hihi, wifi in de NS treinen

[Carn]

is zo lek als een mandje. Niet echt nieuws, maar misschien goed om te weten als je weer ergens een wachtwoord intypt

https://decorrespondent.nl/3166/De-w...33928-eb8e914b

Citaat:

Bij de wifi in de trein is geen actieve aanval nodig om informatie van en over de gebruikers te achterhalen. Geen hack, geen digitale penetratie of technologische vermomming. Alles wat je nodig hebt is een antenne.
..

.. de wifinetwerken in de trein zijn niet versleuteld. Ze staan open. Wat zoveel betekent als: de data van al die miljoenen gebruikers zweven onbeschermd door de lucht. 'Het netwerk blaast simpelweg alle data uit,' zegt Mühleisen. 'En ik kan ze gewoon uit de lucht plukken.' Voor de duidelijkheid: Mühleisen verwerkte alleen de metadata van het wifiverkeer, niet de inhoud van de communicatie. Dus wel: dát iemand een bepaalde site bezocht, maar niet wát deze persoon op die site deed. Veel sites en apps maken gebruik van versleuteling, waardoor het onmogelijk is om de inhoud af te luisteren.
..

Maar niet alle sites en apps zijn versleuteld. Sterker nog: Mühleisen analyseerde dat meer dan de helft van het gebruik van de sites en apps niet versleuteld was. Hij zou mee kunnen kijken met de inhoud ervan, waartoe óók inlogcodes en wachtwoorden, chatsessies en mailwisselingen behoren. Hij heeft het niet gedaan. Maar: 'Als ik zou willen, zou ik hier serieuze rotzooi mee kunnen uithalen.

Iedereen mag in januari naar mijn presentatie over SocialAccess, CloudAccess en SSL-beveiliging komen in Las Vegas

[Carn]

maar ik weet alles al deadlock Maar een tripje naar Vegas lijkt me prima

OH JAH JOH? OOK WAAROM SOMMIGE CIPHERS ZO SLECHT ZIJN ALS EEN BLAUWE MOSSEL?!?!?!?!

[Haubenmeise]

De auteur doet het alleen een beetje lijken alsof het anders (erger) is dan bij andere open netwerken.

Wel grappig, ik heb in mijn vrije tijd al onze login-dingen dus Facebook/Twitter/LinkedIn-enabled gemaakt en voor de systemen die extra beveiligd zijn nog Google Authenticator ertussen gegooid, en nu willen ze het gaan uitrollen. Lijkt mij nog niet zo verstandig want ik heb er gewoon mee lopen spelen maar aan de andere kant wordt het wel hoog gewaardeerd.

[Carn]

Citaat:

Haubenmeise schreef:

De auteur doet het alleen een beetje lijken alsof het anders (erger) is dan bij andere open netwerken.

En terecht, gezien de NS blijkbaar geen haast heeft met het ondernemen van actie hierop. Publiekelijk door het slijk halen .

Natuurlijk kan je overal zaken gaan lopen 'afluisteren', maar gezien het volume wat voorbijkomt is het toch wat anders dan de wifi van je lokale hipstercafé.

[zeehond23]

tiswa

[Carn]

Citaat:

deadlock schreef:

Wel grappig, ik heb in mijn vrije tijd al onze login-dingen dus Facebook/Twitter/LinkedIn-enabled gemaakt en voor de systemen die extra beveiligd zijn nog Google Authenticator ertussen gegooid, en nu willen ze het gaan uitrollen. Lijkt mij nog niet zo verstandig want ik heb er gewoon mee lopen spelen maar aan de andere kant wordt het wel hoog gewaardeerd.

medewerkers hier 'praten' gelukkig niet met veel systemen/webservices, dus dat scheelt. Onze servers waar onze applicaties staan zijn dichtgetimmerd tot ver aan het plafond. Maar goed, als bv onze technisch directeur of ik onze computers ergens zouden laten slingeren en niet uitloggen dan ben je alsnog binnen

Ik heb NS al drie keer gevraagd of het mogelijk is om eduroam in te voeren of om een systeem als de DSB in te voeren; Gratis wifi en bloedsnel (nou is dat in Kopenhagen ook niet zo lastig met de hoeveelheid 3G masten die daar stond voor de uitrol van 4G begon) maar je ging je eerst registreren via DSB-Register en daarna heb je een account en daarmee kan je op het normale DSB-netwerk inloggen op zowel de stations als in de treinen. Echt heel handig en ook veilig.

[Carn]

[Miss.Jazz.]

Ik zit er nu op

sgolieren.com heeft geen SSL dus is alles zo uit de lucht te plukken

[Carn]

Hmm, gaat inderdaad niet helemaal goed! Gevalletje routing? Via poort 443 krijg ik wel netjes de benodigde info zuruck.

openssl s_client -connect forum.scholieren.com:443

PHP-code:

CONNECTED(00000003)
depth=3 C = US, O = "The Go Daddy Group, Inc.", OU = Go Daddy Class 2 Certification Authority
verify return:1
depth=2 C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", CN = Go Daddy Root Certificate Authority - G2
verify return:1
depth=1 C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", OU = http://certs.godaddy.com/repository/, CN = Go Daddy Secure Certificate Authority - G2
verify return:1
depth=0 OU = Domain Control Validated, CN = www.scholieren.com
verify return:1
---
Certificate chain
 0 s:/OU=Domain Control Validated/CN=www.scholieren.com
   i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certs.godaddy.com/repository//CN=Go Daddy Secure Certificate Authority - G2
 1 s:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certs.godaddy.com/repository//CN=Go Daddy Secure Certificate Authority - G2
   i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./CN=Go Daddy Root Certificate Authority - G2
 2 s:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./CN=Go Daddy Root Certificate Authority - G2
   i:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
 3 s:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
   i:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/OU=Domain Control Validated/CN=www.scholieren.com
issuer=/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certs.godaddy.com/repository//CN=Go Daddy Secure Certificate Authority - G2
---
No client certificate CA names sent
Server Temp Key: DH, 1024 bits
---
SSL handshake has read 5616 bytes and written 439 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : DHE-RSA-AES256-GCM-SHA384
    Session-ID: 2A929FBACB89FDB8B28A52F182AB7E29E9984CBA29166049BCCEA6132C50DECC
    Session-ID-ctx:
    Master-Key: 44B1B896519362469C49465E0C4AE9E5AD60454DA96BB47B36F004A6B0D83422084CA0E3CFEE1CE1E65DED2B9A41DEFA
    Key-Arg   : None
    Krb5 Principal: None
    PSK identity: None
    PSK identity hint: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - a7 58 0b c2 8b 40 7d 84-b5 7c 03 3b 40 d9 fd 61   .X...@}..|.;@..a
    0010 - 53 af 21 7f 05 8e 34 bb-59 5c 26 d9 f4 40 f9 c0   S.!...4.Y\&..@..
    0020 - 93 ea 61 4a 76 ce 74 bc-5c 38 f3 c3 74 3e 01 80   ..aJv.t.\8..t>..
    0030 - eb ab e1 a2 20 17 32 51-d5 1e 8d 2d 04 4d 24 8c   .... .2Q...-.M$.
    0040 - 07 51 80 e8 a5 d3 fc cd-42 10 ef 43 85 56 a0 3b   .Q......B..C.V.;
    0050 - d0 2b 30 03 85 95 02 57-74 b4 1b 64 d9 3c 1b 44   .+0....Wt..d.<.D
    0060 - 03 ca 70 0e 41 1b ad 32-b7 f1 29 c7 46 52 f7 7a   ..p.A..2..).FR.z
    0070 - 0a 65 a9 83 fe 88 de 73-bd 7d 19 66 6c 1e 08 f6   .e.....s.}.fl...
    0080 - ab 93 b8 d8 d2 5e 73 35-c2 28 77 e6 d5 06 bc 57   .....^s5.(w....W
    0090 - 36 cf df 9f 5c 26 94 fd-1a 21 9e 4c 03 ae d0 ea   6...\&...!.L....
    00a0 - 10 b0 1c 66 71 59 46 22-35 71 f5 73 ba bd 97 31   ...fqYF"5q.s...1

    Start Time: 1438855047
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
--- 


[bloodyb]

The Go Daddy Group, Inc?

[Carn]

Citaat:

bloodyb schreef:

The Go Daddy Group, Inc?

Citaat:

GoDaddy is a publicly traded Internet domain registrar and web hosting company. As of 2014, GoDaddy was said to have had more than 59 million domain names under management, making it the world's largest ICANN-accredited registrar.

[Dark Phoenix]

Nou ja, dat wifi in de trein (of wifi überhaupt) niet bijzonder veilig is was natuurlijk al bekend. Wat bij de NS vrij storend is is dat ze VPN ook blokkeren waardoor je het zelf dus ook niet veiliger kunt maken. (of dat was in ieder geval zo, wellicht hebben ze het recent veranderd).

Ze hebben geen enkele van de drie soorten VPN die ik gebruik ooit geblokkeerd en het is me zelfs eens gelukt om iets via torrents binnen te slepen.

[Dark Phoenix]

Citaat:

deadlock schreef:

Ze hebben geen enkele van de drie soorten VPN die ik gebruik ooit geblokkeerd en het is me zelfs eens gelukt om iets via torrents binnen te slepen.

Tja.

[Carn]

https://forum.ns.nl/de-trein-11/veil...de-trein-15866

haha, die reactie:

Citaat:

Dat is hetzelfde als met alle andere openbare netwerken. Je moet het alleen gebruiken om te surfen en je mail te checken.

[Dark Phoenix]

Citaat:

Carn schreef:

https://forum.ns.nl/de-trein-11/veil...de-trein-15866

haha, die reactie:

Citaat:

Dark Phoenix schreef:

Tja.

Ja. Dat zijn faal-VPN-oplossingen. Wij hadden ooit een Cisco-oplossing die niet door een NAT heen mocht. Dat lijkt me toch echt het probleem van de leverancier, gebruik dan een normale standaard zoals L2TP of SSLVPN.