Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

Maatregelen tegen MITM / DNS Hijack?

Pagina: 1
Acties:

  • Skyaero
  • Registratie: juli 2005
  • Niet online
Na de fantastische presentatie van ethisch hacker Wouter Slotboom op het Tweakers / Albert Heijn evenement 'Zaandam Valley' afgelopen zaterdag ben ik weer even aan het denken gezet of mijn beveiliging en beveiligingsprocessen op orde zijn.

Een van de demonstraties was met behulp van een Pineapple. De Pineapple kan registreren naar welke SSIDs een smartphone op zoek is en zich als zodanig voordoen. De smartphone maakt vervolgens zelf verbinding met het wifi aangeboden door de Pineapple.

Vervolgens kun je de DNS hijacken, doordat de Pineapple redirect naar een andere (bijvoorbeeld phising) website.

Nu heb ik even zitten bedenken wat ik daar aan zou kunnen doen, en dat viel nogal tegen.
  • Wifi uitschakelen buiten de deur. Behalve dat dit omslachtig is, is dit geen garantie als er bijvoorbeeld een Pineapple vlakbij je woning/kantoor staat.
  • Een VPN gebruiken. Naast de kosten, de omslachtigheid en de betrouwbaarheid van de VPN provider, lost ook dit het probleem niet (helemaal) op. Het vereist dat je altijd (ook in je eigen woning en ook op 3G) op een VPN zit
  • Public Key Pinning (HPKP). Dit is iets wat ik niet zelf kan doen, maar websites moeten doen. Het klein aantal websites dat het doet maakt dit (nog) geen betrouwbare oplossing. Daarnaast weet ik niet of dit ook voor apps werkt.
  • Het meest eenvoudige leek mij het aanpassen van de DNS server in mijn telefoon. Ik wil mijn telefoon (zoals ik dat onder Windows kan) vertellen welke DNS server ik wil gebruiken (bijv. OpenDNS). Probleem daarbij: Dat kan niet op mijn Nokia 2 / Android 7. En third party apps lijken veelal niet betrouwbaar.
Hoe is dit op te lossen?

  • The Lord
  • Registratie: november 1999
  • Laatst online: 14:30
Eigenlijk blijft er weinig anders over dan enkel vertrouwde (Wi-Fi) netwerken te gebruiken (als in goed beveiligd, lage waarschijnlijkheid op een hack van netwerk) en als dat niet kan 4G. Bij beide dan ook tenminste het DNS verkeer versleutelen.

Ik loop al een aantal jaar rond met een tablet dat altijd het (o.a.) DNS verkeer naar eigen DNS servers in een datacenter stuurt voorzien van IPsec. En dat werkt verrassend vaak niet op Wi-Fi netwerken bij bedrijven e.d. En ook niet zomaar via tethering op een telefoon; dan moet het vaak in een VPN tunnel vanaf de telefoon.

Niet werkbaar voor de 'gewone man' dus. Maar Tweakers moet het wel lukken.

geeft geen inhoudelijke reacties meer


  • eric.1
  • Registratie: juli 2014
  • Laatst online: 18:35
Skyaero schreef op maandag 1 oktober 2018 @ 10:10:
• Het meest eenvoudige leek mij het aanpassen van de DNS server in mijn telefoon. Ik wil mijn telefoon (zoals ik dat onder Windows kan) vertellen welke DNS server ik wil gebruiken (bijv. OpenDNS). Probleem daarbij: Dat kan niet op mijn Nokia 2 / Android 7. En third party apps lijken veelal niet betrouwbaar.
Dat gaat tevens niet helpen.

Volgens mij "luistert" die pineapple naar (onversleutelde) DNS requests, blokkeert/black-holed de antwoorden en stuurt een speciaal geprepareerd antwoord terug. Maakt dus niet uit welke DNS-server je gebruikt.

  • Skyaero
  • Registratie: juli 2005
  • Niet online
@eric.1 interessant, ik had mij niet gerealiseerd dat DNS requests niet encrypted zijn.

Ik ben nog een andere methode vergeten: geen open netwerken onthouden in de telefoon. Niet perfect, maar een goede start.

  • Jester-NL
  • Registratie: januari 2003
  • Niet online

Jester-NL

... pakt een botte bijl

Tja... ik heb, sinds ik zo'n onbeperkt abonnement op mijn telefoon heb, mijn wifi niet meer aangehad. Mede omdat 4g sneller bleek dan wat mijn modem (op twee meter afstand) kon uitpoepen.
Wil ik (onderweg) van mijn laptop gebruik maken, dan wordt mijn telefoon hotspot (al was het maar omdat de wifi in de trein mij te beperkt is).

The sky above the port was the color of television, turned to a dead channel
me @ last.fm


  • mcDavid
  • Registratie: april 2008
  • Laatst online: 17:52
Je hoeft WiFi niet volledig uit te schakelen. Wat je niet (NOOIT) moet doen, en als het goed is toch al niet deed, is verbinden met onbeveiligde wifi-netwerken of netwerken waarvan de WPA-key publiekelijk bekend is.

En neem voor de zekerheid ook even het lijstje bekende netwerken in je telefoon/op je laptop door, om te kijken of er niet nog zo'n netwerk in staat dat je tig jaar geleden één keer gebruikt hebt.

  • eric.1
  • Registratie: juli 2014
  • Laatst online: 18:35
mcDavid schreef op maandag 1 oktober 2018 @ 12:28:
Je hoeft WiFi niet volledig uit te schakelen. Wat je niet (NOOIT) moet doen, en als het goed is toch al niet deed, is verbinden met onbeveiligde wifi-netwerken of netwerken waarvan de WPA-key publiekelijk bekend is.

En neem voor de zekerheid ook even het lijstje bekende netwerken in je telefoon/op je laptop door, om te kijken of er niet nog zo'n netwerk in staat dat je tig jaar geleden één keer gebruikt hebt.
Ok, dat is een redelijke random tip. Je weet wat zo'n Pineapple doet of kan doen?

  • mcDavid
  • Registratie: april 2008
  • Laatst online: 17:52
Niet in detail, nee. Maar voor zover ik weet wordt WPA2 encryptie nog altijd als veilig beschouwd. Zolang je device alle recente securitypatches heeft en niet (automatisch) verbind met onversleutelde netwerken, wordt het dus lastig te MITM'en. Al is het natuurlijk altijd mogelijk de key te bruteforcen, maar als je je daar zorgen om maakt moet je eigenlijk helemáál geen wifi (of watvoor (draadloze) netwerkverbinding dan ook) gebruiken.

  • eric.1
  • Registratie: juli 2014
  • Laatst online: 18:35
mcDavid schreef op maandag 1 oktober 2018 @ 13:12:
Niet in detail, nee. Maar voor zover ik weet wordt WPA2 encryptie nog altijd als veilig beschouwd. Zolang je device alle recente securitypatches heeft en niet (automatisch) verbind met onversleutelde netwerken, wordt het dus lastig te MITM'en. Al is het natuurlijk altijd mogelijk de key te bruteforcen, maar als je je daar zorgen om maakt moet je eigenlijk helemáál geen wifi (of watvoor (draadloze) netwerkverbinding dan ook) gebruiken.
Ok, dus jouw telefoon verbind niet automagisch met bekende netwerken? "Is [netwerk] met SSID [.....] beschikbaar?".

Stel iemand anders biedt zich aan als SSID [.....], juist...WPA2 of niet, jouw telefoon wil daarmee verbinding maken.

Geen openbaar netwerk voor nodig. Alleen de bereidwilligheid van een device om verbinding te maken met een bekend netwerk.

DNSSEC zou een client kunnen beveiliging tegen (DNS-)spoofing, maar dan ben je volledig afhankelijk van....ja...DNS-instellingen. Anders een VPN-connectie opzetting richting een bekend en geverifieerd punt.

[Voor 10% gewijzigd door eric.1 op 01-10-2018 13:27]


  • OnTracK
  • Registratie: oktober 2002
  • Laatst online: 18:14
Maar hij zal alleen verbinding maken als het wachtwoord overeenkomt met wat je telefoon heeft opgeslagen. Het is niet mogelijk voor een router om te zeggen "oh het is wel goed, verbind maar ook al heb je een ander wachtwoord in de handshake", noch is het mogelijk om te zeggen "ik ben een onbeveiligd netwerk" en dat je telefoon daarmee verbind terwijl deze een beveiligd netwerk heeft onthouden. Daarom is de tip
niet automatisch verbinden met onbeveiligde wifi-netwerken of netwerken waarvan de WPA-key publiekelijk bekend is
een zeer goede.

Verder is preloaded HSTS in principe (net) voldoende om een MITM te voorkomen. Een pineapple kan geen geldig certificaat voor iedere willekeurige website genereren. Alleen een SSLstrip(2) attack maakt veel websites alsnog kwetsbaar die geen preloaded HSTS hebben. Als alternatief kun je zelf kijken of je wel via https verbonden bent op het juiste domein. En geen waarschuwingen negeren.

[Voor 27% gewijzigd door OnTracK op 01-10-2018 13:38]

Not everybody wins, and certainly not everybody wins all the time.
But once you get into your boat, push off and tie into your shoes.
Then you have indeed won far more than those who have never tried.

Pagina: 1


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True