Hackers topic bij "opgelicht" - Actualiteit, wetenschap en maatschappij

dinsdag 9 september 2014 21:52

Acties:

0 Henk 'm!

Topicstarter

In de uitzending van vandaag is te zien hoe een "professionele" hacker login gegevens kan zien van iemand die met zijn telefoon inlogt bij marktplaats.
Nu ben ik zelf ook altijd wel geinteresseerd in dit soort zaken, echter ken ik geen goeie manieren om logingegevens af te kunnen luisteren wanneer een site https gebruikt, nb ook marktplaats gebruikt https.

Heeft iemand een idee hoe degene in de uitzending dit voor elkaar krijgt (behalve dan sslstrip), zonder dat een consument extreem stomme dingen hoeft te doen zoals certificaat fouten weg te wuiven?

Op dit moment is de aflevering nog bezig en kan ik jullie alleen de opgelicht pagina doorsturen voor de aflevering: Hier is de aflv te vinden
http://www.opgelicht.nl/dossiers/detail/7551/

naar mijn mening wordt het nogal aangedikt en ben je zolang je https gebruikt, redelijk veilig.

[ Voor 9% gewijzigd door DLGandalf op 09-09-2014 23:56 ]

dinsdag 9 september 2014 21:55

Acties:

0 Henk 'm!

Compizfox

Bait for wenchmarks

Volgens mij is dat zo goed als onmogelijk zonder de RSA-key te kraken als er gebruik wordt gemaakt van HSTS.

Wikipedia: HTTP Strict Transport Security

[ Voor 38% gewijzigd door Compizfox op 09-09-2014 21:57 ]

Gewoon een heel grote verzameling snoertjes

dinsdag 9 september 2014 21:55

Acties:

0 Henk 'm!

jostefa

Openbaar wifi netwerk aanmaken en dan een man in the middle attack uitvoeren op de mensen die verbinden aan jouw router.

dinsdag 9 september 2014 21:55

Acties:

0 Henk 'm!

sypie

Wanneer je een man-in-the-middle methode gebruikt niet. Is al aardig wat keren uitgelicht, zelfs in nieuwsprogramma's als EditieNL.

dinsdag 9 september 2014 21:56

Acties:

0 Henk 'm!

Compizfox

Bait for wenchmarks

jostefa schreef op dinsdag 09 september 2014 @ 21:55:
Openbaar wifi netwerk aanmaken en dan een man in the middle attack uitvoeren op de mensen die verbinden aan jouw router.

Het enige wat je dan kunt zien is dat iemand marktplaats.nl bezoekt, de traffic naar de site zelf is encrypted bij gebruik van HTTPS.

sypie schreef op dinsdag 09 september 2014 @ 21:55:
Wanneer je een man-in-the-middle methode gebruikt niet. Is al aardig wat keren uitgelicht, zelfs in nieuwsprogramma's als EditieNL.

Wat niet? Bedoel je dat het niet mogelijk is, of dat het niet veilig is?

[ Voor 30% gewijzigd door Compizfox op 09-09-2014 22:04 ]

Gewoon een heel grote verzameling snoertjes

dinsdag 9 september 2014 21:57

Acties:

0 Henk 'm!

Osiris

Een MitM-attack met een up to date SSL-stack, zowel client-side als server-side lijkt me ook zo goed als onmogelijk?

dinsdag 9 september 2014 22:02

Acties:

0 Henk 'm!

Jumpman

sypie schreef op dinsdag 09 september 2014 @ 21:55:
Wanneer je een man-in-the-middle methode gebruikt niet. Is al aardig wat keren uitgelicht, zelfs in nieuwsprogramma's als EditieNL.

Volgens mij kan het haast niet anders.

Nintendo Network ID: Oo_Morris_oO | PSN: Oo_Morris_oO.

dinsdag 9 september 2014 22:04

Acties:

0 Henk 'm!

OnTracK

Standaard maakt marktplaats geen gebruik van HTTPS, alleen bij de belangrijkere pagina's. Daarnaast gebruikt Marktplaats gebruikt geen HSTS (dat kan ook niet als je op hetzelfde domein niet-SSL wil serveren). Waardoor een SSLstrip prima mogelijk is (zelfs makkelijk als je het verkeer via jouw AP gaat).

Dit is natuurlijk merkbaar in de zin dat een client kan zien dat er geen HTTPS gebruikt wordt. Maar ja, wie weet nou dat dat hoort als de algemene pagina's daar geen gebruik van maken?

edit: ik zie dat je vroeg om mogelijkheden naast deze. Niet echt wat, maar ja, als hacker neem je natuurlijk de makkelijkste weg.

[ Voor 12% gewijzigd door OnTracK op 09-09-2014 22:05 ]

Not everybody wins, and certainly not everybody wins all the time.
But once you get into your boat, push off and tie into your shoes.
Then you have indeed won far more than those who have never tried.

dinsdag 9 september 2014 22:05

Acties:

0 Henk 'm!

jostefa

Compizfox schreef op dinsdag 09 september 2014 @ 21:56:
[...]

Het enige wat je dan kunt zien is dat iemand marktplaats.nl bezoekt, de traffic naar de site zelf is encrypted bij gebruik van HTTPS.

[...]

Wat niet? Bedoel je dat het niet mogelijk is, of dat het niet veilig is?

Niet bij man in the middle attack. Verder kan je veel informatie vinden op: security.stackexchange.com

[ Voor 8% gewijzigd door jostefa op 09-09-2014 22:06 ]

dinsdag 9 september 2014 22:05

Acties:

0 Henk 'm!

Compizfox

Bait for wenchmarks

OnTracK schreef op dinsdag 09 september 2014 @ 22:04:
Standaard maakt marktplaats geen gebruik van HTTPS, alleen bij de belangrijkere pagina's. Daarnaast gebruikt Marktplaats gebruikt geen HSTS (dat kan ook niet als je op hetzelfde domein niet-SSL wil serveren). Waardoor een SSLstrip prima mogelijk is (zelfs makkelijk als je het verkeer via jouw AP gaat).

Dit is natuurlijk merkbaar in de zin dat een client kan zien dat er geen HTTPS gebruikt wordt. Maar ja, wie weet nou dat dat hoort als de algemene pagina's daar geen gebruik van maken?

edit: ik zie dat je vroeg om mogelijkheden naast deze. Niet echt wat, maar ja, als hacker neem je natuurlijk de makkelijkste weg.

In dat geval is SSL-stripping inderdaad mogelijk.

Dit is dan ook een perfect voorbeeld waarom je gewoon de volledige site over HTTPS moet serveren, en HSTS moet gebruiken.

jostefa schreef op dinsdag 09 september 2014 @ 22:05:
[...]

Niet bij man in the middle attack.

Nogmaals: wat niet?

[ Voor 85% gewijzigd door Compizfox op 09-09-2014 22:06 ]

Gewoon een heel grote verzameling snoertjes