En waar kunnen we het tooltje vinden om dit te testen of bovenstaand verhaal klopt?

Inlog: Ziggo
Wachtwoord: Draadloos

Security minded mensen hebben dit als eerste veranderd, mja de grote meute die graag WIIIEEEFIIIIE roepen snappen dat allemaal niet, want als het maar werkt is het prima.

Dit soort onzin is voor mij de reden om geen Draadloos te gebruiken en alles te bekabelen waar het mogelijk is.

1. gaat het om het toegangswachtwoord van de modem/router of van het wifi wachtwoord? 2.welke merken en types van welke provider(s) zijn door dit lek getroffen? Zou wel fijn zijn als wij en natuurlijk ook de internetproviders zelf dit mogen weten.Dan kan er iets aan gedaan worden,een patch door de internetproviders en een zelfgekozen wachtwoord voor de thuisgebruikers.

Het probleem zit hem voornamelijk in de functie die na compleet resetten weer met hetzelfde wachtwoord moet zien terug te komen. Dat standaard wachtwoord staat op de router of in de welkomsbrief. Dat kan dus niet zomaar pseudorandom zijn, en moet ergens op worden gebaseerd. En de software zelf kunnen ze het niet in verbergen omdat dan de voorspelbaarheid te hoog wordt. Kortom, best een uitdaging zullen de programmeurs hebben gedacht toen ze dit maakte.

Kleine kanttekening: als iemand binnen enkele minuten achter een router serienummer kan komen heeft de eigenaar van de router toch echt hele andere problemen. Zoals dat de hacker fysieke toegang heeft tot de router, en dus zelfs de router kan vervangen voor een geïnfecteerde of resetten en het stickertje met ww lezen. Niet echt een issue dus.

De internetproviders hebben schijt aan de veiligheid en privacy van de klant.Als ze maar aansluitingen kunnen binnenhalen.En dan als je vraagt naar hoe het zit met de veiligheid je ook nog eens hun eigen antivirus/internetsecurity pakket (meestal F-Secure) proberen aan te smeren.Maar die helpt niet in het geval van zulke lekken in de modem/software!

Ja,dat vindt ik ook zoiets doms,dat het wachtwoord middels een sticker op de modem/router wordt geplakt.Dat wachtwoord hoort apart,per post te worden verzonden aan de abbonnee/gebruiker.En die zou het beter gaan vervangen door een zelfgekozen wachtwoord,en dan 1 zonder alleen maar HOOFDLETTERS,of alleen kleine letters.Een goed wachtwoord bestaat uit een random combinatie van kleine letters,hoofdletters,getallen,en symbolen zoals hekje,uitroepteken,apestaartje,euro/dollar-teken enz. De providers gebruiken standaard wachtwoorden bestaande uit slechts een paar HOOFDletters,ook zoiets doms.Een computerprogrammaatje van de hackers kan zo'n wachtwoord toch makkelijk achterhalen en kraken? Bij de installatie van mn nieuwe modem/router zei de monteur vd internetprovider tegen mij: u hoeft de standaard inlognaam en wachtwoorden van de modem/router en van de wifi niet te wijzigen,want die zijn veilig,u bent de enige die ze weet en kan wijzigen,dat kan alleen fysiek via uw computer,niet die van bijv. de buurman.

Het gaat niet om fysieke toegang. Je doet dat gewoon via raden.

Het raden van serienummers is vaak niet zo moeilijk, het zijn vaak gewoon oplopende nummers.

Laten we zeggen dat van een bepaald type verkocht 100.000 zijn in NL dan kun je dus redelijk snel een aantal WPA2 sleutels genereren. WPA2 sleutels genereren kan offline met een GPU behoorlijk snel als je voldoende aanwijzingen hebt.

De onderzoekers zeggen: zorg gewoon dat je een echt random default key inbouwt die niet wordt overschreven bij een reset.

Nou als je dit nu nog wilt publiceren als "wij de onderzoekers hebben ontdekt" dan moet je als onderzoeker wel erg lang
onder een steen geleefd hebben... dit probleem is al jaren bekend! en ook al veel eerder gepubliceerd.

"Kleine kanttekening: als iemand binnen enkele minuten achter een router serienummer kan komen heeft de eigenaar van de router toch echt hele andere problemen"

Nou nee dat is niet zo, wat men hier bedoelt met serienummer dat zijn de laatste 6 digits van het MAC adres en daar kun je erg gemakkelijk achter komen. Dit MAC adres wordt namelijk in ieder pakket wat de router via WiFi uitzendt vermeld.
(en in de default configuratie staat het ook nog eens als laatste deel van de SSID die gebroadcast wordt)

Dat kan tegenvallen. Het serienummer van mijn Ziggo router is "EVW320Bxxxxxxxx". Het eerste deel is het modelnummer wat je ook uit het mac adres, wat publiek zichtbaar is, kunt afleiden. En het serienumer van 8 cijfers zal vast niet random zijn. Als je er een tiental hebt, weet je in welke nummerrange je moet proberen.

Ik ben er wel mee eens dat dit een non-issue is. Een gebruiker die zijn netwerk wil beveiligen, kiest zelf een wachtwoord. Ik vind dit dan ook niet echt een lek in de router, maar eerder een lek in de gebruikers.

Heb de bron niet gelezen. Maar ik neem aan dat serienr en dergelijke niet nodig is. Daarom duurt het ook toch nog een paar minuten om te kraken...

Tis wel een issue. Zo'n wachtwoord ziet er tamelijk willekeurig uit, dus gebruikers worden misleid dat het een veilig wachtwoord is. Tis niet voor niets dat het nu pas iemand is opgevallen..

Bij mij kun je niks achterhalen.
Het mac-adres is trouwens pas zichtbaar (voor derden) als je een draadloze verbinding aan gaat zetten dus Wifi.

Daarbij komt ook nog eens dat er Mac-adres changers zijn.

Toen ik mijn routerpakket kreeg stond ook in de brief om het wachtwoord te veranderen.

Dus als het om beveiligen gaan zijn nog veel gebruikers gewoon te laks, en als ze het al veranderen dan kiezen
ze nog vaak een te zak of simpel wachtwoord.

Hoorde het toevallig vandaag op de radio. Nooit een waarschuwingsbrief of mail van kpn gekregen hierover!

Zucht.

Dus als je ISP je vraagt om het standaart wachtwoord te veranderen en jij doet het niet het toch niet dan is jouw ISP
dat schuld omdat jij te lui bent om het aan te passen?

Dacht het toch echt niet hoor.

Jij bent immers ook nog eens verantwoordig voor je eigen beveiling en zeker als er erop word geattenteert.

Sinds wanneer gaat usenix over cybersecurity? Is wel afgegleden

http://xs4all.voip.narkive.com/fLNON6Yr/kpn-modems-ondeugdelijk-beveiligd-speedtouch-780

Het was 7 jaar geleden al bekend. Degenen die het nu pas opvalt die hebben zitten slapen of zijn belust op sensatie.

Om welke modem routes gaat het?

Een voorgeïnstalleerd ww kun je nooit vertrouwen, dus dat vind ik geen argument. Wat wel een argument is, is de installatiehandleiding van Ziggo zelf. Daarin schrijven ze:


Ik had eigenlijk verwacht dat er een advies zou staan om als eerste het wachtwoord aan te passen. Dit advies valt me tegen, maar voor mijn gevoel ligt de fout dan in het advies en niet in de router.

Serienummer is vaak uit mgt webinterface te halen, makkelijk zat.
Wat ik erger vind is dat die knakkers uit Nijmegen 6 maanden gewacht hebben voor een E-mail van de providers.
Als er nu een nieuwe firmware gemaakt werd, nee, een email, die overigens het probleem niet oplost...
Fuck responsible disclosure.

Zucht, oud nieuws. Van bijv. Sitecom is al veel langer bekend dat zij het MAC-adres van de router gebruiken voor het genereren van een wachtwoord. Het is weer eens komkommertijd. Wel tragisch dat de Radboud nu deze 'ontdekking' claimt en dat Nieuwsuur dat klakkeloos overneemt.

Dat is het standaard wachtwoord voor de web interface waarmee je op je eigen interne netwerk je router kan benaderen. Dat heeft niets te maken met het standaard wifi wachtwoord wat er in dit geval wel random uitziet, en daarmee toch vertrouwen wekt, maar dus allesbehalve random is.

Bij mij klopt dit verhaal niet, mijn UPC modem heeft een naam uit cijfers en de toegang bestaat uit letters die je met een andere toets erbij moet instellen.

Het werkelijke verhaal op TV was nog veel triester...
Allemaal onwaarheden en/of zaken die best wel vaak zouden kunnen lukken maar NIET op grond van deze hack.

"als dit WiFi wachtwoord bekend is kunnen alle bestanden op de computer worden gelezen en veranderd" LARIE.
"met dit wachtwoord kan worden meegekeken met de communicatie met de bank" LARIE.
"met dit wachtwoord kan malware worden geinstalleerd" LARIE.

Als je dat soort dingen wilt kunnen dan zul je nadat je op het netwerk bent ingelogd nog weer andere beveiligingen moeten
gaan breken, wat soms wellicht makkelijk is (omdat ze niet aanwezig zijn, omdat standaard wachtwoorden ook voor
andere zaken actief zijn zoals voor de beheer login van de router of van die camera).

Maar het is ZEKER niet zo dat netwerk logon via WiFi gelijk staat aan dat je hele netwerk gehacked is.

Kortom, komkommertijd en sensatie. En dat terwijl het een al jaren bekend probleem is.

"waarom zetten ze er geen random wachtwoord in"? Nou, omdat je daar maar net een plek voor moet hebben om het
neer te zetten. de strings die je nu ziet (serienummer, SSID, wachtwoord) worden allemaal afgeleid van het MAC adres
wat in de chip zit geprogrammeerd. Je weet niet of er in die chip nog extra onafhankelijke storage is voor nog meer
data zoals een onafhankelijk random wachtwoord. Dan zul je het ontwerp moeten doorlichten.
Het wachtwoord kan niet in de firmware zitten want die moet je kunnen updaten met een van internet gedownload algemeen
firmware image waarna het default wachtwoord nog steeds moet kloppen met de sticker.

Nee dat wachtwoord is geacht te veranderen als je de router instelt, en deze ontdekkingen zijn allemaal oud nieuws en iedereen zou hun/haar WPA/2 + web interface logins moeten veranderen als ze de router binnenkrijgen.
Dat doe je met een computer toch ook als hem koopt gooi je een wachtwoord erop die JIJ alleen kent.

Maar daar gaat het hele artikel juist over: het doorlichten van het routerontwerp. De lange termijn aanbeveling van de schrijvers is:


Blijkbaar zien zij geen geheugen probleem om een paar tekens extra in de EEPROM op te slaan.

Nee maar dat zij geen probleem zien dat betekent nog niet dat er geen probleem is. Dat zij weinig kennis en inzicht
hebben dat blijkt al uit het feit dat ze claimen iets te hebben "ontdekt" wat al lang bekend was voor ze met hun studie
begonnen. Als hun onderzoekskwaliteiten nog niet eens de 7 jaar oude eerdere publicaties naar boven weten te halen,
wat moeten we dan voor waarde hechten aan hun oordeel dat het er wel even bij kan in de EEPROM?

Eens met Anoniem 22:31, ook de bewering dat hij gewoon 1000,- euro over kon maken naar een willekeurige bankrekening is feitelijke onzin en al helemaal niet toe te schrijven aan dit 'lek'.

Daarnaast ben ik van mening dat router fabrikanten best een beperkte functionaliteit (geen internet maar alleen een host <-> router verbinding) aan kunnen bieden tenzij het password van default veranderd is in iets wat wel veilig is. Ik snap de keuze best van de fabrikanten/providers om een 'gegenereerd' password aan te bieden bij een nieuw modem omdat er anders bij een 'persoonlijk' paswoord weer extra handelingen verricht moeten worden nu kan dat ding 'out of the box' bij mensen neergezet worden.

Als je een beetje handig bent en je gebruikt de juiste tools, dan is WPA-2 personal simpel te kraken.

Het gebruik van een combinatie van hoofdletters, kleine letters, getallen en symbolen is ook al achterhaald voor een sterk wachtwoord. Voor een computer is zoiets relatief makkelijker te kraken dan te onthouden voor een mens.

Ik ben wel gecharmeerd door passphrases. Makkelijker te onthouden voor een mens, indien lang genoeg, veel moeilijker te kraken voor een computer.

https://xkcd.com/936/

Een goed wachtwoord is een wachtwoord dat:
- stek is (sterkte krijg je door lengte en willekeurig gekozen tekens of woorden)
- dat gemakkelijk is te gebruiken bijvoorbeeld op een Smartphone.

Voorbeelden van goede wachtwoorden/wachtzinnen voor WiFi zijn:
- een zin van 5 willekeurig gekozen woorden zoals: GalopHakenStandsSpoortProoi
- 14 willekeurig gekozen tekens uit kleine letters en cijfers zoals: m0e2g1hefpzc67
Soortgelijke wachtwoorden/zinnen zijn als WiFi key/wachtwoord voorlopig in eeuwen niet te kraken op een kraakmonster met 25 GPU's, met een kans van 1 op 225 miljoen dat de wachtzin op dag 1 als toevalstreffer gevonden wordt.

Gebruik van speciale tekens spelen een ondergeschikte rol en leveren bij deze lengtes geen gemakkelijk te gebruiken wachtwoord op. Als je wilt weten hoe je de sterkte kan vergelijken van wachtwoorden met meer teken categorieën zoals kleine letters, hoofdletters en symbolen, kijk dan op:
https://en.wikipedia.org/wiki/Password_strength in de tabel" "Lengths L of truly randomly generated passwords...."

Zulke sterke wachtwoorden zijn niet achthaald. Maar ze zijn niet gebruiksvriendelijk.
Probeer het maar met de bovenstaande voorbeelden

Een nog groter probleem wordt denk ik PixieWPS. Hiermee kan offline de WPS-key worden teruggerekend en vervolgens kan met Reaver de WPA sleutel worden uitgelezen. Dit zit standaard in Kali 2.0 (komt vandaag uit).

WPS uitzetten, UPNP uitzetten, WPA sleutel veranderen, wachtwoord van modem veranderen. (vervolgens wordt de sleutel door Windows 10 gedeeld of door een ander apparaat naar internet gestuurd)

Precies dat van die overboeking dat was ook zo tenenkrommend. Dit is alleen maar sensatiezoeken en dat is sneu om
te doen met de naam Radboud erop. Ik hoop dat ze naar buiten komen met een verklaring dat dit allemaal niet waar is en
dat ze er hun handen vanaf trekken wat deze studenten beweerd hebben op Nieuwsuur.

Maar los daarvan, je moet je realiseren dat deze default wachtwoorden in de WiFi spullen gekomen zijn nadat de eerste
generatie werd geleverd met default de beveiliging UIT. Je moest zelf de WPA (of toen nog WEP) aanzetten en een
wachtwoord verzinnen en intypen. Maar omdat de meeste mensen dat nooit deden is er gelobbied bij die fabrikanten
om hun spullen default met beveiliging AAN te leveren. Dat konden ze doen, maar dan moest er natuurlijk wel een
manier zijn om de klant het wachtwoord te vertellen. Dat kun je niet met een brief of een boekje doen, het moet
mogelijk blijven om het ding te resetten (meestal inschakelen met een verborgen knopje ingedrukt dmv een paperclip)
en dan moet er een wachtwoord komen wat voor iedere router verschillend is maar wel voor dezelfde router steeds
hetzelfde.

Aangezien dit firmware updates voor bestaande hardware waren kon er niet zomaar even (zoals deze naieve studenten
denken) een EEPROM bij geknutseld worden. Men moest gebruik maken van het vaak enige gegeven wat verschillend
is per exemplaar, het MAC adres. Dat dit niet helemaal veilig is dat is duidelijk maar toch is het beter dan default open.

Als men het wachtwoord aanpast dan is dit probleem opgelost, maar net als met default open blijft het lastig om de
mensen dat uit te leggen. Als je een router levert die niks doet na uitpakken of een factory reset, dan plaats je je als
fabrikant weer in een kwetsbare positie. Reviewers die dit niet begrijpen zullen er een minpunt van maken in vergelijkingen
met andere spullen die meteen werken out of the box. Dat risico willen fabrikanten niet in hun eentje lopen, dan moet er
eerst weer een lobby ronde gemaakt worden waarbij iedereen dit doet.
Dan is het waarschijnlijk gemakkelijker om WEL te zorgen voor wat extra ROM storage waar de fabrikant een wachtwoord
in kan zetten wat per device uniek random gegenereerd is en niet afhankelijk is van het MAC adres.

Als ik de bijgeleverde handleiding van kpn lees, dan staat er duidelijk dat de bijgeleverde codes voor de eerste installatie zijn. Verder, dat het vervangen van die code door een zelf samengestelde, "sterk wordt aanbevolen"
Kan tot 32 tekens!
Het blijft toch een beetje, of je je in een handleiding wil verdiepen of dat je voor gemak gaat.
Doe je niks, nou ja. Het is echt niet ingewikkeld, voorop gesteld dat je kunt lezen.

Ik moet wel toegeven dat de interface van het modem wel wat ingewikkeld was voor mij.
Het duurde even voordat ik die door had. ;-(

Hoe zouden we niet meer met een standaard voorgeprogrammeerd wachtwoord kunnen werken, maar met een ander type authenticatie methode?

Een display op de router maken met daarop het randomized wachtwoord, zoals gezegd als een hacker bij de router kan, wordt het hele effect van een display uit kunnen lezen teniet gedaan. Dan zijn er grotere uitdagingen.

wat ik zo vreemd vind is dat er mensen zijn die zeuren dat dit oud nieuws is terwijl het in de docu duidelijk word aangegeven op pagina 10 onder punt 7

uiteindelijk vind ik dit volledige thema niet echt spannend.

iedereen is verantwoordelijk voor zijn eigen beveiliging ook als het een schijnbaar Random wachtwoord lijkt te zijn.

gebruik gewoon goede wachtwoorden
niet geboorte data of dergelijke

maar gewoon duidelijke goede wachtwoorden
zoals H1ro5h1m4 of dergelijke

Zie: https://www.security.nl/posting/434975/ING+wachtwoord

Hacken via wifi zal erg lastig worden, ik woon tamelijk hoog en buiten kan ik mijn netwerk nergens oppikken en het verhaal klopt niet bij mij. ik had UPC en dat is nu Ziggo en bij mijn wachtwoord moet je vaak dubbele toetsen gebruiken, kijk als men het wil moet men bij mij pal voor de deur staan op zoveel hoog.....
Ik heb de verbinding eens uitgetest en kon nergens buiten de deur verbinding maken, geen internet beschikbaar kreeg ik als boodschap.
Ik kan mij voorstellen dat als je laag woont en open je wel veel kwetsbaarder bent.
Ik heb op de browsers HTTPS everywhere gezet zodat je zoveel mogelijk https gebruikt, goed is ook niet onfeilbaar maar met een goed antivirus pakket en de nodige wachtwoorden en inloggen als gebruiker denk ik dat ik redelijk veilig ben, het grootste risico ben je dan zelf denk ik!

En u heeft dus waarschijnlijk geen smartphone, helaas hebben die dingen geen aansluiting voor UTP of STP.