Iemand op netwerk en nu?

Sinds enkele dagen gebruik ik het programma Bitdefender Home Scanner. Dit programme loopt je netwerk na en geeft aan of deze veilig zijn of niet. Vanwege een potentiële risico's op mijn router TP-Link AC7/AC1750 (v2) heb ik uurtje geleden besloten om de een firmware-upgrade uit te voeren.

Geen problemen totdat er een melding (Bitdefender home scanner) kwam dat er een nieuw apparaat heeft verbonden en begon te scannen. Leuk en aardig maar is geen apparaat in mijn huis die LG Phone heet.



Dit is erg vreemd, omdat ik een redelijk sterk wachtwoord had verzonnen. Heb de router herstart om te controleren of deze opnieuw probeert verbinding te maken, maar hij was foetsie. Heb het ww veranderd en zit nu (nog) niet op.

Nu vraag ik me af, hoe kan onbekend iemand mijn wachtwoord hebben gestolen en wat heeft die op mij netwerk te zoeken en mogelijk naar gezocht? Welke risico's ben ik gelopen?

[ Voor 16% gewijzigd door m.z op 20-07-2018 03:34 . Reden: Afbeeldingen toegevoegd ]

Ik had gebruik gemaakt van WPA2 met als wachtwoord hoofdletters/underscoors/getallen. (Weet niet of ik het wachtwoord op Tweakers mag zetten, al wordt deze nergens anders voor gebruikt.)

WPS stond volgens mij uit, maar ga dit in de oude configuratie eens controleren.

Wachtwoord staat op een database offline op mijn pc (Bitdefender Waller) als dit de oorzaak is, dan vindt ergerlijke zaak.

Room42 schreef op vrijdag 20 juli 2018 @ 02:31:
[...]

Waarom zou je dat überhaupt willen? Nergens voor nodig.

Het is zeker niet nodig, maar meer uit het idee om te laten zijn of het wachtwoord sterk genoeg was.

Ik heb geen ervaring met die software. Maar het wachtwoord staat ook in de apparaten die draadloos verbonden zijn. Kijk maar eens in Windows bij de eigenschappen van je draadloos netwerk, daar kun je het wachtwoord gewoon opvragen:

Ik heb het nagekeken en die is zichtbaar. Alsnog zou die onbekende niet fysiek via mij pc aan het wachtwoord gekomen zijn.

Even nog antwoord op vorige vraag:

Maar goed, weet je zeker dat je niemand ooit het wachtwoord verteld hebt?

Niet aan vreemde. Er is op dit moment niemand in mijn buurt die wel mijn wachtwoord weet.

Je wachtwoord is niet gestolen en je loopt geen risico. BitDefender loopt te zeuren om niks. Het is waarschijnlijk een smartphone in de buurt die zoekt naar beschikbare netwerken, zonder daadwerkelijk toegelaten te worden op je netwerk.

Ik denk dat niet gestolen is, maar teruggezet na eerdere configuratie voor reproderen kwam ik achter dat WPS pin aanstaat. *Kuch* mag me in een willekeurige hoekje gaan schamen.

Alsnog heeft diegene een IP adres gekregen. Dit gebeurt toch pas als diegene toegang/wachtwoord heeft?

Het grappige is dat na meerdere restores niet opnieuw verbinding is met die LG telefoon. Alsnog vreemd dat die melding zichtbaar was na enkele minuten na firmware-upgrade.

Verwijderd schreef op vrijdag 20 juli 2018 @ 03:57:
[...]

Ik heb geen idee wat "reproderen" betekent, maar als je ook maar iets van twijfel hebt over je huidige security, reset het apparaat dan naar factory defaults en kies liefst een lang wachtwoord van zeg 16 tekens, bestaande uit willekeurige hoofdletters/kleine letters (evt. diakritische tekens) /getallen en een reut aan typografische tekens.
Zet zoals gezegd het wps uit "als dat kan" and you're good to go.

En geef dat wachtwoord aan absoluut niemand en plaats het zeker niet op een openbaar forum.

Reproduceren bedoelde ik. Daarbij bedoelde ik dat ik terugging naar de situatie waar op het moment de LG Phone zichtbaar was. Het toestel maakte niet opnieuw automatisch verbinding in deze situatie.

Nieuwe situatie:

1. Ik heb zoals iemand aangaf WPS eens uitgeschakeld, dacht voor mijn security-check jaartje geleden al uitgeschakeld te hebben. Daarbij viel me op dat de WPS-pin altijd het zelfde blijft, zoals na een herstart router.
2. Ik hem gereset en voorzien van nieuwe ww als inlog. Ook heb ik zoals voorheen MAC-filtering ingeschakkeld bij local-management.
3. WW is gewijzigd (16 tekens/letters/getallen) om verbinding te kunnen maken en de SSID- heeft nieuwe naam.
4. Heb de app TP-link Tether geïnstalleerd om via smartphone te bekijken wie op het netwerk zit. Ook kan ik via deze app ww delen. Verder is 2,4GHz nutteloos geworden en is uitgeschakeld. Wat welk gek is, waarom de app door de setting local-management is gekomen en dus niet eens toegevoegd op mac-adres.

------
Verder hoop ik dat er geen gekke dingen zijn gebeurt, zoals packetscans, toen diegene gratis internet had. Gelukkig had ik hem snel betrapt. Daarbij leek het op de eerste keer, maar het kan natuurlijk zijn dat voor de melding eerder aanwezig is geweest.

Inderdaad zal ik verder nooit mijn ww delen. De enige reden was om te laten zijn wat het oude ww was en of deze in de oude situatie sterk genoeg was.

itsalex schreef op vrijdag 20 juli 2018 @ 05:13:
Het hoeft niet perse een telefoon te zijn, het kan een apparaat zijn met een LG chip beginnende met een LG mac adres. De gegevens worden in een algemene database opgezocht en het kan best zijn dat een onderdeel van je Philips HUE collectie bijvoorbeeld kan zijn.

Ik heb dat inderdaad kort opgezocht en ik kwam inderdaad op LG apparatuur uit. Helaas is die niet van de Philips Hue, omdat deze al gevonden was en een ander mac-adres heeft.

Ff heel simpel bedacht, maar vanuit gaande dat je niet tussen de koeien woont heeft jouw vriend(in), broer/zus, vader/moeder het ww gedeeld met de buur oid? (Of was WPS door hen aangezet want het ww was te lastig om door te geven ?)

Aangezien het apparaat eenmalig verbinding wist te maken omdat deze mogelijk eerst in range met jouw netwerk kwam, vervolgens pas jij het netwerk aan en heeft het LG-device nu met z'n bekende thuisnetwerk verbinding gemaakt. Vandaar dat je hem niet meer terug ziet?

Nee geen rustige weiland, maar een stad in een appartementenkomplex. Na mijn weten heeft niemand mijn wachtwoord gedeeld, laat staan dat deze dat de meeste zelf wisten vanwege compleciteit (12 tekens).

De LG-device maakte na reboot na firmware-installatie verbinding na enkele minuten. WPS stond toen nog aan, maar dan heeft die snel gehandeld na het opstarten om die WPS-code te kraken. Daarbij verdenk ik dat het apparaat ooit eerder heeft verbinding gemaakt en nu toevallig zelf verbinding maakte.

Naast dat die hem gekraakt heeft is het een kleine kans dat er eerder doormiddel de WPS-knop verbinding is gemaakt en daarom weer plosseling zichtbaar is. Alsnog is de kans erg klein.

Alsnog is is het raar dat eerdere scans het toestel niet hebben opgemerkt en na de reboot als nieuw apparaat wordt gezien.

[ Voor 3% gewijzigd door m.z op 20-07-2018 06:09 ]

FreakNL schreef op vrijdag 20 juli 2018 @ 07:40:
Waar je je maar druk om kan maken. Je bent van de straat, dat wel.

Verander je WPA key als je het niet vertrouwt en klaar...

Zie 8088

Haha, u heeft een beetje gelijk ja, maar er niks mee doen/over denken lijkt me ook niet goed.

Ik denk dat inderdaad Bitdefender wat roepte, maar alsnog het was geen false-positive.

Gekkenhuis schreef op vrijdag 20 juli 2018 @ 08:47:
Gewoon de MAC blokkeren en je hoort het vanzelf wel als er iemand begint te roepen dat er iets niet meer werkt.

Dat zal inderdaad ook een oplossing zijn, maar denk dat die er nu niet 123 meer opkomt, haha. afkloppen op een eikenhoute tafel

technopeuter schreef op vrijdag 20 juli 2018 @ 10:20:
Zowel Microsoft als Google kunnen je Wirelessproperties delen met je contacten, d.w.z. je contacten kunnen met hun gekoppeld device zo bij je thuis op de Wifi, hier is veel op tegen geweest en dus ook nu uitgeschakeld. Maar het zou kunnen

Om eerlijk te zijn, daar heb ik ook over liggen twijfel. Niet dat diegene direct in mijn contactenlijst zal zijn, maar alsnog via via of Windows 10 Privacy-vriendelijkste OS kuch

dion_b schreef op vrijdag 20 juli 2018 @ 10:48:
[...]

Als het geen kwaadwillende is werkt dat prima, maar als het geen kwaadwillende is heb je sowieso geen probleem.

Voor iemand die wel narigheid van plan is, is het een koud kunstje om een andere MAC te spoofen en zo weer toegang te krijgen.

Ja was op dat moment beetje in de paranoia-mode ;P.

Inderdaad als iemand echt wilt kan die zo nog inkomen. Net als je ssid verbergen, wat leuk is, maar totaal geen echte veiligheidsmiddel is, omdat je in Linux de gegevens alsnog kan achterhalen. Denk ook wel in Windows. Zoals dat verborgen netwerken alsnog zichtbaar zijn

Ik denk dat binnenkort terugga naar een radius server.

Bee-nUTcase schreef op vrijdag 20 juli 2018 @ 14:35:
Ik heb ook hetzelfde antivirus programma.
Het is loos alarm.
Trouwens valt het programma me tegen.
Er zit in het programma de mogelijkheid om apparaten te volgen,dit heb ik een keer uitgeprobeerd en werkte goed.
Op een gegeven moment had ik er geen behoefte meer aan en drukte op de knop "wissen".
Waar je normaal zou denken dat het apparaat gewist zou worden van de lijst van toestellen welke je kunt volgen,wordt de GEHELE TELEFOON ZELFgewist!
Alles weg,en dit idem met een pc,ALLES INCLUSIEF WINDOWS gewist.
Belachelijk,er staat nergens expliciet dat het apparaat zelf wordt gewist!
Virus bescherming is prima,maar dit soort fratsen.....?
Ik had een licentie voor 10 apparaten, telefoon en pc's dus.
Niet helemaal OT,maar wees gewaarschuwd!
Hoop dat de makers dit lezen!
Bitdefender komt er bij mij niet meer in.
Overigens ging het bij mij om Bitdefender Total Security 2018 (waar ook de scanner zit ingebakken).

Dit gaat niet om het antiviruspakket, maar om een losstaand gratis programma Home Scanner. Volgens mij zit deze functionaliteit niet in Bitdefender 2018 / 2019 Total Security.

Oude situatie
Ik heb het wissen een nagekeken. Zoals ik begrijp wilt u telefoon wissen uit het apparatenlijst. Dit gebeurt vanaf homescreen van Bitdefender Central.

Nieuwe situatie
De tweede optie, het wissen, dat u inderdaad volledig het apparaat leeggooit. Ik weet niet of u het zelfde scherm had?


Ik heb even verder bekeken, maar voorheen was de optie wissen inderdaad alleen het toestel verwijderen. Wel krijg ik alsnog bij Windows apparaten de melding:

[ Voor 9% gewijzigd door m.z op 20-07-2018 15:10 ]

[b]
Misschien een televisie? Wifi radio? Horloge?

Toen ik dit las, dacht ik verrek, het zou zomaar mijn LG G Watch R zijn. Na speuren hoopte ik natuurlijk dat hij het was, maar helaas dit was hem juist niet.

Er waren op dat moment 4 apparaten verbonden binnen het netwerk, die daadwerkelijk toegang hadden. De 5e is voor mij een totaal onbekend apparaat. Daarbij zou is het apparaat niet opnieuw verbonden, nadat ik de router gereboot had.

Ik ben vervolgens de router volledig gaan herinstalleren en was verder allemaal oké. Het vreemde is dat ik van de oude situatie een backup had gemaakt en voor reproduceren van die situatie het apparaat niet meer aanwezig was/automatisch opnieuw verbondt.

CrystalViriS schreef op vrijdag 20 juli 2018 @ 16:57:
Ik had ook een keer peronongeluk wps aangezet jaar of twee geleden. Kort daarna zag ik ineens in mijn Windows netwerkomgeving een vreemd apparaat (telefoon in dit geval). Die kerel had zijn telefoon Telefoon[voornaam, achternaam] genoemd dus dat viel nogal op zal ik maar zeggen. Wps kende ik toen verder niet (is al tijd geleden en de nieuwe printer had het) maar schijnbaar is het toch wel erg makkelijk om daarmee misbruik te maken. Er zijn routers (geweest) die een wps-lek hadden. En die hadden we schijnbaar ook eentje.

Haha lekker handig je volledige naam op het netwerk delen. Zo laat dus deels blijken dat Jan en Anita dus eenvoudig WPS kan kraken. Want beetje slimmerik deelt dat niet. Al is dit schijnbaar volgens een boek wat ik gisteren na de situatie doorgenomen heb in minuten of zelfs secondes gebeurt. Ook heb ik meegemaakt dat er lijsten bestaan met (standaard)wachtwoord van router. Al had ik een redelijk sterk wachtwoord.

Ik vermoed dat twee dingen;

1. De gebruiker had voorheen al toegang gehad op mijn netwerk voor langere duur en is niet opgevallen tijdens scans, omdat die mogelijk niet was verbonden. Nu zeer toevallig na firmaware-upgrade + reboot was hij direct verbonden. Net voor de upgrade niet.
2. Hij heeft zich uitgeleeft, nadat het netwerk online kwam/zichtbaar is/was. Binnen 4/5 minuten.

Net nogmaals eens teruggezet op de oude conf. en was niet zichtbaar. Of voelde zich gesnaait.

True schreef op vrijdag 20 juli 2018 @ 17:18:
[...]

Hoe weet je dat zo zeker? Kun je het MAC-adres uitlezen en dit vergelijken? Volgens mij krijgt die nl. via je Google Account op je telefoon het WiFi-wachtwoord gratis meegezonden en kan zodoende verbinding maken. Ook als je 'm gereset hebt, hoewel daar wat tijd tussen kan zitten.

Zoals op de twee foto's van TS. komen 100% overeen. Ik heb zojuist het adres vergelijken van de LG G Watch R en die LG Phone. Die komen duidelijk niet overeen. Op de eerste 6 getallen en letters, omdat beide van LG zijn.

Wat bedoel u hiermee?:
Volgens mij krijgt die nl. via je Google Account op je telefoon het WiFi-wachtwoord gratis meegezonden en kan zodoende verbinding maken. Ook als je 'm gereset hebt, hoewel daar wat tijd tussen kan zitten.

laurens0619 schreef op vrijdag 20 juli 2018 @ 20:28:
[...]

Wat ik op internet lees is dat je het bluetooth mac krijgt te zien als je het mac via het menu op de watch opzoekt. Dus hoe heb je het wifi mac opgezocht? Beste is verbinding laten maken en in wifi router opzoeken


[...]

Wel even pielen met bluetooth uitzetten/wifi koppeling maken (en de evt block weghalen uiteraard op je ap) om te kijken of het device online komt en het je horloge is. Als je niet achter mac kunt komen dan lukt ip miss wel

Inderdaad het bluetooth-mac. Je kan het wel op de horloge de mac-adres zien, pas nadat je verbonden met met het netwerk.

Wauw Dit is het gewoon. Wat een blunder van mij.


De naam is nu Android, zoals het ook in de router heten. Schijnbaar vult Bitdefender Home Scanner via een database de "juiste" informatie aan.

Ik heb weinig rekening gehouden met LG G Watch R, omdat ik er vanuit ging dat die al verbonden was via de telefoon. Dus alleen verbinding maakt met Wi-Fi, als telefoonverbinding weg is. Alsnog was het even een doodlopend spoor, vanwege mislijdende mac-adres.

Je kan het MAC-adres wel achterhalen, maar niet via de knop Model, maar via Instellingen -> Connectiviteit -> Wifi -> SSID. Beetje vaag, dit is alleen te zien als de smartwatch daadwerkelijk is verbonden aan de SSID.

Android heeft de optie jouw WiFi credentials (SSID's en passwords) op te slaan onder je Google Account. Als je dit doet (ik twijfel of je überhaupt kan kiezen), hoef je de wachtwoorden niet opnieuw in te vullen op een ander Android device wanneer je je Google Account hierop inlogt. Zodoende kan je smartwatch dus wel met je WiFi connecten zonder dat jij ooit dit ingevuld hebt op je smartwatch.

Inderdaad alle netwerken waar de smartphone connectie mee heeft gehad, slaat automatisch op de smartwatch. Volgens mij kan je dit tijdens de installatie aangeven, maar dat weet ik niet zeker.

[ Voor 22% gewijzigd door m.z op 20-07-2018 22:20 ]

laurens0619 schreef op vrijdag 20 juli 2018 @ 23:19:
Ach blunder valt wel mee toch, 99% van de mensen negeert deze situaties dat zijn pas blunders

De kans dat je wifi netwerk via wps gekraakt kan worden is tegenwoordig niet zo groot(meeste aps zijn gepatched), de kans daarbij dat mensen dat ook nog proberen En dat ook nog vanaf een android maakt het gewoon minder waarschijnlijk dan een apparaat wat je over het hoofd zag

Leuke zoektocht en mooi dat je het gevonden hebt!:)

Het negeren is inderdaad slecht. Zelf ben ik actief de kant van IT-security op aan het gaan. Deze situatie helpt weer wat van te leren.

Als WPS is gekraakt is kan diegene niet enorm veel met standaard kennis. HTTPS is grotendeels lopend verkeer en zal niet 123 wat te zien zijn. Zoals bankzaken en Tweakers ;P.

jan99999 schreef op zaterdag 21 juli 2018 @ 01:37:
Ook upnp in je router uitzetten, dit is zeer onveilig.
Want software die op je geïnfecteerde pc of andere hardware zit, kan zo gemakkelijker het internet op.
Dit is een fout die steeds terug komt en al velen jaren een probleem is.

Dat is inderdaad een goeie. Heb deze eigelijk in het verleden weer ingeschakeld, nou staat dit ook aan, vanwege de PS4. Ik weet inderdaad dar UPnP onveilig is, maar is het wel zo veilig om de PS4 op DMZ te zetten, omdat deze wel eens connectie maakt met andere apparaten, zoals smartphones?

8088 schreef op maandag 23 juli 2018 @ 19:51:
[...]

Ik zie het inderdaad. De screenshots waren toegevoegd nadat ik een reactie geplaatst had, maar mijn vermoeden van de oorzaak was klaarblijkelijk voorbarig.

offtopic:
Maar ik blijf van mening dat je FUD-verspreidende adware als Bitdefender Home Scanner beter niet te serieus kunt nemen. Een beetje router toont dezelfde informatie en OUI/MAC-adressen kun je eenvoudig zelf opzoeken.

Geen probleem. De screenshots geven inderdaad een beter beeld.

Het programma is inderdaad een gemakszucht en zie inderdaad wat fouten in.

Het is inderdaad beter om direct met de router te communiseren als er daadwerkelijk wat zou mogen zijn. De app Tether van TP-Link bied al een straight-to-the-point mogelijkheid om in te zien wat en wie erop het netwerk zit en kan sneller actie's ondernemen indien nodig.