Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 100 reacties
Submitter: thehog

De hotspotfunctionaliteit van UPC, waarmee gebruikers kunnen surfen via andermans wifi-router, is niet waterdicht. Het is mogelijk om een vervalste wifi-hotspot op te zetten en verkeer van gebruikers te onderscheppen, ontdekte een onderzoeker.

UPC logoUPC is momenteel bezig met de uitrol van wifi-hotspots in Nederland. Daarbij worden de routers van klanten ingezet als hotspots. Deze maand wordt Noord-Holland aangesloten; Zuid-Holland volgt volgende maand, waarna UPC een half miljoen hotspots verwacht te hebben.

Dat gebruikers automatisch verbinding maken met de hotspots, kan echter worden misbruikt, zo ontdekte Igor Ybema. Eerder bracht hij al aan het licht dat het mogelijk was om verkeer van hotspotgebruikers van Ziggo te onderscheppen. "Maar bij UPC is het slechter geregeld dan bij Ziggo", aldus Ybema tegenover Tweakers.

Om verkeer van UPC-klanten te onderscheppen, moet een aanvaller een vervalste hotspot met de naam 'UPC WifiSpots' opzetten. Vervolgens proberen smartphones en tablets van UPC-klanten die eerder verbinding hebben gemaakt met een hotspot van UPC daar verbinding mee te maken. UPC gebruikt geen certificaten om de authenticiteit van zijn hotspots te garanderen; dat had dit probleem kunnen voorkomen. Overigens speelt dit probleem ook met publieke wifi-hotspots.

In eerste instantie zal de verbinding niet succesvol verlopen, omdat de authenticatie via de gebruikersnaam en het wachtwoord niet kan worden voltooid. "Maar die wachtwoorden worden wel gehasht verstuurd en je kunt ze vervolgens raden", zegt Ybema. Door de wachtwoorden, die met het onveilige ms-chapv2 zijn versleuteld, naast een lijst van wachtwoorden te houden, kan in veel gevallen binnen een paar seconden het oorspronkelijke wachtwoord worden achterhaald.

Die kennis kan worden gebruikt om de authenticatie wél met succes te laten verlopen. Als een gebruiker een tweede keer verbinding probeert te maken met een netwerk, is de connectie wel succesvol. "Dan kun je bijvoorbeeld het verkeer onderscheppen", aldus Ybema. "Je zou dit kunnen automatiseren: als iemand verbinding maakt, raad je automatisch zijn wachtwoord. Als een telefoon dan probeert te reconnecten, maakt hij alsnog verbinding."

Een bijkomend probleem is dat UPC-klanten, in tegenstelling tot klanten van Ziggo, voor de hotspots zelf een wachtwoord mogen invullen. Dat wachtwoord moet uit minimaal zes letters of cijfers bestaan, en hoeft geen speciale tekens te hebben. "Daardoor is het makkelijk om een wachtwoord te raden", zegt Ybema. "Bij Ziggo zijn de wachtwoorden ingewikkelder, daarbij duurt een brute-force-aanval een dag. Bij UPC kan dat binnen een paar minuten."

UPC-woordvoerder Ronald Sutmuller zegt dat de wifi-hotspots zo goed mogelijk zijn beveiligd en tekent aan dat veel verschillende soorten devices en besturingssystemen moeten worden ondersteund. "Gezien de maatregelen die wij hebben genomen, is het voor een hacker veel eenvoudiger om via andere wegen zijn onethische doelen te bereiken", zegt hij. De provider gaat niet in op het feit dat verkeer kan worden onderschept. Wel benadrukt UPC dat wifispots gescheiden zijn van het thuisnetwerk.

Moderatie-faq Wijzig weergave

Reacties (100)

Het is verbazingwekkend eenvoudig om misbruik te maken van de automatisch inlog-functionaliteit van devices(bv je telefoon...) bij bekende hotspots.

Er zijn zelfs speciale devices die dit al voor je doen. Volgende artikel (van een jaar oud notabene) legt uit hoe dit in zijn werk gaat:

http://www.troyhunt.com/2...-to-breaking-website.html

Als alle upc klanten straks op zoek gaan naar "UPC WifiSpots" lijkt met met dit apparaatje kinderspel om een man-in-the-middle-attack uit te voeren....

Hier een lollige toepassing van dit misbruik: http://www.troyhunt.com/2...rise-mixing-trusting.html

Al met al is het straks misschien verstandiger om op een terrasje gebruik te maken van 4g dan van die handige gratis hotspot...
In zekere zin is dit toch altijd mogelijk, bij elke vorm van hotspots? Als ik een machine een dedicated draadloze router maak, een open netwerk er aan hang en die een naam geef als ziggo, tmobile of up kan ik toch een ieder die daar automatisch verbinding mee maakt zijn verkeer volgen door de packets te analyseren. En als je het dan nog slim aan pakt ook redirect je eerst naar de standaard hotspot pagina van de aanbieder.

En inderdaad, certificates zouden een probleem weg kunnen nemen zoals in het artikel staat. Maar als je een hotspot opricht waar een gebruiker al helemaal niet voor hoeft in te loggen kan je nog steeds zijn verkeer monitoren. Ik gok dat 9 van de 10 minder technologie bewuste gebruikers dit misschien niet eens merkt, die is gewoon blij met gratis internet

[Reactie gewijzigd door stverschoof op 20 maart 2014 08:57]

Inderdaad is dit bij alle hotspots mogelijk. Jaren geleden stond er al eens een artikel ergens van iemand die een free internet hotspot op schiphol (dacht ik) had opgezet en al het verkeer dat er langs kwam ging sniffen om te kijken wat mensen allemaal deden op een gratis (onbeveiligde) hotspot.
Daar kwamen ook bankgegevens, inlogcodes etcetera voorbij.
Ik denk dat het in de loop van de jaren niet beter geworden is. Maak ergens een gratis hotspot en oogsten maar.
Juist. Het is die drift naar een zogenaamd "betere" en "gratis" verbinding of het feit dat mensen (zeker op schiphol misschien wel, toeristen etc.) geen dataverbinding binnen hun bundel hebben die het zo makkelijk maakt om data te oogsten. Zolang het maar gratis is, zetten mensen er geen vraagtekens bij.
Het eerste wat ik dacht toen UPC met WifiSpots kwam, was dat ik dit meteen ga uitzetten.
Er zijn altijd wel slimme koppen die er iets mee kunnen.

Maar sommige mensen vinden het geweldig, om overal verbinding te kunnen hebben,
al weet ik het bereik er niet van.
Hu, maar het uitzetten van de officiële hotspot heeft niks met dit artikel te maken... Of heb je het artikel niet gelezen maar alleen de titel? (hoewel die het ook al omschrijft met: vervalste wifispots)
Het gaat hier erom dat bijv een, ik noem maar wat, KPN klant zijn router de naam: UPC WIFISPOTS geeft. Terwijl het geen echte upc hotspot is.

Daarbij moet het volgens mij veel makkelijker gaan om een leek te pakken. Hij ziet gewoon een upc hotspot en maakt verbinding (wat gewoon een hotspot zonder wachtwoord kan zijn) waarbij vervolgens gegevens onderschept worden.
De leek (upc klant) zal dan niet de gedachten hebben dat het niet klopt, hij ziet gewoon een upc hotspot en maakt verbinding.
Uiteraard blijft de groep nu groter, doordat je telefoon (indien wifi aanstaat) automatische verbinding probeert te maken, zonder de klik van de gebruiker..

Waar kan jij trouwens de hotspot uitzetten? Na mijn laatste reset van de router (doordat die weer eens continu uitviel) is ook mijn router een hotspot. Uiteraard wil ik dit ook niet, maar ik zie nergens in de router de optie om het uit te zetten?

Edit:
Volgens UPC een tijdje terug zou de 5GHz functionaliteit voor de hotspot gaan dienen, maar deze is al uitgeschakeld. Voor de rest zie ik nergens de optie om de hotspot uit te zetten.

Ben ik nu blind, of is het gewoonweg helemaal niet uit te zetten, en draait het inderdaad buitenom je firmware waar je kan inloggen?

Edit 2:
Google werkt uiteraard sneller voor antwoorden: uitzetten kan door in te loggen op mijnupc.

[Reactie gewijzigd door LopendeVogel op 20 maart 2014 08:28]

Ik was inderdaad net aan het inloggen om dat te gaan tikken.
Als je inlogd op mijn UPC, dan kan je daar de wifispots uitzetten. Als het goed is wordt dan de functie in jouw router uitgezet en kan jij als klant geen gebruik meer maken van de wifipots van anderen.

Andere optie is natuurlijk om het aan te laten staan, en alleen als je ergens bent waarvan je weet dat het een juiste wifispot is (vrienden/kennisen die ook upc klant zijn oid) de wifispot te gebruiken.

Ik denk overigens dat de 5GHz niet gebruikt wordt omdat er maar 1 radio in de router zit. Het is óf de 2,4 óf de 5GHz en niet beiden (tenminste bij de simpele router). Je kan niet beiden aanzetten.
Zolang je nog apparatuur wilt gebruiken die geen 5GHz gebruikt, zit je dus vast aan de 2,4GHz. (en daarom zal voor de wifispots wel gekozen zijn om de 2,4GHz te gebruiken)
Ik denk overigens dat de 5GHz niet gebruikt wordt omdat er maar 1 radio in de router zit. Het is óf de 2,4 óf de 5GHz en niet beiden (tenminste bij de simpele router). Je kan niet beiden aanzetten.
Zolang je nog apparatuur wilt gebruiken die geen 5GHz gebruikt, zit je dus vast aan de 2,4GHz. (en daarom zal voor de wifispots wel gekozen zijn om de 2,4GHz te gebruiken)
Kunnen meer mensen dit bevestigen? Ik heb sinds een tijdje problemen met de WiFi ontvangst van mijn PC (enige apparaat in huis dat alleen via 2,4GHz contact kan maken), terwijl mijn smartphone en tablet via 5GHz geen problemen hebben. Zodra ik thuis ben zal ik kijken of alles overzetten op 2,4GHz het probleem oplost, maar bevestiging is welkom.
Bij UPC heeft tot nu toe alleen de Horizon een dual-band functie. Bij alle andere Docsis 3.0 Wifi modems is het óf 2,4GHz óf 5,0GHz.
Oké, ik heb een Horizon box. Maar ik ga toch eens proberen of het uit maakt.

Update: Het maakt dus ook bij de Horizon box uit. Gisteren de 5GHz band uitgeschakeld en de 2,4GHz verbinding met mijn PC is de hele nacht stabiel gebleven.

[Reactie gewijzigd door CivLord op 21 maart 2014 11:12]

Vreemde zaak, zou dit eens posten op het forum topic: UPC Internet vragen & problemen topic deel III
Klopt, ik had het al toegevoegd in mijn reactie dat het alleen via de website van UPC uit te zetten is.
Uiteraard maakt het mij niks uit als ik nergens kan inloggen op zo'n verdachten hotspot, zelf heb ik een 4G abo, en als ik bij kennissen / vrienden zou zijn. Dan vraag ik wel om het wachtwoord van de NIET hotspot, als dat nodig zou zijn dan.

Van de 2.4/5ghz klopt inderdaad, ik zat een tijdje terug ermee te kloten, ik kan ze wel allebei aanzetten alleen klapt de router dan gelijk dicht en moet ik de reset knop ingedrukt houden wilt die het weer doen.

Ik denk dat het gros van de mensen hetzelfde hebben als mij en dat is gewoon een data bundel. Ik blijf het dus ook vreemd vinden dat upc je niet de gelegenheid geeft om te kiezen of je eraan mee wilt doen. Nee ze trekken je er gewoon in.
Op Mijn UPC kun je je wachtwoord voor Wifispots wijzigen, of de functionaliteit bij je thuis uitzetten.
Dat heeft wel als gevolg dat je zelf ook nergens meer op de UPC Wifispots kan inloggen.

Overigens dacht ik dat op iOS wel een certificaat van UPC geaccepteerd moest worden, voor se verbinding tot stand kon worden gebracht.
Op Mijn UPC kun je je wachtwoord voor Wifispots wijzigen, of de functionaliteit bij je thuis uitzetten.
Dat heeft wel als gevolg dat je zelf ook nergens meer op de UPC Wifispots kan inloggen.
Tenzij je dus een modem hebt die geen wifi heeft ;) dan mag je gewoon gebruik maken van Wifispots..
Of als je met een flinke nijptang het modem te lijf gaat. Dan weet je ook tamelijk zeker dat de hotspot uit staat.
beetje alufolie om de antenne, of deze losschroeven.
Alleen dan ben je je borg dus kwijt...
Op mijn UPC modem heb ik de wifi uitgezet. Hierdoor doet UPC Wifispot het ook niet. Wel zo handig.

Wifi regel ik met een eigen router omdat ik er zelf de controle over wil houden ('s nachts gaat wifi gewoon uit om 's morgens weer aan te gaan).
Ziggo kan toch het zelfde? Jij steld een wifi hotspot met SSID ziggo. Je telefoon of laptop ziet gewoon de SSID en maakt verbinding. Deze gaat echt niet controleren of er een certificaat nodig is.

Zo kan je ook KPN hotspot spoofen. enige wat je zelf nodig hebt is een internet verbinding, wifi routertje en SSID. Als je dan ook nog een stukje software hebt om de gebruiker te controleren kan je zo achter diverse wachtwoorden komen :) zo moeilijk is het volgens mij niet.
het uitzetten van de officiële hotspot heeft niks met dit artikel te maken...
Je geeft zelf al aan dat als je UPC hotspots uitzet, je er geen gebruik van kunt maken. Als je er niet op kunt inloggen heb je dus nooit last van dit probleem.
Bedoel dat chizzle01 wel ontopic is..
Maar precies dit, dat de hotspots geen certificaten gebruiken en te spoofen waren waardoor je nooit weet of je met de juiste hotspot verbindt of met die van een hacker...

Iets wat ook terug kwam toen Ziggo hun hotspots aanzette...
Door in te loggen op mijnUPC ben je volgens mij alleen administratief geen deelnemer (en krijg je geen wifispots password) en kan je het AP alleen écht uit zetten door de wifi op je modem uit te zetten (middels gateway 192.168.0.1 - submenu draadloos)
ik heb het uitgeschakeld door mijn oude modem (DOCSIS 3) van CISCO weer in te schakelen ipv horizon,

zou schakel je het uit :)
Het probleem is dat je hem Niet uit kunt zetten...
Al ga je naar de website, en zet je hem daar uit
Dan nog blijft de hotspot in de lucht. De website
Is dus een wasseneus, spek-en-bonen.

Ik heb hem nu al 2 keer uitgezet maar hij draait nog steeds.
Je kunt hem ook uitzetten door de radio uit te zetten in de modem. Nadeel is dan dat je zelf ook geen wifi meer hebt. Ikzelf heb een router achter mijn modem en het modem in bridge staan.
Hoe dat moet:
https://vragen.upc.nl/app...ten-op-technicolor-tc7200
of
http://www.chelloo.com/upc/index.php?topic=49049.0

Wel voordat je bridgemode selecteerd de wifi radio uit zetten.

Meer on topic: ik snap niet dat het hele wifispots verhaal nog interessant is voor de gebruiker. De meeste mensen met een smartfoon hebben al mobiel internet. Dat is veiliger en 4G is vrijwel net zo goed. Ik hoef niet zo nodig nog een bedrijf dat continue met positie volgt....

[Reactie gewijzigd door R.E. op 20 maart 2014 10:13]

Het aantal tablets met 3G/4G is nog ver in de minderheid en de hogere aanschafkosten wegen over het algemeen niet op tegen de voordelen. Internetverbinding via WiFi hotspots is dan een goede mogelijkheid voor incidenteel gebruik.
4G is net zo goed qua downloadsnelheid, maar een downloadlimiet van 200 GB vs 2 GB maakt toch wel een verschil...
Meer on topic: ik snap niet dat het hele wifispots verhaal nog interessant is voor de gebruiker. De meeste mensen met een smartfoon hebben al mobiel internet. Dat is veiliger en 4G is vrijwel net zo goed. Ik hoef niet zo nodig nog een bedrijf dat continue met positie volgt....
Volgen waar je bent wordt zo inderdaad wel erg makkelijk voor UPC.

Waar die wifi-spots wel goed voor zijn is dat ik geen zin heb om te moeten betalen voor duur mobiel internet. Zolang ik op de meeste plekken waar ik kom de WiFi kan gebruiken dan kan ik prima rondkomen met 275MB/minuten/SMS per maand.
DataSense zegt dat ik in de afgelopen paar maanden gemiddeld 150MB aan 3G internet verbruik en een goede 15GB aan WiFi internet.
Ik wil echt niet voor 3G moeten betalen op het volume wat ik nu over de WiFi verstook.
Weet je zeker dat je niet de UPC Hotspot van een van je buren ziet? Ik weet niet hoe je constateert dat het nog niet uitgeschakeld is natuurlijk, maar als er meer netwerken met hetzelfde SSID in de buurt zijn zie je deze maar 1x in je netwerken overzicht van je apparaat (de sterkste). Als je je eigen hotspot uitzet, maar je buren hebben ook UPC Hotspots, dan zul die die dus nog steeds zien staan als netwerk.

Disclaimer: ik heb zelf geen UPC, dus kan het niet zelf testen verder

[Reactie gewijzigd door TheKmork op 20 maart 2014 10:50]

Ik heb het zojuist nog even getest, door de wifi uit te zetten.
De Hotspot is vervolgens uit de lijst verdwenen.
Dus online deactiveren haalt niets uit en UPC laat dan geen andere mogelijkheid
over dan een accesspoint / router aan te schaffen en deze in bridge en naast hangen.
Ik heb geen behoefte om Wifi aanbieder namens UPC te zijn. Ik heb gemerkt dat in [bridge] mode de wifi nog steeds aan staat. Je kunt middels je browser via gateway 192.168.0.1 (evt. 192.168.1.1 of 192.168.100.1) (login vaak: admin / admin en anders je UPC-login) je (TC7200-)modem beheren en bij rubriek [Draadloos] de 2.4Ghz en 5Ghz uitzetten. Je hebt dan geen Wifi en bent ook geen UPC-wifispot voor de buurt/buren met een UPC-Wifispots-login. Je kunt evt. als je de UPC-modem daarna in [bridge-mode] hebt gezet je eigen (oude) wifi-router zonder UPCxxxxxx naam aansluiten voor eigen gebruik (en die ieder gewenst moment aan en uit zetten met een simpele druk op de knop). Je hebt dan twee netwerkkabels naar je nieuwe UPC-modem: een kabel voor bijv. je desktop (die je niet draadloos gebruikt) en een kabel naar je zelf aangeschafte wifi-router voor wanneer je die nodig hebt (voor jezelf !!! en met eigen oude naam en password als je die zoals ik al had naast je oude UPC-modem-zonder-wifi). Het kan dan wel zijn dat je desktop profiteert van hogere snelheid en je wifi(-laptop) niet, dat hangt van je (oude) wifi-router af.

Ook kan je bij het beheer van je UPC-modem via 192.168.0.1 het vermogen van 100% naar 25% zetten van deze ongevraagde, sterke twee Wifi signalen in huis als je besluit de nieuwe UPC-modem wifi wel te gaan gebruiken en aan te laten.

Bridge mode weer uitschakelen: Log in op het apparaat via 192.168.100.1 en zet de 'Switch Mode' terug van bridge op 'Router Mode' (inloggen kan niet via 192.168.1.1 omdat de gateway in bridge mode is uitgeschakeld).

Je kunt bovenstaand allemaal doen ZONDER je via je UPC-account voor WifiSpots te hebben aangemeld. Gezien het explosief gestegen aantal (UPC) Wifi punten dat ik op mijn laptop (Amsterdam) kan zien moeten al deze nieuwe wifi-modems bijzonder krachtig zijn. Als je zoals ik een oude UPC-modem had met daarnaast een eigen wifi-router kun je dus met bovenstaand recept de oude situatie herstellen en geen UPC-Wifispot zijn.

[Reactie gewijzigd door VanHolland op 21 maart 2014 13:57]

Grappig dat een beveiligingsprobleem dat al bekend is sinds de invoering van de eerste openbare WiFi hotspot nu zoveel commotie losmaakt. Grappig ook dat iedereen nu plotseling over elkaar heen valt om te schreeuwen hoe slecht UPC haar beveiliging op orde heeft en hoe goed dat bij Ziggo geregeld is.
Het enige verschil tussen UPC (wachtwoord) en Ziggo (certificaat) is alleen van belang wanneer het nep accesspoint de verbinding doorlinkt naar een echt accesspoint. Alleen dan is authenticatie nodig. Dat is bij UPC inderdaad makkelijker te doen, maar voor de meeste mensen met schimmige bedoeling niet interessant. Iemand die je internet verkeer wil monitoren om te zien wat je doet en misschien wachtwoorden van internetdiensten en emailservers wil onderscheppen kan gewoon een nep accesspoint met de juiste SSID opzetten zonder enige toegangsbeveiliging. Elke smartphone, tablet of ander apparaat met WiFi dat is ingesteld om automatisch verbinding te maken met accesspoints met dat SSID, zal dat gewoon accepteren.

De beveiliging van de accesspoints is er voor UPC, om te voorkomen dat niet iedereen zomaar gebruik kan maken van haar netwerk. Deze manier is ook niet veiliger of onveiliger dan de manier die je eigen persoonlijke accesspoint gebruikt wanneer je daar met een wachtwoord werkt. Leuk dat Ziggo werkt met een beveiliging die moeilijker te kraken is dan die van UPC, maar dat betekent dus ook dat de beveiliging van Ziggo beter is dan de beveiliging die de meeste mensen thuis op hun eigen WiFi accesspoint hebben.
Zal iedereen die nu zo opgeeft over UPC zelf thuis een accesspoint hebben opgezet dat alleen gebruik maakt van eigen certificaten? Of zullen ze thuis ook gewoon met een wachtwoord inloggen? Ik vermoed het laatste.
Dit slaat kant nog wal. En je snapt helemaal niet wat er in het artikel gezegd wordt.
UPC en Ziggo gebruiken allebei wachtwoorden. Het ontbreken van een certificaat is juist het probleem. Het enige verschil is dat UPC de gebruikers zelf het wachtwoord laten kiezen en hier geen tot weinig restricties in stopt. Hierdoor is het UPC wachtwoord veel makkelijker/sneller te achterhalen (enkele seconden vs een dag).

En nee, als jij gewoon een Ziggo of UPC hotspot maakt die 'open' is, zal geen tablet/smartphone (die van te voren geconfigureerd is voor de echte hotspots) verbinding maken omdat de instellingen niet gelijk zijn. Probeer het maar eens.

Het klopt dat Ziggo en UPC deze beveiliging kiezen om zo geen ongenodigde gasten op hun netwerk toe te laten. Maar ze beweren (lees maar in hun FAQ's) dat ze altijd de gebruiker kunnen achterhalen omdat die immers ingelogged is via gebruikersnaam/wachtwoord. En dat is dus niet waar.
Ik gebruik via hotspots altijd zoveel mogelijk een VPN connectie naar m'n internetverbinding thuis. En dan wel een veilig VPN protocol zoals L2TP. PPTP is ook alweer achterhaald namelijk.

Als je een Synology hebt staan dan heb je dat in 5 minuten draaiende.

Ik wens de hackers dan veel succes met onderscheppen van data..

[Reactie gewijzigd door ThinkPad op 20 maart 2014 08:07]

Elk protocol wat gevoelige data verstuurd zal zelf encryptie toepassen, bovendien kom je zo ver niet omdat de authenticatie faalt. Als ik het zo lees gaat het vooral om het onderscheppen van de login details hashes voor wifispots zelf om die offline te brute forcen.

Ik weet niet hoe het bij UPC maar ik mag hopen dat je wifispots login anders is dan die van je algemene UPC account.

Slechte zaak, certificaten is toch het minimale wat je kunt toepassen als bedrijf echter is de data die onderschept kan worden dus beperkt tot je wifispots login hashes als ik het zo lees..

Jouw maatregelen helpen in dit geval dus niet. Als je telefoon probeert te verbinden zit je al in hetzelfde schuitje.

Vraag me af wat de 'hacker' hier mee kan behalve gebruik maken van wifispots zonder kosten?

[Reactie gewijzigd door Pakjebakmeel op 20 maart 2014 08:19]

Ja je wachtwoord is anders dan je UPC account. Deze kun je namelijk apart instellen op Mijn UPC :)
Helaas kun je er gewoon het zelfde wachtwoord in geven :Y)
Een reguliere man in the middle attack uitvoeren en deze uitbreiden naar een man in the browser attack, waardoor dingen als https niet meer een probleem is voor de hacker.
Maar dan moet je ook daadwerkelijk sessies laten lopen over het Rogue AP? Volgens het artikel faalt de authenticatie en krijg je geen toegang.

Wat jij beschrijft zou kunnen maar dan moet je je valse AP zo inrichten dat ie toegang en internet verschaft. (Wat de volgende stap zou kunnen zijn)

Mijn vraag was naar aanleiding van de situatie in dit artikel waar het apparaat dus alleen een authenticatie poging doet en er af valt.

Overigens betwijfel ik of een website met een goed certificaat en EV zo gemakkelijk valt de MiM'en. Zeker omdat mensen niet dagen aan een dergelijk AP blijven hangen maar na een paar uur weer vertrekken dus de tijd om een dergelijke aanval uit te voeren is ook beperkt.

Maar absoluut een slechte zaak, een certificaat aanbieden bij wifi authenticatie was het minste wat UPC had kunnen doen.
Slechte zaak, certificaten is toch het minimale wat je kunt toepassen als bedrijf echter is de data die onderschept kan worden dus beperkt tot je wifispots login hashes als ik het zo lees..
Klopt wel, maar je kan de mobiele apparaten, die toegang proberen te krijgen, niet forceren om te checken of er wel certificaten worden gebruikt.
Zou de client 'onthouden' dat het netwerk een certificaat gebruikt na eerste connectie aan een echt AP van UPC en de volgende connectie valideren op de aanwezigheid van het certificaat; of gewoon blind connecten als er geen wordt gepresenteerd?

Als dat laatste het geval is beschermd een certificaat dus niet tegen Rogue AP's?

Geld dus ook voor Ziggo?
Ik vraag me af hoeveel mensen een router van UPC hebben zonder ingebouwde wifi, of zullen die mensen binnenkort een router met wifi door de strot geduwd krijgen van UPC? Anders kan de dekkingsgraad wel eens tegenvallen.
Ik heb nog een sisco modem zonder wifi. Ik heb bij het verlegging van mijn contract duidelijk aangegeven dat ik geen gratis wifi modem wil, omdat het in mijn opstelling niet handig is (ik vind het handig om aan de ene kant van de huiskamer een modem, en aan de andere kant een router te hebben, gezien mijn upc aansluiting bij de tv zit en niet bij mijn bureau). Toch hebben ze een wifi modem op gestuurd en het signaal omgezet voor de wifi modem. Ik heb veel moeite moeten doen om dit weer terug te laten draaien.

Ook vraag ik me af of ik straks gebruik mag maken van de wifispots, het werkt op dit moment nog niet op mijn aangemaakte account.
Snap niet dat je zoveel moeite hebt moeten doen, je had ook de Wifi modem kunnen houden maar het Wifi signaal uitzetten. Mocht je het dan alsnog ooit willen gebruiken dan kun je het nog aanzetten.
Maar je kan in de modem/router toch gewoon kiezen dat het als bridge functioneert? Dus voor jou opstelling als reden maakt het helemaal niet uit of je een modem/router of modem hebt:)
misschien had ik zo iets inderdaad kunnen doen, maar dat vervang ik de router denk ik liever voor een echte switch. Het was eigenlijk ook een beetje dat ik meer vertrouwen heb in sisco dan een of andere thomson router.
Die krijg je inderdaad ongevraagd door de strot geduwd. En toen ik m in de doos liet staan kreeg ik de volgende mail van UPC:
"Onlangs heeft u van UPC een nieuw modem ontvangen. Wellicht bent u er nog niet aan toe gekomen om het nieuwe modem aan te sluiten. Om van snel internet te blijven genieten is het erg belangrijk dat u het oude modem vervangt.

Sluit het modem binnen 2 weken aan.
Het oude modem wordt binnenkort automatisch afgesloten. Wij zouden het jammer vinden als u hierdoor geen gebruik kunt maken van internet. Dit willen wij te allen tijde voorkomen. Wij attenderen u er daarom graag op dat het belangrijk is het oude modem te vervangen en het nieuwe modem aan te sluiten. Voor meer informatie over de installatie kijkt u op upc.nl/klantenservice/internet. Mocht u hier zelf niet uit komen, neem dan zo snel mogelijk contact met ons op zodat wij u kunnen helpen."
(Hoe ik de Wifi van de nieuwe modem heb omzeild heb ik in een andere reactie beschreven)

[Reactie gewijzigd door VanHolland op 21 maart 2014 14:09]

Het is nog steeds een kleine moeite om UPC te laten denken dat je fijn als hotspot fungeert, maar gewoon je modem in een kooi van Faraday te huisvesten. Neem een flink groot koekblik, hang er randaarde aan, zaag een gaatje voor de kabels, leg je modem er in, deksel erop. Wel een beetje opletten of die niet te heet wordt natuurlijk, je kunt er ook altijd nog wat gaatjes voor airflow in boren, om te beginnen aan de onderkant ;-)

Ik doe dit soort dingen al jaren, al was het maar vanwege de straling die ik niet in mijn huis wil.
Tsja.... Hash naast een lijst zetten is natuurlijk een leuke manier van wachtwoord raden maar we krijgen al jarenlang op het hart gedrukt dat je geen woorden in je wachtwoord moet gebruiken en al helemaal geen makkelijk te raden woorden.

Ik wens ze veel plezier met een wachtwoord raden wat goed opgezet is: Hoofdletters, kleine letters, cijfers en leestekens, geen bekende woorden. Probleem opgelost.

Maar helaas. Ik kom nog steeds mensen tegen die de naam van hun kind of kat gebruiken......
Dat vroeg ik me ook af..

Om in te loggen op deze UPC Wifispots is het MijnUPC account nodig. Nu is het zo dat het standaard wachtwoord wat UPC aanlevert bestaat uit (random) letters en cijfers.

Nu was ik benieuwd welke "lijst met wachtwoorden" ze bedoelen in het artikel? Rainbow tables?
Is het zo dat de standaard wachtwoorden die MijnUPC hanteert in deze lijst kunnen voorkomen?

Doet verder niks af aan het feit dat UPC met certificaten zou moeten werken..
Inderdaad. Rainbowtables.
Eehm, ik kan je verzekeren dat, middels http://hashcat.net/ en een beetje wachtwoorden-raden ervaring binnen je taalgebied, een pentester (als ik) niet zo lang meer bezig hoeft hoor. Voor een goede indicatie, check de Offline Fast Attack methode hier: https://www.grc.com/haystack.htm

Een gemiddelde WPA2 PSK handshake heb je in een uurtje passief sniffen wel gevangen, dan is het kraken ervan, afhankelijk van de machine en available GPU/CPU cycles, toch meestal in een nachtje of 2 wel gebeurd, is mijn ervaring.

Voor een groot deel hebben we dit te danken aan de analyse van 150 miljoen gelekte Adobe wachtwoorden, en die van sites als linkedin e.d. Mensen zijn meer voorspelbaar dan ze denken te zijn. https://www.netspi.com/bl...ding-a-better-methodology

[Reactie gewijzigd door jubeth op 23 maart 2014 11:52]

Eehm, ik kan je verzekeren dat, middels http://hashcat.net/ en een beetje wachtwoorden-raden ervaring binnen je taalgebied, een pentester (als ik) niet zo lang meer bezig hoeft hoor. Voor een goede indicatie, check de Offline Fast Attack methode hier: https://www.grc.com/haystack.htm
Ik ben best bereid je een keer een paar van m'n vaste wachtwoorden te sturen om op los te gaan. Mijn gok is dat je ze niet binnen een week gaat raden.
Een gemiddelde WPA2 PSK handshake heb je in een uurtje passief sniffen wel gevangen, dan is het kraken ervan, afhankelijk van de machine en available GPU/CPU cycles, toch meestal in een nachtje of 2 wel gebeurd, is mijn ervaring.
Maar daar hebben we het hier niet over. We hebben het hier over het misbruiken van mensen die toevallig een keer langs komen. Daar heeft het helemaal geen zin om uitgebreide WPA2 PSK handshakes te sniffen want voordat je dat voor elkaar hebt zijn ze simpelweg alweer vertrokken.
Het artikel is wel misleidend hoor. Het impliceert dat WiFi spots van UPC niet veilig is en bezoekers bij je eigen internet verkeer kan.

Het gaat erom dat je dus mensen kan laten inloggen op je rogue AP. Dat is een algemeen nadeel van (open) netwerken. Bijna ieder toestel heeft wel 1 open netwerk in zijn lijst staan waar die automatisch verbinding mee maakt (KPN, tmobile etc..).
Wat inderdaad in het artikel ontbreekt is het werkelijke probleem dat UPC/Ziggo claimen dat het WEL veilig is (zie hun FAQ's) en/of dat ze alles aan doen om het zo veilig mogelijk te maken.

Als ze die claim verwijderen, of het juist wel met certificaten beveiligen, heb ik geen probleem meer met ze.
Toevallig probeerde ik vanmorgen die Wifispots functionaliteit voor het eerst uit, en ik moest wel degelijk een certificaat accepteren van *.upcbroadband.com . Deze staat nu in de keychain van OS X.

Maar dit lost natuurlijk niet het probleem op dat iemand anders een accesspoint kan maken met dezelfde naam en zonder certificaat. Of zijn er mogelijkheden in OS X of andere systemen om aan te geven 'verbind alleen met deze SSID als het gekoppeld is aan dit certificaat' ?

Aanvulling
Na even zoeken vind ik dat je (in elk geval in OS X maar ik neem aan ook andere OS'en) een 802.1X profiel kunt gebruiken met connectie-instellingen. Daarin staat welke SSID, welk certificaat etc. benodigd is om te mogen verbinden. Ik neem aan dat je daarmee je verbinding dus zou kunnen beveiligen zodat je apparaat niet zomaar verbindt met elk netwerk dat 'UPC Wifispots' heet.

[Reactie gewijzigd door mddd op 20 maart 2014 14:11]

Klopt. Het is inderdaad zo simpel en toch kiezen Ziggo en UPC er voor om dit uit de handleiding te laten. Ze vinden dit niet gebruiksvriendelijk genoeg. Of, ze zijn te bang voor te veel helpdesk belletjes.
Tip voor hun: maak gewoon een app die het voor de gebruikers instelt.

Natuurlijk kan de gebruiker dan alsnog de certificaat controle verwijderen/negeren maar dan heeft Ziggo/UPC zijn best gedaan om het 'optimaal te beveiligen'.
Een app daarvoor? Dan ben je 2 jaar verder hihi. Dr horizon app is er een voorbeeld van :)
Ik vind het een beetje een onzin verhaal eerlijk gezegd. Ja tuurlijk moet UPC een radius server gebruiken maar Wifi ansich is zo lek als een vergiet En een fake accesspoint kun je altijd maken daar doen die certifcaten niks aan af, je krijgt hoogstens een melding die 95% meteen weg klikt. En de hashes van wachtwoorden vergelijken met Rainbow tables kan ook al jaren en bij elke router die bij de mensen thuis staat. Kortom het hele bericht is zwaar overdreven. Als je geen risico wil lopen zet heel WIFI dan maar uit en gebruik kabels. Nog beter voor je snelheid ook ;)

[Reactie gewijzigd door Terrestrial op 20 maart 2014 23:43]

Jij begrijpt misschien wel dat wifi niet altijd even veilig is. Maar het werkelijke probleem is dat Ziggo en UPC claimen in hun FAQ's dat het WEL veilig is. Daar is het hele probleem. Ze claimen dat natuurlijk omdat ze willen dat het een succes wordt. Zeg je dat het niet 100% veilig is dan gebruikt niemand het.
Certificaat kan het wel degelijk oplossen. Als de gebruiker de melding weg klikt is het op dat moment zijn eigen keuze (vergelijk internetbankieren naar een verkeerde site) en neemt hij bewust (of onbewust) een risico. Momenteel denken de gebruikers, omdat ze door Ziggo en UPC verteld zijn, dat ze veilig gebruik kunnen maken van de hotspots.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True