Aanvallers probeerden mailboxen Europarlement te kraken via wifi-hotspot

De publieke wifi-hotspot van het Europees Parlement is het doelwit van een man in the middle-aanval geworden. Daardoor zijn sommige mailboxen 'gecompromitteerd', al is niet duidelijk of daartussen ook accounts van Europarlementariërs zitten.

Europa vlag Europese Uit een mail van de ict-helpdesk van het Europees Parlement, die is gepubliceerd op de website van de opensourcegebruikersgroep van datzelfde Parlement, blijkt dat een onbekende een man in the middle-aanval op het openbare wifi-netwerk van het Europarlement heeft uitgevoerd.

Daarbij kon de aanvaller de communicatie tussen de client en het netwerk buitmaken. Waarschijnlijk ging het om een simpele aanval, waarbij het onversleutelde verkeer op het open netwerk werd 'gesnifft', hoewel dat niet uit de e-mail blijkt. Bij openbare wifi-hotspots is het onderscheppen van verkeer eenvoudig.

Hoewel het gaat om de publieke wifi-hotspot van het Parlement, zijn als gevolg van de aanval 'individuele mailboxen gecompromitteerd', zo blijkt uit de e-mail. Het is niet duidelijk of daar ook e-mailaccounts van Europarlementariërs tussenzitten, maar de ict-afdeling adviseert medewerkers van Europarlementariërs om uit voorzorg het wachtwoord van het account van hun parlementariër te wijzigen.

Eveneens uit voorzorg werd de openbare wifi-hotspot van het Europarlement uitgeschakeld; het is niet duidelijk of het netwerk inmiddels weer online is. De ict-afdeling drukt parlementariërs op het hart om de openbare wifi-hotspot niet meer te gebruiken, maar enkel het privénetwerk, waarvoor certificaten moeten worden geïnstalleerd.

IT-banen

Reacties (32)

Verwijderd 29 november 2013 11:36

Zodra je met zijn allen op een wifi netwerk zit met encryptie kan elke deelnemer aan dat wifi netwerk al het verkeer zien van alle clients en de router (mits ontvangst goed is) en dan maakt WPA2 opeens niets meer uit en ben je afhankelijk van https/vpn/ssl. Als je in een kroeg het wifi wachtwoord krijgt en inlogt kan je met de meest simpele command line tooltjes de meeste clear text wachtwoorden zo meekijken. Het enige wat een beetje goed netwerk zou kunnen herkennen is dat er een interface in promiscuous mode aan het netwerk hangt. En die client kan je eventueel automatisch blokkeren zodra je IDS heeft opgemerkt dat er een interface in die mode aan je netwerk hangt. Wat in de meeste gevallen betekend dat er iemand dingen doet die niet horen.

Je beveiligen tegen afluisteren door clients op hetzelfde draadloze netwerk kan maar op een paar manieren; alles via tunnels (VPN), alles via https en alleen als het cert klopt. Zolang er mensen zijn die met Outlook via smtp/pop3/imap mail halen zonder dat te versleutelen je die wachtwoorden zo uit de lucht plukt. Een MitM aanval zou opgemerkt moeten worden omdat het certificaat niet klopt. Dat een huisvrouw daar niet op let is tot daar aan toe, in Brussel moeten ze toch beter weten.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 11:57]

rookie no. 1 @Verwijderd • 29 november 2013 13:02

Dat lijkt me toch niet mogelijk als er client isolation ingeschakeld is, toch!?f Lijkt me sowieso verstandig om die optie te gebruiken op een public wifi-netwerk, al voorkom je hiermee natuurlijk niet dat je op een fake accesspoint inlogt als je niet met certificaten werkt.

Verwijderd @rookie no. 1 • 29 november 2013 13:17

Volgens mij doet wireless isolation niets meer dan ervoor zorgen dat clients niet met elkaar mogen communiceren. Je kan dan een andere client niet poortscannen of pingen omdat het access point simpelweg jou requests niet doorstuurt. Maar, zolang jij de encryptie sleutel hebt kan je het verkeer wat van en naar het access point gaat opslaan en decrypten. Ik zie een wireless netwerk een beetje als de ouderwetse hub (die stuurt in tegenstelling tot een switch al het netwerk verkeer naar alle poorten) met draadloze signalen heb je dat natuurlijk altijd.

De client isolatie zouden eigenlijk een extra laag encryptie moeten toepassen wil het echt afluisteren van verkeer tegengaan. Zolang dat niet gebeurd heb je er weinig aan. Het voorkomt dat mensen elkaar kunnen poortscannen of pingen op het netwerk, maar voorkomen dat jij met de sleutel in de hand al het verkeer kan opslaan en decrypten doet het niet.

gelfer @Verwijderd • 30 november 2013 09:20

Niet altijd zo. Er zijn AP's die verkeer van clients kunnen afschermen voor de andere clients. Je ziet dan alleen maar je eigen verkeer, niet het verkeer van de andere wifi deelnemers. Ben het al meer dan eens tegen gekomen, zelfs in consumer spullen, maar kan me niet herinneren welke merken of types het hebben.

Verwijderd @gelfer • 30 november 2013 11:05

Hoe scherm je verkeer dat door de lucht gaat dan af? Dit is technisch niet mogelijk. Via routing kan voorkomen worden dat je een client kan pingen, maar het verkeer gaat hoe dan ook door de lucht.

ASS-Ware @Verwijderd • 30 november 2013 21:29

Hoe scherm je verkeer dat door de lucht gaat dan af? Dit is technisch niet mogelijk. Via routing kan voorkomen worden dat je een client kan pingen, maar het verkeer gaat hoe dan ook door de lucht.

Gewoon wpa(2) gebruiken, dat is versleuteld.
Elke client gebruikt bij verbinden het wpa(2) password en daarna een eigen password wat hij afspreekt met het accesspoint, soms wordt dit zelfs om de zoveel tijd opnieuw gedaan.

Verwijderd @ASS-Ware • 30 november 2013 22:04

We hadden het er in dit mini draadje over wat je kan als je op het draadloze netwerk zit of de sleutel hebt... en client isolation.

Zonder sleutel kan je alles nog steeds opslaan en via een deauth een handshake loggen wanneer diegene weer in moet loggen. Met alleen al zo'n handshake kan je later offline de key proberen te kraken en het opgeslagen verkeer alsnog inzien. Wat met behulp van zg. rainbow tables zelfs met WPA2 behoorlijk snel kan gaan. En als ze WPS aanhebben op de router maakt de gebruikte encryptie ook niet uit. Zo'n WPS pin heb je in uurtje gekraakt.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 11:57]

Niemand_Anders 29 november 2013 09:08

Je zou natuurlijk ook het verkeer gewoon over SSL verbindingen kunnen laten lopen en pop3 en imap op port 110 en 143 kunnen dichtzetten en de smtp server op port 25 alleen mail laten accepteren.

Dan moeten ze wel gebruik maken van de SSL porten. En als je gebruik maakt van SSL, maakt het verder ook niet uit dat een WiFi hotspot (per definitie al gevaarlijk!) is gekraakt want de verbinding met de mailserver over de WiFi netwerk is dan versleutelt..

RGAT @Niemand_Anders • 29 november 2013 09:52

Afhankelijk of het hotmail accounts zijn of officiele mailboxen van europarlement oid zijn zou een VPN verbinding misschien ook niet misstaan.
Veel websites die HTTPS toepassen bieden dezelfde pagina's ook met HTTP aan waardoor de gebruiker echt zelf de S erachter moet typen, iets wat niet vaak gedaan wordt...
Of een website heeft het inlog formulier vanaf HTTP waarna de home-pagina na het inloggen HTTPS is maar de logingegevens alsnog met HTTP verzonden werden en leesbaar zijn...

j0ris57 29 november 2013 13:09

Volgens dit artikel was de "dader" een Franse white hat hack
http://m.euractiv.com/details.php?aid=531877

Dr.Root 29 november 2013 11:13

Of het is via docsis gebeurt met een mooi sister bordje wat coax kan sniffen (via digitale tv kaart), mail gaat altijd nog over coax

en docsis is zo lek als een mandje.

Je kan je eigen verbinding sniffen, maar ook alle verbindingen in de omgeving waar je jezelf bevindt. Met een tool ''Packet-o-matic'' en een goedkope DVB-C kaart kun je heel erg veel doen, zoals het dumpen van mensen hun mail naar maildir en het verwijderen van firewall policies/rules en quote limieten instellen op internet verbindingen, of zelfs een DoS op alle HTTP communicatie uitvoeren door het injecteren van TCP reset packets

Ik denk niet dat ze hotspots hebben gehackt met een man in the middle maar gewoon coax hebben gesnifft met deze tools en vervolgens mails hebben onderschept, wat kinderspel is voor gasten die dit kunnen opzetten

Overigens zijn ze dan ook niet te traceren omdat ze geen gebruik maken van NAT maar gebruik maken van andermans network ''spoofing''

[Reactie gewijzigd door Dr.Root op 27 juli 2024 11:57]

Plofkotje @Dr.Root • 29 november 2013 20:12

Jammer dat alle ISP's die ik ken in Europa die EuroDOCSIS uitrollen allemaal BPI+, of nog beter, SEC, aan hebben staan met goede sterke certificaten en dit geintje niet gaat werken (alles op de coax is encrypted met AES en keyuitwisseling met standaard RSA). Ook knap dat jij met een goedkope DVB-C kaart signalen terug stuurt op de return kanalen (hoe ga je anders pakketjes injecteren?), aangezien geen enkele goedkope DVB-C kaart een modulator heeft, alleen een demodulator..

In de VS en de rest van Noord-Amerika is het anders, wordt BPI+ haast nooit gebruikt en gaat je verhaaltje wel op (behalve dan dat ze daar niet DVB-C voor de downstream gebruiken).

[Reactie gewijzigd door Plofkotje op 27 juli 2024 11:57]

kaaas @Plofkotje • 30 november 2013 21:41

Deze beste man woont in belgie en heeft weinig problemen om docsis te sniffen.
http://www.google.nl/url?..._cQ&bvm=bv.57155469,d.d2k
Ik zou hem zeker kijken want hij geedt antwoorden op precies jouw vragen.

Plofkotje @kaaas • 30 november 2013 23:32

Eind 2008 zijn de kabelaars begonnen met deployment van BPI+ en SEC, dus dat kan best kloppen dat het ten tijde van die presentatie nog wel kon (DEFCON 16 was in zomer 2008). Tegenwoordig gaat die presentatie totaal niet meer op..

[Reactie gewijzigd door Plofkotje op 27 juli 2024 11:57]

fdh 29 november 2013 09:07

Ik snap het niet goed.
Wilt dit nu zeggen dat ze voor hun (web)mail http ipv https gebruiken?
Want anders kunnen de hackers wel onderscheppen, maar zijn ze er niets mee?

Noxious @fdh • 29 november 2013 10:24

Het kan ook zijn dat ze gebruik maken van onversleutelde POP3 servers.

Bij vrijwel iedere provider in Nederland is alleen toegang mogelijk via onversleutelde POP3 verbindingen tot de mailbox die je bij je internet abbo krijgt. Veel mensen gebruiken zo'n mailbox voor privezaken en/of semi-professioneel.

Ook bijv. veel budgetwebhosters bieden alleen POP3 zonder SSL aan. Het onderscheppen van POP3 verkeer is kinderlijk eenvoudig (nog eenvoudiger dan een onversleutelde login over HTTP) en dit is ook de reden dat Microsoft heeft besloten geen POP3 ondersteuning in Windows RT (tablet versie) te bouwen.

fdh @Noxious • 30 november 2013 09:09

Maar zoals ik het begreep waren dit toch mailservers onder beheer van het Europees parlement zelf?
En die zouden dan toch zeker imap of pop3 over ssl moeten voorzien hebben ipv unsecure.

halofreak1990 29 november 2013 09:20

"...waarvoor certificaten moeten worden geïnstalleerd."
Ai, en laat dat nou net te moeilijk zijn voor de gemiddelde parlementariër...

bbc @halofreak1990 • 29 november 2013 09:38

Iemand heeft zich naast de gebouwen gezet en een hotspot met hetzelfde SID opgezet. Ze hebben een melding gekregen dat het certificaat van de mailserver gewijzigd was, maar zijn toch verder gegaan. Vandaar dat de paswoorden onderschept werden.
Het andere wifi netwerk vereist de installatie van een certificaat om een verbinding te kunnen maken met dit netwerk. De installatie wordt voor die parlementariërs gedaan

De aanval die gedaan werd kan overal uitgevoerd worden om op het even wie met een man in the middle attack. Als je niet oplet en overal zomaar certificaten gaat accepteren.

bigfoot1942 @halofreak1990 • 29 november 2013 09:28

Nee hoor, lever je mobiel in bij afdeling ICT, wacht 15 minuten, klaar.

segil 29 november 2013 09:07

Waarschijnlijk ging het om een simpele aanval, waarbij het onversleutelde verkeer op het open netwerk werd 'gesnifft', hoewel dat niet uit de e-mail blijkt.

Als dit niet blijkt uit deze mail, hoe komen jullie dan tot die conclusie? Is een openbaar wifi netwerk inherent aan een wifi netwerk zonder encryptie? Of kan er ook encryptie gebruikt worden met een publiekelijk bekende sleutel?

halofreak1990 @segil • 29 november 2013 09:35

"Is een openbaar wifi netwerk inherent aan een wifi netwerk zonder encryptie?"
Ik ga er van uit dat in de context van het artikel een onbeveiligd netwerk wordt bedoeld.
Dus zonder encryptie of wat voor security dan ook.

Rinzwind @halofreak1990 • 29 november 2013 11:23

Maar ook dat is maar relatief... mailverkeer (en tegenwoordig eigenlijk steeds meer persoonlijke sites) zal zeker over HTTPS gaan. Dus niet te sniffen.. Tenzij die knuppels de inlogportal niet via HTTPS coderen of de hacker de infrastructuur beetje nabootste. DHCP server met vals DNS instellingen etc... maar dat kan ook op een bedraad netwerk...

kaaas @Rinzwind • 29 november 2013 14:28

Dit klinkt meer als een aanval met een jasager / pineapple. Erg leuk ding hij doet zich voor als elk willekeurig wifi netwerk waar een apparaat maar om vraagt. Daar verbind het vragende apparaat dan mee en dan is het dus een serieuze Man in the middel attack. Niet dus een beetje sniffen. Dan gaat https je ook niet helpen aangezien je dan een ssl strip kunt utivoeren.

FallingLeaves 29 november 2013 09:02

...maar de ict-afdeling adviseert medewerkers van Europarlementariërs om uit voorzorg het wachtwoord van het account van hun parlementariër te wijzigen.

...en voor je het weet zitten ze weer op een openbaar netwerk omdat de medewerkers het wachtwoord niet heeft doorgegeven aan de Europarlementariër in kwestie.

mike1992 @FallingLeaves • 29 november 2013 09:09

Hoe kan dat nou? Je moet ten alle tijden inloggen met het wachtwoord, zowel openbaar als prive. Het verschil is dat het wachtwoord in het open netwerk gesnift kan worden. Het is dan toch niet mogelijk om in te loggen in de mailbox, of welk netwerk dan ook, zonder wachtwoord?

Verwijderd @mike1992 • 29 november 2013 09:28

Dat klopt echter kan de informatie wel over https of een ander encrypted protocol worden verstuurd hierdoor word de informatie onbruikbaar.

kipsofthemud @Verwijderd • 29 november 2013 17:45

SSLstrip > https

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (32)

Sorteer op:

Weergave: