Gepubliceerd: Dinsdag 8 april 2008
Op een security bijeenkomst in San Francisco zal onderzoeker Dan Kaminsky vandaag demonstreren hoe de routers van slachtoffers kunnen worden overgenomen.
Toon volledig artikel
de hack is mogelijk vanwege de standaardwachtwoorden.
Het lijkt me voor iedereen op dit forum duidelijk dat het eerste wat je wijzigt is het standaard wachtwoord.
Ik ga er voor het gemak vanuit dat het gebruikers betreft die het standaard wachtwoord (meestal 'admin') niet wijzigen. Ik zou willen dat ik kon zeggen dat ik dit nog nooit ben tegengekomen maar helaas heb ik bij twee buren hun routers moeten configureren toen ik zag dat ze a) unsecure waren en b) zelfs nog het standaard wachtwoord op de router hadden staan. Het lijkt me dat dit vaak voor komt... Routerfabrikanten zouden dit probleem toch simpel kunnen oplossen imho...
O ik wardrive regelmatig. Zó te herkennen, die niet-ingestelde wachtwoorden: het netwerk draagt de naam van de router. En inderdaad ja, je breekt zó in op zo´n netwerk.
Ik heb daarvoor een laptop gebruikt die ik gekocht heb bij de afdeling Gevonden Voorwerpen van de NS. Na grondig onderzoek bleek de eigenaar overleden te zijn zonder nabestaanden na te laten. Ik heb daardoor geen schade aangericht in naam van een onbekende.
Ook heb ik niets gedaan op het netwerk nadat ik ingebroken had. Als wardriver moet je je verantwoordelijkheid wel weten.
Zolang je niet loopt te fucken (pardon my french) met de eigenaar kan ik me er niet druk over maken. Houd er wel rekening mee dat ze je kunnen aanhouden... ;-)
Als ik het zie in mijn eigen buurt of bij vrienden dan ben ik persoonlijk eerder geneigd om ze er op te attenderen en eventueel te helpen...
De hotspots van FON zullen het alternatief vormen. Soms kan ik mensen overtuigen dat een gezamenlijke account van FON en 1 hotspot beter is dan 20 verschillende draadloze netwerken waarvan er dan ook nog onbeveiligd zijn. Maar tjonge wat zijn de mensen gesteld op een privé-netwerk! ´t Lijkt wel de kwestie met auto´s, daar wil ook zelden iemand afstand van doen ten gunste van een collectief alternatief als autodelen of openbaar vervoer. Terwijl 1 hotspots overduidelijk betere resultaten oplevert dan zeg 15 netwerken die gebruik moeten maken van 11 of hooguit 13 802.11 WiFi-minikanaaltjes, waaraan ook de draadloze deurbel, koptelefoon, videonetwerk en alarmsysteem hangen.
Tja, ik heb hier ook wel over lopen denken maar de volgende redenen is waarom ik gesteld ben op mijn eigen verbinding:
a) Alleen wifi is niet voldoende. Kep een redelijk netwerk(je)
b) ik wil controlle hebben over de verbinding in verband met eventuele problemen.
c) Kep geen zin om systeembeheerdertje te spelen voor mijn buren
d) Ik wil niet verantwoordelijk zijn wat anderen doen op het Internet/WWW.
En het delen van een auto lijkt me ook een helder verhaal: ik wil van die auto gebruik maken wanneer ik dat wil.
Even nog: meestal detecteer ik alleen onderweg met een WiFi Finder.
Dan je argumenten:
a) WiFi kan ruimschoots voldoen mits het signaal sterk genoeg is.
b) Dat kan eenvoudig geregeld worden. Met een collectieve inlogcode kan iedereen de router op.
c) Ach ach collectivisme zou dus altijd eenzijdigheid inhouden? Als mijn buurman mijn muurtje betegelt wil ik best zijn PC onderhouden!
d) Dat ben je niet! Het MAC-adres van de inloggers wordt geregistreerd. ´t Zou wel heel toervallig zijn wil er net een MAC-adres gespoofd worden dat bij jouw apparatuur hoort; ´k denk niet dat een spammer of kinderpornoliefhebber daar zoveel moeite voor zal doen.
Tussen haakjes: op je vaste netwerk inbreken gaat makkelijker hoor!
Lastig is dat bijvoorbeeld bij een reset van een Internetplusbellen router de wachtwoorden weer teruggezet worden op de standaard instelling. Dat ""vergeet" de helpdesk wel te vertellen waardoor een onveilige situatie kan ontstaan.
Pas wanneer men weer eens wil inloggen op de router kom je daar achter. Maar mensen die hun router extern latern resetten ( via KPN helpdesk) komen meestal niet op de webpaginas met de configuratie, ze weten niet eens wat daar allemaal kan.
Natuurlijk logisch dat na een reset (reset-button met paperclip) het default password wordt teruggezet. De enige mogelijkheid om weer controlle over je router te krijgen wanneer je het password kwijt bent... Dit is niet iets wat je over het hoofd hebt kunnen zien omdat je na de reset met het default password hebt moeten inloggen...(of mis ik hier iets?)
Net een linksys router gekocht.
- er word helemaal niet gevraagd om de wachtwoorden te wijzigen
- wifi staat er standaard open en bloot op zonder wpa/wep wachtwoord en zichtbaar
Grote teleurstelling is ook dat nog vaak WEP als een beveiliging word gezien terwijl het zo lek is als een mandje (zoek maar eens op youtube hoe eenvoudig daarop is in te breken). Persoonlijk beveel ik WPA2, Mac-Filter, IP-Filter en de hidden functies aan.
Verder lijkt het mij zeer verstandig dat DNS niet meer te wijzigen valt via webbrowsers of dit afschermen met admin account(s).
Hier een Eminent huis tuin en keuken routertje. In de installatie handleiding wordt er als eerste sterk op aangedrongen om vooral het wachtwoord te wijzigen, alvorens men met de configuratie kan beginnen.
Simpelweg dus gewoon een kwestie van even in de handleiding vermelden ;-)
Maar je weet toch dat de meeste mensen die handleidingen al niet lezen, sterker nog ze bellen eerst voordat ze het ook maar 1x hebben open geslagen.
Zelf weet ik gelukkig wel het een en ander van maar als bijvoorbeeld mijn ouders een router zouden moeten aansluiten die zien de bomen door het bos niet , ook niet met een handleiding.
Wizards lijken mij een betere oplossing.
Grote teleurstelling is ook dat nog vaak WEP als een beveiliging word gezien terwijl het zo lek is als een mandje (zoek maar eens op youtube hoe eenvoudig daarop is in te breken). Persoonlijk beveel ik WPA2, Mac-Filter, IP-Filter en de hidden functies aan
Grote teleurstelling is wat overdreven maar ik ben het wel met je eens dat ze er best een soort wizard in kunnen bouwen die zorgt dat het apparaat secure wordt geconfigureerd. Of ze kunnen er in iedergeval een soort checklist inbouwen en zaken die niet secure in fel rood weergeven. Net zoals dat irritante schildje is windows... ;-)
Linksys geen wachtwoord wijziging?
Is dat ook zodra je via de meegeleverde cd de router insteld?
Beetje IT-er gebruikt die CD niet maar de huis tuin en keuken gebruiker wel. Als je je router handmatig configged ga ik er ook vanuit dat je waarschuwingen niet nodig hebt.
Persoonlijk beveel ik WPA2, Mac-Filter, IP-Filter
WPA2 is een goede optie maar Mac en IP zijn imho volledig nutteloos met de huidige sniffer tooling. een mac adres is zo opgevangen en met een simpele tool te gebruiken voor je eigen verkeer, De DHCP van de router zorgt er dan wel voor dat je een legitiem ip krijgt.
DHCP uitzetten is allemaal schijnveiligheid. Ga voor de hoogste beveiliging en bedenk een fatsoenlijk password en nog belangrijker: vertel het password aan niemand... :-)
Correct me if I am wrong: ip-nummers en mac-adressen worden zonder encryptie de ether in gesmeten. Een sniffer heeft niet eens veel verkeer nodig om dit onderscheppen.
Als ik de router op hidden zet dan heeft IP en Mac filtering wel degelijk effect.
Immers ziet men dan mijn router niet met een sniffer applicatie.
En die cdrom donder ik meteen in de prullenbak aangezien ik geen windows gebruik en daarom via de webbrowser benader.
http://192.168.1.1 bijvoorbeeld , inloggen en ik zit in het menu.
Het afdwingen van wachtwoord zou dan ook via het optie menu moeten gebeuren en niet via een los cdrom met software voor windows erop wat volstrekt overbodig zou moeten zijn.
Wie mint er nou telkens? kom met een tegen argument en min dan pas als het terecht zou zijn.
Als ik naar de inhoud kijk zijn er blijkbaar hier mensen die minnen vanwege persoonlijke vooroordelen i.p.v. inhoudelijke informatie.
Ook met een hidden ssid zie ik jou router. niet het naampje maar zeker wel het mac adres, (is trouwens handig om daarmee de manufacturer op te zoeken om eventuele exploits te vinden). daarnaast vind ik nog steeds het verbonden device, het mac en het ip. je kunt nog beter WEP gebruiken dan je daar op te verlaten.
Maar ik heb natuurlijk makkelijk praten met een WPA2 / EAP-TTLS verbinding icm met een Radius server. Ook niet 100% veilig maar het kost wat tijd. de 100% oplossing tegen wifi hacken is het wifi gedeelte niet gebruiken
Ook met een hidden ssid zie ik jou router. niet het naampje maar zeker wel het mac adres, (is trouwens handig om daarmee de manufacturer op te zoeken om eventuele exploits te vinden). daarnaast vind ik nog steeds het verbonden device, het mac en het ip. je kunt nog beter WEP gebruiken dan je daar op te verlaten.
Wanneer een hacker gericht bij iemand wil inbreken zal deze eerst flink snifferen. Vervolgens naar huis gaan om uit te zoeken wel SSID hoort bij welke ipnummers en dit vergelijken met bijv. e-mailverkeer om zeker te zijn dat hij het juiste netwerk heeft.
Tegen de echter hacker heeft het geen zin om je SSID te verbergen. Het is wel een extra drempel voor scriptkiddies. Netzoals het toegang geven op mac-adres niveau, het uitschakelen van je DHCP. Maar wanneer je weet hoe dit allemaal werkt heb je vast ook WPA aanstaan... ;-)
Maar ik heb natuurlijk makkelijk praten met een WPA2 / EAP-TTLS verbinding icm met een Radius server. Ook niet 100% veilig maar het kost wat tijd. de 100% oplossing tegen wifi hacken is het wifi gedeelte niet gebruiken
Een andere oplossing een extra router met wifi uitgeschakeld voor al je bekabelde pc's. realiseer dat je wifi-verbinding niet absoluut veilig is en zie het als een soort DMZ. Extra firewall-software op je laptop...
Wie mint er nou telkens? kom met een tegen argument en min dan pas als het terecht zou zijn.
Als ik naar de inhoud kijk zijn er blijkbaar hier mensen die minnen vanwege persoonlijke vooroordelen i.p.v. inhoudelijke informatie.
Oh sorry, dat ben ik...ben dol op minnen...hehehe. Het liefst zou ik iedereen oproepen om altijd iedereen te minnen (of te plussen). Zo'n achterlijk systeem.
Meltdown: laat je niet gek maken. Negeren die minnetjes...
Als ik de router op hidden zet dan heeft IP en Mac filtering wel degelijk effect.
Immers ziet men dan mijn router niet met een sniffer applicatie.
Als je daarmee stelt dat een router niet te hacken is met een hidden ssid i.c.m. IP en Mac filtering dan ben ik bang dat je alsnog bedrogen uit zou kunnen komen.
Het afgelopen jaar heeft Kaminsky bestudeerd hoe fouten in de manier waarop browsers werken met het Domain Name System (DNS) kunnen worden gebruikt om firewalls te omzeilen.
Ik kan als kwaadwillende sowieso een stukje Javascript op een site zetten, welke de webinterface van je router probeert te benaderen en daar wijzigingen probeert te doen. Of het werkt weet ik niet.
Wellicht dat dat de fout is; aanroepen van een lokale site vanaf een externe site terwijl dat niet zou moeten kunnen.
Ik ken een provider....zal de naam niet noemen. Maar van hen heb ik de mededeling gekregen (toen ik er over klaagde) dat ze alle routers standaard voorzagen van dezelfde inlognaam en wachtwoord inclusief de poort voor remote toegang tot de router open, omdat dit gemakkelijk was voor de helpdesk (als er configuratie vragen waren van de klanten)
Ik kon en dan spreek ik over 1.5 jaar geleden in dezelfde ip range als mijn eigen router echt 10tallen, maar mogelijk meer routers remote benaderen en aanpassen zonder dat ook maar iemand dit in de gaten had.
Maar ook ex-medewerkers weten die standaard wachtwoorden van ISP's en Helpdesk afdelingen van de routers/modems.
En je zal net maar een buurman hebben die bij jou ISP heeft gewerkt en een burenruzie ... peace of cake to tease.
Routers zouden dit ook moeten afdwingen de wachtwoord aan te passen.
Echter vermeld webwereld dat LinkSys dit zou doen maar hoe doet linksys er totaal niks mee.
Sterker nog het gooit standaard de wifi open en bloot waar iedereen zomaar op kan inloggen.
Een niet kenner met een utp-kabel aansluiting zou dit amper of niet door hebben.
Hier vind ik het toch een grote verantwoordelijkheid bij de leveranciers van de modems/routers.
Hier vind ik het toch een grote verantwoordelijkheid bij de leveranciers van de modems/routers.
Ben ik het niet mee eens. om met een uiteindelijk mank gaande vergelijking te komen
Als jij een achterdeur hebt met allemaal sloten erop met mooie haakjes aan de binnenkant, en lips-sloten zelf bij de bouwmarkt koopt, die met een beetje hobbyen in de opening hangt maar vervolgens die sloten niet gebruikt is het toch niet de schuld van de bouwmarkt dat er bij jou binnengelopen kan worden door de deurklink simpel naar beneden te duwen
Tuurlijk zal het in de handleiding gezet kunnen worden maar je hebt ook nog je eigen verantwoordelijkheid.
en ja de fabrikanten kunnen het je wel makkelijker maken en zeker in de IT wereld kan dat maar dat is wat anders dan de verantwoordelijkheid bij hen neerleggen.
En als je de CD niet gebruikt verwacht ik dat je weet wat je doet en hoe je dus de boel dicht zet. van een niet kenner met een UTP kabel mag je toch verwachten dattie wel netjes het cd'tje gebruikt. Sterker nog, een niet kenner die in zijn 1tje zijn router configureerd komt zonder het cd'tje toch niet opt internet.
Het grootste probleem zit hem in een niet kenner die iets configged op advies van een beetje kenner. :)
... of gewoon accepteren dat draadloos altijd een gevaar blijft voor de beveiliging van je (thuis)netwerk en gewoon draadjes trekken naar alle computers... heb zelf 1 heel lange kabel op een spindel (50m) voor heel het huis door... kost wat moeite maar niemand pleegt misdrijven op mijn naam op internet!
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
