Wachtwoorden hotspotgebruikers Ziggo te onderscheppen met nep-hotspot

De hotspotfunctionaliteit die Ziggo momenteel aan het uitrollen is in heel Nederland, is niet waterdicht. Doordat geen certificaten worden gebruikt om de authenticiteit van een hotspot te controleren, kunnen kwaadwillenden een Ziggo-hotspot nabootsen en verkeer onderscheppen.

ZiggoDe hotspotfunctionaliteit van Ziggo maakt het mogelijk om via routers van andere Ziggo-gebruikers te internetten, waarbij automatisch verbinding wordt gemaakt wanneer de gebruiker in de buurt van een geschikte hotspot is. Dat proces is echter te misbruiken, zo ontdekte Ziggo-klant Igor Ybema. Ziggo gebruikt namelijk geen certificaten om de authenticiteit van de hotspot te garanderen.

Daardoor kunnen kwaadwillenden een toegangspunt opzetten dat zichzelf voordoet als een Ziggo-hotspot, waarmee klanten van de provider automatisch verbinding maken. Doordat er geen certificaten worden gebruikt, kan de gebruiker de Radius-server van Ziggo nabootsen, waardoor het apparaat denkt dat het verbinding maakt met de echte authenticatieserver van Ziggo.

Vervolgens kan de kwaadwillende bijvoorbeeld verkeer onderscheppen. Ook kunnen de gehashte wachtwoorden van gebruikers worden onderschept. Omdat de overdracht van gebruikersnaam en wachtwoord echter gebeurt via het onveilige ms-chapv2, zijn die via brute-forcing te achterhalen. "Het wachtwoord kan met brute-forcing binnen een paar dagen gekraakt worden", zegt beveiligingsdeskundige Wilco Baan Hofman, die met Spacenet een vergelijkbaar systeem heeft opgezet.

Ziggo zegt in een reactie op de hoogte te zijn van de problemen, maar stelt dat een systeem nooit volledig te beveiligen is. "Ook Ziggo-hotspots niet", aldus het bedrijf in een reactie. Daarnaast benadrukt het bedrijf dat het wachtwoord van de gebruiker versleuteld is, al gaat het bedrijf niet in op de mogelijkheid tot brute-forcing. Bovendien is het gebruik van certificaten 'gebruiksonvriendelijk', stelt het bedrijf. "Op dit moment denken wij dat er geen aanvullende beveiligingsmaatregelen nodig zijn."

Volgens Baan Hofman is het echter mogelijk om het authenticatieproces volledig te automatiseren, zodat gebruikers zelf geen certificaten hoeven in te stellen en waardoor de hostname van de Radius-server automatisch wordt gecontroleerd. "Dat kun je gewoon doen via provisioning", aldus Baan Hofman. Hij benadrukt wel dat Android daar soms problemen mee heeft.

Ziggo is momenteel bezig met de landelijke uitrol van zijn hotspotfunctionaliteit. Daarnaast wil de provider samenwerken met UPC en Zeelandnet om een landelijk dekkend wifi-netwerk te maken. Momenteel is de provider bezig met de uitrol in Den Haag; in augustus moeten er een miljoen wifi-hotspots actief zijn. Eerder deed de provider al een test in Groningen.

Door Joost Schellevis

Redacteur

Feedback • 07-05-2013 10:02
134 • submitter: HunterPro

07-05-2013 • 10:02

134 Linkedin

Submitter: HunterPro

Lees meer

'Verkeer UPC-klanten te onderscheppen via vervalste wifispots' Nieuws van 20 maart 2014
UPC start uitrol openbare WifiSpots Nieuws van 25 oktober 2013
UPC-klanten kunnen op termijn ook via buitenlandse hotspots gratis internetten Nieuws van 18 september 2013
Microsoft waarschuwt voor beveiliging zakelijke wifi-netwerken op Windows Phone Nieuws van 6 augustus 2013
UPC start test met openbare wifi-hotspots via modems - update Nieuws van 21 juni 2013
T-Mobile verrekent dataverbruik op nieuwe hotspots met databundel Nieuws van 13 juni 2013
'Providers kunnen capaciteit 4g vergroten met privézendmasten in settopboxen' Nieuws van 1 mei 2013
Ziggo gaat wijkkasten van wifi-hotspots voorzien - update Nieuws van 26 april 2013
Ziggo en UPC willen samen hotspots via modems gaan aanbieden Nieuws van 25 april 2013
Ziggo rolt hotspot-functionaliteit landelijk uit Nieuws van 17 april 2013
Meer producten en artikelen
Internettoegang Netwerk en systeembeheer Ziggo

Reacties (134)

-Moderatie-faq
134
131
101
8
2
11
Wijzig sortering
CAPSLOCK2000
7 mei 2013 13:12
Misschien snap ik het niet maar volgens mij heeft Ziggo de juiste keuze gemaakt.
Kan iemand mij uitleggen wat Ziggo wel had moeten doen?

Ik zie drie mogelijkheden om SSL-certificaten te gebruiken en alle drie zijn ze niet wenselijk.
1. Alle routers een "echt" en uniek SSL-certificaat te geven.
Dat wordt een ontzettend dure grap.
2. Alle routers een certificaat laten delen.
Een alles of niets oplossing, zodra 1 gebruiker z'n certificaat laat uitlekken is de rest ook niet meer te vertrouwen.
3. Self-Signed certificaten gebruiken.
Er is geen consument die genoeg weet van SSL om een self-signed certificaat te controleren. Je leert je gebruikers dus om blind om "accept" te klikken. Als er een aanvaller komt die een ander certificaat stuurt dan zullen ze dat ook gewoon accepteren. Je kan er een eigen CA tussen zetten maar dat verandert niks wezenlijks.

Al met al zie ik geen manier om SSL op een veilige manier te gebruiken en snap ik dus de beslissing van Ziggo of het dan maar helemaal niet te doen.
mastercard
@CAPSLOCK20007 mei 2013 14:37
Kan de radius server niet bij Ziggo blijven staan dan ipv dat die draait op het device van de 'gebruiker' (abonnee)? Ik weet niet of dat mogelijk is maar het lijkt me dat het radius verkeer gewoon naar een server ergens bij Ziggo geleid kan worden zodat zij zelf controle houden over het certificaat...

Overigens ben je met een certificaat nog niet veel verder eigenlijk, in ieder geval niet als je met onwetende gebruikers te maken hebt. Zo controleren niet eens alle devices met standaard settings het certificaat (denk bijv. aan android telefoons, mogelijk niet alle). Sommige apparaten laat je eenmaal verbinden waarbij de radius server bijv. het certificaat radius.company.com toont en verbinden vervolgens zonder problemen met een fake ap radius.hacker.com waarbij geen melding wordt gegeven.

Pas als je de client zo configureert dat de kans om met een nep access point te verbinden erg klein wordt kan je het enigszins veilig noemen. Dus dat betekent check op gebruikte certificaat waarbij de CN en CA op de client vooraf zijn vastgelegd.

MSCHAPv2 is binnen 24 uur te bruteforcen naar een nt4hash van het wachtwoord, zie bijv. cloudcracker.com

[Reactie gewijzigd door mastercard op 7 mei 2013 14:40]

VisionMaster
@CAPSLOCK20007 mei 2013 15:58
Vervang RADIUS en Wifi met HTTP en waar je SSL zegt, zeg dan HTTPS... vervang inloggen op de Wifi met inloggen in jou bank... Is dan SSL nog steeds niet interessant?

De routers verbinden niet met unieke certificaten met elkaar. Dat is doorgaans met een shared secret. Zie je eigen router thuis in de configs er maar op na hoe je thuis ook Radius kan inregelen.

Wat er gebeurt is dat je een inlogsessie start voordat je online mag, met EAP-TTLS+MSCHAPv2. Die inlog is met de Ziggo server, niet met de wifi. Je krijgt alleen je verkeer (na inloggen) van die router. Wat je wilt weten is of dit wel een echte router is die te vertrouwen is en dat je je wachtwoord en username voor jezelf houdt.

Je laptop, telefoon of tablet doet de SSL handshake met de Ziggo. Je hoeft niet zelf met priemgetallen te worstelen. Als je zeker weet dat je nu inlogt op het netwerk dat je denk dat je mee inlogt zal je computer niet blaten dat je moet accepteren. Dat doe je 1x en dan waarschuwt het alleen als je een MitM-attack hebt, midden in de binnenstad bijvoorbeeld.

In dat geval geef je je credentials niet af. De foutmelding is dus SSL + certificaat verificatie (nu uitgeschakeld) en certificaat pinning of subject matching. Subject matching is iets dat je met de hand kan doen. Uitleg kan je vinden op diverse websites en had Ziggo ook prima kunnen uitleggen met screenshots voor een aantal bekende platformen.
Madthijs
7 mei 2013 10:15
Even ter informatie: om in te loggen op de Ziggo hotspot heb je een aparte gebruikersnaam en wachtwoord. Deze zijn dus niet gelijk aan die van je Ziggo account! Ook kun je deze gegevens via je account pagina wijzigen (in het geval iemand ze van je 'gestolen' heeft). Ik vermoed (heb het nog niet uitgeprobeerd), dat je via deze pagina ook devices kunt 'de-authorizen' (je mag er maar maximaal met 2 apparaten gebruik van maken namelijk).
patje143
@Madthijs7 mei 2013 10:24
Dank je voor deze aanvullende informatie.
Met deze achtergrondinformatie vallen de risico's wat mij betreft inderdaad wel mee.
Los daarvan vind ik de reactie van Ziggo toch te wensen overlaten...
VisionMaster
@patje1437 mei 2013 15:19
Met een vinkje "aan" kan je voorkomen dat iemand een Man-in-the-Middle kan uitvoeren op jou als gebruiker van die hotspots. Dat is jammer, want hoeft dus niet. Als MitM kan je bijvoorbeed ook een redirect naar HTTPS tegengaan... think about that one ;-)

De credentials zijn IMHO handig om te hebben om als niet-Ziggo klant ook te kunnen genieten van deze Ziggo-feature.
Yucko
@Madthijs7 mei 2013 10:53
Volgens mij is het eerder maximaal 2 devices tegelijkertijd ... anders blijf je in een gemiddeld gezin steeds devices uit de lijst gooien en anderen toevoegen.
The Zep Man
@Madthijs7 mei 2013 11:09
Even ter informatie: om in te loggen op de Ziggo hotspot heb je een aparte gebruikersnaam en wachtwoord. Deze zijn dus niet gelijk aan die van je Ziggo account!
Maar de credentials zijn wel te gebruiken om illegaal materiaal traceerbaar te uploaden en de blaam door te schuiven naar iemand anders.

[Reactie gewijzigd door The Zep Man op 7 mei 2013 11:09]

ReconE
7 mei 2013 10:04
Deze rommel dus nooit gebruiken. Bedankt voor de tip.
SunnieNL
@ReconE7 mei 2013 10:16
Geldt toch voor elk type hotspot dat het makkelijk te misbruiken is.
Als ik mijn hotspot thuis KPN Hotspot noem en intern via de dns redirect naar een interne website op een server.
Daar een website op zet dat een copy is van een normale kpn hotspot met een formulier dat inlognaam en wachtwoord vraag, maar die vervolgens in een database zet en de hotspot na invullen een pagina laat zien die aangeeft dat de hotspot tijdelijk buiten gebruik is...

Dan heb ik precies hetzelfde en hoef ik niet eens het wachtwoord moeilijk te decoderen.
Ziggo zal wel weer werken met hun eigen inlogsite (doen zijn bij hbo ook), dus ook die is makkelijk na te bootsen.
Janoz
@SunnieNL7 mei 2013 11:11
Ziggo werkt niet met een inlog pagina. In dat opzicht is de ziggo oplossing al veel veiliger dan menig andere oplossing. Waar je bij Fon of KPN hotspots gewoon op een onbeveiligd netwerk naar een (inderdaad makkelijk te faken) inlog webpagina moet, is het bij ziggo gewoon zo dat je daarwerkelijk moet inloggen op een beveiligd netwerk. Het inloggen is dus niet een websiteje, maar functionaliteit die door je device geboden wordt (en dus voor een aanvaller niet te faken is). Het wachtwoord wordt dus ook nooit plain verstuurd, maar gehashed. Daarnaast is dit wachtwoord ook niet je account wachtwoord, maar een speciaal enkel voor dit doel te gebruiken account. Een gestolen wachtwoord betekent dan ook niet dat mensen ineens je mail kunnen lezen.

Waar ziggo nu echter de mist in gaat zijn 2 dingen:
1 - Het hash algoritme is wat zwak waardoor het in enkele dagen te bruteforcen is (itt een fake inlogpagina waarbij je het wachtwoord direct hebt)
2 - Ze gebruikten geen certificaat, welke door de gebruiker op het device gezet moet worden, waarmee de telefoon kan controleren of de ziggo hotspot ook daadwerkelijk een hotspot van ziggo is.
MsG
@SunnieNL7 mei 2013 10:18
Je hebt geen website om in te loggen, je krijgt zo'n native systeempopup waar je je ziggo-logingegevens moet invullen.
woekele
@MsG7 mei 2013 10:26
en een gemiddelde gebruiker merkt het verschil? :)
david.n4s
@MsG7 mei 2013 11:15
Dat maakt het toch net makkelijker?
Je hoeft maar basic authentication op te zetten, de logins te loggen en evetl. een 404 te tonen.
Bespaart je het werk om een website na te maken.
delirium
@SunnieNL7 mei 2013 10:23
Het is ook niet 100% dicht te krijgen maar als de hotspot account gegevens alleen gebruikt kunnen worden om in te loggen op een hotspot, dan gebruikt in het ergste geval iemand de hostpot gegevens van iemand anders.
Dan is er dus geen man over boord. Als Ziggo dan het aantal simultane sessies van gebruikers gaat monitoren en de gebruikers met meer dan x sessies een nieuw wachtwoord gaat sturen dan lost het probleem zichzelf wel op.
Grrrrrene
@ReconE7 mei 2013 10:09
Je wordt -1 gemod, maar eigenlijk heb je gewoon gelijk. En het is nog niet eens zozeer dat het systeem nu lek is, maar meer dat ze reageren met "Ach, 100% veilig kan toch nooit". Moet er eerst een schandaal ontstaan met gehackte accounts, waar Ziggo nu dus 100% zeker van zegt dat ze ervan op de hoogte zijn, voor er wel wat aan de beveiliging wordt gedaan? Ik vrees van wel...
Anoniem: 115433
@Grrrrrene7 mei 2013 10:28
Ziggo is wel redelijk op weg die functionaliteit zit wel goed, je kan het hotspot wachtwoord voor jouw abbo zelf resetten dus dan ben je met je brute forcing gewoon te laat.

Als je dus merkt dat je niet online komt maar wel je wachtwoord enzo heb ingetoetst kan je zelf die dus resetten. Dan kan iemand anders misschien nog wel je wachtwoord kraken (dagen later) maar er geen gebruik van maken.
elleP
@Anoniem: 1154337 mei 2013 10:52
Dat gaat er wel van uit dat je het merkt, als je een "fake" hotspot treft die wel gewoon internet aanbied, hoe ga je dan zien dat het geen "echte" is?
En/of ga je elke keer dat je een hotspot treft die een storing heeft je password resetten?
Anoniem: 126717
@Anoniem: 1154337 mei 2013 10:51
Ziggo is wel redelijk op weg die functionaliteit zit wel goed, je kan het hotspot wachtwoord voor jouw abbo zelf resetten dus dan ben je met je brute forcing gewoon te laat.
Dus volgens jou moet je het wachtwoord elke twee dagen resetten als je hier gebruik van maakt?
Er is daarna namelijk een kans dat iemand jouw inlog heeft daarna, en vervolgens jouw verbinding gebruikt om spam te versturen, virussen online te gooien, beledigingen of bedreigingen het net op te slingeren, ach, je kent de lijst mogelijkheden wel.
firest0rm
@Anoniem: 1267177 mei 2013 13:14
opzich wel handig iedere week krijg je dan een nieuw ww dat gestuurd word naar je email heb ik echt 0,0 problemen mee
fluffy1
@Anoniem: 1154337 mei 2013 10:47
Ja, jij en ik weten dit. Maar jan-met-de-pet zal gewoon iets mompelen in de aard van "Die rotzooi van Ziggo werkt weer eens niet" en gewoon verder gaan. Ondertussen heeft de onderschepper alle tijd om het wachtwoord te kraken.

Het lijkt me ook niet onmogelijk om een werkende internet verbinding op te zetten, en dan zal je het waarschijnlijk niet zo snel merken.
Anoniem: 115433
@fluffy17 mei 2013 10:55
Jan met de pet is al blij dat hij de aan en uit knop kan vinden...

Laat staan dat hij precies wel of niet weet wat er gebeurd. Je kan veel spoofen op het gebied van Internet maar laat Ziggo maar schuiven. Het is aan dat bedrijf zelf om gebruikers iets wijzer te laten worden.

Uiteindelijk wordt dan het wachtwoord geblokkeerd. En dan bellen ze vanzelf de helpdesk..
To_Tall
@Anoniem: 1154337 mei 2013 13:29
Ach leuk hoor die hotspot functie..

Maar als ik op een terasje gaat zitten in een winkelstraat met allemaal ziggo abbonees. Sluit ik 1 wifi kaartje in mijn laptop mijn interene WIFI kaart is gekoppeld aan een ziggo abonnee hotspot. Via het stickje sluis ik iedereen naar het internet en ik heb gewoon wachtwoorden, mail adressen locatie waar mensen naar toe browsen enz..

Zelfde geintje kan ook op schiphol waar mensen gewoon rustig zitten met een laptop. of in een internet cafe.. zo moeilijk is het niet...

Dus nee.. voor mij geen publieke hotspots tenzij deze netjes goed beveiligd zijn met een security certificaat. Dat geeft nog enigszinds een veilig omgeving.
.Johnny
@Anoniem: 1154337 mei 2013 11:01
Volgens mij niet, ik ga ervan uit dat je niet zelf elke keer hoeft in te loggen maar op de achtergrond automatisch met Ziggo hotspots contact gemaakt wordt en wordt ingelogd als je dit aan hebt staan.

Dat gebeurt dus gewoon vanuit je broekzak, dus je merkt er zelf helemaal niets van. Daarnaast kan iemand dit prima zo programmeren dat je wel online kont, dan merk je er al helemaal niets van. Zeker een slechte zaak dit, en om te te zeggen dat Ziggo redelijk op weg is lijkt me met zo'n beveiligingsgat dus ook niet verstandig.
Armin
@MicGlou7 mei 2013 22:01
Bij de meeste Android telefoons blijft die gewoon hardstikke aan. Bij oude iPhones ook. :?

Bij Windows Phone 8 is het een feature, die er kwam nadat er stromen van klachten waren dat het uit ging. :)
deadlock2k
@Grrrrrene7 mei 2013 13:16
Nou niet helemaal. Er loopt al jaren een discussie over certificaten bij eduroam en dan vooral bij JANET (Joint Academic NETwork), de SURFnet van de UK. De algemene tendens is dat deze mensen vinden dat certificaten op RADIUS-servers eigenlijk schijnveiligheid zijn. De voorwaarden voor het goed functioneren van zo'n certificaat zijn dat het certificaat van een trusted path moet komen; het apparaat moet de uitgever vertrouwen. Zo'n beetje ieder apparaat heeft een andere lijst met trusted roots en iOS vertrouwt geloof ik alleen Apple als trusted root. Erg handig.

Dat betekent dat zelfs een aangeschaft certificaat geen beveiligingswaarschuwing geeft op het ene apparaat maar wel op het andere. Gebruikers klikken toch wel op Accept dus een wifi-netwerk van Ziggo spoofen zal ook bij een vertrouwd en officieel certificaat niet heel erg moeilijk zijn.

Ik zou het liefste zien dat ziggo aparte usernames en wachtwoorden uitdeelt voor dit principe maar dat gaat niet lukken omdat het niet gebruiksvriendelijk is.

Mijn mening; maak gebruik van Ziggo-wifi want het is een cool principe, maar wees zoals altijd heel erg voorzichtig met wat je doet en wijzig regelmatig je wachtwoord.
Finraziel
@deadlock2k7 mei 2013 14:35
Nee hoor, iOS heeft standaard een hele zwik aan root certificates geïnstalleerd staan:
http://support.apple.com/kb/ht5012
Deze is voor iOS 5 en 6 maar met even doorklikken zie ik dat in iOS 3 ook al een flinke lijst zat.
Voor Android is het iets minder eenduidig omdat het volgens mij van de fabrikant af hangt, maar de echt groten zitten volgens mij toch op de meeste toestellen wel. Een paar die ik zo ken zitten in ieder geval in de lijst van Apple en ook op mijn One X en BB Z10 (heb snel even verisign, godaddy en entrust opgezocht, geen zin om meer te gaan crosschecken).

Het is echter wel duurder om een certificaat te kopen bij een authority die standaard voorgeïnstalleerd zit op praktisch alle apparaten, dat is deel van de service waar je voor betaalt.
Ik weet niet echt genoeg van certificaten om het met zekerheid te kunnen zeggen, maar ik vraag me af of ze weg zouden komen met 1 certificaat voor alle ziggo modems die een publieke hotspot aanbieden, of dat elk modem dan zijn eigen certificaat moet krijgen. Als het laatste het geval is dan zou het een erg duur grapje worden om elk modem een certificaat van bv verisign te geven.

edit: Dit is trouwens wel een leuke voor als je bv Brein achter je aan krijgt omdat je iets gedownload zou hebben via Ziggo's publieke wifi. Het is nu bekend dat het systeem lek is dus bewijs maar eens dat mijn wachtwoord níet gehackt is en dat ik het inderdaad was die dat gebruikte.

[Reactie gewijzigd door Finraziel op 7 mei 2013 14:37]

VisionMaster
@deadlock2k7 mei 2013 15:05
De issues die je stelt zijn gelijk aan deze. Daarom wordt er ook aangeraden om een certificaat voor de RADIUS te nemen die door iedere apparaat te verifieren valt. Daarna is het aan het apparaat in kwestie om certificate pinning, subject DN of subject alt name checks te doen op de wifi en te klagen als het verandert is aan de gebruiker. De eerste keer inloggen is dan je enige moment van risico, wanneer je het pinnen van het certificaat begint. Voor Subject Alt/DN checking kan je dat zelf met de hand afdwingen als je dat wenselijk vind. Diverse optie in wpa_supplicant die je die opties geeft. Windows 7 doet het automatisch zelfs, OSX klaagt bij een verandering en idem op iOS. Android is helaas achtergesteld.
Titan_Fox
@ReconE7 mei 2013 10:30
Tja, en ik werd in een vorige discussie door velen voor gek verklaard omdat ik er niks voor voelde om mee te doen met dit project. Ten eerste vanwege de privacy, ten tweede uit zorgen voor de stabiliteit van mijn router en als laatste door gebrek aan enige financiële compensatie.

Ik gaf nog aan dat, hoe goed je ook je best doet, er altijd kans is dat een slimme kop een mogelijkheid vindt om d.m.v. een hotspot aan je data te komen. Ook dat er regelmatig aanzienlijke veiligheidsproblemen worden gevonden bij de routers die door providers worden geleverd.

Maar goed, zo zie je maar weer. Mijn intuïtie bleek toch correct te zijn.
Xessive
@Titan_Fox7 mei 2013 11:01
huh... Het hotspot netwerk is een fysiek ander netwerk dan wat jouw router uitzend. Dat het uiteindelijk via dezelfde lijn gaat maakt ook niets uit omdat deze gebruik maakt van een andere IP range. Qua stabiliteit zou ik me geen zorgen maken. Als je router nu stabiel is zal die dat ook blijven..

Maar waarvoor wil je in godesnaam een financieele compensatie hebben... Je krijgt al 10 mbit extra ter compensatie van de bandbreedte van de hotspots... En dan wil je er ook nog geld voor hebben. snappernixvan
Titan_Fox
@Xessive7 mei 2013 11:25
@Xessive : Mijn router is amper in staat om mijn eigen netwerk te "managen", laat staan dat ik daar nog andere mensen bij kan gebruiken. Bij P2P verkeer kakt dat ding al regelmatig in of verliest de verbinding compleet. Het mogen dan wel twee separate netwerken zijn; mijn router moet dat wel allemaal beheren.

Ik kreeg tot nog toe zo'n beetje ieder jaar een snelheidsverhoging zonder dat ik daar extra voor hoefde te betalen. Ziggo doet dit om beter te kunnen concurreren. Die 10 Mbit extra kunnen me gestolen worden; ik zit nu al op 60Mbit. Dat is meer dan genoeg.

Sterker nog; ik ben aan het overwegen om over te stappen op Alles-in-1 "Basis" zodra de downloadsnelheid daarvan rond de 20 á 25 Mbit komt te liggen. Bespaart me toch weer € 125 per jaar. Die hoge snelheden zijn leuk en aardig maar meestal maak ik er niet eens effectief gebruik van. Torrents downloaden sowieso zelden op 60Mbit (7,5MB/sec). Ik ben al blij als ik de helft haal.

Kortom; 10 Mbit extra op een verbinding die ik nu al niet ten volle benut vind ik (in ieder geval voor mij dan) geen passende compensatie. Ik heb liever € 10 korting per maand op mijn abonnementskosten. Zeker gezien het feit welke risico's er aan het activeren van hotspots vastkleven (zie dit artikel).
Crazy D
@Titan_Fox7 mei 2013 15:02
Dan moet jij ook niet ergens anders van die hotspot functie gebruik gaan maken... Ik denk namelijk dat de meeste gebruikers die erg handig vinden en met plezier een stukje bandbreedte opofferen voor het gemak "overal" via wifi te kunnen internetten (ipv 3G). Voor de enkeling die zijn router niet open wil zetten is dat af te sluiten. Alternatief moet zijn dat je kunt aangeven dat je dit niet wilt, wellicht een korting krijgt maar dan ook niet bij anderen van de hotspot gebruik kunt maken.
Titan_Fox
@Crazy D7 mei 2013 16:34
@Crazy D : Ik wil dit ook helemaal nergens gaan gebruiken. Ik heb een mobiel internetabonnement op mijn smartphone. Dit heeft enkele voordelen :

- Ik hoef niet binnen het beperkte bereik van een hotspot te zitten
- De snelheid is vele malen hoger dan die 1 Mbit die je via Ziggo-hotspot krijgt.

Als jij hebt aangegeven dat je geen hotspot opent voor andere Ziggo klanten, kun je ook niet bij anderen inloggen. Dat heeft Ziggo zo geregeld. Wat mij betreft prima. Als mensen zo nodig altijd en overal online willen zijn sluiten ze maar een mobiel abonnement af - daar heb ik ook bewust voor gekozen.

Ik ben tenslotte geen internetprovider.
Anoniem: 14842
@Titan_Fox7 mei 2013 14:08
Echt briljante logica dit.

Jij wilt financiële compensatie omdat je mogelijk bandbreedte misloopt die je niet gebruikt? Vervolgens heb je het er over dat je misschien overstapt op een ADSL abbo welke veel trager is? Stap dan over op het traagste Ziggo abbo, die is effectief meestal sneller dan de puur theoretische snelheid van ADSL...

Als je nu het traagste abbo van Ziggo had en je bang was dat je nóg minder bandbreedte zou overhouden zou ik het snappen. Maar nu raakt je verhaal gewoon kant nog wal.
Titan_Fox
@Anoniem: 148427 mei 2013 15:06
@Mecallie : Je moet goed lezen. Ik schrijf dat mijn modem-router inkakt zodra ik gebruik maak van P2P. Dit komt door het grote aantal aan verbindingen die te gelijkertijd worden geopend.

Als ik ook nog andere mensen op mijn router moet laten inloggen, raakt dat ding helemaal overbelast. Dit komt niet doordat de kabel onvoldoende capaciteit heeft (ik behaal de volledige 60Mbit ook volgens Speedtest.net), maar simpelweg vanwege de beperkte rekenkracht (processorkracht) die deze EPC3925 aan boord heeft.

Hoe meer CPU-cycles deze moet besteden aan het beheren van de hotspot, des te minder blijft er over voor mijn thuisnetwerk. Ik zal het aantal verbindingen in uTorrent dus nóg verder naar beneden moeten schroeven om te voorkomen dat dit modem-router het te pas en te onpas op de heupen krijgt, waardoor het voltooien van P2P downloads dus stukken langer zal duren.

Het gaat me dus niet zo zeer om die paar Mbit die ik dan minder zou hebben (dit zou dan sowieso gecompenseerd worden door Ziggo), maar ik zit er wel mee dat mijn router nóg instabieler wordt dan deze bereids is met mijn eigen netwerk. Ik heb al switches en CAT6 netwerkkabels aan moeten schaffen om ervoor te zorgen dat mijn thuisnetwerk stabiel en vlot loopt.

De router blijft echter de "bottleneck" hier. Er zit dus zeker logica in mijn verhaal; je moet alleen goed leren lezen. Als ik de garantie had dat ik tenminste 20 Mbit zou halen via ADSL, zou ik direct omwisselen. Ik bespaarde me dan namelijk de kosten van het TV-Basis pakket bij Ziggo die vereist is voor het afnemen van kabelinternet. Daar ik nooit TV kijk zou dat zijn meegenomen.

Echter weet ik niet welke snelheden ik hier zou gaan halen, dus is me dat risico te groot om nou over te gaan stappen naar een andere internetprovider. Ondanks dat ben ik het wel aan het overwegen, maar wissel liever straks naar een Alles-in-1 "Basis" bij Ziggo zodra die snelheden daar acceptabel zijn.

[Reactie gewijzigd door Titan_Fox op 7 mei 2013 15:08]

The Zep Man
@Xessive7 mei 2013 11:06
huh... Het hotspot netwerk is een fysiek ander netwerk dan wat jouw router uitzend.
Nee, fysiek is het hetzelfde. Het gaat over dezelfde kabel en het zelfde kabelmodem. Logisch is het gescheiden.
Tazzios
@Titan_Fox7 mei 2013 10:51
Ik weet niet waar jij je intuïtie bevestigt ziet want als eigenaar van de router heb je helemaal geen last van dit probleem.

[Reactie gewijzigd door Tazzios op 7 mei 2013 10:52]

Anoniem: 19339
@Titan_Fox7 mei 2013 13:21
Tja, en ik werd in een vorige discussie door velen voor gek verklaard omdat ik er niks voor voelde om mee te doen met dit project. Ten eerste vanwege de privacy, ten tweede uit zorgen voor de stabiliteit van mijn router en als laatste door gebrek aan enige financiële compensatie.
Je intuitie is misschien juist, maar je argumenten niet.

Het is volgens deze methode nog steeds niet mogelijk om aan je data te komen. De stabiliteit van je router (wat alvast niet *jouw* router is, je hebt hem in bruikleen) is ook niet in het geding. En financiele compensatie, voor wat precies? Het stroomverbruik gaat niet tot minimaal omhoog (nog geen euro per jaar), en in ruil krijg jij ook toegang tot hotspots. Het gaat ook niet ten koste van de bandbreedte waar je voor betaald, dus daarin hoef je ook niet gecompenseerd te worden.

Neemt niet weg dat wat dit artikel noemt wel een potentieel probleem is. Maar kom wel met de juiste argumenten voor je zegt "ik zei het toch".

[Reactie gewijzigd door Anoniem: 19339 op 7 mei 2013 13:24]

rikoos
@Titan_Fox7 mei 2013 11:11
Toch maar eens je intuitie laten updaten want het BLIJFT gescheiden!!!
To_Tall
@rikoos7 mei 2013 13:35
virtueel gescheiden. Beetje hack werk en je komt ook binnen bij het gesloten netwerk van de eigenaar..

Zo goed is een VLAN niet beveiligd. Gezien dit eigenlijk altijd alleen op een internetwerk zou draaien en niet publiekelijk. Dus ja Gescheiden virtueel fysiek niet gescheiden.

Zeker als je het netwerk zal gaan scannen zal je 2 SSID's zien en maar 1 MAC adress. Hoe moeijlijk zou het zijn om het VLAN te doorbreken?
VisionMaster
@To_Tall7 mei 2013 15:08
VLAN doorbreken is niet triviaal. Doorbreek het op dergelijke devices en stuur het op als een nieuwsitem ;)
iRuud
@Titan_Fox7 mei 2013 17:55
Waarom zou Ziggo jou een financiële vergoeding moeten geven voor het gebruik van een 2de WiFi op een modem wat jij in bruikleen hebt? Het modem is van ziggo en blijft van ziggo.
MicGlou
@iRuud7 mei 2013 19:09
Voorop gesteld... ik vind het gezeur over een vergoeding ook onzin. Iedereen die daarover begint wil gewoon rijker, of misschien beter gezegd minder arm worden en negeren het andere alternatief: Ziggo verplicht je tot niets! Enige nadeel is dat je het dan zonder die 10mbit extra moet doen (je werkelijke vergoeding)... en je mag dan uiteraard ook geen gebruik maken van Ziggo hotspots.

Maar er zijn absoluut wel valide punten te noemen hierover.

Het modem mag dan misschien van Ziggo zijn, maar ik betaal goed geld voor het gebruik van het apparaat en het staat ook nog eens in mijn huis. Gelukkig laat Ziggo de optie dus nog open om het simpelweg uit te schakelen dus dat argument is eigenlijk ook alweer snel van tafel.

Andere punt is al een paar keer eerder genoemd, hoge snelheden prima... maar waar het nou eigenlijk om draait is het aantal verbindingen wat een mode/router kan verwerken. Fervent torrent-gebruikers kunnen daarom absoluut hinder gaan ondervinden als ze flink wat connecties in de client hebben en het eventjes druk wordt op het hotspot. Het is zelfs niet heel moeilijk om de modems van Ziggo zenuwachtig te maken met een paar flink drukke torrents in je client waardoor de boel begint te haperen. Maar ook dat is weer simpel op te lossen: dan zet je het uit... alleen dan dus geen 10mbit extra en geen gebruik van hotspots.

Oftewel... men moet niet piepen, je wordt gecompenseerd met meer snelheid en gebruik van hotspots. Wil je het niet... dan doe je gewoon niet mee! Eerlijker kunnen ze het volgens mij niet spelen.

Blijft natuurlijk wel de kwestie van de wat povere beveiliging bestaan, alhoewel het iets genuanceerder ligt dan het artikel vermeld...
Armin
@iRuud7 mei 2013 22:19
Om dezelfde reden dat KPN vaak ene vergoeding betaalt als ze een zendmast op een flat zetten.

Ziggo wil dit om zo een landelijke dekkend netwerk te krijgen, en dat commercieel uit te baten.

Let wel, dat kan voor de bestaande klanten uiteraard ook een voordeel zijn, dus ik ben niet zo'n zuurpruim die meteen een vergoeding wil hebben, maar we moeten ook weer niet de andere kant op redeneren en stellen dat jij er niets over te zeggen hebt.

Uiteindelijk zal het qua interferentie wel degelijk effect kunnen hebben. Of fysiek qua wifi of qua CPU/resource belasting van je modem.

Het is trouwens niet alsof die Ziggo dingen al zo'n geweldig bereik hebben :) Om die reden zou ik het uit zetten, en mijn eigen WiFi routre gebruiken.
RGAT
@Titan_Fox8 mei 2013 05:17
Ik zie niet hoe je bijna 'flame' de vorige keer op enige wijze door dit nieuws wordt onderbouwt...
Dat het over Ziggo gaat zien we, dat Ziggo hier niet haar beste reactie geeft zien we ook (daarmee doel ik op de nogal lakse houding van Ziggo om dit op te lossen).
Dat terzijde gaat het hier over een probleem wat iedere hotspot heeft, dat een hacker deze kan nabootsen/spoofen en zo niets vermoedende gebruikers kan monitoren.
In beide gevallen weet de gebruiker niet dat de hotspot gespoofed is, door het ontbreken van een certificaat.
Hoe ze dit zouden moeten oplossen is mij ook een raadsel, we kunnen wel overal certificaten op gooien, en dan?
Volgens een aantal comments wordt het ingebouwde login systeem van de device gebruikt, dus als het een echte Ziggo hotspot is, nou toppie lekker veilig ^^, en als het een neppe hotspot is, nou ook toppie want ik heb internet (vanuit van de gemiddelde gebruiker ongeveer?).
Sinds wanneer geeft Windows bijvoorbeeld een melding als je AP certificaat niet overeen komt met die van Ziggo?
Volgens mij verbindt een device met een hotspot als de login data klopt (of de hotspot deze alsnog accepteert), een gevorderde gebruiker kan vast wel ontdekken dat er wat scheelt, maar zeg nou zelf, kijk je altijd voor je verbindt met Wifi alle informatie die je kan vinden over de AP na?
Verder wordt er gesproken over de accountgegevens van gebruikers, als ik het zo lees zijn die alleen in gevaar als je inlogt op de hotspot, dus als jij thuiszit is er geen probleem.
Tenzij je thuis via een hotspot gaat verbinden, in beide gevallen kost het geld dus weinig rede om dat te doen...
De enige momenten dat je dan verbindt is wanneer je buiten bent, op bezoek bij mensen etc.
De vraag is dan, als het 2 dagen duurt (werd hier in de comments genoemd) om die account informatie te brute-forcen, hoe vaak sta jij 2 dagen lang een hotspot te gebruiken?
(Een hotspot die waarschijnlijk even duur is als je kabel thuis neem ik aan)
CH4OS
@ReconE7 mei 2013 14:39
Deze rommel dus nooit gebruiken. Bedankt voor de tip.
Mooie is, als de router in bridge modus staat (omdat je een tweede (eigen) router er achter heb zitten bijvoorbeeld), dan is deze functie niet eens mogelijk.

Ook gezien het belachelijke bereik van de Ubee routers vraag ik me af hoeveel dit in de praktijk gebruikt gaat worden.

[Reactie gewijzigd door CH4OS op 7 mei 2013 15:59]

ergroot
@ReconE7 mei 2013 14:47
Kan dit in principe niet met iedere hotspot? Je kunt toch altijd een WiFi netwerk met dezelfde SSID aanmaken en zo clients naar je toe trekken... Niemand heeft dat door...
Conclusie is dat je nooit alleen op de veligheid van een WiFi netwerk moet vertrouwen. Dus altijd zorgen dat je HTTPS gebruikt voor diensten zoals internet bankieren, webmail maar ook SSL/TLS voor je mail diensten (SMTP, IMAP en POP3).
Terrestrial
7 mei 2013 10:12
Tja Ziggo heeft gelijk. Het hele wifi gebeuren is nooit 100% veilig te maken.

Dat voordoen als een fake accesspoint en bestaande aangelogde clients een duwtje geven kan altijd. Alleen de oplettende gebruikers zullen dan merken dat de authenticatie anders is of ontbreekt maar 90% behoort niet tot die groep en die browsen vrolijk verder. En dan is al het verkeer te loggen, niet alleen wachtwoorden voor ziggo.

[Reactie gewijzigd door Terrestrial op 7 mei 2013 10:17]

killercow
@Terrestrial7 mei 2013 10:19
Nee, daar heb je dus certificaat controlle voor.
Zodat je pc, automatisch kan controleren over de radius (login) server waar hij mee connect echt is wie hij zegt dat hij is. Maar ziggo maakt daar in hun setup een paar oplosbare misstappen. Jammer dat ziggo, en mensen als jij het probleem niet goed kunnen inschatten, maar wel een mening over de oplossing denken te kunnen hebben.
kwakzalver
@killercow7 mei 2013 10:42
Daar zit hem nu net de crux.

De standaard gebruiker heeft niet door dat het een nep hotspot is.
Het enige wat je kan doen is de gebruikers hiervoor waarschuwen en dat ze alert zijn.
En het komt regelmatig voor dat er een nep hotspot is.

Waarom ze Ziggo hierop pakken en niet de andere providers is ook zo vreemd.
Elke hotspot kan je 'spoofen' Je bouwt een nep hotspot op die lijkt op een officiele hotspot. Desnoods zet je er je eigen Radius server bij. Mensen die aanloggen geef je ook netjes internet toegang.
Je omzeilt die (echte) certificaat dus omdat de nephotspot daar geen gebruik van maakt.

Voor het farmen gebruikt men ook uthenticatie en/of verificatie bij de echte provider ineen achtergrond proces om te checken of de userID/wachtwoord combo wel echt is.
En de luie afvanger laat gewoon 1x a 2x een foutieve wachtwoord melding generen zonder verdere echte verificatie.
Belgar
@kwakzalver7 mei 2013 13:22
De gebruiker niet, maar de client als het goed is wel.

Dit gebruikt niet de normale hotspot techniek met een open laag 2 en authenticatie via laag 3-4-5. Dit gaat over authenticatie op laag 2. Zonder radius server op laag 2 is de hotspot dus sowieso 'nep'.

Hoe het zou moeten gaan

Client: YO!
Server: Server Henk hier. We praten hier alleen mschapv2
Client: ok, toevallig ik ook
Server: hier is je unieke random getal
Client: ok server Henk, als je echt bent wie je zegt is hier mijn encrypted username en password
server: klopt als een bus, hier is je unieke sleutel om laag 2 te versleutelen voor veilige communicatie

Verkeer is dus volledig versleuteld. Waar het hier fout gaat is de aanname dat als "henk" fake is, die niks kan met de encrypted username en password. Zolang dat waar is, is je data veilig ook met fake servers. Echter is dat versleutelingsprotocol dus toch te kraken. Als extra stap kun je dus met een certificaat checken of henk wel henk is en dan kun je het oude protocol hetzelfde laten. Dat wordt hier weggelaten. Je moet Henk echter wel correct faken. Zomaar een radius server neerzetten gaat niet werken. Als je radius server zich voorstelt als "willem" weet de client ook meteen dat dit niet het juiste adres is.

Laag 2 authenticatie is juist gebruikt om de nadelen van publieke hotspots te vermijden en de klacht is hier eigenlijk dat ze 80% hebben gedaan, maar geen rekening mee houden dat de buitgemaakte gegevens uiteindelijk wel te ontsleutelen zijn door een derde partij
Terrestrial
@Belgar7 mei 2013 20:47
ja leuk bedacht maar het is de gebruiker die alsnog dat nare venster weg klikt die hem mogelijk ergens voor waarschuwt. Kortom het heeft geen zin. Het beste wat je kunt doen als je via wifi gaat is openVPN gebruiken naar je netwerk thuis..

Zodra het verkeer van een client via jou fake AP loopt kun je alles loggen en zelfs HTTPS is niet veilig hoor. Die kun je terminaten en ja het valt op als je ineens inlogt bij je bank en je krijgt een melding dat "deze pagina onvelig is omdat het certificaat onbreek" behalve als er wel een certificaat is.. Het hoeft alleen niet het certificaat van je bank te zijn, hoeveel mensen ken je die bij elke site het SSL certificaat gaan nakijken?

[Reactie gewijzigd door Terrestrial op 7 mei 2013 20:50]

DutchReaper
@killercow7 mei 2013 10:42
Zoals in het artikel staat zou de extra certificaat controlle ervoor zorgen dat er problemen ontstaat bij sommige Android apparaten. Hierdoor hebben ze de overweging gemaakt tussen het niet kunnen ondersteunen van een groep gebruikers en de slechte reclame tegenover het risico dat je loopt als iemand je account achterhaald.
jbemmel
@DutchReaper7 mei 2013 12:53
Waarom niet EAP-TLS ( login met certificaten ) mogelijk maken voor gebruikers die dat willen en een device hebben waarmee het werkt?

Extended Authentication Protocol (EAP) kan meerdere methodes tegelijk ondersteunen, is iets complexer en kan me voorstellen dat ze dit voor een eerste proef niet doen, maar lijkt me voor landelijke roll-out een goede optie.
ANW
@jbemmel7 mei 2013 15:19
Als het te moeilijk is voor een eerste proef, is het ook te moeilijk voor een landelijke roll-out.
Misschien een tweede proef?
VisionMaster
@Terrestrial7 mei 2013 15:15
Dit werkt alleen op Android en niet volledig geconfigureerde Linux clients zo automatisch als dat je het schetst.

De crux zit in dat vinkje dat Ziggo je aanraad om uit te zetten. OSX, iOS en Windows clients geven je een foutmelding als de check niet klopt en ook als het certificaat afwijkt van de eerste keer inloggen. Bij Linux kan je hetzelfde bereiken door Subject DN of Subject Alt Names af te dwingen, na verificatie. Bij Android moeten we nog even wachten op (ik gok) Android 5.x
s_schimmel
7 mei 2013 10:07
Ziggo zegt in een reactie op de hoogte te zijn van de problemen, maar stelt dat een systeem nooit volledig te beveiligen is. "Ook Ziggo-hotspots niet", aldus het bedrijf in een reactie.
Als dat zo is, waarom hebben bedrijven en bijv. ziekenhuizen die toch met gevoelige informatie om gaan wifi uitgerold dat wel te beveiligen is. Lijkt mij dat deze organisaties dat niet zouden doen als de beveiliging niet goed geregeld is. Lamme reactie van Ziggo.

In het artikel wordt al een oplossing geboden. Mag verwachten dat Ziggo daar ook van op de hoogte is. Andere mogelijkheid is om niet automatisch verbinding te maken en bij het verbinding maken via zo'n web portal vragen om de login gegevens. Dat is prima te beveiligen. Anders een app ontwikkelen die het regelt. Mogelijkheden zat, zal ze wel te duur zijn. Totdat de eerste grote hack plaatsvindt en Ziggo echt schade oploopt, dan kan het ineens wel.
World Citizen
@s_schimmel7 mei 2013 10:10
Ik vraag me af waarom jij denk dat alle andere instanties niet bluffen...? Het is echt niet zo dat een ziekenhuis wel goed beveiligd is.. dat is alleen nog niet uitgekomen en in RTL boulevard geweest.

Ik heb een tijdje rond mogen lopen op een ziekenhuis, en dat betreffende ziekenhuis was zo lek als een mandje. Het duurde 10 minuten voor ik ALLES omtrent patiënt gegevens voor mijn neus had staan. En dan had ik het meest simpele account in het netwerk.

Dit was wel 6 jaar geleden, maar geloof me.. Elke instantie moet bluffen want het is nou eenmaal niet perfect te beveiligen.

Beter beveiligen gaat natuurlijk wel... maar dan ben je nog niet 100% veilig.
VisionMaster
@World Citizen7 mei 2013 15:12
Er zijn ziekenhuizen die met WPA2-Enterprise op de Wifi werken en al hun laptops hebben provisioned om alleen met de RADIUS van het ziekenhuis te connecten. Door dat benodigde vinkje weer aan te zetten zal de laptop connecten met de RADIUS en verifieren dat het alleen met die RADIUS kan praten. De methode die daar ten grondslag ligt is simpelweg SSL met verificatie van het certificaat. Dat kan dan nog extremer door niet eens username+wachtwoord te gebruiken, maar alleen met smart-cards te werken.
De basis is, alleen met de juiste RADIUS overleggen dat je op het netwerk mag en alleen aan de juiste RADIUS je credentials afgeven.
telenut
@s_schimmel7 mei 2013 10:21
Ik ken anders wel ziekenhuizen die hun wifi beveiligen met WEP encryptie maar denken veilig te zijn omdat het netwerk hidden is... (om nog maar te zwijgen over alle medische gegevens die zonder encryptie over het netwerk gaan)
Anoniem: 19339
@s_schimmel7 mei 2013 13:26
Als dat zo is, waarom hebben bedrijven en bijv. ziekenhuizen die toch met gevoelige informatie om gaan wifi uitgerold dat wel te beveiligen is.
Omdat die ook de clients beheren, en dus meer controle hebben over de devices die aanloggen op hun wifi.

Certificaat op de client, dichttikken zodat users er niet aan kunnen komen, en klaar. Die luxe heb je niet op (semi-)publieke netwerken waar gebruikers hun eigen devices beheren.
Anoniem: 67950
7 mei 2013 10:28
Zjjn jullie (Ziggo) klanten al op een of andere manier vooraf geinformeerd?

Ik wil toch wel op de hoogte worden gesteld (ik: UPC klant) als ze mijn hotspot open zetten.
Neem meteen de opt-out optie n.l.
EagleTitan
@Anoniem: 679507 mei 2013 11:08
Je krijgt een e-mail van Ziggo met uitleg op het moment dat de functionaliteit beschikbaar komt in jouw stad. Heb toevallig afgelopen week de mail gekregen omdat het in Den Haag is aangezet.
ATS
@Anoniem: 679507 mei 2013 11:17
Ja hoor, ik ben netjes geïnformeerd zowel per brief als per email.
Anoniem: 19339
@Anoniem: 679507 mei 2013 13:33
Ik wil toch wel op de hoogte worden gesteld (ik: UPC klant) als ze mijn hotspot open zetten.
Neem meteen de opt-out optie n.l.
Het is niet 'jouw' hotspot. Het is hun hotspot, wat toevallig in jouw huis staat, en alleen daarom heb de mogelijkheid om het uit te schakelen.

Het risico van dit probleem is trouwens niet voor degene die z'n hotspot openzet, maar voor degene die gebruik maken van de hotspots. Het zijn zijn/haar gegevens die gekaapt kunnen worden, maar daarme kunnen ze op elk hotspot inloggen, of dat nou bij jou of je buurman staat.
eelco74
7 mei 2013 10:28
Ik begrijp de commotie niet, dat is niet anders dan bij alle andere hot-spots als die van KPN, of wat dacht je van de hotspot bij McDonalds. Ook hier is het heel eenvoudig om een hot spot te faken of gewoon het verkeer af te luisteren. Ik ken bijna geen publieke hot-spots waar niet het nodige op aan te merken is.

Een nette disclaimer en waarschuwing bij aanloggen zou op zijn plaats zijn en wees voorzichtig met wat je over een publiek netwerk verstuurd.
Deem
@eelco747 mei 2013 10:32
Dat klopt, maar dat zijn publieke hotspots, waarvan je van tevoren weet dat die niet veilig zijn.
ATS
@Deem7 mei 2013 11:17
Dti valt dus in dezelfde categorie. Waarom is een Ziggo hotspot anders dan een KPN of een McDonalds hotspot?
Belgar
@ATS7 mei 2013 12:03
Omdat het niet gebruik maakt van standaard wifi verbindingen waarop level 3 authenticatie draait, maar van de IEEE 802.11i standaard met IEEE 802.1X authenticatie.

Er gaat dus geen data over de hotspot totdat de level 2 handshakes gedaan zijn en de handshakes zelf zijn dus beveiligd
Arjant2
@Deem7 mei 2013 11:23
En wat is dit anders dan een publieke hotspot?
Het principe is precies hetzelfde.
OF je nou via KPN hotspot of Ziggo hotspot van wifi gebruik maakt.
Het is en blijft niet je eigen netwerk maar een hotspot.
VisionMaster
@Arjant27 mei 2013 15:24
Publieke hotspots: iedereen kan dat hebben gedaan.
Ziggo hotspots: de $gebruiker heeft dat verkeer gehad, op tijdstip x bij $gebruiker2 thuis.

Ik pak alvast popcorn voor de strafzaak wanneer dit abused wordt.
Belgar
@eelco747 mei 2013 11:42
Toch is dat niet helemaal waar. Bij een "normaal" open hot-spot is er een portal, maar is de verbinding al gemaakt. Bij de ziggo implementatie moet er een server staan die een bepaald antwoord geeft voordat de client verder gaat met het "vertrouwen" van de verbinding.

Een client ingesteld voor ziggo merkt dus dat "gewone" fake hotspots niet echt zijn, omdat er geen juist antwoord terugkomt. Je kunt dit dan weer omzeilen door wel een juist antwoord te genereren dmv een eigen radius. Om te voorkomen dat iedereen een antwoord kan genereren wil je daarboven met een certificaat dus controleren of het wel van een echte server komt.

Dat laatste is hier dus niet goed toegepast, maar de stelling dat dit hetzelfde is als ieder ander "open" punt is dus niet juist. Zonder de juiste antwoorden en instellingen te weten kun je een goed ingestelde client dus niet voor de gek houden
Eagle Creek
7 mei 2013 10:05
Ziggo zegt in een reactie op de hoogte te zijn van de problemen, maar stelt dat een systeem nooit volledig te beveiligen is. "Op dit moment denken wij dat er geen aanvullende beveiligingsmaatregelen nodig zijn."
Auw... Dit neigt naar bagetaliseren en is in zulke situaties nou niet bepaald slim. Ik weet niet hoe e.e.a. letterlijk is uitgesproken, maar wanneer iemand een probleem aan de kaak stelt uitsluitend reageren met "Ja natuurlijk is ons systeem lek, maar veilig genoeg hoor, maakt u zich geen zorgen" wekt weinig vertrouwen. Licht dan ten minste toe waarom je denkt dat die aanvullende maatregelen niet nodig zijn - bewijs het tegendeel.

Hoewel dit alleen een proof of concept is en nog niet misbruikt wordt, heeft het de potentie wel een serieuze dreiging te zijn. Een radiusserver opzetten is misschien boven het niveau van de gemiddelde scriptkiddy maar als je je even in de materie verdiept krijg je er in Nederland een boel potentiele aanvalslocaties bij.

Het gebruik van certificaten is inderdaad het inboeten van gemak maar (en dat zou een brede adoptie van het wifi-gebruik indammen) maar je kunt je afvragen of je dat niet los moet laten, als het in de praktijk inderdaad mogelijk zal zijn om wachtwoorden probleemloos binnen enkele dagen te achterhalen. Je krijgt dan wel toegang tot iemands serviceaccount van een provider, inclusief wat daar eventueel aan gekoppeld is....

[Reactie gewijzigd door Eagle Creek op 7 mei 2013 10:10]

418O2
@Eagle Creek7 mei 2013 10:08
Sja, moet je dit zeggen (waarmee je eerlijk bent) of liegen en zeggen dat je het netwerk compleet dicht gaat zetten?
Grrrrrene
@418O27 mei 2013 10:15
Het verkeer is ook nooit 100% veilig, dus autofabrikanten kunnen ook stoppen met botsproeven, airbags inbouwen, kooiconstructies aanleggen, enzovoorts? ;) Dat is niet 100% veilig is, is geen excuus om een beveiligingsprobleem niet aan te pakken.

Het is ook wel eerlijk, maar de klant is toch ook niet naïef meer tegenwoordig. De veiligheid van je eigen accesspoint, je eigen PC/laptop/tablet heb je volledig zelf in de handen, laat Ziggo dan zorgen dat ze hun kant van de keten ook goed beveiligen :)
Armin
@418O27 mei 2013 22:23
moet je dit zeggen (waarmee je eerlijk bent) of liegen en zeggen dat je het netwerk compleet dicht gaat zetten?

Of eerlijk zijn, maar iets betere PR ... :)

"Ja, we onderzoeken het en zulen indien nodig maatregelen nemen. Privacy voor onze klanten is een grote prioriteit Bla bla bla".

En vervolgens doe je nog steeds niets 8-)

Maar het komt wel veel sympatieker over. O-)
vanaalten
@Eagle Creek7 mei 2013 10:18
Is het hotspot-wachtwoord dan gelijk aan het ziggo serviceaccount wachtwoord? Het zou al een stuk verstandiger zijn als het wachtwoord uniek is voor de hotspots - een hacker kan dan hooguit op iemand anders z'n account internetten, niet bij iemand z'n prive-gegevens en beheer.
Droid86
@vanaalten7 mei 2013 10:27
De Ziggo hotspots gegevens zijn aparte inloggegevens en zijn niet het zelfde als die van Mijn Ziggo.
Dat neemt natuurlijk niet weg dat er dan nog genoeg via een man in the middle attack andere informatie bekeken/gestolen kunnen worden.
copywizard
7 mei 2013 10:16
dit was natuurlijk van te voren wel te bedenken dat dit weer zo lek als een mandje wordt kwestie van tijd voor een een slimmert een win of linux tool uitbrengt om dit volledig te automatiseren is.

maar ik heb mijn kennisen al van te voren aan geraden dit uit te zetten en lukt het ze niet dan kom ik graag even langs om dit voor ze te doen

waarom leren bedrijven nou nooit van hun en andermans fouten?
Arjant2
@copywizard7 mei 2013 11:21
Waarom zou je je kennissen adviseren dit dicht te zetten?
Het heeft NIETS te maken met de veiligheid van je eigen verkeer over je eigen modem/router.

Dan moet je ze adviseren om zelf geen gebruik te maken van de hotspot, daar gaat dit namelijk over en nergens anders.
W1LL3M
@Arjant27 mei 2013 12:47
Technisch heeft dit niets met elkaar te maken, maar de houding van Ziggo zegt genoeg, een bug of lek moet kunnen, waarschijnlijk ook als dat ervoor zorgt dat iedereen wel op je LAN kan.

Ziggo zegt in een reactie op de hoogte te zijn van de problemen, maar stelt dat een systeem nooit volledig te beveiligen is. "Ook Ziggo-hotspots niet"
DutchReaper
@copywizard7 mei 2013 10:38
Dat heet vooruitgang, in de wetenschap moeten ze ook honderden fouten maken om tot uiteindelijk het juiste te komen.

De rede dat Ziggo dit wil is zodat ze geweldige service kunnen gaan aanbieden. Wanneer hun klanten hun modem ontvangen hebben ze het voor een klein bedrag aangepast voor deze functionaliteit. Doordat ze klanten over heel Nederland hebben creëren ze een iets meer beperkte goedkoop netwerk. Dit netwerk zou mogelijk in de toekomst gebruikt kunnen worden als mobiel netwerk. Verder is het heel goedkoop omdat je geen grote torens moet bouwen en de huur van de locatie hoeft te betalen. Verder hoef je ook niet mee te doen aan de frequentieveilingen want de gebruikte frequentie is gratis.

Kortom het is een utopia voor een extreem onafhankelijk goedkoop netwerk. Als het aanslaat zullen smartphones in de toekomst kunnen bellen via wifi zonder een extra applicatie zoals fiber. En nog veel meer, denk maar eens aan alle data die ISP zijn gaan sturen over COAX-kabels. De COAX kabels waren ook niet gebouwd voor internet maar daar hebben ze het wel voor gebruikt.
EnigmaNL
7 mei 2013 11:04
Je kunt het gelukkig uitzetten via Mijn Ziggo als het is uitgerold.
Arjant2
@EnigmaNL7 mei 2013 11:27
Nogmaals, waarom zou je het uitzetten?
Het heeft niets met je eigen netwerk te maken.

Het is alleen van belang voor de gebruikers van de hotspot.
EnigmaNL
@Arjant27 mei 2013 11:30
Omdat ik er geen vertrouwen in heb dat er niet meer veiligheidsproblemen mee zijn.
gevoelig
@EnigmaNL7 mei 2013 13:39
Inderdaad. Maar dan toch jammer dat het niet standaard uit staat.

Gebruikers die de functionaliteit missen zouden het moeten kunnen aanzetten.

Ik heb iig een klacht ingediend via @ZiggoWebcare over dit feit...
1 2 3 4

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee