[Wardriving] De discussie

Ik heb gisteren een stoorzender gezocht en daarmee een onbeveiligd netwerk gevonden. Ik heb hun buurmand (met wie ze internet deelden via wifi) ingelicht en die was me hartelijk dankbaar maar was helemaal gepaniekeerd
De buurman van hem die dus de AP thuis heeft staan kwam net langs (ik had adres gegeven) om even verhaal te halen. Hij zei MAC filtering te hebben aangezet om die maat van mij te weerhouden in te loggen op hun netwerk (gelukt ). Maar nu staat het ook daadwerkelijk aan.
Hij was me in ieder geval dankbaar want hij dacht de enige te zijn in de buurt met wifi en hij had niet gedacht dat iemand met een laptop rond zou gaan lopen
Ik heb em ook nog even WEP encryptie aangeraden en dat gaat ie geloof ik nu ook doen.
Hij blijkt dezelfde AP te hebben als wij (linksys 802.11g) en heb hem even de neo firmware gegeven en hij ook weer blij..

min conclusie: wardriven (warlopen in mijn geval) was erg nuttig en totaal geen probleem. Ze waren me dankbaar

eborn schreef op 31 August 2003 @ 14:37:
[...]
Zolang er geen encryptie ingesteld hoeft te worden slaat elke beveiliging natuurlijk nergens op.

Je moet echt een "aanmeldknop" op de router indrukken, voordat je hem kan gebruiken. Pas op dat moment deelt de router ip adressen uit en is ie te pingen (ook als je een vast IP instelt, kan je hem niet eens pingen). Is dat niet een soort van beveiliging?

Verwijderd schreef op 31 August 2003 @ 22:56:
regmaster: Nee een LDAP server voor authenticatie doeleinden inzetten zonder daarbij een aantal valkuilen te dichten is verstandig

LDAP an sich is helemaal niet voor authenticatie bedoeld. Daar zijn veel betere mechanismes voor (Kerberos/Sasl)

Sorry hoor maar LDAP is wel degelijk 'an sich' bedoeld voor authenticatie.
LDAP is zelfs vele malen flexibeler dan Kerberos.
Ldap database'je in de backend achter de vuurmuur, webservertje ervoor met inlog site met SSL encryptie en klaar is klara, toch. Zo werken althans de meeste SSO systemen over het algemeen.
Ff een quotje uit de Debian mailinglist waar antwoord werd gegeven op een vraag of iemand LDAP en/of Kerberos moest gaan gebruiken:

LDAP: This is deffinitly a cool method. Its very simple and very secure due
its high SSL encryption. And through the possibility of NSS_LDAP virtually
every application will automatically support that and due the nature of LDAP
you are able to store all sort of information about the user in the LDAP
tree.
KerberosV5: Also a somewhat simple method. Also (very) secure. Has a
different approach (its ticket system). Is fully compatible with AFS. Perhaps compatible with other systems like Win32. But you still need a passwd file to store special user data, right?

Kerberos only tries to deal with the problem of matching usernames and
passwords; it doesn't include any support for propagating things like
/etc/passwd. You'd need some other way to distribute this sort of
data; MIT uses Hesiod (which these days is a slightly hackish layer on
top of DNS), but LDAP could probably also fill this niche. Kerberos
also addresses the problem of authenticating yourself to various
services; if your mail server is compromised and you just have
password authentication, the attacker now has your password and can
get access to other things, where a compromised Kerberos-using server
only has authenticators that are specific to that server. (You're
still really hosed if your master KDC is compromised.)

Excuse voor de lap tekst maar moest het ff kwijt.

Excuses voor deze enorme lap offtopic tekst, maar enige uitleg is geloof ik wel handig nu


Weet je het verschil tussen authorization en authentication? Een standaard ldap-server is voor authentication doeleinden nog slechter dan alle standaard distro methoden.

Waarom? Omdat een ldap-server in standaard config normaliter zonder SSL/TLS support draait. Wel eens van het tooltje ngrep of etherreal gehoord? Ga maar eens sniffen met een dergelijk tooltje op een dergelijke ldap-server en vertel me wat je onderschept

Natuurlijk kent ldap an sich mechanismes als crypt/md5 voor password opslag in het userpassword attribuut; is alleen zo lullig dat elke user op het netwerk die info kan onderscheppen als er sprake is van een simple bind. Nu is die data welliswaar gehashed (uitzonderingen daargelaten ) , maar dan nog... Bij een standaard Linux machine wordt er met shadow wachtwoorden gewerkt, waarbij alleen root toegang tot het shadow bestand heeft, waar de gehaste wachtwoorden staan. Zo hoort het dus te gaan. Je kan gaan sniffen tot je een ons weegt. Je zult nooit info onderscheppen die je niet behoort te onderscheppen.

Natuurlijk is dit te omzijlen door gebruik te maken van TLS/SSL, waardoor alle verkeer tussen client en ldap-server al versleuteld plaatsvindt. Daarmee zorg je al effectief voor een beveiligingslaag, omdat men nu kan sniffen en alleen maar encrypted data opvangt, waar men niks mee kan doen.

Verder komisch dat je ldap gaat vergelijken met kerberos
Het ene is is een directory-server, waarin je dus allerlei info in kwijt kan, zoals o.a. authenticatie/authorisatie attributen, terwijl het andere alleen maar voor authenticatie/authorisatie gemaakt is. Volgens mij ben je aardig wat dingetjes door elkaar aan het halen hier
Overigens kan Apache bijvoorbeeld ook direct met kerberos "praten" als het moet hoor om nog maar te zwijgen over pam_kerberos support.
Iemand die zich afvraagt of hij ldap of kerberos ergens voor moet gebruiken, heeft absoluut geen verstand van zaken als je het mij vraagt

Is een ldap-server dan niet geschikt voor authenticatie
Natuurlijk is ldap daar wel geschikt voor, alleen dan wel via een TLS/SSL verbinding zoals ik hierboven al uitleg. Liefst met een zeer sterke password encrytion service als Kerberos V middels een laag asl gssapi (sasl) tussen de kerberos server en de ldap-dir. Zelfs op een niet TLS/SSL verbinding met de ldap-server kom je dan nog niet ver

En dat is dus precies waarom ik zei dat ldap an sich niet echt goed geschikt is voor authenticatie

[ Voor 6% gewijzigd door Verwijderd op 02-09-2003 01:23 ]

Ik ben net via Google op zoek geweest of wardriven legaal is. Ik ben lid van het Wireless Nederland wardrive team (goh, dat is een mond vol ) en wij als dat team zijn al een half jaar flink aan het wardriven en we hebben tot nu toe zo'n 20.000 AP's gevonden met coördinaten. Nu willen voor het publiceren van deze kaart met punten erop, weten of dat dit legaal is.

Wij wardriven alleen met als doel het opvangen van wifi-punten. We loggen niet in, maken geen verbinding en maken al helamaal geen gebruik van het netwerk. We ontvangen signaal van een AP en we loggen dan de plaats waar we signaal hebben bij een bepaald punt. We loggen dan de AP-naam (SSID), mac adres, type AP, sterkte signaal en positie.

Zelf denk ik dat dit valt onder de categorie opvangen radio signaal. Je bent pas IN het netwerk als je verbinding maakt en niet als je het signaal opvangt. Het draadloze gedeelte is dus eigenlijk niks anders (lees: meer) dan een radio signaal. En van de radio controledienst (Agentschap Telecom) mag iedereen signalen opvangen, ongeacht deze gecodeerd of ongecodeerd zijn. Het wordt pas illegaal als je gecodeerde bestanden gaat decoderen zonder toestemming.

Ik denk dus dat het loggen van wifi punten volledig legaal is, zolang je maar geen gebuik maakt van het netwerk of inlogd op het netwerk.
Wardriven wit gebied, inloggen van op onbeveiligde AP?s (geen schade aanrichten, alleen internetten) zit wel in grijs gebied, het kraken van beveiligde AP?s is zwart gebied.

Maar wat wou je doen met zo'n kaart met daarop alle bereikbare AP's in Nederland? Toch niet geplastificeerd boven je bed hangen neem ik aan?

Maar volgens klopt het wat jij aangeeft. Radiosignalen opvangen mag inderdaad, enkel het decoderen van gecodeerde signalen niet.

Edit: met het publiceren van een dergelijke kaart ben je natuurlijk wel aanstootgevens bezig. Het inventariseren van huizen waarbij de achterdeur niet dicht zit 's nachts zal vast legaal zijn, maar zodra je daar een kaart van gaat vrijgeven zet je daar mensen mee aan tot inbraak/huisvredebreuk. Hetzelfde met wardriving IMO.

[ Voor 38% gewijzigd door Verwijderd op 23-02-2004 10:36 ]

ik denk idd ook dat je gelijk hebt. je hebt wel een probleem als 1 van de eigenaars van die 20k AP's een proces tegen je aanspant, en de rechter blijkt een n00b te zijn.

ik (en dus ws ook elke gladde advocaat) kan zo'n n00b er in 3 minuten van overtuigen dat de verspreider van die kaart medeplichtig is aan hacken. kwestie van praatjes

natuurlijk win je wel als je doorvecht tot aan het hof in luxemburg, maar het is wel iets om rekening mee te houden.


//mja, dus eigenlijk wat JSS in zijn edit zei


nog eens edit: ik bedenk me ineens iets. in een ver verleden is een hacker in belgië ooit veroordeeld voor het stelen van electrische energie (stroom), omdat er nog geen cybercrime wetten waren.
zou dat in nederland ook kunnen? of andersom: ik loop ergens met een laptop en ineens gaat er een of ander AP "inbreken" om een tekstballon op mijn scherm te toveren...

[ Voor 35% gewijzigd door Verwijderd op 23-02-2004 10:43 ]

Punt dicht, klaar.

Deze hele discussie gaat nergens meer over, en is alleen maar welles nietes verhaal.
En dan nog, NL recht boeit mij in zoverre niet, ik acht het tegen de policy van GoT dus worden topics die hiermee te maken hebben op slot gezet.

en wij als dat team zijn al een half jaar flink aan het wardriven en we hebben tot nu toe zo'n 20.000 AP's gevonden met coördinaten. Nu willen voor het publiceren van deze kaart met punten erop, weten of dat dit legaal is.

Persoonlijk mening ? Wat ben jij ontzettend zielig en lame. 't Is dat ik me als mod te gedragen hebn, maar ik zou er een flinke rel voor over hebben om een flame vol met bepaalde dubbelepunt R smileys neer te zetten.
Zielig mannetje.