In zo'n geval ben ik blij dat ik niet bij T-Mobile zit maar gewoon m'n telefoon kan gebruiken om aan de laptop te hangen, mail te checken of op de telefoon zelf te surfen.

Ik heb uit voorzorg maar ai-pixel.nl en sternpixel.nl geblokkeerd.

het is waarschijnlijk een soort setopbox(http://www.sternpixel.nl/index.php?option=com_content&view=article&id=74&Itemid=89) , die waarschijnlijk van protocollen gebruikt maakt zoals wpad(http://en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol) wat je uit kan schakelen.

Het is sowieso een MitM omdat jij via hun proxy browst wat eigelijk vrij normaal is, omdat hun ook bepaalde content niet willen.
Simpele oplossing SSH tunneltje en daar over browsen heb je nergens last van, sowieso kan mogelijk iedereen jou gegevens zien. die setopboxen gaan soms via COAX welke te splitten is en waarmee ik jou gegevens kan zien (in een ideale attack situatie)

Geniet lekker van je vakantie ;)

Hmmmm,
Pas ook bij Landal geweest, maar moest slecht een keer "inloggen". Kon daarna overal snel en probleemloos bij, en dat voor lange tijd achter elkaar.

ik was afgelopen week in Landal !!! en ja ze hebben zo'n systeem,
en ja ze kunnen waarschijnlijjk alles zien wat je doet.... care?
het is vakantie!!!!! je wilt toch alleen maar ff naar het weer kijken ;)

tenzij je dat huisje had gehuurt zodat je een aanval kon plegen via hun Inet connection xD :P

(is het jouw gelukt om te internetten via die TV? whahaha)

[q]Ik heb uit voorzorg maar ai-pixel.nl en sternpixel.nl geblokkeerd.[/q]
wat een bullshit, en in adequate oplossing zeg... waarom zou je dat doen?

typisch gevalletje van brandjes blussen ipv oorzaak oplossing.

er zullen altijd N+1 van dit soort (wat in dit geval waarschijnlijk niet eens het geval is) dodgy sites/open verbindingen zijn, oplossing is een secure tunnel (vpn/ssl/ssh) opzetten naar een trusted source en vervolgens via die weg op internet gaan.

lijkt me redelijk logische oplossing, landal wil haar klanten internet aanbieden met zo weinig mogelijk kosten, landal laat ai-pixel internet aanbieden, ai-pixel wil er toch nog wat aan verdienen en doet dit. als je je er aan stoort dan gebruik je het niet.

"ik was afgelopen week in Landal !!! en ja ze hebben zo'n systeem,
en ja ze kunnen waarschijnlijjk alles zien wat je doet.... care? "

Ik zou mij er niet druk om maken, omdat ik in een bungelowpark niet verwacht dat er een goed beveiligd netwerk geboden wordt. Verkeer wat ik als gevoelig zie laat ik wel via een encrypted VPN lopen.

"Maar wel negatief want er hoeft maar één rotte appel bij AI-pixel te zitten en hij kan alle gasten van Landal, Hoogeboom en nog veel meer aanvallen."

Wat is het verschil met je internetprovider thuis. Daar kunnen ze ook al je verkeer zien wat niet encrypted is, net zoals bij iedere provider op de route naar de website welke jij bezoekt. Vergeet de reis die je data over het internet aflegt niet. Die rotte appels kunnen werkelijk overal zitten ;-))

Ja, erg leuk. Maar is jouw router thuis dan ook niet een mitm?

Ze mogen toch niet meekijken, alleen als er aanleiding voor is en "het belang van het onderzoek zwaarder weegt dan het belang van de privacy van de gebruiker".

Dus wat zit je nou te miepen? Je doet toch niks verkeerds hoop ik?

Er is geen MITM attack, ik dacht dat eerst ook maar het ligt anders. Zodra je via een browser een website bezoekt en akkoord gaat met de gepresenteerde voorwaarden, is de verbinding normaal.

Het schijnbare MITM effect wordt veroorzaakt doordat alle internetverkeer (en dus ook SSL verbindingen) geredirect worden naar de secure inlogpagina van AI-pixel, waardoor je het verkeerde certificaat terugkrijgt (nl. die van de inlogpagina) terwijl de browser verwacht het certificaat van de oorspronkelijk gevraagde pagina te krijgen.

Zoals gezegd: 1 keer naar nu.nl navigeren, dit presenteert de algemene voorwaarden, daarna is de verbinding normaal en werken alle SSL verbindingen naar behoren.

Overigens kan je daarna ook gewoon een SSH-verbinding met proxy-tunnel opentrekken (getest), en ben je zeker van een veilige verbinding :)

Dit is ook mijn ervaring in Landal Brandnertal (Oostenijk) waar ik de afgelopen 2 weken in een appartement zat, echter via WLAN.

Ik ben absoluut geen fan van WLAN, heb overal in huis GBit kabels liggen. Maar ik vond dat ik er ook maar eens aan moest geloven, een publiek WiFi netwerk en maar eens kijken wat de risico's dan zijn. Wel heb ik m'n notebook zoveel mogelijk dichtgetimmerd.

Aanmelden stap 1: WLAN

Aanmelden ging in 2 stappen: eerst WLAN connectitviteit. Totaal onbeschermd, geen wachtwoord nodig. Direct na het -via DHCP- verkrijgen van o.a. een dynamisch IP adres, gateway adres en DNS server gegevens, werkte DNS naar internet wel maar verder (zo te zien) niks. Alle http en https connecties werden geredirect naar IP-adres 1.1.1.1 (als een soort tijdelijke MITM aanval).

Door naar een willekeurige site te surfen (http://www.nu.nl/) kwam ik eerst op http://1.1.1.1/ waar ik in moest loggen. Echter voordat dit lukte kreeg ik vaak al een foutmelding van Kaspersky over corrupte virusdefinities. klinkt scary maar is logisch; DNS werkt immers meteen na het ontvangen van de DHCP gegevens, dus Kaspersky probeerde onmiddellijk updates te downloaden maar ontving vervolgens (in plaats van de verwachte bestanden) html data van de logon pagina vanaf 1.1.1.1 en kon daar niets mee.

Aanmelden stap 2: Internet toegang

Bij aankomst hebben we voor 25 Euro 3 bonnetjes voor -naar verluidt- 1 week internet gekocht (je kon max. 3 bonnetjes per appartement kopen). Elk bonnetje bevatte een random username en wachtwoord (elk iets van 7 cijfers en letters). Per bonnetje bleek je echter 168 uur internet te krijgen, ik heb steeds uitgelogd na gebruik waardoor ik voor 2 weken ruim voldoende had aan 1 bonnetje.

Bij inloggen via http worden username en password (voor internet access) niet versleuteld verzonden. MITM attacks zijn op zo'n netwerk ongetwijfeld eenvoudig uit te voeren. Om zoveel mogelijk van SSL gebruik te kunnen maken heb ik de HTTPS Anyware plugin (zie https://www.eff.org/https-everywhere/) in Firefox geïnstalleerd.

Na het inloggen was het noodzakelijk om een webbrowser met http://1.1.1.1/info open te houden om te voorkomen dat je (bij even geen inactiviteit) werd uitgelogd. Ingelogd kon ik probleemloos surfen en er zijn me geen (MITM) aanvallen opgevallen (in tegenstelling tot wat de Stena line een tijdje gedaan heeft, zie http://bryars.eu/2011/12/stenaline-ssl-mitm-attacks/ maar ook https://kuix.de/blog/comments.php?y=11&m=06&entry=entry110616-171707 - en wat lokale aanvallers zouden kunnen doen via bijv. vervalste DHCP answers en/of ARP-spoofing attacks). Natuurlijk heb ik (als PKI freak) goed opgelet dat met name SSL/TLS verbindingen niet werden "opengebroken" door certificate chains te controleren, daarbij is me niets vreemds opgevallen.

Passief sniffen met Wireshark

Tijdens nagenoeg elke sessie heb ik Wireshark aangehad (in promiscuous mode) en de resultaten bewaard. Wellicht is dat niet legaal, maar ik heb slechts "geluisterd" naar wat er voorbij kwam (ik heb geen MITM aanvallen o.i.d. uitgevoerd) en zal geen vertrouwelijke gegevens publiceren.

Naast mijn eigen verkeer heeft Wireshark -voor zover ik kort naar de gelogde data gekeken heb- alleen broadcast en multicast verkeer gelogd (dus geen onverwacht verkeer naar mijn IP adres en/of niet voor mij bestemd unicast verkeer), op 1 incidentje na: ik heb 1x een IP adres conflict meegemaakt kort nadat ik was ingelogd en een nieuw IP-adres toegewezen had gekregen (ik kreeg bijna elke keer dat ik inlogde een ander 10.59.1.x IP adres). Als ik tijd heb ga ik die Wireshark data nog wel eens analyseren, en wie weet schrijf ik daar wel wat over hier op security.nl (als daar belangstelling voor bestaat).

Kwaliteit netwerk

Zowel de kwaliteit van het WLAN als de achterliggende internetverbinding varieerden enorm. WLAN viel af en toe weg om kort daarna met strength "Excellent" terug te komen. De bandbreedte naar Internet was laag, soms niet vooruit te branden.

Gebrek aan privacy

Duidelijk was dat er veel mensen tablets, smartphones of notebooks bij zich hadden en daar kennelijk ook gebruik van maakten. Opvallend was hoeveel mensen iPhones hebben die voortdurend rondbazuinen "ik ben de iPhone van Pietje Puk". Netwerkapparatuur ter plaatse is van Ubiquity (dat blijkt een andere "Ubiquity" kreet te zijn dan die je de laatste tijd op reclameborden van JCDecaux ziet).

Risico's die je loopt op zo'n open WLAN

Op dit soort open WLAN netwerken ben je een sitting duck, tenzij je (en/en):
- Je computer/smartphone/tablet goed dichttimmert;

- Je realiseert dat je ondanks dichttimmeren niet anoniem bent op zo'n netwerk (computers zenden voortdurend allerlei identificerende informatie uit, Windows/Samba doen dat, maar ook sommige printerdrivers). Een passieve luisteraar (zoals ik was) kan zo heel veel informatie verzamelen;

- Zoveel mogelijk van https sites gebruik maakt en daarbij let op het slotje. Er zijn echt nog veel te veel sites die "mixed content" (primair https maar onder water ook http) waardoor er geen slotje verschijnt (of een slotje met een kruis erdoor);

- Je realiseert dat alle niet geauthenticeerde en versleutelde verbindingen eenvoudig te kapen zijn door iedereen op dat netwerk. Sites die niet 100% https zijn waarbij er gevoelige gegevens (waaronder logon info en/of cookies) onversleuteld over de lijn gaan moet je links laten liggen;

- Je bewust bent van het risico dat jij onterecht voor verdachte wordt angezien. In elk geval moet je maar hopen dat de lokale ISP uitgebreide logging bijhoudt met correcte timestamps. En zelfs dan, iemand die zich in zo'n vakantiepark anoniem waant (of een bewoner in de buurt) en vervelende dingen uitvreet kan jou al snel in problemen brengen, zeker als hij/zij bijv. het MAC adres van jouw computer spooft terwijl jij offline bent. Praat je daar maar eens uit bij de politie in een vreemd land...

Conclusie

Dit soort open netwerken zijn totaal onveilig voor doorsnee gebruikers. Daar kun je niet van verwachten dat ze hun computers etc. zo dichttimeren als ik doe. Zolang dit soort netwerken bestaan moeten we met er z'n allen vaker en luider op aandringen dat websites overschakelen naar 100% https only. Dat besef begint door te dringen bij de grote spelers (Google, banken, webmail providers), nu de rest nog!

PS ook gij, security.nl...

Schattig, maar dat is al weer enige tijd 'gewoon' regulier in gebruik genomen. Strikt genomen zitten 1/24 en 1.1.1/24 nog in de debogon-blocks, maar uit rest van 1/8 wordt inmiddels uitgegeven door APNIC.

Hallo,

Even een vraagje.
Ga binnenkort ook naar landdal maar zou ook graag draadloos willen internetten.
Op de site zie ik dat het alleen mogelijk is met een vaste lan kabel en dat je dan kon inloggen op een setbox.
Hiervoor moet je wel eerst inloggen op een site.
Nou zou ik graag willen weten of het ook mogelijk is om met onderstaande router van asus het mogelijk is om in te kunnnen loggen op de setbox zodat je gewoon draadloos kunt internetten i.p.v. met een vast netwerkkabel.
http://www.asus.com/Networks/Wireless_Routers/WL330N/

bedankt alvast voor de reactie.

Arie

Hallo,

bovenstaande is mij overkomen. Kan nu op de laptop 3 sec. een site zoeke en krijg dan de melding van die sternpixel.net:5802 enz enz..
Ben er behoorlijk boos over.
Hoe krijg ik dit weg?
Ben geen digibeet maar ook niet zo bekend met dit soort zaken als jullie....

groet,

A T.

Landall is aan het overstappen van bekabeld internet in elke bungalow naar betaald wifi internet.

Ik zit nu (as I typ) op het Wifi netwerk van Landal Coldenhoven. Heb vandaag wat navraag gedaan en het blijkt dus dat het bekabelde netwerk in de bungalows niet meer werkt.

Zolang de dekking in het park niet goed geregeld is (in mijn geval geen probleem, ik zit bijna naast de mast, dus 100%) is het internet gratis maar krijg je wel de portal voor je neus..met de volgende voorwaarden:

Please make sure session cookies are not blocked by your browser or personal firewall.

You may also want to turn off your popup blocker as it will interfere with the internet InfoBox.

I. GENERAL TERMS AND CONDITIONS APPLICABLE TO
Sternpixel B.V WIRELESS DATA SERVICES, INCLUDING BUT NOT LIMITED TO FEATURES THAT MAY BE USED WITH WIRELESS DATA SERVICES AND WIRELESS CONTENT.
General Requirements: SternPixel B.V provides wireless data services, including but not limited to, features that may be used with wireless data services and wireless content and applications
(Services). The absolute capacity of the wireless data network is limited. Accordingly, service is only provided for prescribed purposes and pricing for Data Services is device dependent and based on the transmit and receive capacity of each device. A pricing plan designated for one type of device may not be used with another device. Some devices or plans may require you to subscribe to both a voice and a data plan. If SternPixel L B.V determines that you are not subscribed to the required plan(s), SternPixel B.V reserves the right to switch you to the required plan or plans and bill you the appropriate monthly fee. The Services may be subject to credit approval. An activation fee of up to $36 may apply to each new data line. Compatible data-enabled wireless device required.

Usage/Billing:
Usage and monthly fees will be billed as specified in your rate plan brochure, customer service summary, or rate plan information online. DATA TRANSPORT IS CALCULATED IN FULL-KILOBYTE (KB) INCREMENTS, AND ACTUAL TRANSPORT IS ROUNDED UP TO THE NEXT FULL KB INCREMENT AT THE END OF EACH DATA SESSION FOR BILLING PURPOSES. TRANSPORT IS BILLED EITHER BY THE KB OR MEGABYTE (MB). IF BILLED BY MB, THE FULL KBs CALCULATED FOR EACH DATA SESSION DURING THE BILLING PERIOD ARE TOTALED AND ROUNDED UP TO NEXT FULL MB INCREMENT TO DETERMINE BILLING. IF BILLED BY KB, THE FULL KBs CALCULATED FOR EACH DATA SESSION DURING THE BILLING PERIOD ARE TOTALED TO DETERMINE BILLING. NETWORK OVERHEAD, SOFTWARE UPDATE REQUESTS, AND RESEND REQUESTS CAUSED BY NETWORK ERRORS CAN INCREASE MEASURED KILOBYTES. AIRTIME AND OTHER MEASURED USAGE ARE BILLED IN FULL-MINUTE INCREMENTS AND ROUNDED UP TO THE NEXT FULL-MINUTE INCREMENT AT THE END OF EACH CALL FOR BILLING PURPOSES.

Data sent and received includes, but is not limited to downloads, email, overhead and software update checks. Unless designated for International or Canada use, prices and included use apply to EDGE/GPRS and BroadbandConnect access and use on sternpixel B.V wireless network and its affiliated partner wireless networks within the United States and its territories (Puerto Rico and the U.S. Virgin Islands), excluding areas within the Gulf of Mexico. Usage on networks not owned by sternpixel B.V is limited as provided in your data plan. Charges will be based on the location of the site receiving and transmitting service and not the location of the subscriber. BroadBandConnect access requires a compatible, eligible 3G device. Unless otherwise specified, overage is billed either by the KB or MB. Service charges paid in advance for monthly or annual Services are nonrefundable. Some Services may require an additional monthly subscription fee and/or be subject to additional charges and restrictions. See applicable rate plan materials for complete pricing and terms. Prices do not include taxes, directory assistance, roaming, universal services fees or other exactions and are subject to change. In order to assess your usage during an applicable billing period, you may obtain approximate usage information by calling customer service or using one of our automated systems.

Enjoy the internet services.
Stern Pixel B.V.

Het ziet er dus naar uit dat de portal uiteindelijk een daadwerkelijk nut heeft. User-ID is dus per device, niet per bungalow.
MIjn D-link Dir 505-je pikte lost dat probleem echter al op.. single connectie naar hotspot.. en dan wifi netwerkje doorzetten

Prijs per week is 22,95 voor internet.. wat wel verassend snel is trouwens..

Ik ga binnenkort naar landal en lees dat Wifi nu inderdaad betaald is en slechts 1 apparaat tegelijk dan ingelogd kan zijn.

Hangt er daarbinnen ergens zo een modem waarin ik een UTP kabel kan doen. Eventueel dan ook een router kan aansluiten en dit allemaal kan omzeilen? Een router is in principe niet nodig, want ik kan mijn laptop instellen als doorgeefluik/modem voor andere apparaten.
Weet iemand dit? Ben wel klant bij KPN en kan via daar gratis inloggen op KPN hotspots. Die schijnt er ook te zijn, maar alleen bij de plaza. Sternpixel is niet van 1 of andere provider waarop je in kan loggen als je daar klant bent volgens mij.