nos rapportage over Rogue Wifi hotspots

Zoiets is wel eerder voorbij gekomen, maar dan in het journaal van andere zenders: https://decorrespondent.n...netwerk/23823085-23d7ea9a

Gewoon niet zo 1, 2, 3 verbinding maken met publieke hotspots. Ga altijd eerst te rade bij de eigenaar van de winkel / cafe whatever waar je zit om te checken of het SSID wat je ziet ook daadwerkelijk die van de betreffende eigenaar is.

ja en al klopt die .. mischien zit je op een ap met dezelfde naam op een ander kanaal ?

of wou je het mac adres opvragen aan de eigenaar? het enige wat je krijgt is glazige ogen denk ik dan (ipv een glas bier)

[ Voor 4% gewijzigd door Fish op 27-10-2014 22:48 ]

Je bent in principe safe als je https gebruikt en ook het certificaat controleert. Meestal doet je browser dat en dat betekend voor de gebruiker dus opletten op warnings en niet gewoon negeren. De aanvaller kan namelijk een self-certified https phisingsite hebben opgezet. Verder zorgen dat je browser geen domme dingen doet zoals terugvallen in ssl protocol. Dus geen SSL v3. (ssl-poodle).

Het uitgangspunt moet zijn dat je geen belangrijke zaken doet op een onbekend netwerk en al helemaal niet op een onbekend en onbeveiligd netwerk. Verder is Android zelf ook snel vatbaar voor malware en andere narigheid. Goede beveiliging is dus belangrijk. Voor Android (en voor de PC) heb je bijvoorbeeld Avast! SecureLine VPN service waarmee je een beveiligde VPN verbinding kunt opzetten zodat jouw data beschermd is op dat onbeveiligde netwerk. Google Play: SecureLine VPN, Privacy Shield Gratis mobile alternatieven zouden ook kunnen bestaan, maar die ken ik niet. Als je iets voor de computer én voor je mobiele apparaten zoekt kan je waarschijnlijk beter een andere VPN service nemen die niet is beperkt tot één app zoals die van Avast.

[ Voor 11% gewijzigd door Verwijderd op 29-10-2014 02:26 ]

Je bent nooit veilig, met of zonder https.
Dus al je hier wachtwoorden gebruikt, dan hebben ze dit altijd.
Je logt in op een vreemde wifi, en jij denkt dat dit de open wifi is, maar je zult niks zien dat je op een ander wifi zit, deze bootsen je certificaat na, of vervangen de originele certificaat naar jou toe, en naar het internet/bank gebruikt de hacker de goede certificaat.
Theoretisch zou je dit ook binnen een bedrijf kunnen doen, als iemand gaat internetten of internet bankieren, als je daar werkt.

Volg een op youtube security now, daar is dit al uitgelegd.
Hak5 op youtube met hun wifi spot en rubber ducky, laat dit ook zien, al heel lang geleden.

Ook een tip, wat jij op je scherm ziet, kan een hacker na maken, dus zegt helemaal niks.

Dit wifi gedoe gaat ook met je telefoon, die maken ze ook na, dus je logt niet in je provider, maar bij een hacker of regering. Want de prijs hiervan is flink gezakt om zoiets te kopen of na te bouwen.

[ Voor 19% gewijzigd door jan99999 op 29-10-2014 07:46 ]

jan99999 schreef op woensdag 29 oktober 2014 @ 07:43:
Je bent nooit veilig, met of zonder https.
Dus al je hier wachtwoorden gebruikt, dan hebben ze dit altijd.
Je logt in op een vreemde wifi, en jij denkt dat dit de open wifi is, maar je zult niks zien dat je op een ander wifi zit, deze bootsen je certificaat na, of vervangen de originele certificaat naar jou toe, en naar het internet/bank gebruikt de hacker de goede certificaat.
Theoretisch zou je dit ook binnen een bedrijf kunnen doen, als iemand gaat internetten of internet bankieren, als je daar werkt.

Volg een op youtube security now, daar is dit al uitgelegd.
Hak5 op youtube met hun wifi spot en rubber ducky, laat dit ook zien, al heel lang geleden.

Ook een tip, wat jij op je scherm ziet, kan een hacker na maken, dus zegt helemaal niks.

Dit wifi gedoe gaat ook met je telefoon, die maken ze ook na, dus je logt niet in je provider, maar bij een hacker of regering. Want de prijs hiervan is flink gezakt om zoiets te kopen of na te bouwen.

Dat is makkelijker gezegd dan gedaan, want je browser zal zeker gaan klagen bij een self-signed certificaat. Hoewel het gros van de starbuks hipsters er geen moeite mee zullen hebben als de connectie gewoon naar http wordt geforceerd of gewoon ok drukken bij een certificaat warning. De oplettende gebruiker zal nattigheid voelen.
Hoewel een hacker die er echt zin in heeft natuurlijk eerst toegang verschaft tot jouw machine met een exploit om zijn eigen certificaat bij de trusted parties te zetten. Daarna is het hek van de dam

Ze halen nergens SSL onderuit, ze maken als mitm gebruik van ssl split. naar de server to wordt gewoon normaal het certificaat afgehandeld, naar de client to wordt een eigen certificaat (selfsigned) gestuurd. Dat het certificaat is ondertekend door een untrusted party is wel te zien in de browser (maar wie let daar nu op:))

Dogooder schreef op vrijdag 31 oktober 2014 @ 08:59:
Ze halen nergens SSL onderuit, ze maken als mitm gebruik van ssl split. naar de server to wordt gewoon normaal het certificaat afgehandeld, naar de client to wordt een eigen certificaat (selfsigned) gestuurd. Dat het certificaat is ondertekend door een untrusted party is wel te zien in de browser (maar wie let daar nu op:))

Met Dogooder, een goed uitgevoerde mitm kan je bijna niets tegen doen. Je hebt zelf immers bewust gekozen om op zijn mitm device te connecten. Zelfs het untrusted hoeft niet altijd voor te komen, Diginotar anyone?

daft_dutch schreef op woensdag 29 oktober 2014 @ 19:56:
[...]

Zo juist op youtube gezocht uren aan Hak5 wifi hacking. Kan je misschien een filmpje linken waar ze ssl onderuit halen?

Wat ze volgens mij doen is http verkeer onderscheppen en voorkomen dat je naar https switcht. Dat is verre van wat jij claimt

Als je dit wilt leren/weten, wat wel en niet kan, dan zul je toch de films zoeken en bekijken.
Zelf kijk ik elke week een aantal uren naar diverse onderwerpen, niet om te hacken, maar om zelf veiliger te werken. En meer uren dan je zult denken.

Hebben jullie ooit gehoord van de wifi pineapple ? een apparaat dat in staat is je met zijn wifi netwerk te verbinden ongeacht welk netwerk je selecteert, en daarnaast instaat is om ssl te strippen en DOM injecties uit te voeren.

nou zie hier: https://hakshop.myshopify...ineapple?variant=81044992
Ja dit is de roque van roque wifi hotspots, en voor slechts 132 dollar heb je er al een.

[ Voor 26% gewijzigd door Verwijderd op 04-11-2014 09:19 . Reden: ochtend stupiditeit ]

Wij zijn wel zeker bekent met de wifi pineapple, het ging er meer om hoe de pineapple en dus SSL strippen inhoudelijk werkt en hoe je het zou kunnen detecteren als argeloze starbucks internetter.

Dus als je HTTP strict transport security op je webserver aan hebt ontstaat er gewoon geheel geen verbinding en is de eindgebruiker veilig ?

Vraag me af of die pineapple eventueel een soort portal zou kunnen opzetten waarin hij zelf een https verbinding met de aangevraagde webserver aangaat maar de gebruiker een soort gespoofde pagina serveerd.

SSL strip kan ook gewoon self signed certificaten opsturen naar de client. Is het nog wel HTTPS alleen de verified by is dan best wel onbetrouwbaar. Maar volgens mij krijg je dan een Untrusted connection warning van je browser. Niet helemaal zeker geloof ik, als common name gewoon het domein weergeeft (simpel trucje voor SSL strip) dan vind je browser het wel goed geloof ik.

[ Voor 24% gewijzigd door Dogooder op 05-11-2014 10:55 ]

daft_dutch schreef op woensdag 05 november 2014 @ 10:26:
[...]
Als je bedoelt dat als je webserver alleen https ondersteunt is het antwoord Misschien
De ssl stripper maakt een https verbinding naar de server en presenteert de als http naar de eindgebruiker.
[...]

Het is dus meer een kwestie van gebruikers opvoeden je zou er als webserver weinig tegen kunnen doen, alhoewel ik met jquery zou kunnen controleren of er een https verbinding tot stand is gebracht maar aangezien je de DOM kan aanpassen zou je dit kunnen verwijderen, maar het is toch net dat stapje extra. Daar ga ik vanavond maar is mee spelen.

Dogooder schreef op woensdag 05 november 2014 @ 10:50:
SSL strip kan ook gewoon self signed certificaten opsturen naar de client. Is het nog wel HTTPS alleen de verified by is dan best wel onbetrouwbaar. Maar volgens mij krijg je dan een Untrusted connection warning van je browser.

Zou hij ook de request zo kunnen aanpassen dat het lijkt of de request naar een domein gaat waar het apparaat wel een geldig certificaat voor heeft ? In dat geval zou je dan geen untrusted warning krijgen.

Nee het certificaat aanpassen lukt tegenwoordig nog echt niet (Diginotar affiares buiten beschouwing gelaten) Dit komt door assymmetrische encryption, als data met de publieke sleutel van bv google.com is encrypted dan kan dat enkel door de private sleutel van google.com worden decrypted. Je eigen publieke sleutel in het certificaat duwen verandert de SHA-256 fingerprint.
SSL strip maakt dus een certificaat voor google.com met een eigen publieke sleutel. Ondertekent (de beste hacker van startbucks). Je browser, of de gebruiker moet dus goed opletten/ verifiieren dat "de beste hacker van starbucks" dus geen google.com is. In hoevere browsers dat dus aangeven weet ik niet, iemand die zo'n mitm attack zelf gedaan heeft?

Ik weet niet of het volgende al naar voren is gekomen, maar het komt er in het kort op neer dat wanneer je niet gebruik maakt van mutual/2way authenticatie op TLS, er altijd sprake is van een kans op MITM. Zelfs met de nieuwste technieken als HSTS.

Daarom niet te vertrouwen internet hotspot? Altijd VPN! Daarmee kun je eigenlijk alles wel samenvatten. Het wordt tijd dat ISP's die als een standaarddienst gaan aanbieden voor hun klanten...

ebia schreef op zaterdag 08 november 2014 @ 15:13:
Ik weet niet of het volgende al naar voren is gekomen, maar het komt er in het kort op neer dat wanneer je niet gebruik maakt van mutual/2way authenticatie op TLS, er altijd sprake is van een kans op MITM. Zelfs met de nieuwste technieken als HSTS.

Daarom niet te vertrouwen internet hotspot? Altijd VPN! Daarmee kun je eigenlijk alles wel samenvatten. Het wordt tijd dat ISP's die als een standaarddienst gaan aanbieden voor hun klanten...

Blackberry network doet dat toch ? dat al het verkeer over een VPN van blackberry gaat. Wel een goed idee om providers dit te laten implementeren, ben alleen bang dat als ze dit doen de ping en de throughput er erg gaan onder lijden.