Ziggo beveiligt wifi-hotspots met certificaten en verhoogt snelheid - update - IT Pro - Nieuws

Ziggo gaat zijn wifi-hotspots, waarvoor het de modems van klanten gebruikt, beveiligen met certificaten. Dat heeft Ziggo-ceo René Obermann woensdagmiddag bekendgemaakt. Bovendien is de limiet van 3Mbit/s per hotspotverbinding verdwenen.

Ziggo Met het toevoegen van certificaten lost Ziggo een beveiligingsprobleem op dat ongeveer een jaar geleden werd ontdekt en waarbij de wachtwoorden en het dataverkeer van gebruikers onderschept konden worden. Dat kon doordat het hotspotnetwerk geen certificaten gebruikte, waardoor een kwaadwillende een vervalste hotspot zou kunnen opzetten. De wachtwoorden van gebruikers werden weliswaar gehasht, maar niet versleuteld, en waren via diensten als CloudCracker binnen luttele uren of dagen te kraken.

Dat moet nu onmogelijk zijn, doordat certificaten worden gebruikt om de authenticiteit van een Ziggo-hotspot vast te stellen; apparaten van gebruikers accepteren daardoor geen verbindingen met valse hotspots meer. Desondanks zijn er ook nu nog vraagtekens te zetten bij de veiligheid. Tijdens een hackathon die door Ziggo werd georganiseerd, zijn onderzoekers er weliswaar niet in geslaagd om in te breken in het nieuwe, veiligere systeem, maar ze hebben er wel een theorie over. "Mogelijk hebben we alsnog toegang tot gebruikersnamen en wachtwoorden van klanten, maar dat hebben we nog niet kunnen testen", aldus Erik Westhovens, de beveiligingsonderzoeker die de theorie bedacht. Later deze week gaat hij samen met Ziggo testen of de theorie klopt.

"Het toevoegen van certificaten maakt de wifispots veel veiliger", aldus Ziggo-ceo René Obermann. Toen het probleem van de wifi-hotspots aan het licht kwam, beweerde Ziggo nog dat het niet nodig was om maatregelen te nemen. "Maar jij denkt nu misschien ook anders over dingen dan een jaar geleden", aldus Obermann tegenover Tweakers.

Volgens zijn Ziggo-collega Herman Weerman heeft de telecomprovider besloten het probleem op te lossen omdat 'gebruikers zich onveilig voelden door de berichten in de media'. Apparaten die de veilige certificaten niet kunnen gebruiken, blijven echter gebruikmaken van de oude, kwetsbare loginmethode. Gebruikers van sommige apparaten, zoals Android-smartphones, moeten handmatig een self-signed-Ziggo-certificaat installeren.

Daarnaast heeft Ziggo de limiet van 3 megabit per seconde per hotspot-gebruiker verwijderd. Wel is er nog een limiet van 10Mbit/s voor alle gebruikers op één hotspot samen, waardoor de snelheid in veel gevallen stijgt. "In de toekomst moet het nog sneller worden", belooft Ziggo-ceo Obermann. Volgens Ziggo verstoken gebruikers gezamenlijk 45 tot 50 terabyte aan data via in totaal 1,3 miljoen wifi-hotspots; dat komt neer op 1 procent van het totale dataverkeer van Ziggo. Van de hotspots wordt 71 procent wekelijks gebruikt, claimt de provider.

Gebruikers klaagden dat ze als ze wifi-spots hadden ingesteld ze thuis met de wifi-hotspot op hun eigen Ziggo-modem verbinding maakten, in plaats van met hun eigen privénetwerk. "Vanaf 7 juli rollen we een firmware-update die dat verhelpt", aldus Weerman van Ziggo. Vanaf dan detecteren de modems wanneer iemand thuis is; in dat geval wordt de wifi-hotspotverbinding geweigerd. Wel kunnen klanten dan nog last houden van buren met een wifi-hotspot.

Voor zijn hotspots gebruikt Ziggo net als concurrenten KPN en UPC de modems van klanten. Het bedrijf belooft dat de netwerken van gebruikers en de openbare hotspots strikt gescheiden zijn. Klanten die desondanks geen wifi-hotspot op hun modem willen hosten, kunnen zich uitschrijven.

Overigens kampten de hotspots van UPC eveneens met het beveiligingsprobleem dat Ziggo gaat oplossen. Ook UPC heeft zijn hotspots voorzien van een certificaat.

Update, 16:36: Informatie over de hackathon toegevoegd.

IT-banen

Reacties (111)

TVL 30 juni 2014 17:04

Ik las in het bericht het volgende:

Gebruikers van sommige apparaten, zoals Android-smartphones, moeten handmatig een self-signed-Ziggo-certificaat installeren.

Hoe kan ik dat doen? Waar haal ik zo'n certificaat vandaan? Is dat verplicht of bevorderd dit de veiligheid? Wanneer is dit allemaal uigerold?

Edit: Verder heeft Ziggo wat betreft het volgende tegenstrijdige op hun site geplaatst:

Wel of geen certificaten?
Nog even terugkomend op de certificaten. Vaak wordt als oplossing voor meer veiligheid het werken met certificaten voorgesteld. Daar hebben wij goed naar gekeken en conclusie is dat certificaten schijnveiligheid bieden. De volgende mogelijkheden zijn onderzocht:

Een algemeen 'Ziggo server certificaat'. Dat helpt maar is niet voldoende. Want een nep-hotspotter kan zelf ook certificaten uitdelen die sprekend lijken op officiële 'Ziggo server certificaten' zonder dat het zichtbaar is dat ze nep zijn.
Individuele certificaten die op de eigen telefoon moeten worden geïnstalleerd. Dat biedt meer veiligheid. Maar er zijn zoveel verschillende soorten telefoons en besturingssystemen (IOS, Android, Windows, Symbian en Blackberry versies) dat certificaten helaas niet altijd werken. Bovendien is de installatie vaak te ingewikkeld voor een groot deel van onze abonnees. Sommige certificaten geven geen foutmelding als het wachtwoord niet klopt. Of er wordt een onbegrijpelijke foutmelding getoond. Dus dit is ook niet altijd veilig.

Bron: https://www.ziggo.nl/klan...ifispots-veiligheid-extra

[Reactie gewijzigd door TVL op 23 juli 2024 04:29]

Dalyxia 30 juni 2014 15:24

Jammer dat de Wireless module en de Ubee routers zo verschrikkelijk slecht is. Waardoor ik nu mijn eigen router eraan gekoppeld heb en de ziggo hotspot nu uitstaat.

XoReP @Dalyxia • 30 juni 2014 15:50

Als je gebruiktmaakt van de volgende methode kun je jouw eigen router 'bridged' gebruiken en daarbij de routingfunctionaliteit en hotspots van de Ubee blijven gebruiken

http://ziggo-gebruikers.n...php?p=429932&postcount=71

ASS-Ware @XoReP • 1 juli 2014 00:59

Als je gebruiktmaakt van de volgende methode kun je jouw eigen router 'bridged' gebruiken en daarbij de routingfunctionaliteit en hotspots van de Ubee blijven gebruiken

http://ziggo-gebruikers.n...php?p=429932&postcount=71

Waarom zou je zo moeilijk doen?
Je kan de WAN poort van je eigen router gewoon aan een LAN poort van het Ziggo modem aansluiten, NAT over NAT werkt prima.
Doe ik al maanden zo.
Netwerk achter het Ziggo modem is voor gasten, netwerk achter mijn eigen router is van mij.

XoReP @ASS-Ware • 1 juli 2014 10:20

Omdat NAT trough NAT zeker in wat professionelere netwerken ongewenst is. Er is meer dan alleen TCP/UDP, en probeer maar is de meeste VPN verbingen lekker te laten werken met een NAT trough NAT. Daarbij is het een stuk overzichtelijker werken als je gewoon je externe IP als WAN ip heb in je eigen router.

ASS-Ware @XoReP • 1 juli 2014 18:18

Omdat NAT trough NAT zeker in wat professionelere netwerken ongewenst is. Er is meer dan alleen TCP/UDP, en probeer maar is de meeste VPN verbingen lekker te laten werken met een NAT trough NAT. Daarbij is het een stuk overzichtelijker werken als je gewoon je externe IP als WAN ip heb in je eigen router.

NAT over NAT werkt prima, je moet alleen weten hoe je moet forwarden, maar dat is echt heel simpel.
Ik doe het al heel lang zo, SSL, VPN, WWW, RDP, alles werkt perfect.

RatedR 30 juni 2014 15:11

Heeft UPC te maken met dezelfde veiligheids issues vraag ik me nu ineens af? Of maken die al gebruik van certificaten?

Joop Visstick @RatedR • 30 juni 2014 18:20

Laatse alinea, 1e regel: <quote>Overigens kampen de hotspots van UPC eveneens met het beveiligingsprobleem dat Ziggo gaat oplossen. </quote>

Dus ja UPC heeft ook te maken met dezelfde veiligheids-isseus.

mrdemc @Joop Visstick • 1 juli 2014 09:51

Wel vreemd, probeerde gister nog verbinding te maken met een UPC Wifispot maar deze toonde mij een certificaat gesigned voor Liberty Global (het moederbedrijf) dat dus aantoont dat zij ook certificaten gebruiken.

XoReP @RatedR • 30 juni 2014 15:12

Ik zag toevallig een WiFi-Spots app van UPC die volgens mij ook een profiel met certificaat insteld op je telefoon.

Ben benieuwd of Ziggo het ook zo gaat oplossen...

EDIT: Linkje: https://play.google.com/s...bertyglobal.secureconnect

[Reactie gewijzigd door XoReP op 23 juli 2024 04:29]

nieuwveen 30 juni 2014 15:14

Blijft jammer dat het gebruik hiervan op ios apparaten verschrikkelijk onhandig is. Je kan je wifi netwerken niet prioriteren

[Reactie gewijzigd door nieuwveen op 23 juli 2024 04:29]

maceddy2004 @nieuwveen • 30 juni 2014 15:23

Ja erg irritant dat je geen voorkeursnetwerken in kan stellen.
Dat is ook DE reden dat ik de Ziggo Wifispots weer verwijderd heb. Kreeg deze thuis ook steeds en dan kan ik niet bij mijn interne resources

gidion1987 @maceddy2004 • 30 juni 2014 15:27

Ik heb op Android Wifi Priority geinstalleerd. Als mijn home wifi in de buurt is, wordt daarmee verbinding gemaakt. Overal anders met Wifi spots van Ziggo. Werkt erg goed

MissMe NL @gidion1987 • 30 juni 2014 15:40

ook altijd last gehad van dit probleem. thanks voor de tip.

bassiez1987 @MissMe NL • 30 juni 2014 15:53

tasker is ook een optie

MissMe NL @bassiez1987 • 30 juni 2014 18:50

ok thanks kijken welke meer bied.

tweaker1706 @MissMe NL • 30 juni 2014 20:37

Bij tasker moet je zelf een hoop zelf doen. Er zijn wel handige tutorials van online. Tasker (vind ik) zowiezo een must-have voor android. Je kunt er een hoop leuke, handige, soms grappige dingen mee doen en gaat dieper dan alternatieven, maar lijkt toch simpeler. Wifi priorities is wel simpel in te stellen volgens mij, heb ik alweer even geleden gedaan.

[Reactie gewijzigd door tweaker1706 op 23 juli 2024 04:29]

MissMe NL @tweaker1706 • 30 juni 2014 20:55

Wifi priorities hoef je alleen maar de juiste netwerk in een lijst toe te voegen. even testen of het doet wat het moet doen.

nieuwveen @gidion1987 • 30 juni 2014 15:32

Ik hoop dat Apple een keer met deze mogelijkheid komt.

T_E_O @maceddy2004 • 30 juni 2014 15:41

Een mogelijkheid is nog om middels Apple Configurator een profiel aan te maken met je Wifispots-instellingen. Daarbij geef je dan aan, dat niet automatisch verbonden mag worden met dit netwerk.

Het is nog geen perfecte oplossing, want nu moet je altijd zelf in je wifi-settings verbinden met dit netwerk, maar je kunt 't wel gebruiken zonder steeds het beschreven probleem te ervaren.

PhilipsFan @T_E_O • 30 juni 2014 18:16

Heeft iemand dit ook echt werkend? Want het is mij in ieder geval niet gelukt. Ik kon een Wifi-netwerk aanmaken in de configurator en het vinkje uitzetten van 'automatisch' verbinden, maar wat ik ook deed, het vinkje ging steeds vanzelf weer aan.

EraYaN @PhilipsFan • 30 juni 2014 20:55

Als je verbonden bent met het netwerk ,kun je na op de "i" gedrukt te hebben kun je bij (sommige) netwerken ook kiezen at je niet automatisch verbinding wil maken (vooral bij netwerken van eduroam zie ik het)

T_E_O @PhilipsFan • 1 juli 2014 10:22

Ja, ik heb 't zelf echt werkend. Ik moet zeggen, dat ik nu in het (oudere) iPhone Configuration Utility ook dat vinkje elke keer aan zie springen. In Apple Configurator heb ik daar geen last van. Wellicht daar eens mee proberen?

Patrick_Wolf @nieuwveen • 30 juni 2014 16:23

In het artikel staat toch het volgende hierover:

Gebruikers klaagden dat ze als ze wifi-spots hadden ingesteld ze thuis met de wifi-hotspot op hun eigen Ziggo-modem verbinding maakten, in plaats van met hun eigen privénetwerk. "Vanaf 7 juli rollen we een firmware-update die dat verhelpt", aldus Weerman van Ziggo.

[Reactie gewijzigd door Patrick_Wolf op 23 juli 2024 04:29]

nieuwveen @Patrick_Wolf • 30 juni 2014 17:02

Ik hoop dat ze het dan instelbaar maken wat thuis is via een webportal, zodat je ook geen last heb van de hotspot van de buren.

Patrick_Wolf @nieuwveen • 1 juli 2014 13:32

Ook dat staat in dezelfde alinea

Vanaf dan detecteren de modems wanneer iemand thuis is; in dat geval wordt de wifi-hotspotverbinding geweigerd. Wel kunnen klanten dan nog last houden van buren met een wifi-hotspot.

Helaas ontkom je daar dus niet aan. Ik zou zeggen zet je eigen netwerk op een andere kanaal zodat deze in jou huis ook echt een sterker signaal is zodat hij niet overspringt.

Mr. Jinx @nieuwveen • 30 juni 2014 16:12

Dat heeft UPC dan wel weer leuk opgelost. Het kabelmodem houd bij welke MAC adressen via je eigen wifi netwerk verbinding hebben gemaakt. Hiervan wordt een soort persoonlijke blacklist gemaakt. Deze blacklist wordt dan ge-exclude van je eigen WiFi hotspot.

Anoniem: 286841 @nieuwveen • 1 juli 2014 01:28

Je kan met de iphoneconfiguratietool http://support.apple.com/kb/DL1466?viewlocale=nl_NL dat wel doen, maar vervolgens moet de backup dan versleuteld worden. Was voor mij te lastig.

Frustus Maximus @nieuwveen • 30 juni 2014 15:24

Kun je niet éénmalig inloggen? Waarna iOS alle Ziggo hotspots automatisch herkent en verbindt?
Zo werkt het tenminste op mijn Nexus 5.

Ik vraag me wel af of de hotspot ervoor zorgt dat de internetsnelheid van de rest van het netwerk verlaagt.

Anoniem: 544923 @Frustus Maximus • 30 juni 2014 15:46

Hotspots vertragen je eigen netwerk niet. Ziggo heeft je extra snelheid gegeven boven op je huidige abonnement voor Wifi-spots alleen.

firest0rm @Anoniem: 544923 • 30 juni 2014 16:41

um nee de hotspots zitten op een gescheiden netwerk en gebruiken een andere frequentie op de kabel

de hotspot kan dus niks vertragen van je eigen verbinding en andersom ook niet

Anoniem: 544923 @firest0rm • 30 juni 2014 17:03

Dat zei ik toch ook?
Ziggo geeft je extra snelheid boven op je abonnement. Stel jij hebt een abonnement met 90 Mb download. Dan geeft ziggo jou 9 Mb extra voor wifi-hotspot.

firest0rm @Anoniem: 544923 • 30 juni 2014 17:07

nee dat geeft Ziggo niet boven op je abbonoment het zijn gescheiden netwerken

Anoniem: 544923 @firest0rm • 30 juni 2014 17:09

nee dat geeft Ziggo niet boven op je abbonoment het zijn gescheiden netwerken

Van de ziggo website:
Wordt mijn internetverbinding langzamer wanneer iemand gebruik maakt van mijn WifiSpot?

Wanneer u een Wi-Fi modem heeft, biedt deze een WifiSpot aan via een tweede, gescheiden draadloos netwerk. De internetsnelheid van uw privénetwerk verandert niet.

Uw Wi-Fi modem heeft 10 MBit/s extra snelheid beschikbaar gekregen voor de WifiSpot, naast het abonnement waar u voor betaalt. Het verkeer van gebruikers van uw WifiSpot loopt via die extra 10 MBit/s. Uw internet thuis wordt hierdoor dus niet langzamer.

Wij hebben beide hier gelijk. Maar omdat wij hier op tweakers zitten ga ik er wel van uit de het over het tweede gescheiden netwerk wel duidelijk was.

firest0rm @Anoniem: 544923 • 30 juni 2014 17:11

ja maar dat heeft dus niks met je abbonement te maken maar met het feit dat je modem dit aan kan.

ook al zitten we op tweakers hoeft dat niet duidelijk te zijn de vraag stelling was namelijk

Ik vraag me wel af of de hotspot ervoor zorgt dat de internetsnelheid van de rest van het netwerk verlaagt.

daarbij kun je er vanuit gaan dat hij dit dus niet wist!

[Reactie gewijzigd door firest0rm op 23 juli 2024 04:29]

Armin @Anoniem: 544923 • 30 juni 2014 17:51

Ziggo heeft je extra snelheid gegeven boven op je huidige abonnement voor Wifi-spots alleen

Reclame-folder praat.

Ik zal de eerste zijn die erkent dat het in de prakltijk wel mee zal vallen, maar tenzij er op de hele route van wifi tot aan backbone overcapaciteit is, zal het wel degelijk meetbare (dat is wat anders dan merkbaar) vertraging geven.

Grootste risico is bij de WiFi. Veel WiFi stations in een kleine omgeving geeft al congestie daar. Dan is er de vraag of je processor van je modem het allemaal aan kan. Ik heb geen idee of die dingen veel overcapaciteit hebben.

En dan komt de kabel. In bepaalde gebieden is alles koek en ei, maar in andere regio's is er een capaciteitsprobleem. Zeker in bepaalde regio's. Meer gebruikers betekent dan wel degelijk extra vertraging.

In het buitenland - waar exact identiek techniek gebruikt wordt - erkennen providers soms wel eeerlijk dat het vertraging kan opleveren, doch meestal niet zal doen.

_JGC_ @Armin • 30 juni 2014 18:35

Ziggo geeft je als gebruiker een profiel dat gecapt is op de voor jou geldende snelheid. Bovenop die snelheid is voldoende ruimte voor wifi spots en telefonie.

Wat je wel deelt is de zendtijd van je wifi radio. Het gros van die dingen zal maximaal 150Mbit verbindingssnelheid halen op 2.4GHz, in de praktijk mag je blij zijn met 90Mbit netto. Als je een 120 of 180Mbit abonnement hebt is dat al niet toereikend, maar als je vervolgens de zendtijd op je router ook nog moet delen met een gastnetwerk van 10Mbit ben je dus wel snelheid kwijt.

Armin @_JGC_ • 30 juni 2014 18:44

Bovenop die snelheid is voldoende ruimte voor wifi spots en telefonie.

Mits inderdaad de route van kabel (inclusief dat eerst stukje over die oude kabel in jouw in 1950 gebouwde huis

) tot aan het wijkkastje het aan kan.

En indien Ziggo inderdaad de capaciteit heeft, en niet overbelast - wat in sommige regio's wel degelijk voorkomt.

En ik refereerde naar interferentie met het netwerk van de buren, overburen, onderburen, etc. Als opeens iedereen in jouw flat twee netwerken uitzend, heb je nog additionele overhead bovenop het door jouw genoemde probleem.

En in de praktijk zijn die Ziggo wifi routers al niet de beste qua zendcapaciteit. Ik heb kennissen die de deur open moeten laten staan op sommige momenten om fatsoenlijk bereik in huis te hebben. Dat is evident een extreem geval, maar het geeft aan dat niet alles zo mooi werkt in de praktijk.

_JGC_ @Armin • 30 juni 2014 19:50

Ziggo en UPC hebben overal gewoon 16 transportstreams voor downstream en 8 transportstreams voor upstream. Dat is voldoende voor 16x50Mbit downstream en 8x27Mbit upstream op een segment. Je modem gebruikt daarvan 8 kanalen downstream en 4 kanalen upstream. Als je kabel zo brak is dat die 16/8 streams er niet zijn, dan zijn er ook andere klachten zoals digitale televisie met storing en mogen ze komen graven.

Wat betreft dubbele netwerken uitzenden, je krijgt er helemaal geen extra zenders bij, je krijgt er SSIDs bij. Of jouw buurman nu 1 of 10 netwerken uitzendt op kanaal 11 met 1 accesspoint, je zult in beide gevallen net zoveel last van je buurman hebben als jij je zender ook op kanaal 11 hebt staan. Bij wifi associeer je met een bepaald MAC-adres en je stuurt ook gericht packets door de lucht naar dat MAC-adres.

Verder de "brakheid": Nee, ik ben ook geen fan van die Ziggo routers, ik ben wat dat betreft ook blij met mijn eigen router en mijn non-wifi modem. Het probleem bij Ziggo modems met Wifi is vooral dat het niet mogelijk is om je antennes fatsoenlijk te richten en het feit dat ze vaak op plekken worden opgehangen waar je allerlei storingsbronnen hebt (meterkast).

Armin @_JGC_ • 30 juni 2014 21:08

OK, als inderdaad de Ziggo hotspots inderdaad beide SSID's op 1 MAC zetten, is dat gevaar klein, maar dat zou een eigenaardige configuratie zijn.

De meeste accesspoints zullen een uniek BSSID gebruiken per SSID, waarbij op MAC level dus de virtualisatie gedaan wordt. Dan wordt dus weldegelijk twee keer de channel management overhead verstuurd.

Doe je dat niet, kun je namelijk compatibiliteitsproblemen met oudere clients krijgen, dus het zou me verbazen als Ziggo dat doet.

Maar je ziet dan gelijk dat alle omliggende AP's die in diezelfde cell opereren dus allemaal interfereren. Immers de overhead is proportioneel met het aantal SSID's. Dat is immers inherent aan de WiFi standaard.

Deze overhead valt overigens wel mee als het een enkel apparaat is want het is slechts zo'n 2 a 3%. Maar als je in een flat of ander dichtbevolkt wifi gebied zit, wordt het heel erg snel meetbaar en zelfs afhankelijk van de toepassing merkbaar. Voor 5GHz is het probleem wel kleiner dan voor 2,4GHz, maar kan nog steeds vele procenten afsnoepen van je bandbreedte.

En daarbovenop komt nog het aantal gebruikers dat fysiek zal uitzenden. Een enkele meelifter zal geen probleem zijn, maar in een cafe-gebied, wordt het minder prettig. Fysieke bandbreedte ineen channel is immers ook een schaars goed.

_JGC_ @Armin • 30 juni 2014 21:13

Ik heb hier al tig jaar met OpenWRT en het mac80211 framework virtuele SSIDs met allemaal hetzelfde MAC-adres. Kan zijn dat ouderwetse 802.11b hardware dat niet meer ondersteunt, maar hoe breed is die zooi gezaaid? Dat is dezelfde zooi die ook niet werkt met 802.1x of WPA2 authenticatie.

Vroeger met madwifi had je idd virtuele interfaces met een aangepast MAC-adres per SSID, dan werkt het idd zoals jij zegt. Ik weet niet wat huidige Cisco en Ubee modems gebruiken om de wifi chips aan te sturen, dus kan je daar vrij weinig over zeggen.

Mermer @Frustus Maximus • 30 juni 2014 15:47

Kun je niet éénmalig inloggen? Waarna iOS alle Ziggo hotspots automatisch herkent en verbindt?

Zo werkt het inderdaad, zowel voor Android als voor IOS. Het probleem zit 'm er in dat je (IOS) apparaat thuis de keuze heeft tussen je eigen wifi netwerk en de Ziggo hotspot. Het niet kunnen aangeven dat je verbonden wilt worden met je eigen wifi netwerk als beide in bereik zijn, is erg frustrerend.

m_a_rnix @nieuwveen • 30 juni 2014 21:56

Ga naar je eigen netwerk in de lijst, klik op i. Vervolgens vergeet dit netwerk, en dan weer aanmelden. iOS prioriteert volgens mij op volgorde van eerste aanmelding (omgekeerd dan).

Aionicus 30 juni 2014 15:44

Hmm dit is weer het halve werk , er zijn al manieren om hierlangs te komen , ja certificering helpt een beetje , maar iemand met een beetje een leuke linux configuratie (backtrack , arch modded etc) of nog veel leuker... een black box kali pi editie hoeft zich niet heel veel druk te maken om het certificaat. Er is al lang gebleken dat wifi met certificaten te kraken is.

Persoonlijk blijft wifi-hotspot uit bij mij , heb al genoeg aan mijn 500mb voor mobiel (en gelukkig geen 4g , anders had ik wel meer nodig ivm de bijvangst door de snelheid). En ik wil niet aansprakelijk zijn voor als iemand iets op mijn lijn flikt , ondanks dat het een afgeloten "virtueel" stukje is ben ik toch de verantwoordelijke. Ik heb het immers aan laten staan in mijn modem.

ThinkPad @Aionicus • 30 juni 2014 15:55

Fout, jij bent niet de verantwoordelijke. Het is compleet gescheiden. Jij kan er nooit aansprakelijk voor zijn, omdat het via Ziggo loopt. Het zou anders zijn als jij zelf een openbare WiFi-hotspot ging aanbieden. Dan ben jij wel de verantwoordelijke.

soepkip @ThinkPad • 30 juni 2014 17:08

Fout,

middels wetgeving en vaste jurispredentie is vast komen te staan dat een ISP geen verantwoordelijkheid heeft over wat een gebruiker doet, en dat wanneer je een openbaar netwerk aanbied (dus ook een open guest wifi) je onder de ISP uitleg valt

Armin @soepkip • 30 juni 2014 18:49

En het grote verschil is ook, tussen verantwoordelijk zijn, en verantwoordelijk gesteld worden.

Als er eerst een politieauto voor de deur komt, er enkele onderzoeken gedaan worden, etc is het leed al geschied. Dan dan naderhand blijkt dat het een gastgebruiker was is dan mooi, maar te laat.

Orion84 Admin General Chat / Wonen & Mobiliteit @Armin • 30 juni 2014 20:20

En waarom zou de politie in 's hemelsnaam bij jou aanbellen? Als ze op basis van een IP adres onderzoek gaan doen kloppen ze bij Ziggo aan. Die zal ze vertellen dat dat een IP adres is uit de range voor de hotspots en als de politie geluk heeft kan Ziggo ze zelfs vertellen welke ziggoklant via dat IP was ingelogd op een hotspot. De politie komt dus bij de gebruiker uit, niet bij degene wiens hotspot misbruikt werd. Behalve dan misschien om te vragen of je wellicht een verdacht persoon rond je woning hebt gezien.

Armin @Orion84 • 30 juni 2014 20:43

Dat is wat je hoopt ja, maar niet noodzakelijk wat gebeurd. Dat was mijn punt.

Wat namelijk typisch gebeurd, is een annoniem - als in zonder context - verzoek van justitie betreft een IP adres én locatie/adres. Als de ambtenaar in kwestie daarna inderdaad alles zorgvuldig bekijkt, zal men zien dat het hier om een WiFi hotspot en het postadres dus niet zinnig is. Als men dat echter niet doet of in de drukte en/of ambtelijke molen over het hoofd ziet ...

Orion84 Admin General Chat / Wonen & Mobiliteit @Armin • 30 juni 2014 20:53

Daarin ligt imho vooral ook een rol voor Ziggo om dat duidelijk over te brengen. Danwel om domweg het adres van de hotspotgebruiker te geven en niet het adres van de hotspoteigenaar.

Ik kreeg de indruk dat je dacht dat het IP waarmee de hotspotgebruiker op het internet verschijnt gelinkt is aan de hotspotaanbieder, terwijl dat echt gescheiden netwerken zijn. Vandaar mijn reactie.

BèR @soepkip • 30 juni 2014 18:40

Maar dit WiFi is niet openbaar, het is alleen toegankelijk voor Ziggo-klanten. En dat maakt het weer een probleem van de Ziggo-klant die onder zijn eigen login, op een gedeeld Ziggo-accesspoint iets fout doet.

axel_007 @Aionicus • 30 juni 2014 16:19

Natuurlijk kan iemand een rogue accesspoint met eigen radiusserver (met of zonder certificaat) opzetten, maar de gemiddelde wifispots gebruiker zal hier geen (automatische) verbinding mee maken op het moment dat hij 't vinkje om het servercertificaat te controleren aan heeft staan en het self-signed certificaat van Ziggo geinstalleerd heeft. Het certificaat dat de rogue radius server uitgeeft is namelijk niet gesigned door Ziggo, en wordt daardoor op de client niet geaccepteerd.

De clients die het certificaat niet controleren, die vang je natuurlijk wel, maar dan hebben we het gewoon over het lek zoals dat een jaar geleden werd "ontdekt".

Aionicus @axel_007 • 30 juni 2014 17:29

Er zijn modules in backtrack waarmee je bijvoorbeeld 1000 connects doet naar een radius certified server , waarna hij 80% van de tijd een gebruiker kan foolen als het gaat om certificaatverificatie. tevens zullen alle wifi spots gebruik maken van hetzelfde certificaat. Radius is vooral veilig als je verchillende certs gebruikt.

Ik geloof inderdaad dat hier in nederland wij nog steeds aansprakelijk zijn , immers is de ISP aansprakelijk tot aan de AOP en onze modem met virtuele splitsing zit achter de AOP bij ons binnen. Dus wettelijk gezien (is er een expert hier op wettelijke info btw ?) ben je toch als gebruiker aansprakelijk voor wat er op jouw lijn gebeurd. (en dan heb ik het over de lijn naar je huis toe)

[Reactie gewijzigd door Aionicus op 23 juli 2024 04:29]

thehog @Aionicus • 30 juni 2014 21:19

Als je werkelijk van mening bent dat de certificaten te omzeilen zijn had je je beter even kunnen melden bij de hackatron. Er zijn wel theorieën maar geen proof-of-concept en als jij die wel hebt laat het dan weten.
Je reactie klinkt nu meer als "ik noem wat vage kreten die ik zelf ook niet snap om maar in de picture te komen".

Aionicus @thehog • 1 juli 2014 02:37

Ze zijn niet te omzijlen in de zin van te bypassen door een simpele man in the middle , ik heb het over op pakketjes niveau dat ze gewoon gigabytes aan data verzamelen om daaruit een "proof of concept" achtige voorspelling te kunnen maken dmv software om een valide ok terug te sturen. Er zijn al redelijk wat sucessen gemaakt ermee. Het meeste zul je alleen niet op dit stuk van het internet vinden , dan moet je echt op L2P en Freenet/Darknet gaan kijken . En ja er zijn ook al creatievelingen die ermee lopen te testen in metasploit. Je hebt toch wel de pro editie neem ik aan ?

Om eerlijk te zijn het kan heel erg snel gaan tegenwoordig. Waar vroeger een goede poc soms wel maanden geheim werd gehouden zodat mensen er buffer overflows op konden loslaten en uiteindelijk shell toegang krijgen is het nu binnen de korste keren verwerkt in een rootkit van 1 of andere israelier

een cert bemachtigen van een server is een stuk moeilijker en zal buiten het stelen het bestand op de server zelf niet bereikbaar zijn. Waar ze O.a op russische forums op bezig zijn (de bekendere op L2P) is op dit moment een soort van massive rainbowtables project ala 1999 , toen werd er door een community 1tb aan hashes gegenereerd om Md5,Sha1,LM,NTLM te kraken tot een aardig lang wachtwoord met echt elke mogelijkheid possible.

Hun opzet is +- hetzelfde : botnets maken , data laten analyseren totdat ze een "ok" hit krijgen op het certificaat..Ze zijn al verder dan je denkt.

nou jij hebt ook je 1 minuutje gehad in de spotlight thehog. doei

thehog @Aionicus • 1 juli 2014 20:51

Lol. De ziggo root CA heeft een SHA256 encryptie en dat gaat je echt niet lukken om daar een ok hit voor te generen. Ook niet met een massieve botnet. Succes!

Daarnaast slaat het helemaal niet op het probleem die Ziggo had en nu heeft opgelost. Hun vorige WifiSpots zonder certificaten was voor een leek te hacken. Dankzij de invoering van de certificaten is de moeilijkheidsgraad in 1 klap vermiljoenvoudigd. De hele discussie was dat Ziggo bewust gekozen had destijds geen certificaten te gebruiken onder de noemer van gebruikersvriendelijkheid maar nu onder druk van de gebruikers en de pers wel gekozen heeft om certificaten te gebruiken.

Een botnet dat in machten is om een certificaat te hacken/na te bootsen zal eerder gebruikt worden voor bank-transacties dan een wifispot gebruiker.

Aionicus @thehog • 2 juli 2014 01:06

Je denkt wederom te klein , als ze het eenmaal goed uitgepluisd hebben en draaiend hebben op een botnet is de stap naar een server park zoals amazon een simpele taak , aangezien dit soort partijen vaak grote plannen hebben mbt slaatje slaan hoeven ze alleen maar een goede methode te presenteren en de hardware (be it russian or be it chinese) kan gebouwd worden een aangepast worden om specifiek betere ratess te halen.

Een voorbeeld van een machine in 2012 was :
http://hackaday.com/2012/...-to-crack-your-passwords/

Nu was dit niet eens een ASIC die speciaal gebouwd is ervoor. Sinds bitcoin groot werd met de miners en specifiek de ASIC's die ervoor gebouwd zijn kan je toch niet zo naief zijn dat er geen partijen zijn die ASIC's voor dit soort doeleinde's zouden bouwen ?

Nu het "proof of concept" steeds meer gerealiseerd word doordat er actief grote groepen mee bezig zijn het uit te werken hoe ze het zo efficient en daadwerkelijk kunnen kraken is het maar afwachten tot wanneer het lek zal komen , en dat lek zal zeker een keer komen , Als er een groot land zoals china zich ermee zou bemoeien en zelf custom ASIC's ervoor zou bouwen , gecombineerd met de nieuwste hardware dan kan je wel inzien wat voor gevolgen dat zou hebben.

nuff said.

En asjeblieft niet weer een zinloze reactie op een oud topic.

thehog @Aionicus • 6 juli 2014 09:32

Niet reageren op zo'n reactie van jou? Ik zeg alleen dat het voor geen enkele hacker nu zin heeft om een hotspot gebruiker aan te vallen door en SHA256 certificaat na te bootsen. NTLM hashen daarintegen zijn inderdaad wel zo makkelijk te achterhalen dat de wifispots zonder certificaten duidelijk onveilig waren.

Ik zeg dus met name niet dat certificaten veilig zijn. Jij onderschrijft dat duidelijk. Maar ik zeg wel dat het nu veilig is voor de wifispot gebruiker (tot het tegendeel is bewezen).

Je initiële kreet dat wifispots nog steeds onveilig is ondanks certificaten slaat dus nergens op en zo ontstaat deze thread.

Eloy 30 juni 2014 15:18

Maar, als ze geen certificaten gebruiken, dan moeten gebruikers dus nu al een minstens een jaar lang security errors wegklikken? Dan gaat het waarschijnlijk weinig hacks voorkomen, omdat gebruikers nu gewend zijn om ze weg te klikken...

Maar dat doen gebruikers eigenlijk altijd al

woekele @Eloy • 30 juni 2014 15:28

Nee, je krijgt geen standaard warning van je device als je Access Point geen certificaat heeft. Zou lastig worden, aangezien bijna niemand een access point met certificaat heeft.

Eloy @woekele • 30 juni 2014 16:28

Maar geen enkele consument gebruikt 802.11x op z'n eigen router? Bedrijven zouden een echte cert kunnen kopen.

Fairy @Eloy • 30 juni 2014 15:26

In dat geval hebben ze een oplossing aangedragen. Als de gebruikers deze vervolgens negeren, daar kunnen zij ook niks aan doen. Ik maak het ook vaak mee hoor. gebruikers die meldingen over bijvoorbeeld een lege toner steeds wegdrukken, niets bestellen, daarna gaan klagen dat de prints ineens heel vaag worden en moet er halfoverkop iemand in de auto om spullen te brengen die ze weken daarvoor al hadden kunnen bestellen, maarja het is natuurlijk makkelijker om de ICT'er af te zeiken als er iets niet werkt

Die moeten tenslotte maar zorgen dat alles goed functioneert

[Reactie gewijzigd door Fairy op 23 juli 2024 04:29]

Trommelrem @Fairy • 30 juni 2014 21:32

Volgens mij kan inmiddels iedere nieuwe printer een e-mail sturen dat de toners bijna op zijn. In de onderwerpregel plaats je de klantnaam en de email stuur je gewoon direct door naar jouw leverancier.

Dan gaan gebruikers klagen dat ze ineens toners ontvangen en dat ze daarvoor moeten betalen

Het is toch nooit goed voor de gebruiker, maar van foutmeldingen van certificaten worden ze blij. Dan kunnen ze iemand de schuld geven.

Anoniem: 16328 30 juni 2014 15:14

"Maar jij denkt nu misschien ook anders over dingen dan een jaar geleden", aldus Obermann tegenover Tweakers.

Wat een ontzettend domme opmerking is dit. Nu anders denken over beveiliging dan 1 jaar geleden? Die vent heeft of geen verstand van zaken of lult ook maar wat en gelukkig voor hem is er niemand die hem even aan de tand voelt over het beleid van Ziggo op het gebied van beveiliging.

[Reactie gewijzigd door Anoniem: 16328 op 23 juli 2024 04:29]

LOTG @Anoniem: 16328 • 30 juni 2014 15:22

Ja ik snap het ook niet, ik had wel een of ander excuus (nee niet excuses) verwacht, maar dit is boven mijn verwachtingen. Ik had toch gedacht dat mensen daar enig verstand hadden en niet de ene domme beslissing onder een andere domme opmerking proberen te begraven.

Vorig jaar was de situatie al ruk, daar kijken we nu niet anders tegen aan.
Maar dat kan aan mij liggen, ik was er vorig jaar niet blij mee dat mijn wachtwoorden gestolen konden worden, hij misschien wel.

Anoniem: 197341 @LOTG • 30 juni 2014 15:33

" ik was er vorig jaar niet blij mee dat mijn wachtwoorden gestolen konden worden"
Dat was vrij makkelijk te voorkomen, door gewoon niet aan de ziggo modems te verbinden.

LOTG @Anoniem: 197341 • 30 juni 2014 15:36

Dat is mijn punt niet, hij doet als of het vorig jaar allemaal niet zo erg was als dat het nu is. Dat ik nog nooit gebruik heb gemaakt van die hotspot feature maakt niet uit voor het argument.

FreshMaker @LOTG • 1 juli 2014 02:10

Ik lees eerder
"vorig jaar dachten we dat dit veilig was, nu blijkt het niet zo te zijn. Dus maken we het beter"

Falastine 30 juni 2014 15:22

Mijn grootste probleem is dat mijn telefoon thuis ook me ziggo pakt terwijl ik me ziggo 5ghz wil. Dit is niet in te stellen op android welke prioriteit heeft. Dus enige jammere.

gidion1987 @Falastine • 30 juni 2014 15:28

Ook voor jou: Ik heb op Android Wifi Priority geinstalleerd. Als mijn home wifi in de buurt is, wordt daarmee verbinding gemaakt. Overal anders met Wifi spots van Ziggo. Werkt erg goed

Falastine @gidion1987 • 30 juni 2014 16:27

Het blijft slecht dat deze optie niet in een smartphone anno 2014 zit. Maar thanks voor de tip ik zal de app ook installeren.

S-Cript 30 juni 2014 16:52

Blijf het gek vinden dat ziggo piggybacked over mijn stroom en ik daar geen compensatie voor krijg mede voor het verkopen van een deel van mijn aangeschafte bandbreedte aan derden

KoffieAnanas @S-Cript • 30 juni 2014 17:41

Het gaat niet van je aangeschafte bandbreedte af. Het is een gescheiden netwerk, waar jij verder niets van merkt en je levert zelf geen bandbreedte in. Daarbij is het een dienst waar je zelf ook toegang tot hebt, het is een gedeelde service voor alle Ziggo klanten die zelf ook gebruik willen maken van deze service. Je kan je afmelden, dan wordt jouw hotspot direct ook niet meer gebruikt als hotspot.

batjes @KoffieAnanas • 30 juni 2014 20:33

Sterker nog je krijgt 10mbps kado boven op je normale abbo.

andy88 @S-Cript • 30 juni 2014 19:12

Je slaat totaal de plank mis en hebt volgens mij de technologie achter WifiSpots niet begrepen.

Tjolk 30 juni 2014 15:52

Artikel:

De wachtwoorden van gebruikers werden weliswaar gehasht, maar niet versleuteld, en waren via diensten als CloudCracker binnen luttele uren of dagen te kraken.

Binnen luttele uren of dagen te kraken...
En dan voor het verkrijgen van de authenticatiesleutel om op het Ziggo netwerk te komen.

Hoeveel hackers zouden er in geïnteresseerd zijn om zich als mijn persoon op het Ziggo netwerk voor te doen, en daar dan "luttele" uren of dagen in te steken? Het is niet zomaar even een paar minuten werk...
Bij mijn weten is het enige wat je met de gebruikersnaam en wachtwoord kan, jezelf identificeren als Ziggo klant. En per Ziggo klant kunnen 2 apparaten verbinden met de hotspots. Er zitten bij mijn weten geen verdere gegevens of authenticaties aan vast.

Of mis ik nu iets?

Armin @Tjolk • 30 juni 2014 18:54

Hoeveel hackers zouden er in geïnteresseerd zijn om zich als mijn persoon op het Ziggo netwerk voor te doen, en daar dan "luttele" uren of dagen in te steken

Heel erg veel. Via jouw email & wachtwoord kan men dan spam en malware versturen onder jouw naam. Dat is waarom gestolen email & wachtwoorden zo gewild zijn.

Maar men zou ook bij jouw online storage, wachtwoord wijzigen en helemaal waardevol een alias aanmaken, etc. Misschien dat men dat niet wil, maar wil jij het risico lopen?

En tenslotte, recylen mensen wachtwoorden. Jij wellicht niet, maar de hacker weet dat niet, en dus hoopt men daarna andere accounts van jouw te kraken.

hadieherrie @Armin • 30 juni 2014 20:02

Ziggo wifispots accounts zijn alleen voor wifispots, je kunt er niet iemands email mee achterhalen en dus ook geen spam namens die gebruiker versturen. En al helemaal geen accounts van de gebruiker kraken. Ofwel je hebt er weinig aan

Armin @hadieherrie • 30 juni 2014 20:47

Bedankt voor de aanvulling. Als het een aparte login is, is dat gevaar inderdaad beperkt tot wachtwoord recylcing en toegang tot de interne SMTP server (versturen van spam). Jij als gebruiker loopt dan geen gevaar (mits je een uniek password gebruikt).

FreshMaker @Armin • 1 juli 2014 02:17

Zelf dat niet, het wachtwoord is random gegenereerd.
Deze zijn niet identiek aan je ziggo gegevens, je kan geen eigen WW genereren

Armin @FreshMaker • 1 juli 2014 18:46

OK $_/-\o_$ dan blijft over spam versturen via hun interne non-authenticatie SMTP servers, wat vooral een zaak voor Ziggo is.

Als gebruiker ben je dan inderdaad gewoon veilig.

Op dit item kan niet meer gereageerd worden.

Ziggo beveiligt wifi-hotspots met certificaten en verhoogt snelheid - update

Lees meer

IT-banen

Reacties (111)

Sorteer op:

Weergave: