Hotspots KPN zo lek als een mandje?

quote: http://www.volkskrant.nl/...-lek-als-een-mandje.dhtml

AMSTERDAM - Veel openbare wifi-netwerken van KPN zijn zo lek als een mandje. Met een aantal gratis te downloaden programmaatjes kan een amateurhacker eenvoudig wachtwoorden en inloggegevens achterhalen van mensen die via het draadloze wifi-netwerk gebruik maken van zogenaamd beveiligde websites.
Dat blijkt uit een demonstratie aan de Volkskrant van Lennart Ackermans (18), een leerling van het Amsterdamse Vossius Gymnasium. Op Schiphol, waar KPN gebruik van het wifi-netwerk sinds 16 december 2010 gratis aanbiedt aan reizigers, laat hij zien hoe eenvoudig het is.

Dataverkeer
Met een programma zorgt hij ervoor dat al het dataverkeer van apparaten die gebruik maken van het wifi-netwerk eerst via zijn computer loopt voor het langs de router van KPN gaat. Met andere software zet hij zogenaamd beveiligde https-websites om naar de onbeveiligde http-standaard.

Na vijf minuten wachten is Ackermans al drie wachtwoorden van Facebook, mijn.ing.nl en Gmail van nietsvermoedende gebruikers rijker. E-mails versturen namens anderen, inzicht krijgen in andermans correspondentie en zich toegang verschaffen tot andermans rekeninggegevens zijn met die gegevens een fluitje van een cent. Het achterhalen van wachtwoorden van anderen is ook mogelijk bij de betaalde variant van het wifi-netwerk, stelt Ackermans.

Amateuristisch
De grootste fout die KPN maakt, bestaat er volgens de hacker uit dat hij met zijn computer toegang kan krijgen tot andere wifi-apparaten in de buurt. 'Dat zijn gegevens die ook via het netwerk van KPN lopen en dus iets dat zij eenvoudig zouden moeten kunnen uitschakelen.' Dat KPN dat niet heeft gedaan noemt hij 'amateuristisch.'

Een andere zwak punt is dat KPN ervoor heeft gekozen het wifi-netwerk op Schiphol te centraliseren. 'Alle data lopen via een of een paar routers, daardoor kan ik ook al het verkeer van alle reizigers op Schiphol opvangen.'

Hoeveel zogenoemde hotspots van KPN lek zijn, is niet duidelijk. Een test in het Amsterdamse café Vertigo laat zien dat het netwerk daar exact dezelfde zwakheden vertoont. Het doet de jonge hacker vermoeden dat het om standaardinstellingen gaat. 'De kans is groot dat dit voor al hun hot-spots geldt.'

Prominenter
Een woordvoerder van KPN stelt in een reactie dat verkeer via draadloze netwerken nooit honderd procent veilig is. Om die reden raadt het bedrijf gebruikers van hotspots ook aan eerst een beveiligde persoonlijke verbinding (vpn) op te zetten alvorens het internet op te gaan. Het biedt de software daarvoor gratis aan op de site. De woordvoerder erkent dat die waarschuwing 'misschien wel prominenter op de site moet worden geplaatst.' Toch legt hij veel verantwoordelijkheid bij de gebruikers van draadloze netwerken zelf; 'je kan er ook voor kiezen geen vertrouwelijke zaken te regelen op een openbaar netwerk.'

Volgens de woordvoerder is er op technisch gebied aan KPN-kant wel iets te doen dat het euvel kan verhelpen, maar zou dat te veel kosten met zich meebrengen om een en ander commercieel nog aan te kunnen bieden. 'Het gaat om een afweging tussen gebruiksgemak, veiligheid en kosten.' Bovendien, stelt hij, 'is het feit dat beveiligde https-websites omgezet kunnen worden in niet-beveiligde http-sites een veiligheidsprobleem van die websites. Die hebben hun eigen verantwoordeiljkheid.'

[ Voor 89% gewijzigd door Xander op 17-01-2011 11:37 ]

[ Voor 13% gewijzigd door 0fbe op 17-01-2011 11:45 ]

HTTPS naar HTTP omzetten is gewoon onmogelijk, klaar.

[ Voor 4% gewijzigd door Henk Poley op 17-01-2011 12:02 ]

simplendi schreef op maandag 17 januari 2011 @ 11:42:
HTTPS naar HTTP omzetten is gewoon onmogelijk, klaar. Wat echter het probleem is dat Facebook als er geen HTTPS beschikbaar is (voor landen zoals China) terug valt op HTTP. Dat staat ook in het artikel trouwens: "'is het feit dat beveiligde https-websites omgezet kunnen worden in niet-beveiligde http-sites een veiligheidsprobleem van die websites." Dit heeft dus niks te maken met die Hotspots van KPN en de beveiliging daarvan.

[ Voor 39% gewijzigd door Marzman op 17-01-2011 12:11 ]

mbaltus schreef op maandag 17 januari 2011 @ 22:33:
HTTPS is een stuk minder veilig dan gezegd. Er zijn voldoende (security-achtige) proxies die tussen de client en de server gaan zitten om het HTTPS verkeer te controleren. Deze proxies zetten zelf een HTTPS verbinding op naar de server en bieden de client een HTTPS verbinding met hun eigen certificaat.

Dit is een vaker gebruikte manier in bedrijfsnetwerken om te voorkomen dat virussen of andere ongewenste via SSL alsnog naar binnen kan.

Verwijderd schreef op dinsdag 18 januari 2011 @ 09:49:
Het verkeer via jou computer laten lopen gebeurt dmv ARP spoofing. Dit houdt in dat je alle computers in het netwerk gaat vertellen dat jij de router bent. Als de clients jou geloven dan versturen ze al het verkeer eerst naar jou, en stuur jij het vervolgens door naar de echte router. Hier zijn wel oplossingen voor (deze heeft NS met zijn internet in de trein bijvoorbeeld), maar ARP spoofing is al heel oud en werkt eigenlijk op praktisch elk netwerk.

Verwijderd schreef op dinsdag 18 januari 2011 @ 09:49:
Dat HTTPS omzeilen gebeurt dmv SSL strip. Dit is een programma welke alle HTTPS links omzet naar HTTP. Dit werkt omdat de meeste mensen surfen naar www.gmail.com ipv https://www.gmail.com. Hierdoor maakt jou browser allereerst een verbinding over het HTTP protocol (wil je dit niet dan kun je eens kijken naar de HTTPS everywhere Firefox plugin). Omdat HTTP onversleuteld is kan SSL strip in de code die wordt overgestuurd gaan rommelen. Normaliter verwijst het inlogveld bijv naar https://gmail.com/login (oid), maar SSL strip maakt hier dus http://gmail.com/login. Hierdoor blijft de browser via HTTP surfen.