'Beveiligde delen UvA en HvA-sites vatbaar voor man-in-the-m

Met Rafe, dit artikel klopt niet.
De reactie kodak in 'nieuws: 'Beveiligde delen UvA en HvA-sites vatbaar voor man-in-the-middle-aanval'' bevat een hoop goede informatie.

De zin "Studenten stapten vanwege naar de ict-afdeling van de onderwijsinstellingen, maar kregen naar verluidt nul op het rekest." mist ook een stuk na het woord vanwege.

"Studenten stapten vanwege naar de ict-afdeling van de onderwijsinstellingen, maar kregen naar verluidt nul op het rekest."
Net als Arjan hierboven geen idee vanwege wat hier wordt bedoeld.

We gaan er naar kijken. De zin is overigens aangepast.

Fijn dat het is aangepast, nu sta ik maandag niet voor lul bij m'n SSL/TLS-geobsedeerde collega's

Hallo, ik ben Sander de Vos, 1 van de 2 studenten die dit lek gevonden/gemeld hebben.
Wij hebben nooit gezegd dat het door zwakke SSL certificaten ging. Dit is iets wat de media helaas verkeerd opgepakt heeft. Het probleem ligt vooral aan het missen van een aantal beveiligingsprotocollen en het niet controleren van certificaten door gebruikers van eduroam.

Heb het erbij gezet, Sander

Nice, nu kan ik het zelf ook delen zonder verwarring te veroorzaken.

Ook gaan ik en Tijme (_Rabobank, de 2e student) binnenkort een security audit uitvoeren bij de HvA/UvA

sdevos13 schreef op maandag 17 november 2014 @ 21:22:
Hallo, ik ben Sander de Vos, 1 van de 2 studenten die dit lek gevonden/gemeld hebben.
Wij hebben nooit gezegd dat het door zwakke SSL certificaten ging. Dit is iets wat de media helaas verkeerd opgepakt heeft. Het probleem ligt vooral aan het missen van een aantal beveiligingsprotocollen en het niet controleren van certificaten door gebruikers van eduroam.

Beste Sander,

Ik ben de Wireless beheerder van de UvA en HvA. Ik vind je argumentatie flinterdun. Welke beveiligingsprotocollen zouden de Universiteiten dan volgens jou moeten gebruiken? eduroam is met WPA2/AES heel erg veilig. De HvA en UvA zijn in europa één van de weinige onderwijsinstellingen die juist WEL veel aandacht besteden aan het controleren/adviseren van de juiste beveiligingscertificaten t.a.v. eduroam. Wij maken gebruik van een configuratie-portal(wifiportal.uva.nl) waarin alle certificaten(incl. intermediate en radius-server name) op een correcte manier wordt aangeboden. Dit doen wij voor verschillende platformen. Daar is de UvA en HvA in Nederland uniek in! Lees ook anders eens mijn blog : https://scharloo.wordpres...i-fi-deployment-platform/

[ Voor 3% gewijzigd door UvAkid op 19-11-2014 12:04 ]

Hallo gscharloo,

We hebben inmiddels een gesprek gehad met de ICTS. Zij hadden het ook over deze tool, die in de praktijk helaas niet gebruikt wordt. Wij volgen beide de opleiding Software Engineering, en zelfs wij zijn begin dit schooljaar niet gewezen op deze tool. Zonder het certificaat te controleren is het uiteraard mogelijk om mensen met een ander WiFi network te laten verbinden waardoor alle request kunnen worden afgevangen.

Je kunt contact opnemen met ons via contact [at] ucfirst.nl

sdevos13 schreef op woensdag 19 november 2014 @ 11:21:
Hallo gscharloo,

We hebben inmiddels een gesprek gehad met de ICTS. Zij hadden het ook over deze tool, die in de praktijk helaas niet gebruikt wordt. Wij volgen beide de opleiding Software Engineering, en zelfs wij zijn begin dit schooljaar niet gewezen op deze tool. Zonder het certificaat te controleren is het uiteraard mogelijk om mensen met een ander WiFi network te laten verbinden waardoor alle request kunnen worden afgevangen.

Je kunt contact opnemen met ons via contact [at] ucfirst.nl

Beste Sander,

Waar baseer jij je conlusies op? Je zegt A en je doet B......

- Binnen de UvA en HvA worden de configuratie-portals zeer goed bezocht door oa. eerste jaars. (ik heb harde cijfers (meer dan 90%) Degene die dit niet weten zijn eigenwijs en denken het zelf beter te weten.... . : Eerste jaars krijgen zelfs een flyer waarin exact staat hoe je veilig een verbinding met eduroam moet opbouwen : draadloos.hva.nl / draadloos.uva.nl
ps: Jullie hebben helemaal geen contact gezocht met de Servicedesk van ICTS maar met Facility Services Daarnaast zoeken jullie opnieuw de media met onwaarheden.
- Zonder het certificaat te controleren loop je als eindgebruiker risico's(Je bedoelt eigenlijk te zeggen gebruik een open SSID dan kan ik je gegevens bekijken) . Wat is hier nieuw aan?

Zijn jullie mediageil ?

-

[ Voor 100% gewijzigd door Verwijderd op 08-06-2015 11:10 ]

gscharloo schreef op woensdag 19 november 2014 @ 12:22:
[...]


Beste Sander,

Waar baseer jij je conlusies op? Je zegt A en je doet B......

- Binnen de UvA en HvA worden de configuratie-portals zeer goed bezocht door oa. eerste jaars. (ik heb harde cijfers (meer dan 90%) Degene die dit niet weten zijn eigenwijs en denken het zelf beter te weten.... . : Eerste jaars krijgen zelfs een flyer waarin exact staat hoe je veilig een verbinding met eduroam moet opbouwen : draadloos.hva.nl / draadloos.uva.nl
ps: Jullie hebben helemaal geen contact gezocht met de Servicedesk van ICTS maar met Facility Services Daarnaast zoeken jullie opnieuw de media met onwaarheden.
- Zonder het certificaat te controleren loop je als eindgebruiker risico's(Je bedoelt eigenlijk te zeggen gebruik een open SSID dan kan ik je gegevens bekijken) . Wat is hier nieuw aan?

Zijn jullie mediageil ?

Ik baseer mij op het feit dat ik niemand ken die de tool draait. Ook docenten draaien zelf deze tool niet. Daarnaast hebben wij die flyer nooit mogen ontvangen.

Wij hebben wél contact gehad met ICTS. Een beetje apart dat jij zegt van niet aangezien we er maandag nog geweest zijn, maar goed. En als wij mediageil zouden zijn en dit geen echt issue was waarom pakken ze dit dan wel op en zijn ze bezig met verbeteren?!

En het klopt, er is hier weinig nieuw aan, en dat is nou net het probleem. Het is al 10 jaar bekend dan SSLv2 onveilig is en andere SSL issues zijn de laatste tijd wekelijks in het nieuws te vinden. Een zwakke implementatie serveren zorgt gewoon voor een onveilig systeem.

sdevos13 schreef op woensdag 19 november 2014 @ 12:58:
[...]

[quote]
Ik baseer mij op het feit dat ik niemand ken die de tool draait. Ook docenten draaien zelf deze tool niet. Daarnaast hebben wij die flyer nooit mogen ontvangen.
[quote]

Bedankt voor de feedback. Ik zal het één en ander uitzoeken, alhoewel ik wel mijn twijfels heb...

• Volgens mij hebben alle balies een flyer over het draadloos internet.
  Draadloos informatie is ook op de A-Z van UvA en HvA aanwezig.
  Elke eerste jaars wordt gewezen op start-studiejaar pagina(dit is voor alle studenten)
  Er wordt regelmatig een nieuwsbericht geplaatst en studenten worden vaak via twitter geinformeerd. Daarnaast hebben, volgens mij, studenten zelf ook een informatie ‘haal’ plicht. Je weet wel hoe je moet printen maar niet hoe je veilig gebruik maakt van het draadloos netwerk?

Wij hebben wél contact gehad met ICTS. Een beetje apart dat jij zegt van niet aangezien we er maandag nog geweest zijn, maar goed. En als wij mediageil zouden zijn en dit geen echt issue was waarom pakken ze dit dan wel op en zijn ze bezig met verbeteren?!

Je heb het volgende gecommuniceerd :
'Om dat te voorkomen heeft het tweetal bij ICT Services aan de bel getrokken. Dat bleek tevergeefs. ‘We hebben vaak gemaild, maar we hebben sinds september niets meer van hen gehoord. Aangezien we vinden dat dit toch opgelost moet worden, hebben we nu maar verschillende media ingelicht.’

Als je een mail had gestuurd naar servicedesk-icts@hva.nl of 020 - 595 1144 had gebeld was er een ticket aangemaakt. Je hebt volgens mij contact gehad met Facility Services en/of met een lokale balie en niet met ICTS services.-> Heb je een ticketnummer gehad?

Los hiervan probeer sta ik open voor verbeteringen en ben ik blij dat ik je nu in beeld heb
SSL zal altijd een uitdaging blijven maar om dit nu zo groot bij de UvA en HvA uit te vergroten -> daar heb ik moeite mee..

gscharloo schreef op woensdag 19 november 2014 @ 14:31:
sdevos13 schreef op woensdag 19 november 2014 @ 12:58:
[...]

[quote]
Ik baseer mij op het feit dat ik niemand ken die de tool draait. Ook docenten draaien zelf deze tool niet. Daarnaast hebben wij die flyer nooit mogen ontvangen.
[quote]

Bedankt voor de feedback. Ik zal het één en ander uitzoeken, alhoewel ik wel mijn twijfels heb...

• Volgens mij hebben alle balies een flyer over het draadloos internet.
  Draadloos informatie is ook op de A-Z van UvA en HvA aanwezig.
  Elke eerste jaars wordt gewezen op start-studiejaar pagina(dit is voor alle studenten)
  Er wordt regelmatig een nieuwsbericht geplaatst en studenten worden vaak via twitter geinformeerd. Daarnaast hebben, volgens mij, studenten zelf ook een informatie ‘haal’ plicht. Je weet wel hoe je moet printen maar niet hoe je veilig gebruik maakt van het draadloos netwerk?

[...]


[...]


Als je een mail had gestuurd naar servicedesk-icts@hva.nl of 020 - 595 1144 had gebeld was er een ticket aangemaakt. Je hebt volgens mij contact gehad met Facility Services en/of met een lokale balie en niet met ICTS services.-> Heb je een ticketnummer gehad?

Los hiervan probeer sta ik open voor verbeteringen en ben ik blij dat ik je nu in beeld heb
SSL zal altijd een uitdaging blijven maar om dit nu zo groot bij de UvA en HvA uit te vergroten -> daar heb ik moeite mee..

Het kan zo zijn dat er bij iedere balie en flyer aanwezig is, dit hebben wij zelf niet onderzocht. Ook zijn wij helaas niet gewezen op de start-studiejaar pagina en weten wij (nog) niet hoe het mogelijk is om te printen.

Het was niet nodig om een e-mail naar servicedesk-icts@hva.nl te sturen aangezien we direct contact met de directeur hebben. Aangezien wij dezelfde middag nog een meeting hadden ingepland is hier inderdaad geen ticket voor aangemaakt.

Ik snap dat je daar moeite mee hebt, maar het gaat hier over gegevens die worden gebruikt als basis om uiteindelijk diploma’s te verstrekken. Die moeten wel wat waard blijven.

Je haalt allerlei zaken door elkaar. Een halve waarheid is ook een waarheid en dit wordt als zoete koek geslikt. Het gaat om de technische feiten en momenten waarin je communiceer. Ik zie nu weer een bericht in Folia. Waarom?

Welke zaken haal ik door elkaar? En over welke halve waarheden spreek ik dan wel niet?

Dat artikel op Folia hadden ze al een tijdje klaarstaan, dat ze dat nu online gooien moeten ze zelf weten.

sdevos13 schreef op woensdag 19 november 2014 @ 15:07:
Welke zaken haal ik door elkaar? En over welke halve waarheden spreek ik dan wel niet?

Dat artikel op Folia hadden ze al een tijdje klaarstaan, dat ze dat nu online gooien moeten ze zelf weten.

Daar ga ik inhoudelijk nu niet op in : Dit is aan anderen. Het gaat mij om de technische feiten en momenten waarin jij je punt probeert te maken. De zwakheden t.a.v. SSL zijn nu duidelijk. Alle overige voorbeelden vertroebelen je berichtgeving.

Hmm, oké dan. Ik vermeld enkel een aantal redenen waaruit kan worden geconcludeerd dat dit belangrijk is en wat voor mogelijke gevolgen dit probleem had kunnen hebben. Ook heb ik de technische feiten duidelijk gecommuniceerd maar is dat helaas niet 1:1 overgenomen doordat niet iedereen technische kennis heeft.

Ook staat het wel of niet hebben van een tooltje dat netwerk certificaten controleert los van het feit dat de SSL/HTTPS implementatie zwakheden vertoonde.

Ik zou graag een technisch samenvatting willen maken waardoor je in het nieuws bent gekomen:

Dat 'tooltje', wat door een beveiligingsbedrijf (www.securew2.com/eduroam) is gemaakt, zorgt er wel voor dat jou 'proof of concept' niet werkt binnen de UvA en HvA indien je gebruik maakt van eduroam en je laptop op de juiste manier hebt geconfigureerd. (wifiportal.hva.nl)

Je hebt eigenlijk aangetoond dat het met een open ssid mogelijk is om gegevens te 'vangen'.

Daarnaast lees ik in de update van maandag: " Volgens een van de studenten ging het niet om zwakke of oude certificaten, zoals Folia meldde, maar om een gebrek aan beveiligingsprotocollen.'

Jouw conclusie :

'Het probleem ligt vooral aan het missen van een aantal beveiligingsprotocollen en het niet controleren van certificaten door gebruikers van eduroam'

Mijn conclusie:
- De certificaten en radius attributen worden wel degelijk gecontroleerd door gebruikers van eduroam mits ze gebruik maken van wifiportal.hva.nl of wifiportal.uva.nl.
- Je hebt aangetoond dat je met een rogue accespoint (en een open SSID) verkeer kan afluisteren.(duh)
- Hierdoor kun je een man-in-the-middle-aanval uitvoeren.(m.b.v. een open ssid)
- Je hebt gebruik gemaakt van SSL-strip
- Je hebt gebruik gemaakt van een proxy. Hierdoor kon je het verkeer van id.hva.nl en secure.uva.nl uiteindelijk bekijken.

Kop : HvA en HvA-sites vatbaar voor man-in-the-middle-aanval zou anders moeten zijn.

"De meeste websites zijn vatbaar voor een man-in-the-middle-aanval als je gebruik maakt van een rogue access-point." -> Tja

[ Voor 21% gewijzigd door UvAkid op 20-11-2014 14:38 ]

Maar zelfs al hebben studenten deze tool draaien om de certificaten van het WiFi netwerk van de HvA/UvA te controleren, dan zijn ze nog niet beschermd buiten de HvA/UvA. En dat de meeste websites vatbaar zijn wil nog niet zeggen dat dat zomaar een reden is om er niks aan te doen. Ik wil mezelf niet herhalen maar deze gegevens zijn wel wat belangrijker dan de gemiddelde blog post.

Berichten in de media over serverside SSL-gebreken vind ik in veel gevallen altijd een beetje zonde van de paginaruimte.

Ja, het zou mooi zijn als iedere serverbeheerder regelmatig eens kritisch naar z'n serverconfiguratie zou kijken, features als HSTS zou uitrollen en gebruik zou maken van moderne cipher(suite)s.

Attacks als POODLE worden echter regelmatig gruwelijk uit hun verband gerukt en gepresenteerd als enorm risico voor iedere willekeurige gebruiker, terwijl de realiteit is dat deze vulnerabilities meestal non-triviaal exploiteerbaar zijn en bovendien vrij onpraktisch voor massainterceptie.

Tenzij je target bent van een entity met toereikende skills en men het specifiek op jou heeft gemunt is het allemaal nodeloos paniekvoetbal. Bovendien zijn zulke sophisticated attacks niet nodig om 'simpele' targets aan te vallen (val het device van de gebruiker direct aan, al dan niet dmv. social engineering).
Diezelfde mediaruimte kan beter worden gebruikt om mensen het belang van certificate checks (WPA-Enterprise) en VPNs bij te brengen, daar schiet je een stuk meer mee op qua 'algehele' veiligheid van gebruikers.

Daar ben ik het helemaal mee eens

Los van de vraag wat nu de beste besteding van ruimte in de media is ben ik het niet met je eens dat "willekeurige" gebruikers geen gevaar lopen bij bugs als Poodle. Zolang "willekeurge" gebruikers allerlei grote webdiensten als Facebook en Google gebruiken en ook overal hetzelfde wachtwoord gebruiken is het nuttig om ze er op te wijzen dat ze hun wachtwoorden moeten aanpassen.

Ten tweede wordt bij veel bugs niet geprobeerd om specifiek gebruiker X aan te vallen. De boeven kijken welke systemen kwetsbaar zijn en die vallen ze aan. Of er iets bruikbaars tussen zit zien ze achteraf wel.