Onderzoek van de Radboud Universiteit heeft aangetoond dat de wifi-wachtwoorden van veel internetrouters gemakkelijk te kraken zijn. Dat nieuws veroorzaakte een hoop onrust en veel klanten vragen ons of de routers die XS4ALL aan haar klanten aanbiedt, ook kwetsbaar zijn. Dat zijn ze niet.

foto: Free wifi door Sébastien Bertrand

foto: Free wifi door Sébastien Bertrand

De wetenschappers ontdekten dat het wifi-wachtwoord dat standaard op routers staat ingesteld, vaak te achterhalen is. Daardoor zijn de routers kwetsbaar voor misbruik.

Om het klanten zo makkelijk mogelijk te maken, worden veel routers kant-en-klaar geleverd inclusief een wachtwoord voor de wifi-verbinding. Dat wachtwoord staat vaak op een sticker onderop de router. Hoewel die wachtwoorden lang en ingewikkeld zijn – en zo op het eerste gezicht veilig lijken – blijken ze vaak afgeleid van het MAC-adres van het apparaat. Omdat het MAC-adres net als de netwerknaam gewoon door de router wordt uitgezonden is het voor iedereen zichtbaar. Dus als je weet op welke manier de fabrikant het MAC-adres in een wachtwoord omzet, kun je dat wachtwoord achterhalen. Dat is wat de onderzoekers deden.

De Fritz!Box modems die XS4ALL aan klanten levert, hebben ook een standaard ingesteld wifi-wachtwoord, maar dat is niet gebaseerd op het MAC-adres of een andere hard- en/of software componenten in het modem. Voor elk afzonderlijk modem wordt een willekeurige sleutel gegenereerd. Deze is dus niet af te leiden of te voorspellen door kwaadwillenden. Ook XS4ALL weet deze sleutel niet. De modems zijn daarmee goed beschermd. AVM, de producent van de modems, bevestigt dat de Fritz!Box modems niet kwetsbaar zijn.

Ook bij onze Fritz!Box modems staat het standaard wachtwoord op een sticker op de onderkant van het modem. Dat is handig als het modem gewoon thuis wordt gebruikt. Maar in een omgeving waar onbekenden fysieke toegang hebben tot het modem, kunnen ze het wachtwoord dus eenvoudig te weten komen. Daarom is het een goed idee het standaardwachtwoord aan te passen naar een zelf gekozen wachtwoord. Hoe dat moet, vindt u op de helpdeskpagina’s op onze website. Of neem contact op met onze helpdesk, onze experts helpen u graag.

 

Deel dit:

Reacties

  1. Anonymous says:

    Om “ifconfig wlan0 hw ether NIEUWMACADRES” uit te voeren vanaf een Linux live cd moet je een nerd zijn … ?! Daarmee is je ‘beveiliging’ wel in een klap waardeloos. En als dat te moeilijk is dan is er de tool macchanger; dan kan zelfs een debiele postduif dit truukje doen. Ondertussen denken hordes mensen hier dat het bescherming biedt. Dat is een vals gevoel van veiligheid geven en dat is denk ik niet de bedoelling toch?

  2. Peter says:

    Zeg Anoniem van 25 augustus om 13.45 uur. Voordat je dergelijke woorden als poofing gebruikt: we hadden het hier niet over hacking of dat misschien iemand met een hamer een Router te lijf zou kunnen gaan om binnen te komen. We hebben het hier over normale beveiligingsprocedures en niet over het gedrag van een of andere NERD die weer een weg naar binnen heeft bedacht.

  3. Anonymous says:

    Bovenstaande 2 reacties slaan helemaal nergens op; GRC portscan heeft helemaal niets met WiFi te maken (sterker nog GRC of een MITM heeft een aanleiding om op de achtergrond nu alle overige poorte ook te scannen en in kaart te brengen).

    Allow new devices uitzetten is niet meer dan een MAC ACL, eenvoudig te omzeilen dmv MAC spoofing. Het een aanvaller moeilijk maken met niet-werkende methoden zal alleen maar meer aandacht van de aanvaller tekken.

    Waarom maakt xs4all niet wat tijd vrij van haar netwerk guru’s, zodat die bij deze nieuwsposts technische toelichting kunnen geven. Dat is beter dan allerlei leken die andere leken adviseren en het veiligheidsprobleem daarmee alleen maar groter maken.

  4. Peter says:

    Je kunt ook het volgende doen: Ga na het inloggen via de web interface links naar WLAN>Security. Onderaan vindt je het bolletje: Do not allow any new wireless devices, en vink dat aan. Geef OK in. Als alles is opgeslagen, dan kan iemand toch geen verbinding maken met het modem ook al heeft hij de netwerksleutel in handen. Let wel op: als je zelf een apparaat (bijvoorbeeld een Laptop) wil toevoegen, zul je het vinkje moeten weghalen en weer OK ingeven, anders kun je geen verbinding maken.

  5. mike m says:

    klopt de router is veilig, dit is simpel te testen [en nog veel meer testen op deze webpagina Shields UP! — Internet Connection Security Analysis https://www.grc.com/x/ne.dll?rh1dkyd2 ik gebruik deze website al jaren met volle tevredenheid , en kijk om de zoveel tijd even op deze website om te condoleren of alles in orde is.Ook is het niet verkeerd op in de router een wachtwoord in te stellen voor de thuisgroep van de Windows machine .
    Mike m

  6. baknu says:

    Bedankt voor deze blog! Vraag aan XS4ALL: Kunnen we nog een software-update verwachten voor de Fritzbox 7340? Dit modemtype wordt niet genoemd op http://avm.de/aktuelles/neues-von-fritz/2015/schneller-besser-einfacher-fritzos-630-roll-out-hat-begonnen/.

  7. Anonymous says:

    Het verbergen van je BSSID heeft geen zin en is zoals aj hierboven al aangaf, een extra risico bij het gebruik van mobilie apparaten. Bovendien blijft de router herkenbaar aan zijn eigen MAC adres, wat altijd uitgezonden wordt omdat er anders geen verkeer mogelijk is.

    Kijk maar eens op wigle.net; daar staan net zo goed routers zonder BSSID op.

  8. MIchiel says:

    Zet ook gewoon de zichtbaarheid van je WiFinetwerk uit nadat alle nodige apparaten zijn aangemeld. wat men niet kan zien is nog moeilijker te hacken.

    • MIchiel says:

      aanvulling: en noem je router onlogisch…dus niet je straatnaam en huisnummer of je achternaam… kies iets waaruit niemand kan afleiden dat jij het bent

      • aj says:

        Wat denk je daarmee te bereiken?
        Ik neem aan dat je met je post over “zichtbaarheid van je netwerk” bedoelt dat je een hidden ssid wilt gebruiken. Dat moeten “alle nodige apparaten” dan wel weten, zodat ze expliciet naar dat netwerk vragen in plaats van met een normale scan. Daardoor vergroot je de zichtbaarheid; je laptop, tablet of telefoon zal je netwerknaam overal blijven roepen, in plaats van thuis te zien dat het vertrouwde netwerk er weer is.
        De opmerking in je aanvulling is maar beperkt waar: de plaats van een wifi router is op basis van de signaalsterkte redelijk eenvoudig te vinden.

  9. Ludy Meijer says:

    Ik heb ook nog zo’n oude Fritzbox 7340. Ik lees dat daar geen updates voor zijn. Kan dat toch nog op de een of andere manier verkregen worden?

  10. Wim says:

    En hoe staat het met de 3G modems die XS4all levert bij bepaalde abonnementen?

  11. H.M.G. Lenssen says:

    Ik ben blij dat jullie die reactie geven. Bedankt! Mijn echtgenote was al onzeker en ik moest met jullie contact opnemen.
    Echter ik heb geen wachtwoord ingevoegd om mijn Fritzbox te openen. Kan ik dat beter wel doen en hoe moet ik daar een wachtwoord in aanbrengen?

  12. Anonymous says:

    Xs4all heeft meen ik meer dan een miljoen klanten en deze krijgen allemaal een FritzBox van xs4all…

    Klopt inderdaad dat een wordlist niet gebruikt werd, maar als je veel geluk hebt lukt een bruteforce al na een paar uren. Als je pech hebt heb je hem via een tcp connectie na 10 jaar nog niet gevonden. Ik denk dat ze er voor het gemak van uit gingen dat ze geluk zouden hebben. Een programma maken over iets en dan alleen maar pessimistisch zijn verkoopt ook niet he… ;)

    O ja, haarman ICT; dat advies heeft het modem zelf ook al in zijn setup en een MAC ACL heeft weinig nut, met kismet kun je het gebabbel van de pc ‘horen’ en het MAC op de whitelist simpelweg clonen. Geen effectieve maatregel dus.

    Je kan beter adviseren om de WiFi antenne uit het modem te halen, dat is wel veiliger.
    WiFi is een van die dingen waar de wereld beter af was zonder.

    • André says:

      xs4all heeft niet meer dan een miljoen klanten. Hoeveel internetaansluitingen zijn er en wat is het zeer beperkte aandel van xs4all daar in. Ik ken niemand anders met xs4all. Het is voor de meesten te duur. Men kiest op 5 Euro in de maand voordeel.

  13. Oscar says:

    Waarom zorgt XS4all er niet voor dat de klanten regelmatig een nieuwe router krijgen? Desnoods met enige bijbetaling als je nog niet zo lang abonnee bent? Ik zie dat er mensen zijn met volstrekt verouderde en trage routers, terwijl er al veel betere op de markt zijn, ook van AVM! Daarin loopt XS4All erg achter!

    • beta says:

      als xs4all klant kun je bij het afsluiten van een nieuw jaarcontract een nieuwe Fritz!Box krijgen.

    • André says:

      Nonsens en bovendien kosten die apparaten te veel om iedere paar jaar gratis te verstrekken. Zolang het werkt en bijgehouden wordt is er niets aan de hand. Overigens is er niemand die met een Thomson op een glasvezel zit.

  14. Bart Haarman says:

    HaarmanB ICT adviseert haar klanten altijd met klem om zowel het webinterface wachtwoord te wijzigen, als de WiFi-sleutel aan te passen, als gebruik te maken van de zogeheten Acces Control List (lees: toegangslijst van netwerkkaarten). Er is ook apparatuur welke meerdere WiFi-netwerken kan uitzenden met elk hun eigen beveiligingsinstellingen en mogelijkheid om deze ‘logisch’ te scheiden van elkaar.

  15. André says:

    Er zijn geen miljoenen FritzBoxen in Nederland :)
    De uitleg bij BNN ging over een gewone generator zonder woordenlijst. Gemiddeld zou die na het halve aantal een hit krijgen. Wellicht zijn er meerdere wachtwoorden die passen. Afhankelijk van de achterliggende methode. Een goede reden om een wachtwoord beginnend met een z te nemen.

  16. Anonymous says:

    De WiFi sleutel mag dan wel genereerd worden, dit moet op basis van een uniek hardware id gebeuren, anders is het telkens anders en klopt de sticker dus ook maar 1x en daarna nooit meer. Dat is niet het geval; ook bij een firmware flash blijft de gegenereerde sleutel hetzelfde. Daarom denk ik dat de WiFi sleutel wel degelijk gebaseerd is op het MAC adres of cpu serie nummer, maar fritz OS hier nog een extra formule overheen legt. Weten we de formule (reverse engineer fritz OS), dan is het probleem in princiepe hetzelfde als bij ziggo en KPN.

    Daarbij is het lan van klanten extra kwetsbaar omdat xs4all tr-069 gebruikt voor het managen van het modem (en alles wat erachter zit is ook een specificatie van tr-069). Lukt het iemand in te breken op het managementsysteem dan heeft deze de controle over miljoenen privenetwerken van klanten.

    PS
    Die drie dagen van de BNN serie waren vast de treffer na een goede combinatie, om die te vinden hoef je in de praktijk echt niet alle mogelijke combinaties te proberen. Verder inderdaad een korreltje zout hier en daar, wil je die mallware uit het voorbeeld op de PCs krijgen zul je kostbare zero days moeten inzetten; niet iets wat zomaar iedereen kan.

  17. André says:

    NB Je moet gewoon nieuwe Wlan devices uitzetten en ook de remote-access wanneer je die toch niet gebruikt. Wanneer je alleen 5GHz gebruikt ben je voorlopig nauwelijks zichtbaar in de buurt. In een ontzettend lange lijst van Wlan is er bij mij maar één andere te zien.

  18. André says:

    Het vreemde is toch wanneer men dan admin is op zo’n modem dat men dan plots ook allerlei aangesloten apparatuur zou kunnen overnemen en zou kunnen bankieren etc. Alsof alles maar open staat. Veel van dit soort reportages wordt dramatisch gemaakt door dit soort claims.
    Ook gisteren bij het magister kraken door BNN is het volstrekte flauwekul dat je met een brute-force generator zonder woordenlijst in drie dagen ieder wachtwoord zou kunnen vinden. Het is volstrekt onmogelijk die hoeveelheid over de lijn bij een server aan te bieden en te testen. De responsetijd is veel te lang.

  19. henk.ooms says:

    hier van gaat mijn te ver door dat ik 75 jaar ben sorrie

  20. henk.ooms says:

    de beveiliging van xs4all.nl kon ik mijn spelen niet meer binnen halen even de beveiliging
    er af gehaald. nu ben ik niet meer bij zylom . ken uw de beveiliging terug zeten a.u.b..

    • ana says:

      bel de helpdesk even, Henk. Daar snappen ze misschien wat je hebt gedaan en wat er nu moet gebeuren.

  21. Theo B says:

    Misschien is het verstandig om ook aandacht te schenken aan de Thompson SpeedTouch ST716v5 ?
    Of ben ik de enige die nog zo’n oud XS4ALL modem gebruikt?
    Tot mijn schrik zag ik op een website dat mijn WPA(2) key gewoon berekend kon worden a.d.h.v. het SSID. De mijne stond gewoon in het lijstje met 3 mogelijke oplossingen!
    Ik heb die key onmiddellijk aangepast. Ik dacht eerst dat het niet mogelijk was omdat je de wifi-interface eerst moet enablen voordat die opties zichtbaar worden. En standaard heb ik wifi altijd uit staan (dus erg veel risico heb ik niet gelopen).

  22. Theo says:

    Je kunt bovendien de toegang voor nieuwe devices blokkeren. Dat als extra beveiliging ook al weet men het wachtwoord.

  23. Johan says:

    Hoe zit het met de Copperjets die U van BBNED heeft overgenomen?

  24. Remco says:

    Ik vroeg me af of bovenstaande ook voor de wat oudere type modems van Fritz!Box geldt. Ikzelf heb (nog) een 7340. En hoe vaak moeten er updates worden uitgevoerd en wanneer weet je dat er een nieuwe update gereed is?

    • Gerben Vos says:

      Wat me een beetje zorgen baart is dat er recent een update voor de 7360 en 7390 was, maar niet voor de 7340.

      • Bert Visscher says:

        Hoe recent is die update dan? Ik heb een FRITZ!Box 7360 met FRITZ!OS 06.20, maar die is al langer geleden geïnstalleerd dan ik me kan herinneren.

  25. Theo Legters says:

    Is het zo dat als iemand de lange code vervangt door een eigen (kortere, eenvoudiger) de kwetsbaarheid toeneeemt?

    • JTW says:

      Niet noodzakelijk. Dat zal afhangen van het algorithme waarmee de codes berekend zijn en welke technieken gebruikt worden om het te kraken (verschillende technieken richten zich op verschillende vormen van wachtwoorden).
      1234567890abcdefgh bijvoorbeeld zal mogelijk sneller te breken zijn dan 42525892 hoewel het in de praktijk niet veel uit zal maken.
      Je wilt een wachtwoord dat lang is, maar niet eenvoudig af te leiden. Het moet echter ook niet zo lang zijn dat je het niet foutloos in kan typen… Over wachtwoord generatie en veiligheid zijn boeken vol geschreven. In de praktijk moet je iets kiezen dat te onthouden is maar niet eenvoudig te herleiden. En een zin ergens willekeurig uit je favoriete boek van zeg 20-30 tekens is dan veiliger dan een willekeurige serie letters en cijfers die even lang is maar die je ergens op moet schrijven om hem niet te vergeten (en die ook nog eens eenvoudiger door een brute force attack te kraken is).

  26. Monica says:

    Hoe zit het dan met het gastgebruik ?
    Daar heb ik wel een apart WW voor.

  27. Jheronymus says:

    Even voor de duidelijkheid: de netwerksleutel staat op het modem. Een wachtwoord moet zelf worden aangemaakt. En een draadloos netwerk is per definitie kwetsbaar omdat het openbaar is. Ook de Fritz! dus.

    • Gerben Vos says:

      Het verschil is dat je het modem fysiek in handen moet hebben, en dat het dus niet door je raam via alleen de wifi kan.
      Ik weet niet wat je bedoelt met dat een draadloos netwerk kwetsbaar is doordat het openbaar is. WPA2 heeft een aantal zwakheden, maar is nog steeds niet gekraakt.

  28. mr. R. Polanus, advocaat says:

    en hoe zit het met de in steeds vaker in huizen gebruikte extenders en repeaters ?

    • Hendrick says:

      Goede extender zijn over het algemeen op dezelfde manier beveiligd als (goede) routers. Met andere woorden: Er is een wachtwoord nodig om menu’s en instellingen te mogen aanpassen, en er is een wachtwoord (of wachtzin) nodig om een WLAN-verbinding tot stand te kunnen brengen met de extender.

    • Erwin says:

      Extenders of Repeaters waar geen apart WiFi Wachtwoord voor nodig is, zijn net zo veilig als de WIFi van de Fritzbox. Voor extenders waar je met een wachtwoord in kan, of waar je een apart WiFi (bijv. FritzBox_1) netwerk voor moet maken, kan dit wel kwetsbaar zijn, en is het dus aan te raden een eigen, sterk wachtwoord te kiezen, op zowel de fritzbox als de Extender.

  29. ‘k Ging op zoek naar het nummer van de Helpdesk om te vragen hoe kwetsbaar de codes op de sticker onderop de Fritz!Box zijn, maar uw bericht is duidelijk! Dank voor uw publicatie. Ger.

  30. Peter Groeneveld says:

    Bedankt voor jullie vlotte reactie, dit kan paniek voorkomen ben ik van mening, want toegegeven waar rook is is vuur en meestal gaat het tegenwoordig om een lopend vuurtje ook nog !!