Onveiligheid draadloos netwerk onderzocht

Network World Fusion heeft een artikel geplaast met een real-life demonstratie van de mogelijkheden om 802.11b netwerkverkeer af te luisteren. Hiervoor werd Network World door netwerk consultancy bureau Guardent meegenomen voor een ritje door Cambridge, USA. Met een IBM Thinkpad en zelfgeschreven software werd getracht om netwerkverkeer te onderscheppen.

Het merendeel van het verkeer waren e-mailtjes en print jobs, maar men zag ook een router geherconfigureerd worden. IP adres, naam en andere data kwamen langs en als men eerder met tappen was begonnen, had men wellicht ook het password kunnen onderscheppen. Verder kon men gemakkelijk zien welke besturingssystemen werden gebruikt en welke namen alle servers in het netwerk hadden. Zeer interessante gegevens voor een potentiële hacker.

Het gevaar voor hackers is bij draadloze netwerken groter dan bij normale netwerken. Je hebt immers geen fysieke toegang tot het netwerk nodig. Buiten met een laptop in de auto is al genoeg om toegang te krijgen. Volgens Guardent moeten gebruikers van een draadloos netwerk dan ook veel voorzichtiger omgaan met hun data:

Fullerton says many wireless access products come ready-to-use, but have limited security settings. Users should change the default settings on the devices to make them less of an open door to intruders.

Companies can also protect data using the same VPN software used to connect remote workers over the Internet. VPNs work the same over 802.11b as they do in a wired network, Fullerton says. Finally, access to wireless LANs should be authenticated, to ensure unwanted users remain "outside."

Reacties (67)

Verwijderd 18 september 2001 09:03

Logisch dat je draadloos kan afluisteren hoef je niet echt een studie voor te hebben gevolgt, de hoeveelheid data die je vervolgens ook nuttig kunt gebruiken is grotendeels afhankelijk van de kundigheid van de systeembeheerder.

Maar 100% garantie bestaat niet, niet met draadloos, niet met draad niet met de beste systeem beheerder in de wereld want alles wat door de ene mans wordt bedacht als beveiliging kan door een ander mens ongedaan maken (da's wel 100% gegarandeerd)

Verwijderd @Verwijderd • 18 september 2001 09:32

Maar 100% garantie bestaat niet, niet met draadloos, niet met draad niet met de beste systeem beheerder in de wereld ...

Natuurlijk is alles te kraken. Maar daar gaat het hier niet om. Waar het wel om gaat is hoe gemakkelijk zo'n systeem af te luisteren is. Gewoon buiten met je laptoppie rondhangen en gaan met die banaan. Als je dit zelfde geintje wilt doen bij fysieke bekabeling moet je eerst het gebouw binnendringen en daarna openlijk je computer aansluiten op een netwerkkabel. Dit valt nogal op als je als vreemde dit gaat doen in een bedrijf. Knappe jongen die dit voor elkaar krijgt.

Met draadloze systemen kunnen jij en ik het nu ook zonder dat we enig risico lopen gesnapt te worden. Vandaar dit artikel.

Ortep

@Verwijderd • 18 september 2001 10:17

Dit valt nogal op als je als vreemde dit gaat doen in een bedrijf. Knappe jongen die dit voor elkaar krijgt.

Dat valt dus vies tegen. Social Hacking maakt daar gebruik van. Het lukt je vaak bij grote bedrijven.

Dag meneer de portier, ik ben Jansen van DataHack Sevice. Ik kom voor het netwerk probleem.
Welk probleem?
Weten jullie het niet? Ik moest hier hals over kop heen om het netwerkt te controleren. Mij maakt het niet uit hoor, ik ga wel weer weg.
Nu ja komt u maar binnen.

Het is wel een risico, maar als je het echt wilt?

Ik heb op een dergelijke manier wel eens een password van een groot account gekregen van een HEEL groot bedrijf. Het was wel ok en ik moest er echt aan werken, maar er was geen enkele controle of ik wel was wie ik was. Pas na afloop heb ik ze verteld wat een risico ze liepen..OEPS daar hadden ze even niet aan gedacht.

Verwijderd @Ortep • 18 september 2001 14:04

Nou, bij de echt grote bedrijven kom je niet zo makkelijk binnen hoor. In ieder geval niet waar veel gevoelige informatie te vinden is. Ik spreek uit eigen ervaring (dus zuig dit niet uit mijn duim), zowel in binnen- als buitenland:
- ESA (Nederland, Duitsland, Spanje)
- Fokker Space (Leiden, Schiphol)
- Dornier Aerospace (nu Daimler Chrysler)
- Cap Gemini
- IRI Delft
- PSI Zwitserland (industrieel aannemer voor ruimtevaart en kernenergie)
- NLR Noordoost-Polder
- Hubble Space Telescope Science Institute, Baltimore
Dit zijn allemaal plaatsen waar een badge verplicht is, en die krijg je pas na legitimatie en nadat je verteld hebt bij wie je op bezoek komt (wordt dus ter plekke telefonisch gecontroleerd als je niet van te voren was aangemeld).

Confusion @Verwijderd • 18 september 2001 10:51

Maar 100% garantie bestaat niet, [...]want alles wat door de ene mans wordt bedacht als beveiliging kan door een ander mens ongedaan maken (da's wel 100% gegarandeerd)

Dat is 100% onjuist. Wanneer quantum encryptie toepassingsklaar is (en dat is misschien wel sneller dan je denkt), dan kan je absoluut afluistervrij communiceren: je kan dan namelijk voor elk gesprek een nieuwe sleutel overzenden en je kan het waarnemen als de sleutel afgeluisterd is.

Verwijderd @Confusion • 18 september 2001 13:18

Wanneer quantum encryptie toepassingsklaar is ......., dan kan je absoluut afluistervrij communiceren

Nou nee, niet dus. Dan kan je juist niet meer afluistervrij communiceren. Mbv een quantumcomputer ga je namelijk precies de sleutels kraken die anderen over het net zenden. Dus deze toepassing is vooral bedoeld voor het kraken van deze systemen (omdat je in een keer alle mogelijke toestanden kan doorrekenen).

Ortep

@Verwijderd • 18 september 2001 13:23

Quantum encryptie is wat anders dan een quantum computer. Bij quantum encryptie is het onmogelijk om de data te kraken zonder dat de ontvanger het merkt. Zodra de boodschap gelezen is, is hij ook veranderd. En dat is niet te vermijden. Je kan dus wel kraken, maar niet ongemerkt.

Verwijderd @Confusion • 18 september 2001 12:28

Quantum encryptie.... Mmmmm denk je niet dat als je een quantum comp. ernaast zet dit weer even snel is te decrypten.
Nog beter als de eerste quantum computers geleverd gaan worden is het waarschijnlijk aan de NSA, FBI of CIA, zodat het niet meer uitmaakt of er wel of geen encryptie op een bericht zit.
Met de komst van de quantum computer is het hele idee van encryptie achterhaald.

[off-topic]
Een quantum computer gaat ervan uit dat een deeltje op meerdere plaatsen tegelijk kan zijn, hierdoor is het mogelijk om zeer snel codes te kraken.
Een gewone computer gaat een voor een alle mogelijke sleutels af, een quantum computer die kan doordat alle mogelijk waarden in een keer mogelijk zijn dit in een keer doen.
[/off-topic]

Confusion @Verwijderd • 19 september 2001 13:14

[off-topic]
Een quantum computer gaat ervan uit dat een deeltje op meerdere plaatsen tegelijk kan zijn, hierdoor is het mogelijk om zeer snel codes te kraken.
[/off-topic]

Dat is onjuist.
Een quantum computer gaat ervan uit dat een deeltje zich in een superpositietoestand bevind. Dat is iets heel anders. Bepaalde encrypties, zoals de huidige grote-priemgetallen systemen, zijn daarmee zeer snel te kraken. Bepaalde andere encrypties duren net zo lang als met een gewone computer.

Aetje @Confusion • 18 september 2001 22:28

"Waarnemen als de sleutel is afgeluisterd..."

Door in elke computer een kaboutertje te plaatsen die alarm slaat?

ff serieus, passief data onderscheppen (dus zonder verzenden) is NOOIT af te vangen. Er is immers geen signaal terug en geen signaal corruptie.

Confusion @Aetje • 19 september 2001 08:27

ff serieus, passief data onderscheppen (dus zonder verzenden) is NOOIT af te vangen. Er is immers geen signaal terug en geen signaal corruptie.

Wie studeert er hier natuurkunde en wie heeft er in zijn universiteit de meest publicerende vakgroep op het gebied van quantumcomputing ter wereld? Het is geen geldig argument, maar als ik zeg dat een prof tijdens een college vertelt heeft hoe dit werkt (te lang om hier voor mensen zonder voorkennis uit te leggen) en dat het dus zo werkt, dan is mijn woord betrouwbaarder dan het jouwe. Ik kan nog wel meer mooie quantumvoorbeelden geven waarvan jij zou zeggen dat het NOOIT kan.

Sinned123 @Aetje • 19 september 2001 12:00

blaat wie zegt dat je echt studeert?
kom dan met een concreet voorbeeld anders is het gewoon zijn woord tegen de jouwe.

Confusion @Aetje • 19 september 2001 12:32

Hallo, ik vertel hier dat het kan en dan komt hij met zo'n loze stelling als: 'het kan NOOIT'. Laat hem dan argumenten geven...
Wat betreft de quantum encryptie: als je iets meet (opvangt, afluistert), dan beinvloed je het. Als je bitjes overzend door fotonen in een bepaalde richting te polariseren en iemand probeert het af te luisteren, dan verstoor je de toestand van de deeltjes. Ik kan hier gewoon niet uitleggen hoe het exact zit.

Wil je nog een voorbeeld? Ga maar eens op internet zoeken naar 'interaction free measurements'. Kan je nog wat quantumverschijnselen vinden die je niet verwacht.

pdxnet96 18 september 2001 08:10

g@rfield,

Je hebt helemaal gelijk, eerlijk gezegd wil ik iedereen wel uitdagen om het bij ons te proberen, maar dat vindt het bedrijf niet goed...

Vormen van beveiliging bij ons..
1. Alle MAC adressen geregistreerd in de Accesspionts
2. 128 bits encryptie in de data transfer..
3. ferqentie hops om de zoveel tijd..

Ik geef het je te doen ....

quote
dangers of careless 802.11 network setups.
quote

Verwijderd @pdxnet96 • 18 september 2001 08:45

ad.1. MACaddressen zijn te faken.

L0g0ff

@Verwijderd • 18 september 2001 08:58

Dan moet je mij toch eens vetellen hoe

MrKoen @L0g0ff • 18 september 2001 15:17

Ook bij sommige (duurdere) netwerkkaarten onder Windows heb ik een optie gezien om het MAC adres in te kunnen stellen. Tevens heb ik op mijn wireless access router, de Netgear MR314 en op een andere router, de RP114 mogelijkheden gezien om een MAC adres in te stellen.. door via zo'n dergelijk apparaat te verbinden, maak je dus verbinding via een MAC adres dat je zelf ingesteld hebt..

Verwijderd @L0g0ff • 18 september 2001 09:04

Onder linux kun je gewoon je MAC-adres instellen. Als je bv. een Dell Poweredge server hebt (de 2500bv) daar kun je het zelfs gewoon in het BIOS instellen..

DJSmiley @L0g0ff • 18 september 2001 13:33

Dan kan je beter linux op je laptopje zetten dan een poweredge in de auto pleuren om bij bedrijfjes langs te rijden

Edit: was bedoeld als reactie op Hezik

blaatenator @pdxnet96 • 18 september 2001 09:40

Als het betreffende bedrijf geen (of simpele) encryptie gebruikt, kun je nog altijd afluisteren, wat al een hoop info kan opleveren. En mac-adressen zijn wel degelijk te faken. Weet alleen niet of dat ook kan met die wireless LAN adapters.

Verwijderd @blaatenator • 18 september 2001 12:50

Bij de kaarten van Lucent dacht kan je gewoon in de driver het MAC address veranderen.

g@rfield 18 september 2001 06:47

Sorry hoor, maar er zijn al een tijdje wireless accesspoint op de markt met ingebouwde encryptie (64 en 128 bits voor zover ik gezien heb, maar wellicht ook al hoger). Met dit soort berichtgeving laat je dus heel gemakkelijk mensen geloven dat het onveilige technologie is, onterecht imho. Maargoed ik snap het wel dat Gueardent dit doet, met hun wireless security assesment service van $10.000 (en hoger). Triest.

Verwijderd @g@rfield • 18 september 2001 09:07

Met dit soort berichtgeving laat je dus heel gemakkelijk mensen geloven dat het onveilige technologie is, onterecht imho

Integendeel. Deze technologie _IS_ onveilig, zo erg zelfs dat deze newspost een beetje overbodig is, iedereen wist dat namelijk al.

Die encryptie stelt ook geen fuck voor, zie hier.

Quotje uit die post:

De Automatisering Gids meldt dat de beveiliging van de Wireless LAN-standaard Wi-Fi zo lek is als een mandje. De wired-equivalent privacy versleuteling (WEP), die gebaseerd is op de RC4-sleutel, blijkt volgens cryptografiespecialisten binnen 15 minuten te kraken te zijn. Ontcijfering is zelfs al mogelijk door een zogenaamde passieve aanval, waarbij slechts de transmissies afgeluisterd hoeven te worden.

klinkt niet bepaald secure, wel?

LeNNy

@g@rfield • 18 september 2001 08:58

nu heb ik laatst ook gelezen dat encryptie 128 bit en hogere ook niet moelilijk te kraken was. was in 3 uur gebeurd

dus hoe je het ook bekijkt dat wep protocol is gewoon brak als het om versleuteling gaat.

Verwijderd 18 september 2001 03:17

Is inderdaad een redelijk link gedoe.
maar valt er nu niets te encrypten bij dit soort versturen van gegevens over een draadloos netwerk zodat je alleen met een pass de gevraagde data kunt zien??

TD-er

@Verwijderd • 18 september 2001 06:57

De gemiddelde (windows) gebruiker van een netwerk weet amper hoe hij een netwerk verbinding tot stand brengt, laat staan dat hij weet hoe dingen veiliger kunnen.
Encrypten van data is zeker mogelijk, maar dan moet ofwel de router die het draadloze met het normale netwerk verbind de data en- en decrypten, danwel dat alle machines op het hele netwerk encrypted spreken.
Dit laatste is voor een hoop mensen (helaas) vaak te veel moeite (of te moeilijk).
Ik vind het wel goed dat deze mogelijke beveiligingsgaten nu al aangetoond worden, nu het nog niet zo enorm masaal toegepast wordt.
Gelukkig is het voor de huidige gebruikers vrij goedkoop mogelijk om dit probleem te omzeilen, door een software oplossing, dus ik denk niet dat de standaard hierdoor minder populair gaat worden.

Standeman @TD-er • 18 september 2001 09:44

Ik denk dat de gemiddelde windows-gebruiker het ook geen moer kan schelen of het netwerk nu veilig is of niet. Hij / zij werkt er alleen maar mee en zal zich dus ook niet verdiepen in encryptie van dataverkeer. Naar mijn mening is het vooral de taak van systeembeheer om het netwerk zo goed mogelijk te beschermen tegen aanvallen, calamiteiten e.d. Van het en en- decrypten van netwerkverkeer zou de gebruiker niets moeten merken!

NuKeFaCe @TD-er • 18 september 2001 14:34

Die accespoint's hebben ook een ingebouwde encrypty optie (dynalink wel in iedergeval) en dan moet bij de client's dezelfde key worden ingevoerd om te decrypten.
de optie moet alleen wel aangezet worden

Pietervs @Verwijderd • 18 september 2001 13:14

maar valt er nu niets te encrypten bij dit soort versturen van gegevens

Staat er toch duidelijk:
VPNs work the same over 802.11b as they do in a wired network, Fullerton says. Finally, access to wireless LANs should be authenticated, to ensure unwanted users remain "outside."
Dus: of een VPN installeren, met VPN clients op de laptops die toegang hebben, of een of andere manier van authenticatie vereisen, voordat een laptop toegelaten wordt op het lokale draadloze netwerk (combinatie van die twee lijkt me nog beter, maar dat zal waarschijnlijk ook wel mogelijk zijn)

GorgeousMetal

18 september 2001 08:05

Dit is een tijdje geleden ook al behandeld bij Extreme Tech. Zie ook: http://www.extremetech.com/article/0,3396,s%253D1024 %2526a%253D13880,00.asp

voor meer details.

]Byte[ 18 september 2001 09:28

Sorry hoor, maar er zijn al een tijdje wireless accesspoint op de markt met ingebouwde encryptie (64 en 128 bits voor zover ik gezien heb, maar wellicht ook al hoger). Met dit soort berichtgeving laat je dus heel gemakkelijk mensen geloven dat het onveilige technologie is, onterecht imho.

Helemaal mee eens!!
MAAR bij hoeveel bedrijven geldt niet de policy "in het land der blinden is 1 oog koning"
Hoeveel mensen weten echt hoe je dit soort zaken goed moet opzetten

Onderdelen komen binnen, alles wordt geinstalleerd en als alles werkt wordt er niet meer naar omgekeken!
De aanname accepteren dat je denkt veilig te zijn is nog gevaarlijker dan weten dat je het niet bent!
Is hetzelfde als een bedrijf zet een firewall neer, maar blijkt (zonder dat ze het zelf weten) zo lek als een vergiet te zijn geconfigureerd.
Door gebrek aan kennis en inzicht inzake encryptie en beveiligingen gaat het dus meestal fout!

Stealthje 18 september 2001 09:52

Mm, lijkt me voor mij niet echt een probleem, ik gebruik hier in mijn netwerk allemaal IPsec tunnels naar mn server, en daarin SSL en SSH sockets.

Maar IPsec is toch de oplossing voor dit probleempje.

sab 18 september 2001 06:07

Dit was al duidelijk tijdens Hacking At Large.
www.hal2001.org
www.hal2001.org/hal/06Live/archives/main_sun1 5.ram

edit:
Stream erbij gezet

mars @WhiteDog • 18 september 2001 02:51

waarom zijn er zo weinig nieuwsposts tegenwoordig? ik vind het gewoon beetje spijtig
en als er dan 1 is komt ie om 2 uur 's nachts...

Ach, wees blij, hebbie ook eens een first post

over draadloze netwerken:
is dit echt nodig eigelijk?
dit lijkt me nuttig thuis en in hotels enzo maar op het werkt ligge er toch genoeg kabels?

Ik denk dat het wel degelijk een goede posting is: IEEE 802.11b heeft heel veel toekomstpotentie, juist ook in kantoren waar veel medewerkers met hun klapdozen op allerlei verschillende plaatsen willen kunnen werken/communiceren (denk bv aan een vergadering waar de sales manager vragen van de directeur ter plekke kan beantwoorden omdat ie ff draadloos in z'n administratie kijkt

). Veiligheid is altijd een belangrijk punt en het is hier een zwak punt, dus de posting is wel degelijk relevant zou ik zeggen.

Pietervs @WhiteDog • 18 september 2001 13:11

dit lijkt me nuttig thuis en in hotels enzo maar op het werkt ligge er toch genoeg kabels?
Er zijn genoeg bedrijven die een vleugel aanbouwen, een verdieping verbouwen, een nieuw kantoor in gebruik nemen, ... (noem maar op), en dan graag met het nieuwste van het nieuwste willen "pronken".

Of ze willen een kantoortuin (grote open ruimte waar iedereen in werkt) waar ze zo min mogelijk lelijke kabels in willen hebben. Of ze hebben een aantal "flex-werkplekken": geen netwerkaansluiting, hooguit een telefoon (en zelfs die ontbreekt vaak nog), waarbij het handig is als men draadloos kan werken...

Kortom: zelfs voor bedrijven is het vaak nog leuk/interessant/nodig om naar draadloos te kijken!

blaatenator @WhiteDog • 18 september 2001 09:32

[off-topic]
Het is natuurlijk ook aan de bezoekers om nieuws te posten (doe ik zelf eigenlijk ook weinig).
Dit is trouwens al wel erg oud nieuws, onderzoek is al maanden geleden uitgevoerd, en ook uitgebreid besproken in LAN magazine(d8 ik).
Inmiddels zijn er ook al oplossingen bedacht, maar voorlopig veroorzaken die nog teveel overhead om gebruikt te worden.
[/off-topic]

Verwijderd 18 september 2001 09:58

Is er geen mogelijkheid om een detectie in te stellen van een ontvangertje dat aan het aftappen is ?
Ik bedoel zo'n thinkpad stoort die de Wireless Connection niet een klein beetje zodat het bemerkt kan worden ?

Stealthje @Verwijderd • 18 september 2001 10:01

Nee, jij zit bij het afluisteren nog niets te doen, alleen te luisteren. En als je dus niet zendt merken ze je niet op. De signalen gaan namelijk gewoon open door de lucht.

Pas als er gefaked gaat worden wordt het pas mogelijk dat het opgespoord kan worden. Dit kan altijd, maar wie zit er de hele dag te kijken of er niet een verbinding mogelijk ergens anders vandaan komt...

Op dit item kan niet meer gereageerd worden.

Onveiligheid draadloos netwerk onderzocht

Lees meer

Reacties (67)

Sorteer op:

Weergave: