Verbergen SSID betekent privacyrisico

Pagina: 1
Acties:

Onderwerpen


Acties:
  • 0 Henk 'm!

  • Eagle Creek
  • Registratie: Oktober 2002
  • Laatst online: 08:14

Eagle Creek

Breathing security

Topicstarter
Hallo!

Wanneer ik de optie "Verbinding maken, zelfs wanneer het netwerk niet uitzendt" aan wil vinken waarschuwt Windows mij dat mijn privacy mogelijk in gevaar is.

Ik vroeg mij af waarom deze melding verschijnt. Immers: het uitschakelen van het SSID wordt vaak genoemd als extra beveiliging. Hoewel het nut hiervan discutabel is (daar gaat het even niet om), had ik deze waarschuwing nog niet eerder gezien.

Ik neem aan dat deze functie er voor zorgt dat wanneer mijn WiFi is ingeschakeld, de pc zoekt naar het betreffende netwerk probeert te contacteren. Hij zal hierbij (denk ik) actief het SSID uitzenden. Ik neem aan dat er geen wachtwoorden de lucht in worden gestuurd, tot het netwerk wordt gevonden. Tevens neem ik aan dat het wachtwoord pas zal worden verzonden als het netwerk is geïdentificeerd op basis van ID, en niet op naam.

Vanuit dat licht (hoewel aannames) zie ik als enige privacyrisico dat een sniffer kan opvangen dat jouw laptop (c.q. mac-adres) bekend is op het netwerk xxx. Maar om dit nu echt een risico te noemen?

Kan iemand wat licht werpen op deze zaak?

~ Information security professional & enthousiast ~ EC Twitter ~


Acties:
  • 0 Henk 'm!

Anoniem: 372687

Waarom dat een beveiligingsrisico is begrijp ik ook niet helemaal. Ik kan me het volgende voorstellen:
Laptop roept: Hallo, ik zoek VerborgenSSID!
Accespoint roept: Ja, dat ben ik!
Laptop: Ok, dit is de sleutel: ######
Accespoint: Ja joh, wat jij wil, kom er in!

Waarbij accespoint niet het gewenste accespoint is en dat degene die het accespoint beheert toegang heeft tot jouw laptop en precies kan zien wat jij verstuurt.

Nou zal dat wel net té eenvoudig zijn, maar dat zou ik me zou ik me zo kunnen voorstellen.

Edit: Je zou misschien eens kunnen kijken wat het verschil is tussen verbinding maken met een zichtbaar SSID en een onzichtbaar SSID dmv Wireshark. Toen ik eens met Wireshark aan het speelde was zag ik trouwens ook wel eens SSIDs voorbijkomen die ik niet in de lijst met netwerken zag maar wel met Netstumbler.

[ Voor 23% gewijzigd door Anoniem: 372687 op 21-12-2010 08:07 ]


Acties:
  • 0 Henk 'm!

  • barry457
  • Registratie: December 2005
  • Laatst online: 10:27
Denk dat je 2 dingen door elkaar haalt. SSID verbergen op AP en SSID verbinding maken als netwerk niet in de lucht is. Bij de SSID op de AP is het alleen maar pluspunt kwa beveiliging. Niet iedereen kan hem zomaar vinden(zijn altijd tooltjes voor) en SSID verbinden ook als netwerk niet beschikbaar is, is een mooie bijkomstigheid voor Domeinen. Er wordt namelijk lokaal op het domein inlogd, waardoor je toch kan inloggen op een domein al is deze niet beschikbaar.

Je redeneert wel correct. Wireless zal alleen de SSID uitzenden, pas als deze gevonden is, zal de AP om een wachtwoord vragen en zal deze verstuurd worden, eerder niet.

Acties:
  • 0 Henk 'm!

  • Nivk
  • Registratie: Oktober 2004
  • Laatst online: 12-08-2024
Eagle Creek schreef op dinsdag 21 december 2010 @ 07:29:
Hallo!

Wanneer ik de optie "Verbinding maken, zelfs wanneer het netwerk niet uitzendt" aan wil vinken waarschuwt Windows mij dat mijn privacy mogelijk in gevaar is.

Ik vroeg mij af waarom deze melding verschijnt. Immers: het uitschakelen van het SSID wordt vaak genoemd als extra beveiliging. Hoewel het nut hiervan discutabel is (daar gaat het even niet om), had ik deze waarschuwing nog niet eerder gezien.
Het is helemaal niet discutabel, het is zelfs onveiliger te noemen vandaar ook het privacy gevaar. Zo'n wireless client zal constant proberen te connecten (proben) met een "hidden" SSID zelfs als deze helemaal niet in de buurt is. Het opzetten van een vals AP om zo deze wireless client te vangen wordt zo wel erg gemakkelijk. "These probe packets still occur every 60 seconds, regardless of whether the network is reachable, and this constitutes a security risk by probing for the SSID repeatedly. A malicious user could attract the client to an unauthorized AP simply by duplicating the SSID and settings learned from the probe packets." ( Zie ook hier bij Microsoft stukje over illusie dat het veiliger is)
Daarnaast als de Hidden SSID AP en client in de buurt van de "hacker" zijn is het een fluitje van een cent om die Hidden SSID te achterhalen en vergt dit geen extra handelingen nodig om achter iemands passwoord te komen. Probeer het zelf eens uit zou ik zeggen, hoe makkelijk het is zie je hier. Om je veilig te stellen van dit soort gedoe gebruik je een lang gecompliceerd WPA(2) wachtwoord niet bestaande uit alleen letters en gecombineerd met een niet-standaard SSID.

Acties:
  • 0 Henk 'm!

  • Eagle Creek
  • Registratie: Oktober 2002
  • Laatst online: 08:14

Eagle Creek

Breathing security

Topicstarter
Eigenlijk wordt hier, en in het MS-artikel dat genoemd is, mijn laatstgenoemde vermoeden bevestigd. De laptop zoekt actief naar het netwerk, en schreeuwt dit telkens door de ether. Windows XP gaat de hele lijst af, Vista en 7 doen dit al een stuk efficiënter.

Wel vraag ik mij toch wel af of dit nue cht zo'n groot risico is. We weten op dat moment alleen dat een laptop in mijn nabijheid toegang geeft gehad tot het netwerk, laten we zeggen Thuis of Linksys. Ik zie daar niet zo'n groot probleem in. Het probleem wordt iets groter als er actief gezocht wordt naar "Siemens" of "Shell", omdat de laptop nu potentieel interessanter wordt voor een aanval. Maar het blijft twijfelachtig naar mijn mening.

Nivk,

Ik kan je niet helemaal volgen. Ik heb de 'hack'video bekeken, maar zie niet in waarom een verborgen SSiD de hacker hierbij -helpt- de key te achterhalen. Ik zie dat het SSiD verborgen is, en dat hij in staat is om dit te achterhalen (maar dat kan NetStumbler ook). Vervolgens kickt hij een aanwezige client van het netwerk, en voert een aanval uit. Maar dit kan ook wanneer het netwerk al bekend is.

De videotitel (with hidden SSID) kan gelezen worden als "met behulp van" maar ook als "met de aanwezigheid van"; dus die relevantie kan ik er niet uithalen.

Beetje offtopic, maar wat ik ook niet helemaal snap is:
The pass-phrase HAS to be in the dictionary - so if you use something like http://grc.com/pass, the chances of it being crack is next to nothing!
Misschien dat ik de term dictionary te letterlijk opvat, maar de gevonden key (9MRxjI9e200824gefjYrAENk16psBC1lleBsR0cpV2uOCfyb1nteYpWZZIDt5h) lijkt me niet echt een woordenboekwoord. Sterker nog: die lijkt aardig op die van GRC die hij noemt.

~ Information security professional & enthousiast ~ EC Twitter ~


Acties:
  • 0 Henk 'm!

  • Nivk
  • Registratie: Oktober 2004
  • Laatst online: 12-08-2024
Eagle Creek schreef op vrijdag 24 december 2010 @ 00:20:
Eigenlijk wordt hier, en in het MS-artikel dat genoemd is, mijn laatstgenoemde vermoeden bevestigd. De laptop zoekt actief naar het netwerk, en schreeuwt dit telkens door de ether. Windows XP gaat de hele lijst af, Vista en 7 doen dit al een stuk efficiënter.

Wel vraag ik mij toch wel af of dit nue cht zo'n groot risico is. We weten op dat moment alleen dat een laptop in mijn nabijheid toegang geeft gehad tot het netwerk, laten we zeggen Thuis of Linksys. Ik zie daar niet zo'n groot probleem in. Het probleem wordt iets groter als er actief gezocht wordt naar "Siemens" of "Shell", omdat de laptop nu potentieel interessanter wordt voor een aanval. Maar het blijft twijfelachtig naar mijn mening.
Een groter risico hangt er een beetje vanaf hoe veilig je WPA(2) paswoord is. Het verbergen van je SSID zal je niet onzichtbaar maken voor iemand die daadwerkelijk je paswoord zou willen achterhalen. Je wireless AP staat dan nog steeds in de lijst met alleen dan SSID: NULL (length: 0)
Echter zo'n persoon ziet ook clients die niet met iets connected zijn maar dit wel constant proberen te doen. Doordat de client dit blijft doen is een fake-AP opzetten mogelijk.
Nivk,

Ik kan je niet helemaal volgen. Ik heb de 'hack'video bekeken, maar zie niet in waarom een verborgen SSiD de hacker hierbij -helpt- de key te achterhalen. Ik zie dat het SSiD verborgen is, en dat hij in staat is om dit te achterhalen (maar dat kan NetStumbler ook). Vervolgens kickt hij een aanwezige client van het netwerk, en voert een aanval uit. Maar dit kan ook wanneer het netwerk al bekend is.
Het helpt hem inderdaad niet, het vereist echter ook geen extra handelingen. De client deauthenticaten is genoeg om hem aan het schreeuwen te zetten en zo de SSID te achterhalen. Deauthenticaten is ook nodig bij SSIDs die wel zichtbaar zijn aangezien je zo de "handshake" van wireless AP en client vangt. Bij een Hidden SSID doe je het gewoon (automatisch) tegelijk. Zie ook hier voor wat meer informatie.
De videotitel (with hidden SSID) kan gelezen worden als "met behulp van" maar ook als "met de aanwezigheid van"; dus die relevantie kan ik er niet uithalen.

Beetje offtopic, maar wat ik ook niet helemaal snap is:

Misschien dat ik de term dictionary te letterlijk opvat, maar de gevonden key (9MRxjI9e200824gefjYrAENk16psBC1lleBsR0cpV2uOCfyb1nteYpWZZIDt5h) lijkt me niet echt een woordenboekwoord. Sterker nog: die lijkt aardig op die van GRC die hij noemt.
Er zijn in omloop woordenboeken voor het kraken van dit soort zaken. Daar staan de meest gebruikte paswoorden in combinatie met vaak gebruikte SSIDs. Bij de video gebruikt de kraker een dictionary waarin de key al zit die hij zoekt, daarom duurt dit niet zo lang. Bovendien zitten er in zijn woordenboek maar 7 paswoorden waarvan hij weet dat 1 de juiste is, het maken van een table (gekoppeld aan de gevonden SSID) duurt daarom ook niet zo lang.
Het is bijna onmogelijk om zo'n GRC key in combinatie met een uniek SSID te kraken. Zo'n door GRC gemaakte key lijkt me daarentegen niet echt handig in gebruik, probeer die maar eens even snel aan een kennis te geven...

Acties:
  • 0 Henk 'm!

  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Anoniem: 372687 schreef op dinsdag 21 december 2010 @ 08:01:
Waarom dat een beveiligingsrisico is begrijp ik ook niet helemaal. Ik kan me het volgende voorstellen:
Laptop roept: Hallo, ik zoek VerborgenSSID!
Accespoint roept: Ja, dat ben ik!
Laptop: Ok, dit is de sleutel: ######
Accespoint: Ja joh, wat jij wil, kom er in!

Waarbij accespoint niet het gewenste accespoint is en dat degene die het accespoint beheert toegang heeft tot jouw laptop en precies kan zien wat jij verstuurt.

Nou zal dat wel net té eenvoudig zijn, maar dat zou ik me zou ik me zo kunnen voorstellen.
Eenvoudig, ja, maar dat is inderdaad het idee.

All my posts are provided as-is. They come with NO WARRANTY at all.

Pagina: 1