinen, ze hebben die modules er ook zelf ingebouwd. het is 3.6Mb/ Hspda. ook had die Bastiaan Brink instellingen in het modem verandert zodat andere mensen niet meer op internet konden!!! Per trein zitten er 2 modems. met elk een eigen lijn. ook wordt p2p verkeer geblokt om de snelheid te behouden.
Tja, het lijkt erop dat ze apparatuur zo van de plank hebben gepakt in ingebouwd zonder extra configuratie. Ik vind opvallend dat er screenshots van DD-WRT worden gebruikt terwijl ik me afvraag of die apparatuur ook werkelijk gebruikt wordt.
KPN gebruikt bij voorkeur apparatuur van Alcatel-Lucent danwel Siemens en bij mijn weten zijn er 2 modelllen van siemens ondersteund door DD-WRT(SE505, SX550) en alcatel niet.
Ik vraag me duidelijk af wat er klopt, een wireshark sessie opzetten zou ook de gegevens van 'de student' al opleveren.
Ik vond het opvallend dat de gegevens voor de webmail van saxion onversleuteld over de lijn zouden gaan, bij mijn weten gaat dat nl via https. En dan zou er een mitm uitgevoerd moeten zijn.

[Reactie gewijzigd door Loekie op 5 maart 2009 15:32]

Voordat je naar een site kan browsen in deze trein, krijg je een schermpje te zien in je browser waarop vermeld staat dat het netwerk niet veilig is, en dat je over een VPN het veiligst kan surfen. Daaronder moet je eerst nog de voorwaarden accepteren voordat je uberhaupt het netwerk op kan.
Je bankzaken gaan (als je bij een normale bank zit) toch echt via SSL.
SSL is makkelijk te faken hoor. Je geeft de gebruiker gewoon een vals certificaat en laat al het verkeer via jou eigen laptop lopen. In de praktijk is het iets complexer maar dit kan gewoon hoor. Ook SSL is maar een schijnmaatregel, mensen die echt kwaad willen krijgen ook dat voorelkaar
Behalve dan dat de geldigheid van het certificaat bij slechts enkele instanties gecheckt worden. Behalve als jij zo'n instantie bent of de computer van je slachtoffer kan hacken (het controleren van certificaten aanpassen op die computer) is het allemaal lastig te faken. Makkelijk faken is zeker niet waar.

Wel zou je natuurlijk https://www.bank.nl kunnen omleiden naar https://www.bonk.nl waarna jij vervolgens een geldig certificaat hebt voor https://www.bonk.nl. Maar daarom moet je ook altijd checken of de URL die je bezoekt, de URL is die wilt bezoeken. Overigens geeft de browser vaak een melding als je wisselt van SSL-website of van SSL-beveiligd naar SSL-onbeveiligd is... is het wel de zaak dat de gebruiker weet wat-ie moet doen.
Hij kan natuurlijk ook gewoon de website van die enkele instanties naar een andere locatie doorverwijzen en alle certificaten goedkeuren. Zoals GrooV zegt, zelfs SSL is op zo'n moment gewoon een schijn van veiligheid.
Dat klopt niet. Een X509V3 certificaat (dat als server autenticatie bij SSL minimaal nodig is) wordt geverifieerd aan de hand van de public key van de CA. Die public key staat in je laptop. Er wordt dan gekeken of de digitale handtekening in het server certificaat gegenereerd is door een bekende CA.

Wil je dat faken dan moet je een CA certificaat op de laptop van het slachtoffer geinstalleerd krijgen. Als die goed beveiligd is gaat je dat niet lukken.

Als je bovendien in je browser nog even kijkt wie eigenaar en uitgever van het certificaat zijn dan ben je redelijk zeker.
Dan krijg je dus gewoon te zien dat het certificaat niet klopt.

Het internet is niet te vertrouwen, en daarom is SSL uitgevonden. Het verkeer van mijn PC naar willekeurig welke andere PC op het internet gaat via een route die ik niet eens ken, maar het uitgangspunt van veel mensen is dat ik het wel "gewoon" moet vertrouwen?

Ik vertrouw mijn verbinding thuis ook meer dan de verbinding zonder WEP in een of ander cafe, maar alsnog check ik mijn mail over IMAPS, doe ik mijn bankzaken over SSL (en gaan er alarmbellen af als ik een certificaat foutmelding krijg), gebruik ik geen MSN maar jabber met SSL, heb ik het vinkje "use SSL" bij gmail aan staan, gebruik ik sftp en geen ftp, enz enz.

Als mensen dan bewust gemaakt moeten worden van beveiligingsrisico's, laat ze dan op hun eigen pc beginnen, ipv ze in de waan laten dat het internet te vertrouwen is!

@nickname55:
ik denk dat een heleboel mensen via bookmarks (of de autocomplete van hun browser) hun banksite bezoeken, daar staat al https, dus je kunt niet zomaar http gebruiken als phisher.

[Reactie gewijzigd door smokalot op 5 maart 2009 13:35]

Als die namaak site een normale http site is, dan is van een certificaat geen sprake. Hoeveel mensen zal het opvallen dat het protocol niet https is?
en VPN??? want over SSL hebben we hierboven geen woord gerept...

Ik vraag me echt af in hoeverre VPN veilig is in zulke situaties, ik vermoed mits goed ingesteld dat dat zeker wel veilig is

Vooral als je de webpagina ophaalt via de DNS server in het netwerk waar jij met VPN naar bent verbonden

Enige wat je dan kan zien is ingepakte VPN packages met daarin ingepakte SSL packages dus SSL is in zo'n geval pas de 2e partij en de gegevens krijg jij niet via de router maar via je eigen netwerk waarmee je in verbinding zit dus een phishing site is in zo'n geval lastig
Router open, dat is ZEER slordig.

Aftappen van anderen daarentegen heb je echt geen router toegang nodig. Open netwerk is open netwerk, je start een simpel programmaatje als kismet icm wireshark en je kan het net zo goed loggen als bij andere 'open' hotspots.

Router toegang kan het wel makkelijker maken als je jezelf in kan stellen als console/dump.
Ze zijn hier nu al jaren mee bezig maar imo is het nu mosterd na de maaltijd. De mensen die al willen internetten doen dat allang met UMTS. Techniek heeft ze ingehaald...
Ik heb drie keer gekeken of het niet stiekum woensdagmiddag is, maar helaas. Het is echt donderdag. Het merendeel van de bovenstaande reacties is namelijk te droevig voor woorden. Kleuterniveau.

Regel je beveiliging zelf! Zorg dat je niet afhankelijk bent van KPN ofzo.

Als je wilt weten waarom moet je eens met een packetsniffer op het CS in Amsterdam gaan staan. Wat je daar als plaintekst langs ziet komen is niet anders dan wat je in die trein ziet. Als je data verstuurt via een open wifi-verbinding is de enige die verantwoordelijk is voor de beveiliging van je data jij zelf. Als je het niet doet ben je dom bezig. Boos worden op anderen is zinloos. Het is een open netwerk, en welk deel van 'open' heb je niet goed begrepen?

Als je van mening bent dat anderen je gegevens voor je moeten beveiligen stel ik voor dat je nu je bankpas en pin bij mij inlevert, dan zorg ik er wel voor dat dat netjes beveiligd wordt. Vergeet je spaarrekening niet, en eventuele aandelenrekeningen die je hebt. Ik ben best te vertrouwen met jouw geld. Echt waar.
Nee, dat doet je niet. Als je echter ziet dat je internetverbinding niet versleuteld, dan moet je ook niet via een onbeveiligde verbinding gaan werken...

Ofwel: POP, IMAP e.d. over SSL of met TLS.

Als je sites bezoekt, dan kijken of je via een https-verbinding kan werken - anders moet je het misschien nalaten. (Diverse webmail-diensten hebben overigens een optie om via https te connecten ipv http - ff je mail checken is dus wel degelijk mogelijk)

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Microsoft

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True