image

"Hotspots KPN zo lek als een mandje"

woensdag 12 januari 2011, 11:31 door Redactie, 12 reacties

De hotspots van KPN zijn niet voldoende beveiligd, zo meldt de Volkskrant vandaag. Een 18-jarige scholier liet de krant zien hoe een man-in-the-middle aanval werkt, waardoor het eenvoudig is om wachtwoorden en inloggegevens van WiFi-gebruikers te achterhalen. Ook van met SSL beveiligde websites.

Toch is de "ontdekking" niet zo bijzonder, man-in-the-middle aanvallen op WiFi-netwerken zijn al zeer lang mogelijk. Daarnaast werden er begin 2009 ook al problemen met de WiFi-routers van KPN aangetoond. Net als toen waarschuwt de KPN gebruikers nog altijd dat ze beter een VPN kunnen gebruiken. De woordvoerder erkent dat die waarschuwing niet duidelijk vermeld staat. "We zullen kijken of we die waarschuwing prominenter moeten plaatsen."

Wat betreft het onderscheppen van SSL-verkeer is dat volgens de woordvoerder geen zaak van de KPN. "Het feit dat beveiligde https-websites omgezet kunnen worden in niet-beveiligde http-sites is een veiligheidsprobleem van die websites. Wij gaan niet betalen om dat probleem op te lossen." Vermoedelijk gebruikte de tiener voor de aanvallen SSLstrip en/of SSLsniff.

Reacties (12)
12-01-2011, 11:54 door N4ppy
Hij zegt dat hij al het verkeer op schiphol kan onderscheppen. Weet niet wat voor laptop hij heeft dat hij heel schiphol kan man in the middlen
12-01-2011, 13:34 door Anoniem
Hoe kundig zijn verslaggevers bij gerenommeerde kranten?? Kennelijk vinden ze het interessanter dat een 18-jarig gastje ze wat kan laten zien dan dat ze eerst eens kijken of hun nieuws echt nieuws is!!!
12-01-2011, 13:34 door Anoniem
Had ik dit bericht in mei 2007 niet al gelezen in het Haarlems Dagblad?
12-01-2011, 14:07 door Anoniem
Snap niet zo goed wat dit met KPN te maken heeft. Dit is iets wat je bij elke onbeveiligde accesspoint kan doen.
12-01-2011, 14:24 door Brammel
Wat naïef van de KPN.
12-01-2011, 18:18 door Bitwiper
Door Redactie: Wat betreft het onderscheppen van SSL-verkeer is dat volgens de woordvoerder geen zaak van de KPN. "Het feit dat beveiligde https-websites omgezet kunnen worden in niet-beveiligde http-sites is een veiligheidsprobleem van die websites".
Onzin. Zelfs als alle websites van de wereld slechts https zouden ondersteunen kan een MITM dit naar http omzetten. Het is dus een fout van de gebruiker die, met name als hij/zij van een onveilig WiFi [*] netwerk gebruik maakt, niet opmerkt dat er kennelijk geen sprake is van https met geldig certificaat.

Of datzelfde type gebruiker (lees: een overgrote meerderheid van de internetters) zo slim is om, bij gebruik van een VPN, na te gaan of dat wel secure gebeurt, is natuurlijk ook zeer de vraag.

[*]Voor zover er nog zoiets bestaat als een veilig WiFi netwerk.
12-01-2011, 20:04 door Ome Jeroen
"Hotspots KPN zo lek als een mandje" is wel weer een erg tendentieuze kop. Ik ben het eens met Anoniem 13:35u. die zich afvraagt wat de kundigheid van de verslaggevers in dit soort zaken is.

Om maar niet te spreken over de kundigheid van de gemiddelde klikkerdeklikklik internetter.

Iedereen kan op zijn vingers natellen dat een onbeveiligd openbaar netwerk an sich niet veilig is. Maar de meeste mensen hebben niet eens door dat hun username en password bij het ophalen van de pop-mail vrolijk cleartext door de lucht vliegen., laat staan dat ze https-slotjes en groene/gele/danwel rode balken in de browser snappen.

Om de discussie aan te zwengelen, en misschien off-topic: Toch maar een soort van digitaal rijbewijs invoeren op termijn om het volk iets wijzer te maken? Liefst op de basisschool al mee beginnen.

(Zat vanavond in de file naar Radio 1 te luisteren, heeft de presentator van WNL Avondspits het hierover en spreekt consequent van hakkers i.p.v. hackers...)
12-01-2011, 20:20 door Syzygy
Afijn weer een hoop bombarie voor iets dat al zo oud is als de weg naar Rome

KPN weer de gebeten hond (KPN maakt zelf geen Access Points maar ala iemand moet aan de schandpaal).
Jongetje weer een goed verhaal voor bij de meisjes, gegarandeerd 10 wippies.

Morgen zit er weer iemand met een WebScarab in een kroeg Twitter en Facebook Acounts te stelen krijgen we daar weer een "verbazingwekkend" verhaal over.

Heren kijk hier even voor je laatste info , tools en testsites dan loop je weer lekker voor op iedereen

http://www.owasp.org/index.php/Phoenix/Tools

Fijne avond weer, bedankt voor al jullie reacties, ik ga maar even een scherpje verderop kijken, de TV !

groet Syzygy
12-01-2011, 23:04 door Brammel
http://www.bright.nl/kpn-stopt-met-openbare-telefooncellen kpn is wel in het nieuws.
12-01-2011, 23:53 door Anoniem
KPN. "Het feit dat beveiligde https-websites omgezet kunnen worden in niet-beveiligde http-sites is een veiligheidsprobleem van die websites.

Wat is dit nu weer voor reactie ?, als ik het GSM verkeer kan ontvangen en afluisteren dan is het het probleem van de gene die ik bel ? Hmmmmm. Volgens mij is hun kanaal onveilig en bied de moegelijkheid dat dit kan. en kunnen SSL beveiligde web site zich niet tegen verdedigen. Maar als KPN al zegt dat je een VPN moet gebruiken, waarom leveren ze deze service dan niet gratis, een open VPN doosje?
Volgens mij is er ook een optie in veel accesspoints dat de individueele endpoints niet met elkaar mogen communiceren.
18-01-2011, 12:33 door retrace
Ik pis in me broek van het lachen. Straks vertel je me nog dat de jonge student gebruikt heeft gemaakt van nmap. Bak van de week. Tegenwoordig plakken we overal een sticker hacker op. Wat een nieuws xD
22-01-2011, 19:11 door Anoniem
Nou, als ze overal aan een server verbind dan is het aardig makkelijk om alle data op te halen. er zijn daar programma´s voor, werkt zelf ook op mijn school. dus nooit passwoorden invoeren op websites als je in een niet veilige verbinding zit
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.