Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 27 reacties

De manier waarop telco's internetverkeer afhandelen kan negatieve gevolgen hebben voor smartphones. Zo kan de accuduur verminderen en in bepaalde gevallen de veiligheid in het geding zijn. Nat-routers en firewalls zouden de oorzaak zijn.

Amerikaanse onderzoekers hebben onderzocht welke gevolgen nat-routers en firewalls van telecomproviders hebben op mobiele telefoons. De onderzoekers ontwikkelden een Android-applicatie, NetPiculet, die in staat was te ontdekken welke effecten de middlebox van een telecomprovider heeft. De app kon onder andere te weten komen wat voor nat-routing er werd toegepast en hoe tcp-packets werden behandeld. De applicatie stuurde deze gegevens terug naar de onderzoekers.

In totaal installeerden 393 gebruikers de app, waarmee de onderzoekers inzicht verkregen in het netwerkbeleid van 107 providers wereldwijd. Van die providers bevonden zich 46 in Europa. Uit het onderzoeksrapport blijkt dat het bij vier grote telco's mogelijk is om ip-adressen te spoofen. Elf providers hanteerden een timeout-waarde van tien minuten voor idle-tcp-verbindingen, bijvoorbeeld voor push-mail; daardoor moeten telefoons vaker opnieuw verbinding maken. Volgens de onderzoekers kan dat de accuduur van een smartphone met meer dan 10 procent per dag doen afnemen.

Soms worden tcp-verbindingen niet meteen gesloten wanneer een gebruiker deze wil verbreken, waardoor aanvallers langer de tijd zouden kunnen krijgen om een smartphone aan te vallen. Daardoor zou een kwaadwillende een aanval kunnen uitvoeren waarbij oneindig veel data naar een apparaat wordt gestuurd, waardoor de accu leegloopt: in feite biedt dit de mogelijkheid tot het uitvoeren van een denial of service-aanval.

Verder buffert een grote Amerikaanse provider alle internetverkeer lokaal, voordat het verkeer naar een telefoon wordt gestuurd. Daardoor kunnen pakketten die hun bestemming niet bereiken, niet direct opnieuw verzonden worden. Omdat packet loss op draadloze netwerken vaak voorkomt, kan dat de doorvoersnelheid bij een download van 1MB tot 50 procent vertragen, aldus de onderzoekers. Ze verdenken de telco ervan de tcp-packets te bufferen om dpi te kunnen uitvoeren.

Tot slot stellen de onderzoekers dat het nat-routingbeleid van providers soms niet optimaal is. Zo worden poorten soms willekeurig toegekend, waardoor nat-traversal moeilijker wordt. Dat kan problemen opleveren bij applicaties die nat-traversal nodig hebben, zoals voip-apps. Het is niet duidelijk bij welke telecomprovider welke problemen spelen: om juridische redenen en uit privacy-overwegingen zijn de resultaten geanonimiseerd.

Moderatie-faq Wijzig weergave

Reacties (27)

Spijtig dat dit annoniem is...
Slechte reclame is het enige wat grote telco's in beweging kan zetten invele gevallen....

Zeker als het om DPI gaat, ze mogen de klanten van deze telco toch wel waarschuwen vind ik...
Zelfs veel grote normale ISP's passen DPI toe, bijvoorbeeld om veel gedownloade content van buiten hun netwerk te cachen (met name als het ook nog eens geen peering is maar duur transitverkeer).

Je gaat dan via een transparante proxy het internet op. Transparante proxy's zitten ook op veel mobiele apn's (vandaar de slechtere beeldkwaliteit die je op je mobieltje of laptop vaak ziet bij mobiel internet; da's pure DPI + vervanging van de originele content!)

Deze methode maakt het bovendien voor hostingproviders e.d. lastig om betrouwbare statistieken te krijgen omdat de content minder vaak gedownload lijkt te worden.

In Nederland/Europa speelt dit niet echt (behalve mobiel dus), maar in andere werelddelen speelt het wel degelijk.

Het is niet echt privacyschending omdat het volledig geautomatiseerd is en niet gelogd wordt als het goed is. Je moet echt niet te snel met die term gaan schermen. Vergeet niet dat bijna alle switches die bij providers staan tap-mogelijkheden hebben die ook intern gebruikt kunnen worden door een datacenter-medewerker. In theorie zouden zij een laptopje aan een switch kunnen hangen en verkeer afluisteren. Zomaar. Wetgeving, vertrouwen en massa (de hoeveelheid verkeer) maken dat het niet gebeurt.
Vodafone APN met beeldcompressie: office.vodafone.nl
Vodafone APN zonder beeldcompressie: web.vodafone.nl

KPN APN met beeldcompressie: fastinternet
KPN APN zonder beeldcompressie: basicinternet

T-Mobile: instellen via speed.t-mobile.nl
Of het nu mag of niet: ik wil het niet. Ik verwacht dat mijn internetverbinding transparant is en dat er niet allerlei doosjes tussen zitten. Wat er over de lijn gaat en hoe is een zaak tussen mij en de server. De provider moet er alleen maar voor zorgen dat pakketjes zo snel mogelijk en zo betrouwbaar mogelijk op en neer gaan.

Het zou fijn zijn als we konden kiezen voor een provider die dit niet allemaal doet, maar denk dat deze niet bestaan....
Toch belangrijk dat dit naar buiten wordt gebracht, niet omdat het zo wereldschokkend is maar wel dat de providers nu beseffen dat dit nu bekend is bij de buitenwereld en er dus (mits mensen er over gaan klagen) wel wat aan gedaan gaat worden.

Internet op telefoons is wel een ondergeschoven en onderschat medium, aangezien er toch wel degelijk zeer gevoelige informatie buit kan worden gemaakt, en zeg nou zelf in deze tijd moet dit toch gewoon goed geregeld zijn, het is geen 1999 meer.
Internet op telefoons is wel een ondergeschoven en onderschat medium, aangezien er toch wel degelijk zeer gevoelige informatie buit kan worden gemaakt, en zeg nou zelf in deze tijd moet dit toch gewoon goed geregeld zijn, het is geen 1999 meer.
Ik snap niet precies waar je opmerking betrekking op heeft. De mogelijk veiligheid aspecten in de genoemde studie zijn zeer minimaal, het is veelal een mogelijkheid om de accu van de aangevallene iets zwaarder te belasten dan iets anders, En natuurlijk zijn zaken op dit moment veel beter geregeld dan in 1999. Geen idee hoe oud je bent, maar in die tijd was het hacken van vrijwel alles veel en veel gemakkelijker.

Overigens vraag ik me sterk af hoeveel waarde we hieraan moeten hechten. 107 gebruikers wereldwijd, 46 in heel Europa. Zelfs na wat dieper naspeuren kan ik niets anders bedenken dan dat het weer een mooi verspreid persbericht is. Tweakers pakt alles wat ook maar enigszins te maken heeft met 'hacken' erg makkelijk op. Ik snap dat de gemiddelde bezoeker dat liever leest dan een artikel over iets serieus maar persoonlijk erger ik me eraan.

Ik was een paar weken terug in Andorra en kreeg daar een provider toegewezen die me elke 15 minuten een reclame SMS stuurde (24 uur per dag). Later leerde ik dat dit een provider was die zowat alles fout deed wat maar kon maar slecht een bereik had van een paar wijken in een stad van een zeer klein land. En ze mikte alleen maar op toeristen. Twee van dit soort providers in dit onderzoek en je hebt een paar pagina's met problemen waar niemand ooit mee te maken zal krijgen.

Geef naam en toenaam en het betekend iets. Nu is het geenstijl gehalte erg hoog. Zelfs als Microsoft iets met de studie te maken heeft!

[Reactie gewijzigd door falconhunter op 29 augustus 2011 17:53]

En dan nog iets: je kunt wel DoS'en, maar dan moet je het IP weten van wie je aanvalt, anders kun je alleen in het algemeen "gebruikers van bepaalde mobiele netwerken" frustreren zonder dat je iemand specifiek kunt aanvallen.

Het geschreven document is gewoon een universitair onderzoek (voor iemands MSc ofzo, hoewel het daar wel kort voor is), dus ik denk niet dat er veel bedrijfs-motivatie achter zit :)
Ik heb ook nergens gezegd dat het makkelijk is om mobiele verbindingen te 'hacken', als je mijn reactie goed leest zie je dat mijn punt is dat providers niet zoveel aandacht besteden aan hun internet-verbindingen als bijvoorbeeld een vaste provider voor internet.

Mede daardoor concludeer ik dat mobiele verbindingen een onderschat medium zijn omdat op mobiele telefoons wel degelijk zeer gevoelige informatie (kan) staan, en deze manieren van data afhandeling van providers gewoon afgeraffeld is en ze hiermee onnodig hun gebruikers en eigen netwerk belasten.

edit:
Ps.: Dat er maar een bepaal aantal gebruikers aan mee heeft gedaan wil niet zeggen dat hun ook de enigen zijn die dit ondervinden, als hun het bij de desbetreffende provider ondervinden kun je er donder op zeggen dat de rest van de klanten dit ook zullen ervaren, kortom je argument is niet echt doordacht.

[Reactie gewijzigd door eMCeeŽ op 29 augustus 2011 21:27]

Tsja, internet bankieren via je mobiel... toch maar niet? ;)

Spoofing... weer een alibi erbij, wat het kan ook iemands anders zijn geweest.... it wasn't me!

[Reactie gewijzigd door E_E_F op 29 augustus 2011 17:49]

Dat gaat eigenlijk altijd via SSL-encryptie. Als je die sessie al kunt onderscheppen (qua IP+poort) dan kun je er nog niks mee. Zelfs via gratis wifi kun je rustig mobiel internetbankieren (bijv. via een bank-site of app; altijd ssl).
Maar dan wordt het wel mogelijk om via een "Man in the middle attack" de gebruiker automatische door te verwijzen (http redirect) naar een nep inlogscherm.
Nee, dat kan niet, want je bent (in jouw voorbeeld) met https bezig, en je kunt geen http-requests via https doorsturen omdat jij niet de initiële handshake etc. hebt gedaan.

Bovendien zou je de gebruiker sowieso niet kunnen doorsturen aangezien je juist het IP van de gebruiker afpakt. En de bank kun je niet zo gemakkelijk voor de gek houden gok ik :P
'SSL Renegotiation attack'.

Goed, het is nog altijd niet triviaal, en met modern spul wel gefixt, maar oudere, niet up-to-date smartphones zijn nog altijd kwetsbaar.
Waarom zo ingewikkeld? Het is erg ingewikkeld en lastig om SSL verbindingen te hijacken, het werkt beter om je als crimineel op de gebruikers te richten. De meeste smartphones beschikken toch niet over een firewall of een virusscanner, dan is het veel gemakkelijker om een stukje malware in een spelletje o.i.d.. te verstoppen dat alle toetsaanslagen vastlegt en naar de crimineel toestuurt.
Waarom maken ze niet elke site ssl? Dan is er toch nooit een probleem?
Dat maakt internet alleen maar duurder, inhoudelijk betekend het meer verkeer en zwaardere belasting op eindpunten wat betreft computing power. SSL zonder geldig certificaat garandeert je enkel encryptie en integritait van data maar niet de authentiteit van de zender. Certificaten kosten geld maar garanderen identiteit.

[Reactie gewijzigd door analog_ op 29 augustus 2011 21:45]

voor veel van die zaken is een makkelijk argument te vinden:
Elf providers hanteerden een timeout-waarde van tien minuten voor idle-tcp-verbindingen, bijvoorbeeld voor push-mail; daardoor moeten telefoons vaker opnieuw verbinding maken. Volgens de onderzoekers kan dat de accuduur van een smartphone met meer dan 10 procent per dag doen afnemen.
als je per minuut wordt afgerekend, wil je niet per ongeluk je verbinding 2 uur laten open staan
Soms worden tcp-verbindingen niet meteen gesloten wanneer een gebruiker deze wil verbreken
sluit je per ongeluk je browser ff, dan mag je opnieuw connectiekosten betalen als je per sessie betaald.

dat zijn niet per definitie nadelen, maar zonder verdere duiding kan je dit gewoon niet als voor- of nadelen beschouwen en ook als dusdanig naar buiten brengen
Als je per minuut wordt afgerekend dan gaat het om hoe lang de gprs-sessie openstaat, niet hoe lang een tcp-verbinding open is. Als een gprs-sessie wordt gesloten, zou je ook gelijk alle bijbehorende tcp-verbindingen kunnen afkappen.

Dus in dat geval gaat het in ieder geval niet op wat je zegt.
Je wilt natuurlijk dat je telefoon voor jouw uitvist wanneer GPRS nodig is en wanneer niet. Wat je beschrijft is als je het zelf op/af zet.
als je per minuut wordt afgerekend, wil je niet per ongeluk je verbinding 2 uur laten open staan
Niemand wordt tegenwoordig per minuut belast voor een dataverbinding. Een openstaande verbinding kost verder niks, dus ik snap niet waarom een provider die zou willen verbreken.
Ze verdenken de telco ervan de tcp-packets te bufferen om dpi te kunnen uitvoeren.
Maar dit kan je toch ook realtime doen; daar heb je toch geen (tot 50% vertragende) buffers voor nodig?

Wel goed dat "de andere kant van de lijn" eens onder de loep wordt genomen. Met name de invloed op accuduur is voor de meeste gebruikers interessant.

[Reactie gewijzigd door Eagle Creek op 29 augustus 2011 17:35]

Wel goed dat "de andere kant van de lijn" eens onder de loep wordt genomen. Met name de invloed op accuduur is voor de meeste gebruikers interessant.
Persoonlijk zou ik 10% accuduur op een lading nooit merken. De invloed van de signaal sterkte van de zenders is veel belangrijker voor dat. Mijn iPhone 5 gaat drie dagen meer in hartje Parijs maar slecht de helft daarvan in ons kantoor op het Franse platteland waar de dichtsbijzijnde zender in Berlijn lijkt te staan.
[volkomen off-topic]

Ik snap dat je puur een stijlfiguur gebruikt, maar:

Volgens mij is er geen enkele plek in Frankrijk waar de afstand tot Berlijn kleiner is dan de afstand tot Parijs...

De grensovergang bij Karlsruhe komt het dichtste bij. Afstand Karslruhe <-> Berlijn = 525,9 km, Karlsruhe <-> Parijs = 444,2 km.

Dus de dichtsbijzijnde zendmast op het Franse platteland kan nooit in Berlijn staan.

[/en nu ga ik rustig in een hoekje lopen tellen hoeveel tandenstokers er in dit pakje zitten]
Hmm, hierover gesproken: ik ben benieuwd of dhcp-verkeer die niet voor een toestel bedoeld is wordt gefilterd. Dit soort verkeer kan er denk ik wel voor zorgen dat het mobieltje in HSPA-modus heen en weer gaat en zo meer signallingverkeer + accu verbruikt.

Ook hoe niet-NAT-providers hiermee omgaan, daar ben ik wel benieuwd naar: als je een publiek IP hebt zijn alle poorten op je telefoon gewoon bereikbaar van buitenaf. Dus in theorie zie je ook portscans e.d. langskomen, ook deze triggeren extra verkeer naar een mobieltje.

Te korte timeoutwaarden zijn verder ook onlogisch op een mobiel netwerk inderdaad. Veel overhead bij telkens reconnecten en da's zowel voor server als client vervelend.
Aangezien er wel meer (broadcast)-verkeer dan DHCP is, neem ik aan dat elke individuele tel in een (virtueel)broadcast-domein hangt.
worden poorten soms willekeurig toegekend

Gebeurt dit niet om veiligheidsredenen?
problemen opleveren bij applicaties die nat-traversal nodig hebben, zoals voip-apps
En het levert een zij effect waar providers eigenlijk helemaal niet zo'n bezwaar tegen hebben.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True