Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 157 reacties

De Wi-Fi Alliance zou de wep- en wpa-tkip-versleutelingsmethoden voor draadloze netwerken willen uitfaseren. Vanaf 2014 zouden fabrikanten geen wifi-apparatuur met de beide encryptiesystemen meer mogen leveren.

De WiFi Alliance zou wep en wpa-tkip in de komende drie jaar uit zijn certificeringsprogramma willen schrappen. Met dit programma test de organisatie of wifi-apparaten volledig met elkaar overweg kunnen en of ze voldoen aan de IEEE-standaarden. Fabrikanten hebben deze certificaten onder andere nodig om het Wifi Certified-logo op hun producten te mogen plakken.

Al in januari 2011 zou de alliantie stoppen met het testen van tkip bij nieuwe basisstations en een jaar later zou geen enkel wifi-apparaat die beveiligingsmethode meer mogen aanbieden. Opvallend is dat Heise.de meldt dat wep pas later het veld moet ruimen. In 2013 moet die versleuteling van basisstations en in 2014 van alle wifi-apparaten verdwenen zijn, willen ze voor een certificaat in aanmerking komen. Tegen die tijd moet ook mixed-mode wpa2, waarbij tkip als secundaire beveiliging wordt aangeboden, uit producten verdwenen zijn en zou alleen wpa2-aes nog gebruikt mogen worden.

Wep staat al jaren bekend als onveilig en ook tkip ligt onder vuur. Sinds 2006 heeft de WiFi Alliance wpa2, dat gebruik maakt van de veel sterkere aes-encryptie, al voor wifi-apparatuur verplicht gemaakt.

Moderatie-faq Wijzig weergave

Reacties (157)

Heel verstandig om dit uit te faseren, WEP en WPA-tkip zijn veel te eenvoudig te kraken.

Nu ook nog bij elke router verplicht een WPA2-aes setup laten draaien bij het eerste gebruik en brave burgers worden wat beter beschermd.
AUB geen standaard beveiliging aanzetten op basis van het serienummer zoals bij de speedtouchen van KPN want ook daarvan is de beveiliging eigenlijk niet aanwezig sinds het algoritme op straat kwam te liggen, [KNIP],

EDIT: Link verwijderd op aanmerking van hieronder, hoewel daar alleen het algoritme stond, en je dat ook zelf kunt vinden als je je best doet. Dit is algemeen bekend.

[Reactie gewijzigd door bas-r op 17 juni 2010 18:26]

Bas, het is leuk dat je dat als argument aan voert en het is ook absoluut helemaal waar maar het aanbieden van de methode om die meuk te kraken lijkt me op zijn zachts gezegd niet helemaal in het maatschappelijk belang.
Met een paar seconden zoekwerk kan je het zo terugvinden. Het staat volgens mij zelfs nog ergens in een artikel hier op T.net.

nieuws: KPN gaat oud lek in Speedtouch-routers te lijf
Het onder de mat moffelen ook niet.
Zelfcensuur, bah.
WEP, WPA of WPA2, het valt allemaal te kraken, heeft alleen maar tijd nodig. Nou is het zo dat ook WPA2 in een geringe tijd te kraken valt.

http://www.engadget.com/2...vidia-gpus-to-crack-wpa2/

Maar om nou te zeggen WEP/WPA eruit te gooien .... Het zal ten alle tijden handig zijn voor deze encryptie erbij te hebben. Voorbeeld hiervan is het modem van KPN, de TG789VN. Deze geeft af en toe problemen met windows vista en windows 7 op WPA/WPA2 en dan zal het modem op WEP gezet moeten worden voor het draadloos werkt. Bijna alles bij KPN is tkip daarnaast. Wat mijn vraag daarnaast ook zal zijn is: in hoeverre willen ze het doorvoeren? Verplichtingen voor nieuwere software of nieuwere hardware waardoor de kosten naar mate gigantisch omhoog lopen door deze doorvoering voor een bedrijf?
Ten eerste het "kraken" van wpa2 is wat anders dan de kraakbaarheid van WEP/WPA het kraken van WPA2 berust op pure bruteforce, bij WEP berust het op correlatie.

En wat je even niet bedenkt is dat de data waarnaar je linkt niet te vergelijken is met het bruteforcen van WPA2; de elcomsoft cracker kan inderdaad de wpa2 hash bruteforcen maar de snelheid hiervan ligt niet in de miljoenen hashes per seconde, dit komt doordat de WPA2 hashfunctie expres zeer rekenintensief gemaakt is. De verhouding is ongeveer 300 miljoen md5 hashes tegenover 5000 wpa2 hashes /sec.

Met die 5000 wpa2 hashes per seconde (9800GTX+ kaartje) in het achterhoofd kijk je dan naar de standaard wachtwoorden van bijvoorbeeld de kpn routers: 10 tekens lang met een karakterset van 16 tekens: 16^10 mogelijkheden. Het kost dus 16^10/5000 = 2.2*10^8 seconden = 2546 dagen om het wachtwoord te kraken. En deze rekenkracht is ook maar 1 malig te gebruiken doordat de WPA hash gebruik maakt van de SSID (naam) van het netwerk, het generen van een rainbow table heeft bij de meeste routers dus weinig zin omdat deze een random gedeelte in hun naam hebben.

Nu de overstap,
WPA-TKIP is gebouwd als "servicepack" van WEP, volgens mij vooral om ervoor te zorgen dat er geen hardwarematige aanpassingen hoefde te worden gedaan aan de bestaande apparatuur. Met een firmware upgrade ga je het niet redden om apparaten die alleen WEP en WPA ondersteunen ook compatible te maken met WPA2.

Volgens mij is niet onnodig mensen te dwingen over te stappen naar een veiligere encryptie, dit gaat namelijk vanzelf al goed, de providers leveren een WPA2 router aan hun klanten, langzamerhand wordt het grote gedeelte van de routers hierdoor WPA2 compatible.
wie gebruikt er uberhaupt nog WEP? Het is makkelijker een WEP netwerk te kraken dan om de hexadecimale passkey te onthouden...
Dat wep niet veilig is, ben ik mee akkoord, maar het zo simpel voorstellen..

Om een wep netwerk te kraken moet je 2 dingen,
1) met linux overweg kunnen
2) compatibele netwerkkaart hebben (kunnen injecten).

Nu voor een modale ( windows) computergebruiker is een hexadecimale passkey veel makkelijker dan de wondere wereld van linux te betreden.
Onzin natuurlijk, want als via linux een wep-netwerk kunt kraken, dan kan dat ook via windows...
Onzin natuurlijk, want als via linux een wep-netwerk kunt kraken, dan kan dat ook via windows...
AirCrack-NG is een bekend tooltje voor Windows, en bijna hersenloos te gebruiken. Aanzetten, laptop op de achterbank en een paar kilometer gaan wardriven.
Volgens mij is Aircrack-ng vooral bekend onder Linux? Voor wardriving onder Windows bestaan er leukere alternatieven zoals NetStumbler, viStumbler en inSSIDer.
Onder Windows ondersteunen de meeste drivers de zogenaamde Monitor-mode niet. Wat jij verteld is dus pure onzin, onder Linux heb je veel meer ondersteunde kaarten.
Oh ja? Ik heb genoeg hacks gezien die met behulp van windows gelukt zijn. Volgens mij is WEP veel simpeler te hacken dan wat jij doet voorkomen.
Je netwerkadapter moet niet kunnen 'injecten' maar het moet een Listen functie hebben (oude Prism chipset als ik me niet vergis).

En hiervoor waren dan tools (Airsnort) die ook naar windows geport zijn.
Met het ontvangen van een heleboel pakketjes kon je dan destijds het Wep wachtwoord achterhalen.. op een druk wifi netwerk was dat slechts een kwestie van minuten..

Op die van je buren kan je best een aantal dagen wachten tot je genoeg pakketjes had.


// ah het was de Atheros chip die hiervoor het meest geprezen werd

[Reactie gewijzigd door DTorro op 17 juni 2010 19:10]

Het is veel makkelijker dan je denkt hoor, ik ben zelf een linux leek, en heb het zelf eens voor mekaar gekregen (ik had een datalimiet van 5GB/maand op kot, met 5 WEP netwerken in range). Het duurt letterlijk 5min, van het booten van de live-cd tot het verkrijgen van de passkey. Gewoon wat overtypen en dat is het.

Qua netwerkkaart: het is mij gelukt met een standaard laptop netwerkkaart (Intel PRO/wireless 3945ABG, standaard in alle centrino platformen)
Verschillende apparaten, zoals bijv. de Nintendo DS, verbinden exclusief via WEP encryption. De DSi alleen op WPA... als je dus WPA2-AES gaat forceren, kunnen dergelijke apparaten niet meer draadloos met de buitenwereld communiceren.

Zo raar is het dus niet, toch?


Gebruik trouwens zelf WPA-TKIP i.c.m. Mac Address Filtering. Lijkt me veilig genoeg toch? Of is dat WPA2-AES nog veel veiliger dan dat?

[Reactie gewijzigd door DFKT op 17 juni 2010 18:24]

Mac filtering is verspilde moeite want mac adressen zijn eenvoudig te wijzigen. En het punt is dus net dat de encryptie van wpa-tpik niet sterk genoeg meer is. Dus ja, aes is een belangrijke stap vooruit.
MAC filtering is wel nog een extra barieëre voor de huis/tuin/keuken-hacker. Daarnaast is de filtering vaak niet alleen om mensen buiten te houden, maar tegelijkertijd ook om een statisch IP toe te kennen aan clients.

(wat het openen/dichthouden van poorten weer makkelijker maakt)
Daar heb je UPnP voor, veel veiliger (want alleen tijdelijk open op verzoek, niet permanent).

[Reactie gewijzigd door Dreamvoid op 18 juni 2010 09:37]

Weleens een FTP/HTTP/VPN/SMTP server opgezet op basis van uPnP? Leuk voor de Xbox en PS3, voor al het serieuzere werk ontkom je niet aan het openzetten van poorten.
Inderdaad. Als iemand genoeg kennis heeft om wpa-tkip te kraken, weet hij ook wel hoe hij een mac adres kan spoofen. Die mac adressen heeft ie toch tijdens het kraken al uitgelezen, want die zitten in de ontvangen pakketten. Mac filtering is de meest nutteloze schijnbeveiliging ooit.
Gebruik trouwens zelf WPA-TKIP i.c.m. Mac Address Filtering. Lijkt me veilig genoeg toch? Of is dat WPA2-AES nog veel veiliger dan dat?
Nee, ja :)
Zie bijvoorbeeld het artikelje hieronder.
MAC-filtering is ook geen bescherming tegen dit soort aanvallen, omdat het (iirc) pas NA de decryptie kan gebeuren. Naar mijn mening levert het meer ongemak op, als je bijvoorbeeld na 2 jaar een nieuwe laptop hebt (uit ervaring 8)7 ) en vergeten bent dat het aanstaat. Hidden ssid's vallen overigens ook in deze catagorie.

http://arstechnica.com/te...rther-pressure-on-wpa.ars

edit: spuit 11, over humbug heen gelezen

[Reactie gewijzigd door elleP op 17 juni 2010 21:04]

Daarom is mijn standaard-beveiliging ook WPA2-AES, én een verborgen SSID, én een MAC-whitelist.

Mocht je daar doorheen komen, dan gaat de DHCP-server ook nog eens lopen klagen en komen ze niet voorbij de firewall.

Het liefste draaide ik nog een WPA2-Enterprise, maar dat is in een thuisomgeving tegen overkill aan een lastig op te zetten.
Het liefste draaide ik nog een WPA2-Enterprise, maar dat is in een thuisomgeving tegen overkill aan een lastig op te zetten.
Nou ja, je hebt thuisomgevingen en thuisomgevingen. Er zijn thuisomgevingen waar ik 't wel adviseer en zelf heb geactiveerd. (sterker nog, er zijn thuisomgevingen waar ik ze om wille van security heb geadviseerd volledig bedraad te gaan).

Toegegeven, die zijn zeldzaam, maar ze zijn er absoluut. Ik geloof dan ook niet in eenheidsworst en dezelfde standaardoplossing voor iedereen.
Zoals hierboven al aangegeven is een mac filter redelijk nutteloos, maar een verborgen SSID is dat ook. Om beveiligingen te kraken moet je packets kunnen sniffen, en die packets ontvang je toch wel, of je nou SSID's broadcast of niet. Met tools zoals kismet zie ik gewoon jouw "verborgen" netwerkje alsof het ieder ander netwerk is.
DHCP trucjes hebben ook geen zin, want een IP adres kun je eenvoudig handmatig instellen. Ik denk niet dat jouw firewall nog veel gaat doen als ik gewoon een adres van een van je computers gebruik.
Het enige wat jij aan "beveiliging" doet wat ook echt zin heeft is WPA2. Als je dat uit zet zit ik binnen 5 minuten te internetten via jouw lijn.
En zolang dat soort devices nog veel gebruikt worden zullen veel consument de volgende afweging maken: een router met een certificering die hen niets zegt, of een router die werkt met hun devices. Dat gaat een hele simpele keus worden, namelijk de ongecertificeerde router die WEP aankan.
Nou, ik denk eerder dat de consument de nieuwe router koopt, om er dan achter te komen dat zijn connectie niet meer werkt en dus weer bij de winkel staat met de melding 'het werkt niet'...
Mijn DSi werkt anders prima op WPA2 ;)
voor DSi shop, en browser werkt het prima.
probeer echter maar eens een spel als pokemon of mario kart over wifi te spelen.
dat gaat nog steeds alleen maar via WEP beveiliging.
De meeste spellen alleen niet ;)
De DS Lite heeft ondersteund alleen WEP.
Ik zal je de kost geven hoeveel mensen er standaard nog op WEP draaien dit door dat het de eerst is in de lijst van encryptie die er staat, of omdat ze totaal het verschil tussen WEP en WPA niet weten.

En er zijn genoeg mensen die geen 8 tot 16 numeriek of cijfer wachtwoord willen maken of beheren.

En dat iedereen met een router zijn WIFI moet openstellen is wel de grap van de eeuw, ik zeker 100,- betalen voor 100Mbit Fiber en dan de buren zeker mee genieten dat dacht ik even mooi niet he.
Als die buren er gebruik van willen maken betalen ze lekker bv. 20,- en krijgen ze voor dat bedrag ook internet, bij jouw, maar ook op hun eigen AP thuis (welliswaar minder dan jij voor je 100e krijgt). Jij kan die 100Mbit fiber in de mate van mogelijkheid ook krijgen bij andere deelnemers.

[Reactie gewijzigd door analog_ op 17 juni 2010 18:59]

Ik heb geen 100Mbit om de heledag op msn te zitten, ik kan het niet permitteren om bandbreedte in te leveren, maar goed was een voorbeeld op wifi is leuk maar laat het dan van uit de staat komen ik zou er wel paar euro permaand voor over hebben om over al WIFI te hebben (en nee FON is geen optie die zijn bijna niet te vinden of in de omgeving)
Hmmm.. dan vraag ik me toch echt af wat jij met die 100mbit lijn doet als jij het je niet kunt permiteren om bandbreedte in te leveren...
En er zijn genoeg mensen die geen 8 tot 16 numeriek of cijfer wachtwoord willen maken of beheren....
Een WPA2 passphrase kan arbitrair lang zijn hoor.

Dus het maakt niet veel uit of je de moeite doet om 16 cijfers te onthouden, je je favoriete quote uit een film pakt, of voor mijn part een heel boek van Tolkien erin stopt.
Yeps, dat is ook wat beveiligingsexperts aanraden voor bv. windows wachtwoorden.
Niet meer vereisen dat er rare tekens enzo inmoeten, want dan eindigd het wachtwoord op een postit op de monitor.
Vereis dat het 30 tekens lang moet zijn en leg gebruikerse uit dat ze gewoon een zin kunnen gebruiken met de woorden aan elkaar en elk woord met een hoofdletter. Makkelijk te onthouden en veiliger dan moeilijk tekens in een wachtwoord gebruiken.
En er zijn genoeg mensen die geen 8 tot 16 numeriek of cijfer wachtwoord willen maken of beheren.
Is er überhaupt nog iemand die dat doet? Alle apparaten genereren die toch zelf op basis van een passphrase?
Was het niet zo dat de Nintendo DS alleen WEP ondersteunt?
Dat is dan ook een ouder apparaat, wat nog volgens de oude standaard gecertificeerd is ;)
Maar geeft wel een - al dan niet een goede - reden voor een gebruiker om dan toch maar WEP te gebruiken; en dat was de vraag..:
V: wie gebruikt nog WEP?
A: mensen die apparaten bezitten die geen alternatieve versleuteling ondersteunen.
Zoals de psp van mij en de ds van mijn vriendin. Tja, wat moet je dan..
PSP doet WPA hoor.
Tuurlijk, maar de DS toch niet slimpie ;)

De PSP is wel downwards compatible, maar de DS niet upwards compatible.

De DS heeft helaas geen andere ondersteuning, en zelfs bij de Wii dacht ik dat mijn broertje er ook problemen mee ondervond toen ik de WPA2 encryptie op de router knalde...
De DSi doet in ieder geval wel WPA.
Je moet dan alleen de advanced setup volgen en niet 1 van de 4 standaard connection setups.
Alleen werkt dat enkel in de systeemsoftware en DSi-only-spellen -- oudere DS-spellen gebruiken nog steeds de oudere verbindingscode waardoor nog steeds enkel WEP ondersteund wordt.
Hij noemt toch een PSP naast de DS? Ik zeg alleen dat de PSP wél WPA doet, hij doet het overkomen van niet.
WEP is de enige methode om een AP to AP verbinding op te zetten met behulp van WDS.
Als er een alternatief hiervoor gemaakt zou worden, dan houdt ik me ten zeerste aanbevolen.
Nee hoor, WPA ook.
Nee hoor, WPA ook.
... Maar WPA2-AES vooralsnog niet. Tenminste, niet in de meeste routers die bij iedereen thuis hangen.
Dat zeg ik toch ook niet? MMal beweert dat het alleen met WEP kan.
[...]


... Maar WPA2-AES vooralsnog niet. Tenminste, niet in de meeste routers die bij iedereen thuis hangen.
Die laatste toevoeging is wel boeiend, want ik heb 't met WPA2-AEP prima draaiende tussen met m'n 2 Airport Expresjes.
Hier in Belgie komt het toch nog veel voor. De 2 belangrijkste ISP's hier installeren standaard open of WEP-beveiligde netwerken.

- Telenet

Een standaard installatie bestaat uit een Motorola modem, een D-Link 4-ports 100Mbit switch en een D-Link DWL-G700AP met het standaard SSID (huisnummer/verdieping) en WEP. Het paswoord is gewoon de laatste cijfers van het serienummer. Omdat standaard het publieke IP-adres wordt toegekend aan een client, is het voor de normale gebruiker niet zo simpel de beveiliging van het AP aan te passen, men moet eerst een vast IP instellen. Met de snelheidsverhogingen zijn ze echter langzaam aan het upgraden naar nieuwe modem/router/AP toestelletjes, alleen zijn ze weer veel te beperkt in instellingen.

- Belgacom

Zo mogelijk nog erger. De Philips/BBox1/BBox2 modems worden standaard onbeveiligd geinstalleerd. Het is zelfs zo erg dat een paswoord op de webinterface totaal geen nut heeft aangezien je dan nog steeds kan inloggen met "admin" en "BGCVDSL2" als username/password. Ze zijn echter wel handig aan de bushalte :)
Nou, 3 van de 9 netwerken die ik hier kan ontvangen zijn WEP...
hier 4 van de 10, zelfs eentje met 802.11n en slechts WEP.
Er gaan zelfs geruchten om wifi-beveiligingen in z'n totaliteit uit te faseren, omdat daarmee een wereldwijd open wifi-netwerk gestimuleerd zou worden. Althans, die plannen hebben verschillende internationele organisaties en overheden opgesteld. Het is echter de vraag wat daar van terecht komt.
Dat is handig! dan wacht ik gewoon tot de buren een internet abonnement nemen, dan hoef ik niks te betalen!

Ik weet niet wie dit belachelijke plan bedacht heeft maar het slaat nergens op.
Zo simpel zou het dan natuurlijk niet zijn. De manier van werken is dan eerder dat je wel op het netwerk kan indien je dan aanmeld op je eigen account. Dus eerder in de aard van hotspots. Natuurlijk moeten er wel beperkingen opstaan, dat je als eigenaar van het netwerk nooit in de problemen kunt komen qua bandbreedte en dergelijke.

Welja, in feite is het dan misschien verkeerd uitgedrukt door de persoon vanboven, volgens mij is er dan wel nog een beveiliging nodig om het interne netwerk te beschermen alsook te zorgen dat je bandbreedte niet veel te klein word door gebruik van anderen. Maar als dergelijke problemen zijn opgelost, en personen enkel via hun eigen account daar op het internet kunnen en dus ook zeker niets van het downloadlimiet van de eigenaar gebruiken, dan is dat toch zeer handig.
De manier van werken is dan eerder dat je wel op het netwerk kan indien je dan aanmeld op je eigen account. Dus eerder in de aard van hotspots.
Maar dan is je data nog steeds onversleuteld. Want de verbinding die je opgezet hebt, is van het type "wide open" en dat kan een AP niet adhoc veranderen. Ook is het onbegonnen werk om iedere gebruiker een andere sleutel te geven, tenzij je met allerlei enterprisey-oplossingen komt waar 99,9% van de consumenten niks mee kan.

Bij hotspots is de beveiliging vooral voor de aanbieder bedoeld, omdat ervoor betaald moet worden. Je gegevens worden echter nog steeds unencrypted door de lucht geslingerd. En al ZOU je een netwerksleutel krijgen, dan kun je nog steeds het verkeer van andere gebruikers op dat netwerk sniffen.

[Reactie gewijzigd door _Thanatos_ op 17 juni 2010 19:39]

[...]

Maar dan is je data nog steeds onversleuteld. Want de verbinding die je opgezet hebt, is van het type "wide open" en dat kan een AP niet adhoc veranderen.
Je kan ook elk openbaar AP instellen om alleen verbinding te leveren naar een VPN-server van de provider waar jij een abonnement hebt.

Voordelen: De verbinding is versleuteld en niet door een derde partij even eruit te pikken, je hebt een publiek IP op internet en je kan de infrastructuur van de AP's compleet loskoppelen van het aanleveren van de daadwerkelijke internetverbinding.

Precies hetzelfde gebeurt met veel succes bij de mobiele telefoon-providers, dus ik zie geen reden waarom dat voor WLAN anders zou hoeven.
Tsja, lang geleden toen wpa nog niet echt beschikbaar was, was de beste oplossing al dat je een VPN client op je laptop installeerde en alles via VPN liet lopen. Als je echte veiligheid wil, is dit nog steeds de beste oplossing. WPA met AES versleuteld de toegang tot het access point. Het access point gedraagt zich echter nog steeds als een hub en alle gebruikers op het access point kunnen elkaar dus zien.

In vista en windows 7 zie je dat Microsoft gelukkig al iets aan die problematiek gedaan heeft door je gedeelde mappen/muziek dicht te gooien op openbare netwerken maar andere OSen doen daar nog niets aan en veel mensen prutsen weer aan de standaard instellingen van windows zodat het toch weer open staat.

Grote nadeel is natuurlijk dat het meer werk is om op te zetten en gebruikers meer handelingen moeten uitvoeren.
Je bedoelt, we rusten iedereen uit met een FON spot en gebruiken een abbo zonder limiet (dat regelt FON met de ISP's) zodat jouw contact punt enkel FON is kwa administratieve zaken en de ISP voor technische handelingen. Internet anywhere (immers je krijgt dezelfde voorwaarden bij andere fonspots) betaal je voor vast bedrag per maand en toevallig staat er ook een FON spot bij jouw thuis.

[Reactie gewijzigd door analog_ op 17 juni 2010 18:56]

eens, in de stad kunnen vele lekker met je meeliften zonder zelf een abo te nemen. lekker goedkoop internet en jij zit met trage troep omdat 20 andere je bandbreedte opslurpen. op het platte land nog wel te doen voor een toevallige voorbijganger, maar voor de rest slecht over nagedacht
iig limiteer je "draadloos internet voor onbekende naar 20-40kilobyte of max 30min of...

maar een "open netwerk" idee lijkt me vooral handig ivm gsm's die dit gebruiken NIET laptop's/PC's..
En dan zeuren als Google weer inlogt op je netwerk zeker...
Google heeft niet ingelogd op netwerken, die hebben gewoon packets die vrij de lucht ingestuurd worden opgepikt.

Je hoeft niet ingelogd te zijn op een netwerk om de packets die verstuurd worden te kunnen opgvangen.

Als je gebruik wil maken van het internet, dan moet je ingelogd zijn, maar nu zijn ze dus alleen passief aan het luisteren geweest.

[Reactie gewijzigd door compufreak88 op 18 juni 2010 09:14]

Het lijkt me niet dat ze alleen passief aan het meeluisteren zijn geweest. Het is voor Google ook veel waard om te weten welk IP adres er achter die netwerken schuilt zodat ze hun location service kunnen verbeteren.
Het IP adres is geen goed idee. Over het netwerk zie je toch alleen maar 10.x.x.x, 192.168.x.x en dat soort adressen. Daar heb je echt niets aan.

Het MAC adres is veel interessanter. Het MAC adres is redelijk hard aan de hardware gekoppeld is en als er niet mee geknoeid is zou het uniek zou moeten zijn. Uniek genoeg in elk geval dat als je er 3 hebt van 3 verschillende WiFi stations je denk ik al een hele goede gooi kan doen waar je ongeveer bent.

Een andere mogelijkheid is de SSID maar die kun je als gebruiker aanpassen en is niet uniek.

Volgens mij hoef je voor het MAC adres alleen maar mee te luisteren, in elk geval bij de oudere versleutel methodes. Ik kan me niet voorstellen dat Google iets anders heeft gedaan dan passief luisteren. Gewoon een paar frames ruw opslaan voor nadere analyse. Alleen bij een onbeveiligd netwerk zitten in de ruwe frames helaas ook flarden van de conversatie en dat is waar dat hele gedoe over is ontstaan.
Daar gaat het niet om, het gaat erom dat mijn plain HTTP verkeer gewoon uit de lucht geplukt kan worden door iedere idioot met WireShark oid. Dat wil ik niet. Dat gaat er ook niet komen hoor, er is in sommige landen al de verplichting om je netwerk te beveiligen. Ergens zou het ook wel weer goed zijn, want dan kun je tenminste écht anoniem het internet op.
Alsof een Wep / Wpa / Wpa 2 zo moeilijk zijn te verkijgen..
Het plan slaat inderdaad nergens op
misschien ken je Fon nog niet; http://www.fon.com/en/
fon kun je een (bijna) gratis wifi router krijgen, een gedeelte van jouw bandbreedte delen met de rest van de wereld. idee hierachter is dat er uiteindelijk een groot open wifi netwerk komt. wil je daarin mee doen; heb je een fon router nodig.
Die (bijna) gratis router hebben ze niet hoor. Wel eentje voor 30E excl verzenden, wat net zo duur is als in de winkel.
Ik heb er ook eentje, die ik ooit bij een vriend heb neergezet. Helaas ben ik nog nooit een andere FON in het wild tegengekomen, dus de dekking van het FON netwerk laat helaas nog te wensen over...
Dan kom jij gewoon op de verkeerde plekken en ben al op meerdere plekken via die manier aan mijn dosis internet gekomen :)
Dat werkt niet, denk ik, omdat iedereen dan gaat zitten afwachten tot iemand anders het neemt.
Dat was dus de reden dat men de routers bijna gratis weggaf. Helaas is men daar mee gestopt. Maar met goedkoop internet via je mobiel is Fon eigenlijk overbodig geworden.
Binnen je eigen land wel ja.. maar als je wel eens in het buitenland komt dan merk je al snel dat Fon een stuk voordeliger is dan mobiel internet.... ;)
En voor Nederlanders is dat een extra nadeel: Nederland is nml erg klein, dus meer mogelijkheden om de grens over te gaan. In de VS is dat minder een probleem, omdat daar de wereld bestaat uit VS, Canada en Other. In Japan ook geen probleem, want dat is een eiland.

Eigenlijk zou mobiel internet in heel Europa net zo duur moeten zijn als in Nederland. Dan wordt Fon al een stuk meer overbodig.
beveiliging is er voor een goede reden. Een ervan is onder andere sniffing te vermijden, vergeet niet dat de ether een shared medium is waar dus alles die niet vesleuteld is zomaar uit te plukken is. Kijk maar naar wat Google recentelijk uitgestoken heeft.
ALS alle datalimieten wegvallen
ALS fiber ervoor kan zorgen dat je internet snel genoeg is
ALS routers standaard de optie krijgen dat 'vreemden' beperkte bandbreedte krijgen
ALS er minder de focus wordt gelegd op signaalbeveiliging maar wel databeveiliging
DAN is het enorm interessant.

De beveiliging zou in de applicatie (of OS) moeten zitten en niet over het signaal.
Https zou standaard moeten worden bijvoorbeeld, dan mag Google zoveel sniffen als het wil.

Maar momenteel is dat inderdaad nog een utopie.
Beveiligingen die standaard uit staan bij het installeren van routers etc ... dat zijn dingen die natuurlijk niet kunnen.
hoe moeilijk kan het zijn voor een netgear dlink linksys enzovoort om in de fabriek een random SSID en random wachtwoord. voor te programmeren en die codes op de onderkant zetten van de router.

zo is standaard iedereen beveiligd en kan iemand die wil zelf een andere er in zetten.
en anders, hoe moeilijk is het om een kleine wizard te runnen die je vraagt om een user, password en ssid te genereren.

Bedoel er zijn zat mogelijkheden om iedereen standaard beveiligt te maken.
Maar blijkbaar zien de fabrikanten daar niks in.
Dat gebeurt al met de installatieCD bij Linksys... Staat niet voor niets "RUN CD FIRST" op...
Ik weiger atijd die CD te gebruiken :+
Dat soort CD's doen het niet onder BeOS of Haiku en zelden onder Linux.
Ah, net als de bekende Thomson routers? (Speedtouch) Moet je het als fabrikant wle een beetje goed regelen.
of mac adres filtering ? gebruik ik thuis ook in combi met WPA2
Hahahha jah erg handig als ze net allerlei wetten erdoor drukken dat jij strafbaar bent als iemand anders wat op jou netwerk download.

Daarbij, waarom gebuiken mensen niet al standaard WPA2 dan als het er op zit, is toch veel makkelijker... en als metnsen dit al doen, dan maakt het niet zoveel uit dat ze de oude meuk uitfaseren.
Daarbij, waarom gebuiken mensen niet al standaard WPA2 dan als het er op zit, is toch veel makkelijker... en als metnsen dit al doen, dan maakt het niet zoveel uit dat ze de oude meuk uitfaseren.
Vergeet even niet dat er veel kleine apparaten zijn die gebruik maken van WiFi. Vaak wordt het dan niet gebruikt voor het doeleinde waar WiFi voor bedoeld is, maar er zijn genoeg telefoons, spelcomputers, DVD-spelers en koelkasten waar een WiFi-sticker op zit. Vaak ondersteunen die geen high-tech versleuteling zoals WPA2-AES, omdat dat de verbinding behoorlijk vertraagt.

Combineer dat met routers die het voor de consument makkelijk maken en een 'One Touch'-knop aanbieden waarmee je je hele WLAN-netwerk zonder veel moeite kunt configureren, en je kan je voorstellen dat veel consumenten er niet eens bij nadenken. Genoeg routers die door de monteur van de ISP opgehangen zijn, het SSID 'UPC########' uitzenden en nagenoeg geen versleuteling aanbieden.
Dan koop je een nieuwe AP waar je vervolgens DD-WRT oid op zet, die gewoon WEP en TKIP biedt. Wel een ontzettende omweg, kunnen ze niet beter de support default op WPA2-AES zetten, maar de mogelijkheid ter compatibiliteit toch aanwezig laten zijn?
~_~ sure. mocht dat wel zo zijn dan regel ik toch mn eigen encryptie wel, bijvoorbeeld een router-pc met vpn server tussen de modem, het draadloos accespoint en mn laptop met wifi (en vpn client)
Ja, ik kan me er in vinden dat je inderdaad zelf het een en ander wil regelen. Helaas wat jij hier nu zegt zie ik 99% van de consumenten niet doen...

Om het hele simpele feit dat ze er geen zak van snappen...
lijkt mij dat dat nog lang niet gaat gebeuren.. meeliften wordt dan wel heel gemakkelijk
Lijkt me wel een goed plan, dan zit je in België nog sneller aan je limiet...
Aan de andere kant zijn er ook overheden die WiFi beveiliging verplichten, ook voor burgers. Jij bent namelijk veranwoordelijk voor wat er met jouw internet aansluiting gebeurt, ook doet een ander er iets illegaals mee omdat je je netwerk open hebt staan of te zwak beveiligd hebt.

Ik zie het verdwijnen van WiFi beveiliging dus nooit gebeuren, ook omdat je niet verplicht hoeft te zijn om je internet te delen. Laat staan dat bedrijven hun WiFi open zouden willen gooien voor het algemene publiek.


Tevens wel vervelend voor backwards compatability dat WEP en TKIP eruit zouden gaan. Oude apparatuur wat niet met WPA2 overweg kan kan je straks dus niet gebruiken met een nieuwe router.

[Reactie gewijzigd door knirfie244 op 18 juni 2010 08:56]

Op zich is dit natuurlijk helemaal geen slecht idee. De overheid zou een soort van belasting kunnen invoeren voor internet. Uit deze opbrengsten wordt het internet dan gefinancieerd. Vervolgens kan iedereen overal gebruikmaken van internet. Dat stimuleert kennis in onze maatschappij.

Ik zie het echter niet gebeuren.
Internet als overheidsmonopolie is met de telefoon al eerder geprobeerd. Bijna honderd jaar lang nul innovatie.
De beveiliging zal niet weg vallen. wat wel mogelijk is dat de telecom aanbieders een extra pad (vlan) inzetten voor het wifi netwerk zodat een ieder overal kan internetten, zonder dat je op je eigen prive netwerk kan komen. je eigen prive netwerk zal dan ook een eigen Vlan hebben naar het internet.

maar de beveiliging zal niet opgeheven worden, dit is om wille de eigen security niet aan te bevelen.
kan alleen werken als je overal een "meshing" protocol steekt... als soort wireless failover als er ergens een kabelbreuk is...
Althans, die plannen hebben verschillende internationele organisaties en overheden opgesteld.
Heb jij daar ook bronnen van, en dan met name in geval van overheden zoals jij claimt? 'Organisaties' zal wel, maar overheden zullen op een of andere manier altijd willen kunnen traceren. Kan me niet voorstellen dat overheden genoegen nemen met geen enkele vorm van beveiliging/identificatie.
Wat de overheid wil heb ik niks mee te maken. Ik ben de overheid niks verplicht. Hun big brother drang is hun eigen aangelegenheid, ik ga echt niet mijn AP loggen.

@hierboven: tweakers.net wordt een computertotaal forum door noobs zoals jij die in hoofdletters typen...
1 april is pas weer volgende jaar....
Waarom wordt WEP pas in 2014 verboden? Duurt vanaf nu dus nog 4 jaar.. Het is inderdaad al jarenlang bekend dat dit nogal gemakkelijk te kraken is, dus waarom niet eerder verbieden?
het word denk ik niet verboden hoor.
Maar niet meer als standaard gebruikt je mag er geen wifi sticker op plakken als je wep in je apparaat bouwt
Er wordt sowieso niets verboden. Het is alleen een certificeringsissue.
Omdat zoals je hier boven ook al wel kan lezen, er genoeg apparaten zijn die helaas alleen met WEP overwerg kunnen. En het is toch een beetje jammer als je bijvoorbeeld niet meer online zou kunnen spelen met je DS (die alleen WEP aan kan)

Daarnaast zijn er trouwens nog genoeg netwerk kaarten enzo in omloop die toch niet met wpa AES of WPA2 overwerg kunnen. Als dit het geval is, dan is dat niet altijd even snel en duidelijk te zien, zeker niet voor een leek. Die heeft dan inderdaad zoiets van.."het werkt niet" met alle problemen van dien. En om nou indereen te verplichten nieuwe spullen te kopen .....

Waarschuwen hiervoor is goed, daarom ben ik er ook voor dat een router bij installatie ook standaard kiest voor WPA, AES beveiliging, maar dan moet er wel duidelijk ergens vermeld worden dat als het om wat voor reden dan ook niet werkt, je terug kan naar WPA tkip en daarna als dat niet werkt naar web, met daarbij de waarschuwing dat het makkelijker te kraken is (en bijvoorbeeld als alternatief zou er een suggestie gedaan kunnen worden om een nieuwe netwerk adapter te kopen, indien mogelijk van type XXXXX die het wel ondersteund )
Voordat je geen WEP in het wild meer ziet gaat dus nog een stuk langer duren,
de gemiddelde consument upgrade niet zijn router jaarlijks of als er een nieuw modelletje uitkomt. Zelfs een tweaker zie ik dit niet doen.
Dus voordat de routers die eind 2013 verkocht zijn gesneuveld zijn, zijn we al weer een aantal jaar verder.

Dit natuurlijk onder voorbehoud van andere ontwikkelingen, hebben we nog wel een thuis router in 2013 etc.
En wat gebeurt er met de WPA2-PSK beveiliging? (Die hebben wij namelijk...)
PSK = pre shared key, dat zegt niks over AES/TKIP afaik.
Niks. WPA2 gebruikt AES.
Mac Adres filteren is nog makkelijker te kraken dan een WEP key. Dat is echt niet het meest ingewikkelde om te doen. Dus dan zit je nog met WPA TKIP, dat duurt iets langer maar opzich is dat ook nog wel te doen. Dus dat mac filter heeft weinig zin.
Theoretisch heb je 2^48 mogelijkheden op een Mac adres, toch? Nu weet ik dat een deel fabrikant is en een deel individueel bepaald, maar dat neemt niet weg dat het nogal wat mogelijkheden zijn. Hoe wil je dat relatief makkelijk oplossen? Een netwerk kaartje wat volautomatisch van Mac Adres verandert, en dat net zolang totdat er een ingang in je netwerk gevonden is? Lijkt mij een heidense klus... maar goed, advice taken, ik switch al naar WPA2-AES ;-)

Zoals je kunt lezen, heb ik daar geen verstand van, maar ik leer graag ;-)

[Reactie gewijzigd door DFKT op 17 juni 2010 19:52]

Ook al staat jouw MAC/SSID op hidden, het is zichtbaar met de juiste pakketen. Dan is het alleen een kwestie van jouw MAC overnemen en connecten, klaar. 1 minuut werk.
Gewoon even meeluisteren met bestaand verkeer. Er komen regelmatig unencrypted MAC-adressen langs, dus de eerste de beste kan je even later (zodra het adres dat je vond verdwenen is) zelf gaan gebruiken.
De mac adressen zijn in WPA WEP en WPA2 niet encrypted. Elk pakket bevat het mac adres in de eerste 30 bytes. Uitlezen, spoofen, profit.
Inderdaad. Er zijn welgeteld 2 commando's nodig :)
Dan rest mij alleen al van het begin van het lezen van het artikel tot en met het einde, de vraag wie "WiFi Alliance" is om te bepalen wat ik wel en niet op mijn wifi router mag hebben?

Al installeer ik er rollercoaster tycoon op, is toch geheel mijn eigen zaak? :)

Als een fabrikant merkt dat 80% van de mensen graag WEP draaien, dan zal een fabrikant dat zo leveren. Fabrikant wil winst, en de consument wil wat hij hebben wil.

[Reactie gewijzigd door Engineer op 17 juni 2010 23:02]

En consumenten letten toch niet op dat logo, dus de (vast hoge) kosten voor een nutteloze certificering kan de fabrikant zich dan ook besparen.
Nee maar mensen willen wel graag een wifi router. En mensen kijken toch echt naar teksten als 802.11n. Al die termen zijn beschermd en mogen enkel na certificatie gebruikt worden.

Nu kun je natuurlijk een product maken met WEP en zonder certificatie, maar mensen zullen toch huiverig zijn. Werkt het wel goed op mijn netwerk? Ik moet echt een "n" netwerk hebben volgens de buurman. Dat soort zaken. Dus die certificatie is wel degelijk noodzakelijk. En zoals we met de pre-n hardware gezien hebben is het wel zo handig om voor gecertificeerde producten te kiezen. Werkt toch wat beter....
Al die termen zijn beschermd en mogen enkel na certificatie gebruikt worden.
Daar verzint een advocaat vast wel iets op. "Compatible met 802.11n" is een bewering, en als het consortium die wil ontkrachten zullen ze dat moeten bewijzen.
Dat een WEP-Key eenvoudig te kraken is lijkt mij duidelijk.
Maar een WPA-TKIP key kan je naar mij idee alleen maar kraken door een bruteforce attack, dus een lijst met wachtwoorden er doorheen gooien.
Als jou wachtwoord niet in die lijst (dictionary list) staat , komt men niet achter jou wachtwoord.
Kortom WPA-TKIP lijkt mij nog sterk genoeg mits je een goed/krachtig wachtwoord gebruikt.
WPA-TKIP heeft dezelfde zwakheden als WEP. Dus nee deze is niet veilig
Dat is toch niet helemaal waar? WEP heeft de micheal functie en key mixer niet waardoor een reverse RC4(zwak) in iedergeval minder goed mogelijk is dan bij WEP. Dus: ja WPA en WEP delen de zwakke RC4 hash die WPA2 niet heeft, maar hoe de volledige sleutel bij een willekeurig WPA netwerk wordt benaderd heb ik nog nergens gezien.
ik heb laatst nog geprobeerd een wep verbinding te kraken onder windows moet je wel 32bit en goed wifi kaart hebben maar gaat echt heel makkelijk. ookal zijn de makers van het progje gestopt het werkt nog steeds.

wpa duurt stuk langer en met een lange sterke code ben je nu nog tamelijk veilig... zolang er wep connecties in de buurt zijn helemaal aangezien de hackers eerder voor die gaan.

Misschien in 2014 kunnen alle apparaten wpa2 draaien maar er zijn nog steeds apparaten waar dat ze zwaar voor is dus moet je soms wel wep of wpa gebruiken.
In Linux (backtrack) kun je met de aircrack suite zeer gemakkelijk een WEP netwerk kraken, je hebt er idd wel een ondersteunde WiFi kaart voor nodig met speciale drivers, liefst met packet injection om het proces te versnellen.
ja weet het maar zag op news servers een programmatje..

airowizard met de goed commview drivers kan het onder windows, en werkt er goed moet ik zeggen.
Maar gebruik normaal ook gewoon bt live cd

(om mijn eigen netwerk te hacken :9 )

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True