Grote internetserviceproviders stellen te eenvoudige wachtwoorden in bij hun routers. Dat is de conclusie die onderzoekers van de Radboud Universiteit Nijmegen hebben getrokken, nadat bleek dat zij gemakkelijk de wachtwoorden van de meest gebruikte routers in Nederland konden kraken. Brancheorganisatie Nederland ICT ziet dit als een probleem. Niet alleen in Nederland, maar wereldwijd.
Onderzoekers van de Radboud Universiteit Nijmegen hebben een half jaar geleden ontdekt dat internetserviceprovider te eenvoudige wachtwoorden gebruiken voor het beveiligen van hun routers. Het gaat om routers van KPN, Ziggo en Tele2. De wachtwoorden zijn gebaseerd op het netwerkadres, wat daardoor makkelijk te kraken is. Volgens Roel Verdult, één van onderzoekers, is het industriestandaard om het wachtwoord van een router zo in te stellen. Hij snapt dit alleen niet, zo verklaart hij tegenover Nieuwsuur: Je kan net zo goed een willekeurige string bedenken met cijfers en letters als wachtwoord.
Volgens Nieuwsuur zijn er inmiddels routers op de markt die niet via deze methode kunnen worden gehackt. De oude routers worden alleen niet vervangen door de leveranciers, waardoor het probleem alleen is op te lossen door het wachtwoord zelf te veranderen.
Onvoldoende maatregelen
Toen het probleem een half jaar geleden werd ontdekt, zijn de betreffende leveranciers op de hoogte gebracht. Alle providers laten aan Nieuwsuur weten zijn klanten van het probleem op de hoogte te hebben gesteld. Volgens Verdult is dit niet voldoende, omdat de router vaak terug valt in de fabrieksinstellingen, waardoor het oude wachtwoord weer van kracht is. Nieuwsuur meldt dat er inmiddels routers op de markt zijn die niet via deze methode kunnen worden gehackt. ‘De oude routers worden alleen niet vervangen door de leveranciers, waardoor het probleem alleen is op te lossen door het wachtwoord zelf te veranderen.’
Bart Hogendoorn van brancheorganisatie Nederland ICT meent dat dit een wereldwijd probleem is. De Autoriteit Consument en Markt (ACM) gaat onderzoeken of de providers voldoende maatregelen hebben getroffen om de gegevens van de gebruikers te beschermen.
Kijk, zo leer je nog eens wat. Voor de liefhebber:
https://www.usenix.org/system/files/conference/woot15/woot15-paper-lorente.pdf
Korte samenvatting: Veel routers gebruiken het MAC adres en soms een serienummer om de WPA2 key te genereren. Aangezien het MAC adres uit de lucht kan worden geplukt en het serienummer uit een beperkte reeks komt kun je de WPA2 betrekkelijk eenvoudig hergenereren.
Nu de vraag wat hieraan te doen. Iedere consument vragen een nieuw wachtwoord in te stellen te bedenken is natuurlijk vragen om problemen. Gaat niet werken, gaan ze vergeten, kiezen ze nog suffere wachtwoorden, maakt het allemaal niet beter.
Handigste zou zijn als er op de router en LCD schermpje zat en de router op moment van initialisatie een random wachtwoord genereert en op het schermpje projecteert. Maar ja, dat is te duur natuurlijk.
Andere, betere, ideeën?
Dit probleem is al in 2008 bekend, o.a. bij de Thomson-Speedtouch van KPN. Bij een onderzoek van een half jaar geleden bleek dus dat het probleem nog steeds niet is opgelost door de providers.
Het probleem is door de providers is veroorzaakt (het komt door hun firmware) en is tweeledig.
Ten eerste, de gebruikers moet het gemakkelijk te achterhalen standaard wachtwoord vervangen door een veilig wachtwoord. Dat kan de beginneling niet.
Ten tweede, als de provider de router reset, dan wordt het standaardwachtwoord weer teruggezet via de firmware (dat is door mijn provider erkend). De gebruiker moet continu bijhouden of de provider de router intussen heeft gereset en dan het wachtwoord weer veilig maken. Een slimme jongen die dat automatiseert.
De routers kunnen van een random gegenereerd wachtwoord voorzien worden dat in de database van de providers wordt gestopt. Maar dat kost ze blijkbaar te veel werk en dus geld.
Ik los de boel op door een eigen router in te zetten ( dan moet de provider daaraan willen meewerken). Je kan bijvoorbeeld ook de antenne van de provider onklaar maken en een eigen router voor Wifi router inzetten voor Wifi, want die kan je wel geheel zelf beheren zonder reset door de provider. Toevallig heb ik die expertise.
Bart Hogendoorn van Nederland ICT zegt dat het een gebruikersprobleem is (dis die moet maar niet zo dom en/of lui zijn).
Moet ik ook een goede apotheker zijn als ik medicijnen slik en een goede bouwvakker als ik een boormachine koop?
Hoe zouden de bobo’s van ICT Nederland reageren als zij gehackt worden en dit publiekelijk gemaakt zou worden?
Inloggen vanaf de WAN kant zou totaal onmogelijk moeten zijn.
Probleem opgelost.
“Ja, maar dan kunnen we geen beheer meer op afstand doen als provider!”
Dat is ook helemaal NIET nodig.
Sterker nog kan Ziggo je televisie in? Kan Veronica je radio in?
Waarom vinden we het toch met routers normaal dat een incompetente club op afstand alles vergallen kan?
Ik heb werkelijk nooit begrepen waarom ziggo, en natuurlijk destijds UPC, nooit even dat extra stapje hebben gezet gewoon alle uitgegeven routers te voorzien van een gebruikersnaam en wachtwoord. Standaard zou zoiets slechts een klein budgetje op het groter geheel kosten en eenvoudig te automatiseren zijn.
Werkelijk onhandig stel ik me zo.
Als je begrijpt dat de meeste (alle) providers hun routers in bulk inkopen bij de goedkoopste aanbieder, die aanbieder hun eigen firmware geven, en de eerste die de doos openmaakt nadat de chinees hem heeft dichtgemaakt, dan is het begrijpelijk dat een wachtwoord ‘gegenereerd’ wordt door de firmware, en dat het algoritme daarvoor niet al te moeilijk is.
Natuurlijk zijn alternatieven mogelijk, maar dat vereist dat elke Router in NL door de provider geopend wordt, en van een WW wordt voorzien. En dat kost geld.
Het zou beter zijn als die router tijdens eerste installatie een complex wachtwoord genereerd (op basis van MAC, Serienummer, Provider IP Adres, en timestamp) en die middels HTTPS upload naar de provider bijvoorbeeld, plus die ook weergeeft aan de interne kant. Maar uiteindelijk blijft het de verantwoordelijkheid van de gebruiker om zijn toegang te beveiligen, net zoals het de verantwoordelijkheid is van een huiseigenaar om een goed slot te hebben. De vergelijking met de boormachine gaat natuurlijk niet op. De fabrikant moet zorgen voor een deugdelijk product, maar als de gebruiker niet weet hoe hij er mee om moet gaan, en een gat in zijn hand boort, dan kan je de producent daar niet voor aanspreken natuurlijk. En nagenoeg alle providers hebben zeer simpele handleidingen om dit uit te voeren. Nu nog een complexity checker zodat simpele wachtwoorden tot het verleden behoren….
Op 26-5-2015 was er al een soortgelijk programma van Opgelicht! (AvroTros) over onveilige NAS (Network Attached Storage) apparaten waarbij de protocollen FTP en WEBDAV standaard opengezet zijn door de fabrikant.
Nu weer de routers met zwakke adernamen en wachtwoorden.
Ik kan al verklappen dat de volgende kandidaat de WIFI printers zijn met netwer- of internetconnecties. Die ondersteunen soms ook allerlei verbindingen.
Laatst was ik in een toeristen café in een grote Europese plaats en daar kon ik op WiFi inloggen, via een commerciële provider inloggen met Facebook. Een fake account deed het ook prima.
Ook maar eens even een LAN scantool er op los laten met poortscanner en ja hoor daar kwam ook de HP-printer in beeld. Inloggen op de homepagina van de printer. De admin account was nog niet afgeschermd dus daarmee zou ik eventueel wat kunnen experimenteren.
Een tweede apparaat betrof de NRC Kasregister met aangesloten PIN automaat, waarmee ook klanten de rekening betalen. Doorgewinterde Hackers kunnen zich daar natuurlijk eens lekker uitleven.
Vaak tref je open apparaten aan en als deze al beveiligd zijn dan doen de default wachtwoorden uit de handleiding ook vaak nog intact.
Met deze reactie wil ik maar zeggen dat er bij de installatie vaak al een onveilige situatie ontstaat omdat door onkunde geen veiligheidsmaatregelen worden genomen.
Wetgeving alleen is geen oplossing, maar je kunt je voorstellen als de fabrikant geen betere voorlichting biedt, dat zij dan een vorm van productaansprakelijkheid moeten kunnen worden opgelegd.
Een andere mogelijkheid is dat de apparatuur een verplichte opstart dialoog moet krijgen waar je het wachtwoord direct moet veranderen. Op de Aan/Uit schakelaar een vette verzegelingssticker met waarschuwing kan ook bijdragen aan de bewustwording van de klant.
Ook zou het nog helpen als er een gratis beveiligingspap komt waarmee je een soort healthcheck kunt uitvoeren op je netwerk en je aangesloten apparatuur die ook adviseert wat je eraan kunt verbeteren.