Het netwerk dat Delftse studentenhuizen gebruiken voor hun computerverkeer is onveilig. Met een paar handelingen blijken kenners in staat de usernames en wachtwoorden van studenten te onderscheppen.
Het enige dat een hacker daarvoor hoeft te doen, is de eigen computer op te starten met de Linux-dvd die de TU alle eerstejaars studenten verstrekt en het aanpassen van een aantal bestanden. Vervolgens kan hij de inloggegevens van studenten die inloggen op de TU-server naar zijn eigen server herleiden.
Jochem van Dieten, voorzitter van de studentenorganisatie Online Internet (Oli), kan dat op een gewone laptop demonstreren. Drie minuten nadat hij alle voorbereidingen heeft getroffen, dient zijn eerste slachtoffer zich aan. Username en wachtwoord verschijnen op zijn scherm.
Volgens Van Dieten heeft de betreffende student, een eerstejaars master werktuigbouw, niet door wat er is gebeurd. “Hij krijgt alleen een foutmelding.”
Van Dieten zelf heeft geen slechte bedoelingen met de onderschepte gegevens, zegt hij. “Maar mensen die wel kwaad willen, kunnen de onderschepte usernames en wachtwoorden gemakkelijk misbruiken. Bijvoorbeeld door als een andere student in te loggen en onder zijn naam muziek of films te distribueren. Eventuele klachten komen bij de verkeerde student uit en het dataverkeer gaat af van het quotum van een onschuldige student.”
Van Dieten vindt dat de TU dit gat in de beveiliging zo snel mogelijk moet dichten, maar kwam erachter dat de universiteit zeker sinds 2002 weet heeft van het probleem. Hij heeft e-mails uit dat jaar waarin een DTO-medewerker het bestaan ervan onderschrijft.
Het grote manco zit volgens Van Dieten in het PPPoE-protocol (Point-to-Point-Protocol over Ethernet) dat de TU gebruikt voor de authenticatie van gebruikers van het ethernetnetwerk waarop de studentenhuizen zijn aangesloten. Een oplossing voor het veiligheidsgat is volgens hem niet te vinden binnen dit systeem.
Het enige alternatief is volgens Van Dieten een ander authenticatiesysteem, zoals dat al bestaat in de studentencomplexen Tienstraflat en Begijnhof.
Volgens Alf Moens, security manager van de TU . voor wie het probleem inderdaad niet nieuw is – is het onmogelijk zomaar een nieuw protocol te nemen, al wordt er wel onderzoek gedaan naar mogelijke alternatieven voor de toekomst. “Het is een kosten- en een risico-afweging. Maatregelen kosten veel geld, terwijl de TU die middelen beter kan gebruiken. De vraag is ook welk risico er kan zijn. Van buiten de TU is het lastig op het netwerk te komen, al is het niet onmogelijk. Binnen de studentenhuizen ga je ervan uit dat er sociale controle is.”
Bovendien, zegt Moens, is voor het hacken van het netwerk kennis en opzet nodig. “Het is heel complex om misbruik te maken van het systeem.” Van Dieten weerlegt dat. De instructies om het systeem te hacken, heeft hij namelijk op zijn website gezet. “Tientallen studenten zullen in staat zijn die op te volgen.”
Het enige dat een hacker daarvoor hoeft te doen, is de eigen computer op te starten met de Linux-dvd die de TU alle eerstejaars studenten verstrekt en het aanpassen van een aantal bestanden. Vervolgens kan hij de inloggegevens van studenten die inloggen op de TU-server naar zijn eigen server herleiden.
Jochem van Dieten, voorzitter van de studentenorganisatie Online Internet (Oli), kan dat op een gewone laptop demonstreren. Drie minuten nadat hij alle voorbereidingen heeft getroffen, dient zijn eerste slachtoffer zich aan. Username en wachtwoord verschijnen op zijn scherm.
Volgens Van Dieten heeft de betreffende student, een eerstejaars master werktuigbouw, niet door wat er is gebeurd. “Hij krijgt alleen een foutmelding.”
Van Dieten zelf heeft geen slechte bedoelingen met de onderschepte gegevens, zegt hij. “Maar mensen die wel kwaad willen, kunnen de onderschepte usernames en wachtwoorden gemakkelijk misbruiken. Bijvoorbeeld door als een andere student in te loggen en onder zijn naam muziek of films te distribueren. Eventuele klachten komen bij de verkeerde student uit en het dataverkeer gaat af van het quotum van een onschuldige student.”
Van Dieten vindt dat de TU dit gat in de beveiliging zo snel mogelijk moet dichten, maar kwam erachter dat de universiteit zeker sinds 2002 weet heeft van het probleem. Hij heeft e-mails uit dat jaar waarin een DTO-medewerker het bestaan ervan onderschrijft.
Het grote manco zit volgens Van Dieten in het PPPoE-protocol (Point-to-Point-Protocol over Ethernet) dat de TU gebruikt voor de authenticatie van gebruikers van het ethernetnetwerk waarop de studentenhuizen zijn aangesloten. Een oplossing voor het veiligheidsgat is volgens hem niet te vinden binnen dit systeem.
Het enige alternatief is volgens Van Dieten een ander authenticatiesysteem, zoals dat al bestaat in de studentencomplexen Tienstraflat en Begijnhof.
Volgens Alf Moens, security manager van de TU . voor wie het probleem inderdaad niet nieuw is – is het onmogelijk zomaar een nieuw protocol te nemen, al wordt er wel onderzoek gedaan naar mogelijke alternatieven voor de toekomst. “Het is een kosten- en een risico-afweging. Maatregelen kosten veel geld, terwijl de TU die middelen beter kan gebruiken. De vraag is ook welk risico er kan zijn. Van buiten de TU is het lastig op het netwerk te komen, al is het niet onmogelijk. Binnen de studentenhuizen ga je ervan uit dat er sociale controle is.”
Bovendien, zegt Moens, is voor het hacken van het netwerk kennis en opzet nodig. “Het is heel complex om misbruik te maken van het systeem.” Van Dieten weerlegt dat. De instructies om het systeem te hacken, heeft hij namelijk op zijn website gezet. “Tientallen studenten zullen in staat zijn die op te volgen.”
Comments are closed.