Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft waarschuwt voor beveiliging zakelijke wifi-netwerken op Windows Phone

Microsoft waarschuwt dat Windows Phone 7.8 en Windows Phone 8 niet standaard controleren of draadloze netwerken die met peap-ms-chapv2 zijn beschermd wel over het juiste certificaat beschikken. Daardoor kunnen logingegevens door kwaadwillenden onderschept worden.

MicrosoftDat peap-ms-chapv2-netwerken kwetsbaar zijn, was al langer bekend: kwaadwillenden kunnen een netwerk nabootsen en zo de logingegevens van gebruikers die er verbinding mee proberen te maken onderscheppen. Dat kan worden omzeild door een certificaat te vereisen voordat er verbinding wordt gemaakt met het netwerk, maar Microsoft waarschuwt nu dat Windows Phone 7.8 en Windows Phone 8 dat standaard niet doen. Overigens doet Android dat standaard ook niet.

Door het vereisen van een certificaat handmatig aan te zetten, kunnen gebruikers voorkomen dat ze het slachtoffer van de aanval worden, benadrukt Microsoft, dat gebruikers verder aanraadt om wifi uit te zetten wanneer ze er geen gebruik van maken.

Peap-ms-chapv2 wordt voornamelijk gebruik in zakelijke omgevingen. Ook Ziggo gebruikt de techniek om zijn publieke wifi-hotspots te beveiligen; van die hotspots was al bekend dat ze na te bootsen zijn, omdat er geen certificaat wordt geserveerd.

Door Joost Schellevis

Redacteur

06-08-2013 • 12:37

23 Linkedin Google+

Submitter: DwightKSchrute

Reacties (23)

Wijzig sortering
Eduroam bijvoorbeeld maakt hier gebruik van. Bijna elke universiteit en hogeschool in BelgiŽ (en Nederland dacht ik ook) heeft er zo eentje.

Wij moeten ons op Eduroam aanmelden met onze student-id (bvb 123456@khleuven.be) en ons algemeen studentenwachtwoord. Als iemand ergens een valse Eduroam-hotspot opzet kunnen ze in principe gewoon je username en password onderscheppen (bijvoorbeeld als WiFi op je telefoon aanstaat). Op een PC krijg je dan een melding dat je je gaat authenticeren via een niet-vertrouwde server en dan kan je dat gewoon annuleren, maar op Android of Windows Phone wordt die check niet gedaan en ben je dus je logingegevens kwijt.

Als ik er nu over nadenk is dit best wel een groot probleem, op eduroam dan toch zeker. Vrijwel iedereen heeft dat op z'n telefoon ingesteld, en een namaakhotspot opzetten met de juiste configuratie om loginpogingen te onderscheppen is op een kwartiertje gedaan. Ook lectoren gebruiken dit systeem, dus eigenlijk is het voor de gemiddelde informaticastudent heel erg simpel om eventjes de logingegevens van lectoren te achterhalen en jezelf wat betere punten te geven.

[Reactie gewijzigd door AmbroosV op 6 augustus 2013 12:48]

Op je pc staat een certificaat alleen met windows standaard aan. Zowel op mijn laptop (ubuntu) als op android heb ik de certificaten in moeten stellen. Geen idee hoe het met mac zit.
Je hebt trouwens helemaal gelijk, het is kinderlijk eenvoudig om logingegevens te onderscheppen door het opzetten van een fake hotspot. Je pakt iemands wachtwoord op zonder dat hij/zij het merkt. Als je ergens gaat zitten waar geen of slechte verbinding is, maar waar wel veel studenten komen, kan je zo honderden wachtwoorden onderscheppen in een dagje. Je zal de hash van het wachtwoord daarna nog moeten kraken maar dat gaat met enkele miljoenen pogingen per seconde op consumentenhardware dus kraken is een kwestie van seconden.
Het probleem van eduroam is dat hetzelfde wachtwoord ook gebruikt wordt voor alle andere diensten. Dat betekent dat je je heel makkelijk voor kan doen als iemand anders. Niet alleen krijgt het ip adres waarvanaf je werkt de naam mee van degene die je hebt gehackt, je hebt ook toegang tot zijn/haar officiŽle email. Het is dan ook aan te raden om die certificaten in te stellen (hier te vinden voor tudelft).
Bij eduroam is het dus nog mogelijk om certificaten in te stellen maar voor zover ik weet is dit bij ziggo niet het geval. Als je dus gebruik maakt van ziggo publieke hotspots weet dan wel dat je het risico loopt dat iemand anders onder jouw naam kan gaan internetten. Met de huidige surveillance kan je dan dus ook aangeklaagd worden voor kp. Zeker als je nog ergens een encrypted container op je hd hebt staan waar je het ww van bent vergeten.
Bij ziggo is het minder erg als je wachtwoord wordt gekaapt, het wachtwoord is alleen geldig om op internet te komen. (Al erg genoeg, anoniem internetten op iemands anders z'n naam is zo vrij makkelijk. Who needs TOR? Wel even mac klonen, je weet tenslotte nooit. )

-edit-
Als je het certificaat in wilt stellen voor eduroam: (android 4.2.1)
1. Download het CA certificaat van jouw universiteit naar de sd kaart van je telefoon (zoeken met google brengt je vaak direct naar de goede pagina)
2. Open Settings -> Security.
3. Vink Secure credential storage. Eventueel moet je daar nog een wachtwoord intikken
4. Install from SD card
5. Ga naar je system settings-> wifi
6. long press on eduroam -> modify network
7. vink 'Advanced options' aan
8. Kies onder 'CA certificate' het net geÔnstalleerde certificaat

Op internet kon ik zo snel alleen deze link van bristol university vinden. Die lijkt te kloppen. Natuurlijk wel het juiste certificaat van je uni downloaden.

[Reactie gewijzigd door Berendhoo op 6 augustus 2013 13:38]

Je zal de hash van het wachtwoord daarna nog moeten kraken maar dat gaat met enkele miljoenen pogingen per seconde op consumentenhardware dus kraken is een kwestie van seconden.
Dit is niet waar, het hashen van een wachtwoord gebeurt pas OP de server, wat een client stuurt is een plain password (hopelijk wel over een beveiligde verbinding natuurlijk)

Het zou ook nergens op slaan om client-side al te encrypten, want in feite WORDT het gehashte wachtwoord dan simpelweg het wachtwoord.

Edit: Zoals Berendhoo hieronder opmerkt is het uiteindelijke proces wat complexer.

[Reactie gewijzigd door Argantonis op 7 augustus 2013 20:02]

Dat is incorrect. De client stuurt nooit zijn wachtwoord plaintext naar de server zoals dat wel normaal is bij websites. Al dan niet met een https verbinding die er voor zorgt dat meekijkers niks kunnen zien natuurlijk.

In dit geval gaat het als volgt: de client maakt verbinding met het AP op een manier die vergelijkbaar is met https. Er is dus nog geen wachtwoord verstuurd. Deze verbinding is alleen niet veilig als je zelf het AP spooft, vandaar dat je certificaten nodig hebt. Ook dit is vergelijkbaar met https.

Daarna heb je een inner authentification. Die bestaat uit een challenge response. Afhankelijk van de implementatie kunnen dit oa PAP, CHAP, MSCHAP en MSCHAPV2 zijn.

Een challenge response gaat als feite als volgt: de server stuurt een challenge. De user gebruikt de challenge en zijn wachtwoord om de response uit te rekenen. De server heeft ook het wachtwoord en kan dus ook de response uit rekenen. Als de response van de user overeenkomt met het verwachte antwoord dan moet de client dus wel het juiste wachtwoord hebben.

De response bij bijvoorbeeld CHAP is gewoon de challenge plus het wachtwoord en daar dan een hash overheen. Dat is vrij simpel te brute forcen. In het geval van MSCHAPV2 is het iets ingewikkelder maar het kan nog steeds. Omdat er in dit protocol gebruikt gemaakt wordt van DES is het minder makkelijk te brute forcen maar nog steeds gemiddeld in een halve dag. (uitgaande van een totaal random wachtwoord, maar wel professionele hardware). Voor een goede uitleg klik hier.

[Reactie gewijzigd door Berendhoo op 7 augustus 2013 00:08]

Gebruikers zitten toch niet op certificaten te wachten. En eigenlijk zitten gebruikers ook niet op beveiliging te wachten, dat is alleen maar lastig. Dus dat het standaard uit staat is jammer, maar volgens Microsoft kan je het aanzetten, dus ik ga even kijken hoe ik dat aan kan zetten op WP8.

Voor de mensen die de advisory niet willen lezen:
Configuring a Windows Phone 8 to require a certificate verifying a wireless access point:

After receiving the root certificate from Corporate IT, each Windows Phone 8 user performs the following steps:

Delete the previously configured Wi-Fi connection.

In Settings, Wi-Fi, tap Advanced
Tap and hold over the selected Wi-Fi network, and choose delete
Create a new connection and enable server certificate validation.

In Wi-Fi settings, tap on the enterprise Wi-Fi network access point which will open a Sign-in page
Enter username and password
Toggle "Validate Server Certificate" to On
Tap to choose a certificate
In the list of certificates to select, pick the root certificate issued from Corporate IT (for example, "Contoso Corporate Root Certificate"), and tap Done
Dus nee, waarschijnlijk kan dit niet via een update automatisch aangezet worden. En ik denk ook niet dat dat wenselijk is.

[Reactie gewijzigd door HMS op 6 augustus 2013 12:57]

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True