Onveilige hotspots op NS-stations
Sinds vorig jaar biedt de Nederlanse Spoorwegen op tal van treinstations hotspots aan. Security bewuste treinreizigers doen er echter verstandig aan om hier geen gebruik van te maken, zo waarschuwt de Nederlandse virusanalist Roel Schouwenberg.
Schouwenberg was met de trein aan het reizen toen hij op een van de stations zijn e-mail wilde checken. Nadat hij verbinding met het access point had gemaakt opende hij zijn browser en wilde hij inloggen. Hij ontdekte echter iets verdachts. In plaats van een HTTPS site, kreeg hij een HTTP site te zien.
Volgens Schouwenberg kon dit twee dingen betekenen. Of de inlogprocedure was veranderd, of hij had te maken met een "kwaadaardig" access point. Het bleek echter het eerste te zijn en dat is reden tot zorgen. Alles wat je verstuurt over een onversleutelde Wi-Fi verbinding kan gesnift worden. Daarom zou juist de login pagina HTTPS moeten gebruiken.
Er is een aantal ISPs dat gratis internettoegang via deze station hotspots biedt. Dit betekent dat als je inlogt, je gegevens voor iedereen met een netwerksniffer in de buurt beschikbaar zijn. De hotspots zijn dan gemakkelijk, op dit moment zijn ze onveilig en zolang er geen HTTPS voor het inloggen is, kun je ze maar beter niet gebruiken aldus Schouwenberg.
XS4ALL staat ook in het lijstje. Eens kijken hoelang het
duurt voordat het aangepast is (of dat de quality providers
uit het lijstje zijn).
Ik heb zelf het vermoeden dat men het te ingewikkeld vond om
een SSL certificataat te installeren (of het is verlopen en
men heeft het maar weggehaald, want dat is nu eenmaal
goedkoper).
uit de FAQ van de NS:
Welke gegevens worden "versleuteld"?
Alle gegevens die nodig zijn voor het inloggen en eventueel online betalen van toegang via een creditcard betaling, worden via "versleuteling" beschermt. Hieronder vallen uw inlogcode en wachtwoord, de online-tijd en de verzonden data.........
NOT :)
ook af en toe. Er is wel een oplossing in de vorm van een
VPN-verbinding gerealiseerd waarvoor de software lokaal op
de access-points is te downloaden.
Op deze wijze worden de inloggegevens in ieder geval wel
versleuteld verstuurd, welk protocol daarvoor gebruikt is
heb ik echter nog niet bekeken.
nader inzien bleek het aan de browser te liggen. Alles werd TOCH
versleuteld verstuurt via een HTTP website ipv HTTPS. Toen ik overstapte
op mijn eigen laptop (Firefox) kreeg ik wel netjes HTTPS te zien, de MSIE-
laptop gaf niets aan, zelfs geen slotje ofzo.
maarja, ik kom nooit in de buurt van openbaar vee-vervoer, dus of dat hier
ook zo is?
ik krijg altijd netjes een https inlogpagina. Ik denk dat
dit eerder een van de vele browserbugs is waarbij de
url-balk geen juiste informatie weergeeft, dan een echt
probleem.
@wimbo: hun SSL-certificaat verloopt pas ergens in 2008, dus
dat zal het ook niet zijn :)
Al met al een storm in een glas water omdat een idioot niet
met z'n browser om kan gaan en daar op z'n weblog over post!
- Habbie
kunt zien of het over http of https wordt gesubmit.
Die "u gaat informatie over een onbeveiligde verbinding
versturen'-popups zijn natuurlijk de huidige oplossing, maar
dat is gewoon irritant als je daar voor ieder form
mee lastig wordt gevallen.
Is er een firefox plugin oid die je dat op een handige
manier per website/form kan laten beslissen of iets dergelijks?
website ipv HTTPS. Toen ik overstapte op mijn eigen laptop
(Firefox) kreeg ik wel netjes HTTPS te zien
Huh, wat bedoel je nou? HTTPS op poort 80 ofzo?
een https-iets Schouw? Sowieso heb ik een VPN-servertje voor
dit soort gevallen en maak ik geen gebruik van KPN tegen die
uitzuig-tarieven (vandaar GB-bundel bij bekende telco)
naar een https-iets Schouw?
de browser gehaald, maar ik heb op networklevel gekeken. De
submission ging unencrypted via http.
Op alle Hotspots van KPN wordt gewerkt met beveiligde sites (SSL).
Helaas is door een release fout op de NS Hotspots dit niet meer het geval.
De fout is inmiddels hersteld waardoor ook op NS hotspots weer veilig
ingelogd kan worden (middels SSL).
[email]Info@kpnhotspots.com[/email]
dit toch wel weer als een duidelijke aanwijzing dat het goed
is dat "white hats" als Schouwenberg hun nieuwsgierigheid de
vrije loop laten en dit soort systemen eens tegen het licht
houden.
Als dat soort nieuwsgierigheid bij goedwillenden de kop in
wordt gedrukt door strenge wetgeving en dreigementen met
hoge straffen, zoals de trend een beetje lijkt te zijn, wie
weet hoe lang dit lek dan alleen bekend zou zijn bij
kwaadwillenden die er niet over piekeren het bekend te maken?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.