UPC dicht WPS-lek in WiFi-routers klanten
Internetprovider UPC heeft de Wifi Protected Setup (WPS) bij de WiFi-modems van klanten op afstand uitgeschakeld. De Consumentenbond sloeg vorige week alarm over WPS, waarvan al sinds december 2011 algemeen bekend is dat aanvallers hierdoor toegang tot het WiFi-netwerk kunnen krijgen. WPS laat gebruikers zonder veel beveiligingskennis toch WPA als encryptie instellen.
Hiervoor moet de gebruiker een pincode invoeren, die zich op de router of access point bevindt. Een ontwerpfout in de WPS specificatie voor de PIN authenticatie, zorgt ervoor dat de tijd om de pincode via een brute force-aanval te achterhalen drastisch wordt verminderd. Het laat de aanvaller namelijk weten wanneer de eerste helft van de achtcijferige code correct is.
Uitschakelen
"Op de Horizon Mediabox en de Thomson TWG-850 heeft UPC de WPS-functionaliteit uitgeschakeld", zo laat de provider op de eigen website weten. De actie van UPC werd ontdekt door Chelloo.com, een forum voor UPC abonnees. Op de Cisco EPC3925 is volgens UPC een beveiliging ingebouwd die ervoor zorgt dat het modem na 10 inlogpogingen automatisch de WPS-functionaliteit uitschakelt.
"WPS wordt dan pas weer geactiveerd als het modem door de gebruiker wordt gereset door deze van de stroom te halen en daarna weer aan te sluiten. Deze beveiliging geldt ook voor de Thomson TWG-870 en zal in week 2 van 2013 op alle Thomson TWG-870 modems actief zijn."
Volgens UPC hoeven klanten zich dan ook geen zorgen meer te maken. "Als u een modem van UPC heeft, dan is deze al beveiligd of wordt hij in week 2 van 2013 beveiligd tegen het WPS beveiligingsprobleem."
In heb dat WPS overigens nooit begrepen. De routers die providers leveren zijn sowieso al voorzien van een WPA2-netwerk. Er plakt sowieso al een sticker op dat ding met daarop de code die je moet intypen. Wat voegt die WPS-code dan nog toe? Wat maakt het nu uit of je de ene code intypt of de andere. Als je de WPS-code kunt overtypen vanaf de sticker, kun je ook de WPA2-code overtypen vanaf diezelfde sticker.
Dan hebben we de routers die je gewoon in de winkel koopt en waar standaard dus geen draadloos netwerk op aanwezig is. Als de fabrikanten die dingen nu gewoon standaard voorzien van een draadloos netwerk, dan kan die WPA2-code gewoon worden overgetypt. Waarom zo moeilijk doen door het ding niet te voorzien van een draadloos netwerk, maar in plaats daarvan het wiel opnieuw uit te vinden door het ontwikkelen van WPS, waarbij het resultaat uiteindelijk precies hetzelfde is, namelijk een sticker met een code die moet worden overgetypt?
Ok, WPS gaat niet alleen om die code, maar ook om het indrukken van een WPS-knopje, maar ik heb nog nooit een client gezien met een WPS-knopje. Ik heb ze alleen nog maar op routers gezien. Daarbij is de kans dat de eigenaar en een kwaadwillend persoon vrijwel tegelijk het knopje indrukken een heel stuk kleiner dan dat iemand de WPS-code kraakt. Wat niet wegneemt dat zo'n knopje ook iets volstrekt belachelijks is. Wat valt er nu niet te begrijpen aan: netwerk selecteren en het wachtwoord van de sticker overtypen in het tekstveld?
https://www.security.nl/artikel/43712/1/Thomson_uitschakelen_WPS.html
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.