Studentennetwerk; Kan het nog onveiliger?

Door Biersteker op maandag 19 december 2011 20:18 - Reacties (38)
Categorie: -, Views: 9.723

Iedereen heeft internet nodig, zo ook de studenten. Niemand kan zonder internet, juist een student niet. Studielink, DigiD, Internetbankieren, email en Facebook, het hoort allemaal bij de dagelijkse routine. Maar als jij tegen de 300 a 400 honderd euro voor een studentenkamer betaald, betaalt, dan hoor je toch ook recht te hebben op goed werkend internet. Niet alleen goed werkend, maar ook beveiligd.

Hoe kom ik op dit onderwerp, in mijn aller eerste tweakblogpost. Het begon allemaal bij een gezellig feestje in een zeer groot studentenhuis in Amsterdam. (Ik zal nog maar niet de naam noemen, uit veiligheidsoverwegingen voor de bewoners)

Ik raak met een paar van mijn vrienden aan de praat, over Facebook. Ik had niet eens een uitnodiging gekregen, want geen Facebook. Het is dat ik gebeld werd met de melding: "Ik heb nog geen reactie van je gehad of je op mijn feestje komt". Uiteindelijk komt er een verhitte discussie over of je wel of geen Facebook moet hebben, om sociaal verbonden te blijven. Zelf ben ik fanatiek anti facebook, gezien alle privacy issues die er aan verbonden zijn. Een van mijn vrienden vond dat pure onzin. Ik moest het volgens hem uitleggen en als het kon, ook laten zien. De resultaten waren echt schrikbarend.

Het studentenhuis beschikt over een draadloze verbinding. Open en unencrypted. FAIL. Ik begon te vertellen over DroidSheep, een programmatje dat Cookies steelt. En ik laat DroidSheep 20 seconden sniffen. Het resultaat was echt verbluffend. 8 Facebook cookies in 20 seconden. Toen kwam bij mij de vraag, hoe groot is dit netwerk dan wel niet, en word het niet op bepaalde punten gescheiden.? Gelukkig zit ik in een betatest van Anti, (Android Network Toolkit) dus een networkmap is zo gemaakt. 180 pc's zichtbaar op het netwerk. Bedenk wel dat dit allemaal gedaan is op een Androidphone met slechts 2 programma's, in minder dan 5 minuten. Iemand die schade wilt doen, hoeft maar een laptop te pakken, en een clone website te maken met SET, en je hebt zo alle post info van een random website. (Denk DigiD, ING, Blackboard etc.)

Daar zit je dan, op je dure studentenkamer, waar jij je veilig waant. Maar de beveiliging van je data en het netwerk is gewoon niet anders dan diep triest te noemen.

(Er is een mailtje naar het systeembeheer daar gegaan, hopen dat er iets mee word gedaan.)

To be continued

Edit: Wegens uitblijven van een reactie van de betrokken partij, heb ik een tweede mail naar systeembeheer gestuurd.

Edit2: Op het tweede mailtje heb ik ondertussen een reactie ontvangen. Morgen meer.

Volgende: Studentennetwerk; Deel 2. 01-'12 Studentennetwerk; Deel 2.

Reacties


Door Tweakers user Ruud, maandag 19 december 2011 20:23

Op een feestje nerden, fail :+

Door Tweakers user magiel, maandag 19 december 2011 20:26

Mensen laten zien dat ze onwetend zijn, +1 :+

Door Tweakers user Mint, maandag 19 december 2011 20:27

" Ja maar het werkt toch?" :)

Door Tweakers user Styxxy, maandag 19 december 2011 20:30

En werkt dit ook als ze een HTTPS verbinding hebben? Mij lijkt net dat HTTPS toch enigszins tegen deze problematiek bedoeld is (het afluisteren).

Door Tweakers user YopY, maandag 19 december 2011 20:31

Aan de andere kant: da's ook de schuld van de gebruikers in dezen. Met Facebook kun je HTTPS aanzetten namelijk, dan kun je cookies ook niet meenemen. Ook kun je jezelf een e-mail laten sturen als er ingelogd wordt vanaf een andere PC dan je eigen.

Heb je ook geprobeerd daadwerkelijk op die accounts te komen met die cookies? Ben er namelijk vrij zeker van dat die sessies gekoppeld zijn aan je PC.

Door Tweakers user Stuupje, maandag 19 december 2011 20:31

Ik ben het met je eens dat een onbeveiligd draadloos netwerk niet meer van deze tijd is, maar een beveiligd draadloos netwerk zegt ook niet alles.
De enige barriŽre is het verkrijgen van toegang tot het netwerk, van de 180 computers (met 1 connectie per persoon) heb je 180 personen die je de sleutel kunnen geven.

Daarbij komt dat als je op zo'n netwerk bent aangesloten het nooit echt veilig is.
Een simpele ARP sniffer kan al het netwerkverkeer via een speciaal geprepareerde computer laten verlopen waarbij je toegang tot alle gegevens hebt.
Ik bedoel, waarom moeilijk doen met cookies als je toch de POST van een formulier (inlog, gegevens, wat dan ook) als clear text kan uitlezen?

Beveiliging begint bij jezelf.
Er zijn simpele (en meestal supergoedkope) oplossingen om je netwerkverkeer te kunnen beveiligen.
Denk bijvoorbeeld aan een VPN (huren bij een instantie, of misschien een simpele VPS huren en zelf configureren).

Door Tweakers user Biersteker, maandag 19 december 2011 20:37

Je kan zonder problemen inloggen op die facebook accounts met droidsheep, dat is ook niet echt het probleem. Zoals YopY ook zegt, je KAN HTTPS aanzetten, maar dat word gewoon niet gedaan. En die sessies zitten helaas niet vast aan je PC. Dit kan gewoon gedaan worden, zelfs als je die cookies meeneemt naar een ander netwerk. Wat stuupje ook aangeeft. Met een geprepareerde computer word alles nog makkelijker. Vandaar dat er ook even een mailtje naar systeembeheer is gegaan. Aangezien de studenten in het complex hier gewoonweg geen weet van hebben.

[Reactie gewijzigd op maandag 19 december 2011 20:40]


Door Tweakers user magiel, maandag 19 december 2011 20:43

Styxxy schreef op maandag 19 december 2011 @ 20:30:
En werkt dit ook als ze een HTTPS verbinding hebben? Mij lijkt net dat HTTPS toch enigszins tegen deze problematiek bedoeld is (het afluisteren).
HTTPS aanzetten en op https://www.facebook.com inloggen werkt. net getest :)

//Edit: werkt in de zin van dat de sessie niet meer gejacked kan worden.

[Reactie gewijzigd op maandag 19 december 2011 20:43]


Door Tweakers user AMD1800, maandag 19 december 2011 20:51

Tsja, ik zou niet weten waarom je niet gelijk de daad bij het woord zou voegen, als men denkt dat je loopt te bluffen. Je bent pas een faal als je dat pikt.

Door Tweakers user MaDLiVe, maandag 19 december 2011 21:01

Beetje nerd ben je wel ;)

Door Tweakers user Biersteker, maandag 19 december 2011 21:03

Wist je toch al ;) Leuk dat je vanuit Kenia reageert trouwens.

[Reactie gewijzigd op dinsdag 20 december 2011 03:52]


Door Tweakers user Precision, maandag 19 december 2011 21:11

vpn lijntje huren of vps'je huren en zelf vpn opzetten.
Toen ik op kamers zat kreeg ik regelmatig (meerdere keren per dag +10) arp packets om te melden dat de router veranderd was (man in the middle attack). Constant mac adressen die wijzigden etc, conclusie: het werd een wijze nerd battle. Toen ik wegging heb ik het even gemeld.

Door Tweakers user jcvjcvjcvjcv, maandag 19 december 2011 21:13

Stuupje schreef op maandag 19 december 2011 @ 20:31:
Ik ben het met je eens dat een onbeveiligd draadloos netwerk niet meer van deze tijd is, maar een beveiligd draadloos netwerk zegt ook niet alles.
De enige barriŽre is het verkrijgen van toegang tot het netwerk, van de 180 computers (met 1 connectie per persoon) heb je 180 personen die je de sleutel kunnen geven.
MAC-adres whitelisting ;)


Door Tweakers user ElektroNeko, maandag 19 december 2011 21:23

Ik raak met een paar van mijn vrienden aan de praat, over Facebook. Ik had niet eens een uitnodiging gekregen, want geen Facebook. Het is dat ik gebeld werd met de melding: "Ik heb nog geen reactie van je gehad of je op mijn feestje komt". Uiteindelijk komt er een verhitte discussie over of je wel of geen Facebook moet hebben, om sociaal verbonden te blijven. Zelf ben ik fanatiek anti facebook, gezien alle privacy issues die er aan verbonden zijn. Een van mijn vrienden vond dat pure onzin. Ik moest het volgens hem uitleggen en als het kon, ook laten zien. De resultaten waren echt schrikbarend.
O ja, deze shit herken ik. Is vooral heel erg hier in Friesland, waar iedereen zich al heel erg met elkaar bemoeid. Mensen zijn zo verbaast dat ik bepaalde dingen niet wil vertellen, en dat ik niet op Facebook zit. Ik ben verbaasd dat ze alles over zichzelf delen en alles willen weten, om dat weer te kunnen delen met anderen...

[Reactie gewijzigd op maandag 19 december 2011 21:23]


Door Tweakers user woekele, maandag 19 december 2011 21:38

als jij tegen de 300 a 400 honderd euro voor een studentenkamer betaald
En weer een student die geen werkwoorden kan vervoegen :P

[Reactie gewijzigd op maandag 19 december 2011 21:39]


Door Tweakers user Biersteker, maandag 19 december 2011 21:44

woekele schreef op maandag 19 december 2011 @ 21:38:
[...]


En weer een student die geen werkwoorden kan vervoegen :P
Fixed it.

Door Tweakers user Kosty, maandag 19 december 2011 22:20

Er is wel een klein verschil tussen een "groot ongescheiden netwerk" en een onbeveiligd WiFi netwerk. Met DroidSheep kan jij al het (non-encrypted) verkeer van de accesspoint waar je verbonden mee bent sniffen, je ontvangt niets van andere computers of apparaten die aangesloten zijn via een kabel of ander (beveiligde) accesspoint. Want ANTI dan doet is in het subnet een bericht naar de broadcast sturen of alle IP adressen afgaan. Daarmee ben je verder niets, en die twee acties hebben helemaal niets met elkaar te maken. Natuurlijk is het stom om in zo'n groot netwerk op straat te gooien dmv een onbeveiligde accesspoint, maar tegelijk is dat gewoon een kwestie van je eigen zaakjes regelen (op je laptopje niet C:\ delen met iedereen, bijvoorbeeld) en dan kan er weinig verkeerd gaan.

[Reactie gewijzigd op maandag 19 december 2011 22:23]


Door Tweakers user i-chat, maandag 19 december 2011 22:26

Stuupje schreef op maandag 19 december 2011 @ 20:31:
Ik ben het met je eens dat een onbeveiligd draadloos netwerk niet meer van deze tijd is, maar een beveiligd draadloos netwerk zegt ook niet alles.
De enige barriŽre is het verkrijgen van toegang tot het netwerk, van de 180 computers (met 1 connectie per persoon) heb je 180 personen die je de sleutel kunnen geven.
correctie: die je EEN sleutel kunnen geven.. en laat dat dan een persoonsgebonden sleutel zijn....
Daarbij komt dat als je op zo'n netwerk bent aangesloten het nooit echt veilig is.
Een simpele ARP sniffer kan al het netwerkverkeer via een speciaal geprepareerde computer laten verlopen waarbij je toegang tot alle gegevens hebt.
Ik bedoel, waarom moeilijk doen met cookies als je toch de POST van een formulier (inlog, gegevens, wat dan ook) als clear text kan uitlezen?
Correctie: dan moet je dus toegang hebben tot andere pc's op het netwerk en dit is dan ook exact basis cursus netwerkbeheer les 2: 'bedenk wie je toegang geeft tot welke functionaliteiten,"
Beveiliging begint bij jezelf.
Er zijn simpele (en meestal supergoedkope) oplossingen om je netwerkverkeer te kunnen beveiligen.
Denk bijvoorbeeld aan een VPN (huren bij een instantie, of misschien een simpele VPS huren en zelf configureren).
* i-chat slaps the idiot... sorry, maar jij ziet ze echt vliegen, een eigen vps huren om een vpn verbinding te kunnen kopen voor enkele tientjes per maand (want een beetje accadimicus redt het niet met 128mb ram, virtuele 500mhz cpu core en 50gb trafic per maand voor een tientje... met een beetje realiteitszin weetje bovendien dat een economie student, iemand in rechten of natuurwetenschappen, weinig op zal hebben met ict beveiliging, daar hebben ze systeembeheer voor. als die faalt kun je moeilijk de verantwoordelijkheid bij de eindgebruiker leggen.

dat ze niet in moeten gaan op ransomware, warez, spy en andere badware, dat ze een anti-malware/virus pakket moeten installeren, en een gedegen firewall op de pc moeten hebben is als lastig zat voor de meesten, laat alsjeblieft de netwerkbeveiliging bij de mensen die daar verstand van behoren te hebben. en schop die zonodig de laan uit als ze het verprutsen.

Door Tweakers user Stuupje, maandag 19 december 2011 22:52

i-chat,

Ongeacht wie je toegang geeft, je computer zal in een bepaald netwerk komen. Op dat netwerk kan je uitvoeren wat je maar wil.
Toegang tot een andere computer heb je niet nodig, ARP-poisining wordt door de meeste virusscanners nog niet herkend en zorgt voor een goede man-in-de-middle attack.

Ik zie ze niet vliegen, aangezien er genoeg VPS providers zijn die je voor een paar euro per maand een VPS kunnen aanbieden zonder datalimiet maar helaas wel beperkte snelheid.
Voor internet bankieren, facebook en andere simpele websites is dit genoeg.
Tevens is een dergelijke CPU en RAM genoeg om VPN verkeer te routeren.

Torrent, Nieuwsgroepen en andere onzin kan je zonder beveiligde verbinding ook wel doen.

Door Tweakers user mmjjb, maandag 19 december 2011 22:55

Echt erg dit.. het zal mij ook niet verbazen als het wachtwoord van het accesspoint nog op default zou staan :P


--toevoeging

Veel plezier met je t.net blog, leuk dat je er bij bent

[Reactie gewijzigd op maandag 19 december 2011 22:57]


Door Tweakers user djvdorp, maandag 19 december 2011 23:11

Waar verkrijg je zo'n beta key voor ANTI? Of is het inmiddels al open voor publiek?

Door Tweakers user Biersteker, maandag 19 december 2011 23:13

Kosty schreef op maandag 19 december 2011 @ 22:20:
Er is wel een klein verschil tussen een "groot ongescheiden netwerk" en een onbeveiligd WiFi netwerk. Met DroidSheep kan jij al het (non-encrypted) verkeer van de accesspoint waar je verbonden mee bent sniffen, je ontvangt niets van andere computers of apparaten die aangesloten zijn via een kabel of ander (beveiligde) accesspoint. Want ANTI dan doet is in het subnet een bericht naar de broadcast sturen of alle IP adressen afgaan. Daarmee ben je verder niets, en die twee acties hebben helemaal niets met elkaar te maken. Natuurlijk is het stom om in zo'n groot netwerk op straat te gooien dmv een onbeveiligde accesspoint, maar tegelijk is dat gewoon een kwestie van je eigen zaakjes regelen (op je laptopje niet C:\ delen met iedereen, bijvoorbeeld) en dan kan er weinig verkeerd gaan.
Daar heb je gelijk in, als het inderdaad accespoints zouden zijn met enige routing mogelijkheid, helaas is dit niet het geval. Een ARP attack kan je over meerdere switches en APs uitvoeren. Met een ARP poisoning over wireless pak je net zo hard de bekabelde pcs.
handig leesvoer:
http://digilander.libero.it/SNHYPER/files/arppoison.pdf

@djvdthemaster
http://www.zimperium.com/anti.html Krijg je ook nog 2 gratis credits :)
Staat ook in de market, maar dan krijg je geen credits dacht ik.

[Reactie gewijzigd op dinsdag 20 december 2011 02:58]


Door Tweakers user CodeCaster, maandag 19 december 2011 23:38

Ik zie niet in wat een open Wifi-netwerk met je privacy op Facebook te maken heeft, maar dat terzijde.

Door Tweakers user Biersteker, maandag 19 december 2011 23:48

Facebook is hier als voorbeeld gebruikt. Droidsheep doet het goed met facebook. Privacy op facebook,tsja iets met overal waar een like button staat word je bijgehouden door juist die cookie. (Die cookie? Dat cookie? Deze cookie?)

Leuk om te zien dat er lezers van me eerste blogpost zijn :)


@ HerrKauwer: Taalpurist ;)

[Reactie gewijzigd op dinsdag 20 december 2011 00:18]


Door Tweakers user HerrKauwer, dinsdag 20 december 2011 00:15

En weer een student die niets snapt van samengestelde woorden :9
studentennetwerk

Door Tweakers user Gerjannn, dinsdag 20 december 2011 09:12

Nice, wou dat ik zo slim was :)
Dat is inderdaad zwaar onveilig, goed dat je het aan de kaart hebt gesteld ;)

Door Akimosan, dinsdag 20 december 2011 11:24

En weer iemand die niets van contaminaties snapt. :)

"Aan de kaak stellen."
"Op de kaart zetten."

Door Tweakers user Squishy, dinsdag 20 december 2011 12:13

Gewoon een kwestie van netwerk certificaten als je het mij vraagt bij ons op school werkt het ook zo anders kom je er gewoon niet op. En je hebt geen gezeik met mensen die het wachtwoord even doorgeven.

Door Tweakers user Biersteker, dinsdag 20 december 2011 13:12

@Squishy, Inderdaad. Hoewel ze hier perfect WPA2-Enterprise voor kunnen gebruiken, (802.1x), met een Radius server erachter. Dan heb je in ieder geval unieke keys, en word de data versleuteld verzonden. Hoewel ARP poisening dan nog steeds mogelijk is, kan je als systeembeheerder, gewoon die key intrekken.

Door Tweakers user _Eend_, dinsdag 20 december 2011 13:40

@Biersteker: En wie gaat dat dan onderhouden? Eens in de zoveel tijd een stapel nieuwe accounts aanmaken is dan niet zo verschrikkelijk veel werk. Maar de RADIUS server en alles wat erbij komt kijken moet ook worden onderhouden. Updates installeren, netwerkbeveiliging etc.

Maar aan de andere kant is er voor jou misschien nog wat geld uit te slepen: een dikke VPS bestellen en een eigen VPN dienst beginnen :+

Door Tweakers user D_Jeff, dinsdag 20 december 2011 13:42

Wat een taal punt komma likkers zeg :+

Naar TS: Mooie info die een zeer informatieve discussie oplevert.
Daarnaast, ook bedankt voor je Info mbt ARP posioning.

Keep on Goin' this way ;)

Door Tweakers user Biersteker, dinsdag 20 december 2011 13:43

@_Eend_. Ik mag echt hopen dat ze een systeembeheerder hebben. Het gaat over een complex met meer dan 500 huurders.

Door Tweakers user _Eend_, dinsdag 20 december 2011 14:41

@Biersteker: ik hoop het ook. Maar als ik dit verhaal zo lees dan doet deze systeembeheerder niet zo veel.

Ik ben overigens wel benieuwd naar de reactie van de systeembeheerder.

Door Tweakers user Biersteker, dinsdag 20 december 2011 15:48

@_Eend_ Er komt zeker een part 2. Nog geen reactie van systeembeheer trouwens.

Door Tweakers user copywizard, donderdag 22 december 2011 12:21

ik lees dit net loop ik net naam me password cracking pc* zie ik tot me verbazing dat ik net het password van me buren (waarvan de buurman zegt dat ie onkraakbaar is) het gekraakt.

oftewel veilig ?? je bent zo veilig als dat je je zelf laat/doet denken simpel.

maar goed leuk stukje 180 pc,s vast en zeker dat anti daar wel wat vulnerabilities op heeft gevonden?

leuk stukje om te lezen !

Door Tweakers user Biersteker, donderdag 22 december 2011 16:52

@Copywizard, Anti kan daar inderdaad vrij veel mee. Laat staan een metasploit/armitage. Hoewel Cain&Abel daar ook leuke grappen mee kan uithalen.

Door Tweakers user Biersteker, donderdag 22 december 2011 18:56

Ondertussen een voorlopige reactie gehad van de betrokken partij, morgen hoor ik meer. Dus zeer waarschijnlijk komt er morgen een deeltje2.

Reageren is niet meer mogelijk