NOS: Gratis internet is schatkamer voor hackers - Netwerken

maandag 27 oktober 2014 21:51

Acties:

0 Henk 'm!

Topicstarter

Vandaag was er een nieuwsitem van de NOS waarin werd geadviseerd om maar niet gebruik te maken van gratis wifi:

http://nos.nl/video/71473...atkamer-voor-hackers.html

Fox IT geeft een voorbeeld. Je ziet een kastje en de meneer logged in Facebook. Via het kastje vind hij het wachtwoord terug wat hij heeft ingevoerd.

Weet iemand hier de technische details over? Ik waande mij altijd veilig mits er gebruik wordt gemaakt van https:// met een signed certificaat. Vrijwel alle websites waar wordt ingelegde gebruiken dit.

Wat ook frappant vind is de kwalificatie "Gratis Wifi". Zou een hacker geen gratis wifi weten te imiteren?

maandag 27 oktober 2014 21:53

Acties:

0 Henk 'm!

Raven

Marion Raven fan

Leesvoer: https://decorrespondent.n...netwerk/23823085-23d7ea9a

Dacht dat https://wifipineapple.com/ gebruikt werd door degene in mijn link.

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Oscar Wilde

maandag 27 oktober 2014 22:08

Acties:

0 Henk 'm!

Douweegbertje

Wat kinderachtig.. godverdomme

In feite heel simpel.

Jouw PC <--- https ---> mijn pc <--- https --> facebook

Er zijn verschillende manieren. O.a. de simpelere manier om jouw gewoon http te serveren, immers: wie let er nou echt op elke keer dat je op https zit? Pietertje niet hoor.
Verder kun je ook 'gewoon' jouw verkeer 'signen' als zijnde https, waarbij alleen bepaalde onderdelen van het certificaat 'legit' zijn, maar dat ziet een browser niet (of beter gezegd, controleert een browser niet goed).

Eigenlijk zijn er heel wat manieren, het punt is echter dat hoe dan ook jouw verkeer via iemand anders verloopt en dat hij jouw van alles kan serveren wat niet 'echt' hoeft te zijn, noch correct. Men kan ook bijvoorbeeld jouw een neppe website serveren dat een kopie van facebook is. Je logged in en vervolgens ga je door naar de echte. Uiteindelijk heeft hij je logins.

Zo kun je door gaan met allerlei manieren.

Dan je puntje over imiteren. Jouw apparaten zijn constant opzoek naar bekende wifipunten waar je ooit bent inlogged. Deze zend je zelfs uit. Heb jij thuis MijnWifi123 dan zal je apparaat dat broadcasten. Zet ik een wifispot op met de zelfde naam (en wachtwoord eventueel) dan maak jij ineens daar verbinding mee en loopt je 'internet' via mij.

maandag 27 oktober 2014 22:15

Acties:

0 Henk 'm!

RobinHood

Touch grass? Ben geen tuinman!

Iemand heeft ergens ooit op de tweakblogs vrij duidelijk neergezet wat zoal de gevaren zijn van oa. wifispots, en ook vrij duidelijk gemaakt hoe je daar misgebruik van kan maken. Zou alleen de naam echt niet meer weten, was iig intressant leesvoer.

People as things, that’s where it starts.

maandag 27 oktober 2014 22:26

Acties:

0 Henk 'm!

Vitruvius

Douweegbertje schreef op maandag 27 oktober 2014 @ 22:08:
In feite heel simpel.

Dan je puntje over imiteren. Jouw apparaten zijn constant opzoek naar bekende wifipunten waar je ooit bent inlogged. Deze zend je zelfs uit. Heb jij thuis MijnWifi123 dan zal je apparaat dat broadcasten. Zet ik een wifispot op met de zelfde naam (en wachtwoord eventueel) dan maak jij ineens daar verbinding mee en loopt je 'internet' via mij.

Om het nog even simpeler te houden. Wat denk je van deze WiFi netwerken, ik weet zeker dat een groot deel van de bevolking hier wel eens op inlogt: KPN, T-mobile, WiFi in de Trein, linksys, link, default, enz enz.

maandag 27 oktober 2014 22:33

Acties:

0 Henk 'm!

Xepos

Robberto schreef op maandag 27 oktober 2014 @ 22:26:
[...]
Om het nog even simpeler te houden. Wat denk je van deze WiFi netwerken, ik weet zeker dat een groot deel van de bevolking hier wel eens op inlogt: KPN, T-mobile, WiFi in de Trein, linksys, link, default, enz enz.

Ik weet wel dat WiFi in de Trein, dus van de NS niet standaard af te luisteren is met Wireshark.

maandag 27 oktober 2014 22:46

Acties:

0 Henk 'm!

ralpje

Deugpopje

Of het wel of niet met Wireshark te doen is maakt niet uit, als er een Man in the Middle tussen zit waar al je verkeer gewoon overheen gaat

Freelance (Microsoft) Cloud Consultant & Microsoft Certified Trainer

maandag 27 oktober 2014 22:58

Acties:

0 Henk 'm!

Thralas

Wobblier schreef op maandag 27 oktober 2014 @ 21:51:
Weet iemand hier de technische details over? Ik waande mij altijd veilig mits er gebruik wordt gemaakt van https:// met een signed certificaat.

Het werkt ook alleen maar omdat gebruikers vaak 'facebook.com' <enter> intikken. Dan stuurt je browser een request naar http://facebook.com en kan de 'hacker' een MITM uitvoeren. Ook al heeft de desbetreffende site een redirect van http:// naar https://, als een 'hacker' de eerste http:// request MITM'ed zorgt hij er simpelweg voor dat je nooit een SSL-enabled request doet (dit is ook wel bekend als SSL stripping, je kunt als aanvaller desnoods zelf SSL-enabled requests doen naar de originele site en als plain HTTP aan je slachoffer serveren).

Maar inderdaad, als jij netjes https://facebook.com intikt loop je geen risico. Er zijn wat hulpmiddeltjes om je daarbij te helpen, bijvoorbeeld HTTPS everywhere en HSTS. Bij die eerste heeft je browser een whitelist van sites die ALTIJD via https moeten worden bezocht, dat tweede is een serverside mechanisme om je browser te vertellen dat hij voor een bepaalde tijdperiode ALLE requests naar het desbetreffende domein over HTTPS moet uitvoeren.

Beter is natuurlijk om al je traffic over een VPN endpoint die je wel vertrouwt te gooien.

Wat ook frappant vind is de kwalificatie "Gratis Wifi". Zou een hacker geen gratis wifi weten te imiteren?

Ja, ze bedoelen natuurlijk alle open WiFi, plus eventuele beveiligde netwerken waarvan de 'hacker' niet alleen het SSID maar ook de key bezit (al dan niet gecracked of phished). Vergeet ook niet dat het je ook kan overkomen als je niet eens in de buurt van het desbetreffende netwerk bent, maar hem wel 'onthouden' hebt. Als je een access point 'wifi in de trein' of 'ziggo' opzet en door de stad gaat wandelen zul je genoeg associations krijgen.

[ Voor 8% gewijzigd door Thralas op 27-10-2014 23:03 ]

maandag 27 oktober 2014 23:11

Acties:

0 Henk 'm!

Wobblier

Topicstarter

Duidelijk antwoord $_/-\o_$ Dus door de https SSL te strippen de de plain http aan te bieden log je nietsvermoedend onbeveiligd in. Ik vond het maar weinig belicht in het item.

Ik ben inderdaad gewend om gewoon rabobank.nl te toetsen ipv https://www.rabobank.nl. Een gevaarlijke gewoonte blijkt.

maandag 27 oktober 2014 23:30

Acties:

0 Henk 'm!

Thralas

Wobblier schreef op maandag 27 oktober 2014 @ 23:11:
Duidelijk antwoord $_/-\o_$ Dus door de https SSL te strippen de de plain http aan te bieden log je nietsvermoedend onbeveiligd in. Ik vond het maar weinig belicht in het item.

Correct. Tja, dat is simpelweg te technisch voor het item. Bovendien zou dit niet iets moeten zijn waar de gebruiker expliciet rekening mee dient te houden (natuurlijk wil de gebruiker een beveiligde verbinding waar mogelijk).

Ik ben inderdaad gewend om gewoon rabobank.nl te toetsen ipv https://www.rabobank.nl. Een gevaarlijke gewoonte blijkt.

Ja, maar de oplossing zou dus niet bij de gebruiker moeten liggen. Addons als HTTPSEverywhere en HSTS zijn in die zin logischer (secure by default, zij het met een workaround).

Maar in het specifieke geval van de rabobank:

$ curl -v http://rabobank.nl
[..]
* Connected to rabobank.nl (145.72.70.20) port 80 (#0)
> GET / HTTP/1.1
> Host: rabobank.nl
[..]
< HTTP/1.1 301 Moved Permanently
[..]
< Location: https://www.rabobank.nl/
[..]
< Strict-Transport-Security: max-age=31622400

...wil het dat die banken een tijdje geleden zijn wakkergeschud over eenzelfde soort TV-item, maar dan specifiek op banken gericht (hoewel ik het een totaal onrealistisch scenario vindt voor bankingfraude).

Zie de laatste regel, Rabobank implementeert HSTS.

Maar dat weerhoudt een 'skilled' attacker er natuurlijk niet van om een exploit in een willekeurige andere HTTP response te injecteren, of om domweg executables te sturen tot de gebruiker uit frustratie GRATIS_INTERNET_VAN_CAFE_ACTIVATIE.exe uitvoert. En dan pakt 'ie de Rabobank-sessie nog mee, SSL of niet

dinsdag 28 oktober 2014 08:59

Acties:

0 Henk 'm!

Wobblier

Topicstarter

Hmm. Dan is de soep wel heet, maar niet zo heet als die in het NOS item werd opgediend. Van een goede hacker verwacht ik wel dat deze in staat is om een m-i-t-m aanval voor te bereiden of met een vorm van social engineering in staat zijn toegang tot gegevens te krijgen.

Het item deed het lijken alsof het een kwestie was van een kastje aanzetten.

dinsdag 28 oktober 2014 15:05

Acties:

0 Henk 'm!

sannie1213

Douweegbertje schreef op maandag 27 oktober 2014 @ 22:08:
In feite heel simpel.

Jouw PC <--- https ---> mijn pc <--- https --> facebook

Er zijn verschillende manieren. O.a. de simpelere manier om jouw gewoon http te serveren, immers: wie let er nou echt op elke keer dat je op https zit? Pietertje niet hoor.
Verder kun je ook 'gewoon' jouw verkeer 'signen' als zijnde https, waarbij alleen bepaalde onderdelen van het certificaat 'legit' zijn, maar dat ziet een browser niet (of beter gezegd, controleert een browser niet goed).

Eigenlijk zijn er heel wat manieren, het punt is echter dat hoe dan ook jouw verkeer via iemand anders verloopt en dat hij jouw van alles kan serveren wat niet 'echt' hoeft te zijn, noch correct. Men kan ook bijvoorbeeld jouw een neppe website serveren dat een kopie van facebook is. Je logged in en vervolgens ga je door naar de echte. Uiteindelijk heeft hij je logins.

Zo kun je door gaan met allerlei manieren.

Dan je puntje over imiteren. Jouw apparaten zijn constant opzoek naar bekende wifipunten waar je ooit bent inlogged. Deze zend je zelfs uit. Heb jij thuis MijnWifi123 dan zal je apparaat dat broadcasten. Zet ik een wifispot op met de zelfde naam (en wachtwoord eventueel) dan maak jij ineens daar verbinding mee en loopt je 'internet' via mij.

Voor groot deel klopt het wat betreft de imitatie. Alleen is het voor de Hacker niet altijd zo simpel om zelfde naam en wachtwoord te combineren. Echter kan hij ook een simpel AP'tje nemen. Software er achter. En dan kan hij imiteren. Er is namelijk een Linux based OS die je aan een AP koppelt en die scant de omgeving. Je telefoon roept (Jip en Janneke taal voor sommige) rond "Free-Wifi" ben je daar? En als je de juiste OS hebt zorgt die ervoor dat je AP ten alle tijde ja zegt. En als dat toevallig een onbeveiligde Wifi was heb je gewoon verbinding. En je telefoon heeft niks door dat het niet de Free-Wifi was van eerst. En dit zorgt ervoor dat de OS achter het hele gebeuren simpel weg bestanden en instellingen zo uit je telefoon kan gaan vissen.

En ja die heb ik in de praktijk gezien. Het ministerie van Cybercrime of hoe die gasten hebben dit een klein jaartje terug aan mijn opleiding getoont.

dinsdag 28 oktober 2014 15:20

Acties:

0 Henk 'm!

fast-server

Ik gebruik standaard een VPN als ik niet in mijn eigen omgeving zit, zowel via mobiel internet als WIFi buiten de deur.

PV Output SolarEdge SE5000H, 12x Jinko JKM390N-6RL3 Tiger> 4,68 kWp, Helling 42°, Oriëntatie 196° (ZZW)

dinsdag 28 oktober 2014 15:28

Acties:

0 Henk 'm!

zeezuiper

Het is nog steeds mogelijk voor een hacker om een fake website te maken. Als jouw PC de URL opvraagt van een willekeurige HTTPS website wordt dit door gerouteerd naar deze fake website. Kwestie van een simpele DNS server draaien.Meeste mensen zal het niet opvallen dat je op een (goed nagemaakte) fake website aanlogt zonder HTTPS.

[ Voor 0% gewijzigd door zeezuiper op 28-10-2014 16:40 . Reden: laatse woord moest HTTPS zijn ipv DNS ]

dinsdag 28 oktober 2014 15:35

Acties:

0 Henk 'm!

Henk007

Zonder SSL certificaten gaat die vlieger niet op.