WiFree hotspots: beveiligd tegen imitatie?

Ex-Netweter · ‎11-10-2018

Zijnde programmeur van beroep maar geen netwerkexpert, zit ik met een bezorgdheid over de wifree hotspots van telenet.

Het lijkt me namelijk dat John Doe simpelweg een hotspot zou kunnen starten, de SSID instellen als "Telenet WiFree", wachten tot phones van voorbijgangers automatisch verbinding maken met de rogue hotspot op basis van de naam, en zo alle onbeveiligde verkeer (voornamelijk http) zou kunnen afluisteren en/of vervalsen. Als dit zo is, creeeren hotspot netwerken zoals die van telenet eigenlijk een enorm gat in de digitale beveiliging.

De wishful thinker in me hoopt dat in de wifi protocols een voorziening is ingebouwd — die gebruikt wordt door echte wifree hotspots — waarmee een soort public key wordt geinstalleerd in clients tijdens de eerste verbinding, die gebruikt wordt door clients om elke keer aan het netwerk een security challenge te geven, waar alleen legit wifree hotspots van telenet aan kunnen voldoen omdat alleen zij de nodige private key bezitten. Een beetje zoals pgp, waarbij je eerst in vertrouwen je keys uitwisselt, en daarna bij elke communicatie van zogezegd die persoon de digital signature verifieert met de vertrouwde key.

Weet iemand of de wifree hotspots op dergelijke of andere manier beveiligd zijn tegen imitatie door rogues?

Ik heb het al 2 maal gevraagd aan telenet, met telkens een automatische bevestiging dat ik na 2 dagen een reactie zou krijgen, maar enkele weken later heb ik nog niks gehoord. As usual heeft The Big Corporation geen tijd om te verklaren dat ze wel of niet voldoen aan basic kwaliteitseisen, en is de customer service maar voor de schijn...

igvfer · ‎12-10-2018

De gewone helpdeskmedewerker zal daar geen antwoord op weten. En dan moet hij nog te weten komen naar wie hij dergelijke vraag moet doorsturen.

Ik veronderstel dat de nodige veiligheidsmaatregelen genomen zijn vermits je enkel kan inloggen met je lgin en paswoord. Al is zo(n fake SSID misschien wel mogelijk.

  Ignace (igvfer) | Krak
  Niets is mooi of lelijk, het is enkel wij die het mooi of lelijk vinden.
  Vergeet niet om likes te geven en/of als oplossing te markeren.

Ex-Netweter · ‎12-10-2018

Een login nodig hebben is een beveiliging op de echte hotspots om niet-klanten uit het echte netwerk te houden. Dat wilt helemaal niks zeggen over de mate waarin fake hotspots onmogelijk worden gemaakt, wat eigenlijk enkel kan worden bereikt door de client device in te stellen elke wifree hotspot te challengen met bv een key pair. Bij een fake hotspot is de context beperkt tot de client device, de fake hotspot, en dan de internetverbinding via eender welke ISP. De systemen van telenet komen er niet aan te pas, dus telenet kan niet rechtstreeks tussenkomen.

Ik heb mijn vraag ingediend eerst als een gewone vraag, en later als een technische vraag. Ik zou toch verwachten dat die tweede bij de juiste mensen terechtkomt, en dat de technische mensen van telenet ietwat zicht hebben op hun eigen security die van publiek belang is... Die verantwoordelijkheid zouden ze wel moeten hebben, het is een facet van de core service die ze aanbieden.

sb · ‎12-10-2018

Met TelenetWiFree is dat toch wat moeilijker, denk ik. Ik gebruik de Telenet Mobile app om daarop in te loggen. Maar via hotspot/homespot is het volgens mij niet ondenkbaar. Die opent immers een pagina om in te loggen. Je stelt de SSID in en je laat verwijzen naar een kopie van het inlogscherm (phishing). Op die manier kan je héél makkelijk aan een gebruikersnaam en wachtwoord raken.

  Bjørn (sb) | Ere-Krak
An angel led me when I was blind, I said 'Take me back, I've changed my mind.'
    Vergeet niet om likes te geven en/of als oplossing te markeren.

Ex-Netweter · ‎12-10-2018

Je kan ook zonder die app verbinden met wifree. Dat moet ook wel, want zo'n wifree hotspot is standaard wifi technologie. Telenet kan niet zomaar een eigen custom variant op wifi uitrollen, want dan zou geen enkel toestel ermee kunnen verbinden.

Suzy · ‎18-10-2018

@Ex-Netweter, ik heb het eens nagevraagd bij het Cyber Security team binnen Telenet en dit is wat zij erover te zeggen hadden.

Wanneer iemand een netwerk opzet met de SSID 'Telenet WiFree', gaat jouw mobiele toestel daar niet automatisch mee verbinden, want dit is een onbeveiligd netwerk. Stel dat het toch een beveiligd imitatie WiFree netwerk zou zijn, moet er ook steeds aan twee voorwaarden worden voldaan vooraleer je toestel er automatisch verbinding mee zou maken, zowel de SSID als het wachtwoord. Dit gaat dus nooit lukken in combinatie met jouw Telenet wachtwoord. Bij het Telenet WiFree netwerk zijn er zelfs drie voorwaarden waaraan voldaan moet zijn: SSID, login en wachtwoord.

Wanneer je als klant een WiFi netwerk met deze naam in je overzicht met draadloze netwerken ziet, kan je eerst en vooral zien dat het om een onbeveiligd netwerk gaat (er staat geen slotje bij). Ook moet je als klant geen login of wachtwoord invullen. Dit zou al bepaalde alarmbellen moeten laten rinkelen.

Een Telenet Hotspot of Homespot is natuurlijk anders, want hier kom je als klant altijd eerst op een landingspagina/portal terecht waar je gegevens moet invullen. Indien men kwade bedoelingen heeft, kan men zo'n netwerk opzetten en hierachter een fake pagina steken om je gegevens uit te lezen en deze zo te pakken te krijgen. Maar ook dan ligt er een verantwoordelijkheid bij jou als klant/gebruiker om extra waakzaam te zijn. Het is namelijk een publiek netwerk. Bij de legitieme Telenet Hotspot of Homespot zie je bovenaan namelijk altijd staan dat het om een beveiligde pagina gaat (slot icoontje).

Suzy
Community Manager
Vergeet niet om likes te geven en/of als oplossing te markeren.

Ex-Netweter · ‎22-10-2018

Bedankt voor de inzet Suzy, maar dat is nog steeds een antwoord op de verkeerde vraag en steunt op verkeerde veronderstellingen.

Je spreekt nog steeds van de client (gsm) die zich authenticeert met een secret bij de hotspot. Allemaal leuk en wel als de hotspot echt is, maar niks weerhoudt een fake hotspot ervan elke binnenkomende authentication te aanvaarden, op te slaan, en een internetverbinding te geven alsof er niks aan de hand is. Ik mis nog steeds de bevestiging dat de gsm dezelfde vraag stelt aan de hotspot en eist dat de hotspot bewijst dat hij van telenet is.

Dat een hotspot "secure" is bewijst ook helemaal niks. Dat slaat alleen op de verbinding tussen hotspot en client, dat die encrypted is met een single use key zodat nabije apparaten die verbinding niet kunnen afluisteren. Dat bewijst helemaal niet dat de hotspot zelf, waaraan een login en later mogelijk onbeveiligd dataverkeer (zoals http) gegeven wordt, een echte van telenet is die vertrouwd kan worden met die naakte gegevens (via de client-hotspot verbinding die wel encrypted is tegen nabije alfuisteraars).

--

Ken je pgp? Dat werkt net hetzelfde. Communicatie is niet veilig als enkel 1 partij zich moet authenticeren bij de andere. Ze moeten zichzelf bewijzen aan elkaar, op een veilige manier, vooraleer ze gevoelige data uitwisselen. De zender signt een bericht met zijn private key en encrypt het met de public key van de ontvanger. Zo weet de zender dat alleen de bedoelde ontvanger het kan lezen, en weet de ontvanger dat het echt van de vermeende zender komt.

Mijn gsm moet zich bewijzen aan de hotspot (proxy voor telenet) door mijn telenet login te weten. De hotspot zou net zo goed aan mijn gsm moeten bewijzen dat het een echte van telenet is (in de mate dat iets "zeker" kan zijn).

javaw_2018-10-22_23-52-52[1].png

De enige troost hierin is dat ik wel kan aannemen dat de wifi standaarden zodanig in elkaar zitten dat een client zich authenticate bij een hotspot met alleen maar hashes, zodat een rogue hotspot niet rechtstreeks de secrets kan weten. Het probleem daar is dan weer dat een rogue hotspot in een vaste plaats veel keren dezelfde client zal challengen, en met elke herhaling van random challenge met dezelfde user secret wordt de security van de hash zwakker...

Suzy · ‎23-10-2018

@Ex-Netweter, bedankt voor je antwoord. Als ik eerlijk moet zijn, is het voor mij persoonlijk wat chinees. Ben uiteraard wel mee tot op een bepaald niveau, maar kennis in detail beschik ik hier niet over.

Zal jouw antwoord nog eens voorleggen aan onze Cyber Security afdeling om te kijken of ze je nog een aanvulling kunnen geven.

Suzy
Community Manager
Vergeet niet om likes te geven en/of als oplossing te markeren.

Suzy · ‎26-10-2018

@Ex-Netweter, men heeft jouw posts in detail bekeken en hebben me laten weten dat ik mag bevestigen dat WiFree voldoende beveiligd is met extra security maatregelen. De andere hotspots met capture portal hebben deze extra beveiliging niet en daarom raden ze klanten aan om zoveel mogelijk WiFree te gebruiken.

Meer info of details over de werking konden ze me helaas niet geven.

Suzy
Community Manager
Vergeet niet om likes te geven en/of als oplossing te markeren.

24.872 netweters	153.348 antwoorden
20.802 vragen	6.570 oplossingen