Wifi in de trein veilig genoeg om te werken?

Geen enkel netwerk waar jij of je werkgever geen 100% controle over hebt is onveilig.

De kans dat er daadwerkelijk iets gebeurt is klein, maar zo'n netwerk moet je gewoon altijd als onveilig beschouwen, en dus niet gebruiken zonder VPN.

Als je je laptop alléén voor Citrix gebruikt en dat over een beveiligde verbinding gaat dan is er in theorie weinig aan de hand, want dan zou je alleen een beveiligde verbinding met Citrix hebben die niet af te luisteren is, maar ik zou gewoon je werkgever vragen om een VPN-verbinding.

[ Voor 1% gewijzigd door Oon op 19-09-2024 19:38 . Reden: Onveilig -> Veilig ]

https://docs.citrix.com/e...rity-policy-settings.html ; ook even met je ICT-afdeling overleggen.

Gekkigheid; elk netwerk waar je niet 100% eigenaar van bent, kan inherent "onveiliger" zijn. Neemt niet weg dat 99.99% van alle openbare netwerken, veilig genoeg zijn om daar dus een encrypted verbinding over op te zetten en daarmee minder vatbaar te zijn voor onderscheppen van data / informatie.

In tegenstelling tot @Oon ; veel Citrix-verbindingen zijn "onvoldoende" beveiligd. Zo hebben relatief veel organisaties (gedeelten van) clipboard toegestaan zodat je bijvoorbeeld TXT of JPG data kan versturen tussen endpoint en sessie-host middels CTRL+C / CTRL+V. Daarmee is sowieso jouw endpoint (laptop) ook direct een interessant doelwit om aan te vallen / keyloggen / etc.

Last but not least: je moet je afvragen of het handig is in het openbaar te werken. Niet alle data op jouw scherm (leesbaar / zichtbaar) is voor anderen bedoeld. Echter, in een trein, bij de McD of elders, is het niet ondenkbaar dat er iemand toevallig langsloopt of kort meekijkt.

Ik weet niet precies hoe de WIFI in de trein momenteel werkt want ik gebruik het nooit om precies de reden van veiligheid:

Wat ook nog een issue is, is dat een publiek WIFI-netwerk (zonder password) simpel door een ander gespoofd kan worden. Een bekend voorbeeld zijn Cyber Security conferenties waarbij er een device wordt neergezet met een aantal default open netwerken als 'KPN' of 'Ziggo' (slechts voorbeelden). Je device zal automatisch met deze netwerken verbinden als je daar ooit mee geconnect bent geweest en je ze niet hard 'forget' in je settings. Je device kijkt namelijk niet naar (ik noem maar wat) het ID van de router waar je naar connect. Je device ziet puur de netwerknaam en denkt: ah, die ken ik. Verbinden maar.

Geeft altijd leuke resultaten dat er op een beamer in de zaal traffic voorbijkomt van zo'n 200 telefoons. Het meeste is wel SSL, maar je ziet toch ook regelmatig niet-encrypted spul voorbijkomen.

Vuistregel is dus simpelweg: connect gewoon niet met netwerken die je niet kent en al helemaal niet als ze open zijn omdat dat je kwetsbaar maakt voor de situatie van hierboven in de toekomst.

Wat een angst zaaien. wifi in de trein is prima, tegenwoordig is toch vrijwel alles encrypted. Er is gewoon client isolation, dus jouw mede-wifigebruikers zien 0 wat jij doet. Alleen de NS heeft mogelijk wat inzicht met welke IP adressen jij verbindt, net als de ISP van de NS.

"Is het "extra moeilijk" voor derden om dataverkeer af te tappen"

Dat is afhankelijk van niveau en expertise van derden, toch?

Het is aan je werkgever om te bepalen of je al dan niet publieke wifi netwerken mag gebruiken en op welke locaties jij als medewerker mag werken.

Dus zolang het niet expliciet verboden is zou ik zeggen doe het gewoon.
Gebruik wel je verstand, ga niet met vertrouwelijke gegevens in de weer op de trein als je laptop geen privacyscherm heeft.

BytePhantomX schreef op donderdag 19 september 2024 @ 16:51:
En dit is dus precies waar de angst vandaan komt. Bedrijven of hackers die het graag laten zien wat er allemaal mogelijk is. Of om dingen te verkopen of om mensen bang te maken (en dan dingen verkopen). Er zijn geen gepubliceerde praktijkvoorbeelden waar dit misbruikt is, anders dan deze conferenties of dit soort demonstraties.

En die angst is wat mij betreft volledig terecht. Je komt er nooit achter dat je shit via die weg gehackt/uitgelekt/whatever is omdat die punten je gewoon internet bieden. Je hebt simpelweg bij dit soort situaties niet door dat je verkeer compromised is. Autosleutels staan ze signalen voor af te vangen om je auto te stelen, maar een WIFI nabootsen dat doet echt niemand. Dream on.

Een paar jaar geleden had de Correspondent er nog een mooi stukje over. Zal volgens jou allemaal wel overdreven zijn vermoed ik zo, maar ik hoop dat andere mensen er wel twee keer over gaan nadenken voordat ze met een onbekend netwerk connectie leggen.

https://decorrespondent.n...d9-0526-08ad-16a34fd2e876

[ Voor 19% gewijzigd door Korvaag op 19-09-2024 18:13 ]

Korvaag schreef op donderdag 19 september 2024 @ 18:04:
[...]


En die angst is wat mij betreft volledig terecht. Je komt er nooit achter dat je shit via die weg gehackt/uitgelekt/whatever is omdat die punten je gewoon internet bieden. Je hebt simpelweg bij dit soort situaties niet door dat je verkeer compromised is. Autosleutels staan ze signalen voor af te vangen om je auto te stelen, maar een WIFI nabootsen dat doet echt niemand. Dream on.

Een paar jaar geleden had de Correspondent er nog een mooi stukje over. Zal volgens jou allemaal wel overdreven zijn vermoed ik zo, maar ik hoop dat andere mensen er wel twee keer over gaan nadenken voordat ze met een onbekend netwerk connectie leggen.

https://decorrespondent.n...d9-0526-08ad-16a34fd2e876

Heel eerlijk? Wat een bangmakerij artikel. 99% van alles wat er staat beschreven valt onder de categorie "lekker belangrijk". Het enige wat je serieus kunt nemen is het feit dat een rogue hotspot een mitm kan pogen te doen, wat bijzonder complex en erg inefficient is om een willekeurig persoon te hacken. Daarnaast is het idd mogelijk om verkeer te redirecten, wat doorgaans snel zal opvallen, iets met sessies en rode vlaggetjes en reauth prompts.

Tenzij je werkt met most confidential informatie voor bepaalde categorie bedrijven, zou ik me er niet zo snel zorgen over maken.

Oon schreef op donderdag 19 september 2024 @ 09:16:
Geen enkel netwerk waar jij of je werkgever geen 100% controle over hebt is onveilig.

Volgens mij bedoel je precies het omgekeerde van wat je hier hebt neergezet ('geen enkel netwerk is ... veilig', niet onveilig)

Hahn schreef op donderdag 19 september 2024 @ 19:34:
[...]

Volgens mij bedoel je precies het omgekeerde van wat je hier hebt neergezet ('geen enkel netwerk is ... veilig', niet onveilig)

Pff, good catch. Zal m'n comment voor de zekerheid aanpassen

Wat is er mis met werken via de hotspot van je telefoon? Hoef je ook niet connectie te maken met allerlei gare publieke wifi.

Korvaag schreef op donderdag 19 september 2024 @ 18:04:
[...]


En die angst is wat mij betreft volledig terecht. Je komt er nooit achter dat je shit via die weg gehackt/uitgelekt/whatever is omdat die punten je gewoon internet bieden. Je hebt simpelweg bij dit soort situaties niet door dat je verkeer compromised is. Autosleutels staan ze signalen voor af te vangen om je auto te stelen, maar een WIFI nabootsen dat doet echt niemand. Dream on.

Een paar jaar geleden had de Correspondent er nog een mooi stukje over. Zal volgens jou allemaal wel overdreven zijn vermoed ik zo, maar ik hoop dat andere mensen er wel twee keer over gaan nadenken voordat ze met een onbekend netwerk connectie leggen.

https://decorrespondent.n...d9-0526-08ad-16a34fd2e876

Dat artikel is uit 2014, 10 jaar oud intussen. En de wereld is wel wat veranderd, met name op het gebied van encryptie. En ja, je geeft wat data vrij, zo kan de tussenliggende partij de hosts zien die je bezoekt en mogelijk nog wat meer data. Maar dat kan je ISP ook en zo nog wel een paar partijen als Google en Facebook.

Het is gewoon FUD en maakt mensen bang en onzeker en daar help je ze niet mee verder.

En nogmaals, ja er kan van alles. Maar ik vraag zo vaak in deze discussies om praktijkvoorbeelden in het nieuws dat wifi gehackt is of dat er misbruik is gemaakt van data en niemand kan er eentje geven. Alleen wat er allemaal kan.

Junia schreef op donderdag 19 september 2024 @ 19:32:
[...]
Tenzij je werkt met most confidential informatie voor bepaalde categorie bedrijven, zou ik me er niet zo snel zorgen over maken.

Dit is de belangrijkste nuance. Het is relevant als je met hele geheime informatie werkt. Maar dan is werken in de trein, of uberhaupt buiten kantoor waarschijnlijk niet toegestaan en had TS deze vraag nooit gesteld.

[ Voor 13% gewijzigd door BytePhantomX op 19-09-2024 20:57 ]

Ik maak me meer zorgen over meeglurende medepassagies

BytePhantomX schreef op donderdag 19 september 2024 @ 16:51:
[...]

Er zijn geen gepubliceerde praktijkvoorbeelden waar dit misbruikt is, anders dan deze conferenties of dit soort demonstraties.

Nee behalve misschien die Duitse generaal die even met z’n laptop op een hotelwifi ging zitten videoconferencen en de Russen daarna de call online zetten. Oepsie.

Kurkentrekker schreef op donderdag 19 september 2024 @ 21:04:
[...]


Nee behalve misschien die Duitse generaal die even met z’n laptop op een hotelwifi ging zitten videoconferencen en de Russen daarna de call online zetten. Oepsie.

Quotes in het artikel:

In his investigation into the leak, German defence minister Boris Pistorius on March 5 found that one of the officials had dialled into the Webex call using either his mobile phone or the hotel’s Wi-Fi network, instead of using a secure line as would be expected for such calls.

...

Mr Kevin Reed, the chief information security officer of cybersecurity and data protection firm Acronis, said that using Webex or any other web-conferencing platforms that use end-to-end encryption to conduct conferences is generally safe since the applications are designed in a way that “protect you even when connected to a public Wi-Fi network”.

“Whether a public Wi-Fi network was used or not is not relevant, because even if you had used a public network to connect to an application on your mobile phone or laptop, the communication would be encrypted on the platform itself,” he said.

One possible explanation of how the call could have been wiretapped was if one of the participants had dialled into the call using his mobile phone, which created an unencrypted link between the phone and the platform for hackers to intercept the call.

“This traffic between your telephone and the gateway is not encrypted and so that's one of the opportunities for the eavesdropper then to listen in on your conversation,” Mr Reed added.

Er staat ook in dat het aan een rogue wifi acces point kan liggen, maar dat spreekt de persoon hierboven tegen.

En wat ik eerder zei, als het echt geheim moet zijn, dan is het verstandig om geen public wifi te gebruiken, maar ik vermoed niet dat TS een Duitse Generaal is.

BytePhantomX schreef op donderdag 19 september 2024 @ 20:56:
En nogmaals, ja er kan van alles. Maar ik vraag zo vaak in deze discussies om praktijkvoorbeelden in het nieuws dat wifi gehackt is of dat er misbruik is gemaakt van data en niemand kan er eentje geven. Alleen wat er allemaal kan.

Nouja, het internet (ook GOT) staat vol met mensen waarvan het Facebook account 'ineens' is gehackt, die geen toegang meer hebben tot foto's, onverklaarbare afschrijvingen van banken etcetera en dat is niet omdat ze nou een high value target zijn. Identiteitsfraude neemt ook flinke vormen aan (of doxxing bijvoorbeeld). Het is vrij naief om te denken dat dat allemaal mensen zijn die gewoon dom wachtwoord 12345 hebben gebruikt of dom op linkjes in mails hebben geklikt. Nogmaals: je krijgt het gewoon nooit bewezen of aangetoond dat je gegevens via deze weg gelekt zijn. Je hebt het zelf niet door en er is niemand die forensisch een telefoon uit elkaar gaat trekken (softwarematig) voor een enkele verdenking van een hack.

Vroeger stond je achterdeur ook gewoon open en dat doen we nu ook allemaal op slot en dat is niet omdat we allemaal 10 inbrekers binnen hebben gehad, maar simpelweg omdat de kans vandaag de dag groter is dat er iemand in je huis staat.

Mogelijkheden tot het verkrijgen van je gegevens minimaliseren hoort daar ook onder en dat betekent geen gebruik maken van vreemde (publieke) netwerken. Als jij blijkbaar een risk appetite hebt om dat wel doen, be my guest. Gelukkig zie ik in ieder geval bij mijn klanten dat Cyber Security wat minder naief is geworden. Helaas is er nog steeds zat te verbeteren.

@BytePhantomX
Ja, ik heb het zelf ook wel gelezen hoor ;-)
Er staat dus dat het wel kan, en het is gezien de situatie ook nog eens plausibel. Dus mijn punt is dat dit niet alleen een ding is wat op conferenties en demonstraties plaatsvindt, maar mogelijk ook in het echte leven.

En ik weet niet voor welke krijgsmacht TS werkt. For all we know is hij een van de nieuwe tweede kamerleden? Maar misschien ook gewoon een content marketeer en maakt het niet uit of iemand zijn laptop afluistert. Alleen dat was de vraag niet.

Kurkentrekker schreef op donderdag 19 september 2024 @ 21:23:
@BytePhantomX
Ja, ik heb het zelf ook wel gelezen hoor ;-)
Er staat dus dat het wel kan, en het is gezien de situatie ook nog eens plausibel. Dus mijn punt is dat dit niet alleen een ding is wat op conferenties en demonstraties plaatsvindt, maar mogelijk ook in het echte leven.

En ik weet niet voor welke krijgsmacht TS werkt. For all we know is hij een van de nieuwe tweede kamerleden? Maar misschien ook gewoon een content marketeer en maakt het niet uit of iemand zijn laptop afluistert. Alleen dat was de vraag niet.

Dat is dus ook het grappige. Het hoeven helemaal geen heftige zaken te zijn. De kracht om ergens binnen te komen en dan een bedrijf plat te leggen of devices te misbruiken is gigantisch. Uiteraard heeft het platleggen van een elektriciteitscentrale of het openen van alle sluizen net ff wat meer impact dan het platleggen van een marketingbedrijf, maar het gaat bij dit soort zaken om de massa en de combinatie. Onrust creeren, destabiliseren. Rusland doet niet anders momenteel en zit aangetoond (althans, als je de veiligheidsdiensten mag geloven) overal met z'n grote vingers in. Daar heb je ingangen voor nodig, botnets, the lot. Alles is nuttig.

Klein voorbeeld:
Stuxnet in de Iraanse centrales. Via via verspreid totdat het op het juist device stond. Bedenk je dan dat Rusland druk bezig is met ons energienetwerk:
https://eenvandaag.avrotr...en-van-chaos-veroorzaken/
Probeer hier nu zoveel mogelijk devices te besmetten via Pineapples en vroeg of laat zit zo'n marketingbedrijf bij Eneco binnen een presentatie te geven waarbij ze op het interne netwerk zitten. Werkt dat altijd? Nee natuurlijk niet, maar dat is dus de massa. Gooi duizend dartpijltjes en er is er uiteindelijk wel eentje die in de roos terecht komt.

[ Voor 20% gewijzigd door Korvaag op 19-09-2024 21:46 ]

Vanuit een aanvallers perspectief, wat je als aanvaller wel/niet kan:

Wachtwoord onderscheppen door sniffing: niet mogelijk, verkeer naar citrix is encrypted (ga ik even vanuit). Downgrade attacks ook niet zomaar mogelijk op moderne browser

Dns/arp poisening doen om verkeer om te leiden naar de aanvaller om mitm: icm ap isolation lastig maat ook al zou het lukken dan krijg je als bezoeker een certificaat foutmelding. Gebruik je als client een app dan blokkeert hij deze wss ook dlv certificate pinning.

“Pineapple nep wifi ap”: eigenlijk hetzelfde als bovenstaande. Gebruiker krijgt cert fouten,

Het risico van open wifi is gevaarlijk komt beetje van jaren geleden toen nog veel unencrypted was.
10-15 jaar geleden had facebook alleen op de inlog https. In de trein kon je dan het cookie makkelijk sniffen, injecten en daarna was je als iemand anders ingelogd.

De kans dat via een phishing mail je citrix wordt gehacked is iig vele malen groter dan via de trein

[ Voor 4% gewijzigd door laurens0619 op 19-09-2024 21:53 ]

Korvaag schreef op donderdag 19 september 2024 @ 21:30:
[...]
Probeer hier nu zoveel mogelijk devices te besmetten via Pineapples en vroeg of laat zit zo'n marketingbedrijf bij Eneco binnen een presentatie te geven waarbij ze op het interne netwerk zitten. Werkt dat altijd? Nee natuurlijk niet, maar dat is dus de massa. Gooi duizend dartpijltjes en er is er uiteindelijk wel eentje die in de roos terecht komt.

Dat is nu net het hele punt, je kunt (uitzonderingen en 0-days daargelaten) geen devices besmetten als die verbonden is met jouw rogue wifi punt. Zoals @laurens0619 zegt, veel makkelijker om je een phishing mail te sturen en je credentials / tokens te stelen. Kun je ook nog eens doen vanuit het buitenland waar je niet opgepakt kan worden.

Hackers kunnen ontzettend veel en ze kunnen bijna alles aanvallen als ze genoeg tijd en middelen hebben. Stuxnet bewijst dat zeker. Maar rogue wifi heb ik nog nooit in de praktijk gezien, anders dan bij hack demo's en cyber security beurzen.

@laurens0619
De laptop bevat wellicht veel meer dan alleen een Citrix client en een browser. Het voorbeeld is Citrix. De vraag is: is WIFI in de trein veilig genoeg om mee te werken. Is het een bedrijfslaptop? Hoever loopt die achter met updates? Als je er met een Pineapple tussenzit en je bent niet MITM bezig kan je nog steeds gebruik maken van kwetsbaarheden in het OS. Denk aan EternalBlue / WannaCry.

@BytePhantomX
Dat is dus gewoon niet waar. Dat kan absoluut. Zie het voorbeeld van hierboven. Er worden regelmatig zero days gevonden in operating systems waarbij je als buitenstaande normaal geen toegang hebt tot het OS (dat zit netjes achter een router om het maar even simpel te zeggen). Stop er een Pineapple tussen en je hebt toegang tot het OS binnen hetzelfde netwerk.

[ Voor 31% gewijzigd door Korvaag op 19-09-2024 22:09 ]

Korvaag schreef op donderdag 19 september 2024 @ 22:07:
@laurens0619
Denk aan EternalBlue / WannaCry.

Ik mag echt hopen dat TS niet meer op een Windows XP machine werkt.

@Korvaag en admin shares zonder passwords, vnc zonder wachtwoorden etc etc

Als je zo gaat beginnen is niets meer veilig. Dat is ook beetje probleem met deze discussies, er zijn altijd 101 theoretische risicos te verzinnen

Korvaag schreef op donderdag 19 september 2024 @ 22:10:
[...]


Dat is toch het punt niet. Sorry hoor, wat een kortzichtige reactie weer. Er worden regelmatig zero days gevonden die misbruikt kunnen worden en vaak ook al actief misbruikt worden voor ze gepatched worden.

Eternalblue is bij mijn weten opgelost na Windows XP, dus als je bij bent met updates en een ondersteund systeem, is dat geen issue.

En ja er worden 0-days gevonden (in dit geval heb je een unauthenticated RCE nodig die niet wordt tegengehouden door een firewall). Maar als jij gewoon je systeem update, dan heeft een aanvaller hooguit twee weken om in zo'n situatie er misbruik van te maken. Dan moeten er wel heel veel zaken toevallig bij elkaar komen wil je kwestbaar zijn. En als er nog een keer zo'n Eternablue kwetsbaarheid komt, dan is dat voorpagina nieuws bij de NOS. De wereld is intussen echt wel wat veranderd als het om security gaat.

En puur statistisch, als je weet hoeveel mensen gebruik maken van public wifi, dan zou er met regelmaat incidenten moeten zijn. Die zijn er gewoon niet en daarmee komt het in de praktijk niet voor.

Nogmaals theoretisch kan er zoveel, maar voor meer dan 99% van de normale gebruikers is het risico nihil.

[ Voor 16% gewijzigd door BytePhantomX op 19-09-2024 22:29 ]

Nou dat valt wel mee hoor. Een beetje it afdeling zet sowieso de binnenkomende poorten dicht op een laptop indien verbonden met untrusted netwerk.

Security draait imho niet om alle theoretische risicos te voorkomen maar om de risicos te managen en de juiste te adresseren. Pak je alles dan heb je een risk overspend

laurens0619 schreef op donderdag 19 september 2024 @ 22:15:
Nou dat valt wel mee hoor. Een beetje it afdeling zet sowieso de binnenkomende poorten dicht op een laptop indien verbonden met untrusted netwerk.

Security draait imho niet om alle theoretische risicos te voorkomen maar om de risicos te managen en de juiste te adresseren. Pak je alles dan heb je een risk overspend

Hou er even rekening mee dat een enorme lading aan bedrijven zo'n afdeling dus niet heeft. De grote jongens vaak wel (en dan ook alleen maar als er geld mee gemoeid is). Ik kom echter vaak genoeg bij klanten waarbij er ongeveer totaal niets is geregeld aan werkplekbeheer of echt de bare minimum.

Ok stel je hebt een bedrijfslaptop met
- open poorten
- ongepatchde vulnerable services/ open admin interface
- geen edr
- een hacker in de trein die een rogue wifi heeft opgezet. Jouw laptop die daarmee verbind ()

Ja dan wordt je gehackt.
Hoe hoog schat je de likelihood zelf in?

[ Voor 10% gewijzigd door laurens0619 op 19-09-2024 22:38 ]

En
- een hacker het risico wil lopen om gepakt te worden, want je moet fysiek in de buurt zijn met risico's dat je gezien wordt, er camera's hangen etc. En vergeet niet dat het nog altijd strafbaar is in NL.
- het een toevalsaanval is, want een gericht aanval vereist serieus veel werk met een hele kleine slagingskans

Dit soort dingen gaat gewoon geautomatiseerd he. Het is een versie van een sleepnet. Zet er 1 device tussen, draai scripts en zie wat er gebeurt. Grappig experiment om te doen: hang eens een publieke VM aan het internet. Binnen zo'n 15 minuten zie je scans op bekende kwetsbaarheden en krijg je brute force pogingen op je SSH-logins (indien Linux uiteraard). Slechts een voorbeeld om aan te geven dat er echt niemand ergens in een kantoortje zit te wachten tot er ergens een server online komt en die dan zeer specifiek aan zit te vallen.

Je hoeft hier gewoon simpelweg niet zoveel voor te doen. Stop een pineapple in je rugzak. Ga in de trein zitten (of loop rond op een vliegveld) en bekijk later je resultaat. Met wat mazzel heb je ergens malware op geinstalleerd.

En strafbaar? Ja.. ehh.. Ok. Een paar jaar terug was nog een onderzoek gedaan en daaruit bleek dat 5% van de jeugd wel eens hackpogingen had gedaan (zeg ik even uit mijn hoofd overigens). Gewoon voor de lol. Nou zijn dat niet de types die van plan zijn je bedrijf plat te leggen, maar ik heb niet echt het idee dat strafbaarheid nou direct een drempel is

Maargoed, ik ga er mee ophouden ook hier. Ik vind het prachtig dat meerdere mensen dit risico willen nemen. Ik ben heel simpel: het is een onnodig en makkelijk te vermijden risico dus doe het niet. Daar laat ik het bij.

[ Voor 28% gewijzigd door Korvaag op 19-09-2024 22:50 ]

Korvaag schreef op donderdag 19 september 2024 @ 22:43:

Maargoed, ik ga er mee ophouden ook hier. Ik vind het prachtig dat meerdere mensen dit risico willen nemen. Ik ben heel simpel: het is een onnodig en makkelijk te vermijden risico dus doe het niet. Daar laat ik het bij.

En dit is helaas een erg lastig dilemma m.b.t. cyber security en bijbehorende risico analyses. Aangezien dit soort scenarios vaak niet eenvoudig te kwantificeren zijn (likelihood * impact).

Op basis van de quote lijkt het er op dat jij "erg" risico avers lijkt te zijn. Iets dat je goed recht is, echter vaak kan resulteren in onnodige kosten in het beheersen van risico's, en/of het zijn van een blocker m.b.t. bepaalde initiatieven zoals remote werken (op public wifi).

De volgende vraag zou vervolgens zijn, tot wanneer is een risico acceptabel en hoeveel moeite wil je steken om het risico te mitigeren?

[ Voor 16% gewijzigd door Junia op 20-09-2024 08:46 ]

Het gaat om de risk appetite maar ook de balans tussen risico en de impact van mitigatie.

Het belangrijkste in deze discussie denk ik dat tegenwoordig de impact van mitigatie vaak enorm laag is (je hotspot gebruiken) in Nederland. Het geeft je performance en je hoeft net wat minder scherp te zijn op Cert fouten oid.

Ik snap daarom ook prima dat mensen hun hotspot verkiezen boven onbekend Wifi in NL/Europa (doe ik zelf ook).
Dat maakt het gebruik van open wifi opzichzelf niet een hoog risico wat de vraag hier was.

[ Voor 11% gewijzigd door laurens0619 op 20-09-2024 09:33 ]

Wat mij verbaast in het verhaal van de Duitse generaal dat er nergens een woord wordt gerept over de mogelijkheid dat zijn kamer gewoon old school is afgeluisterd. Uiteindelijk gaat het altijd over het risico, vergeet niet dat "risico = kans * gevolg" Een duitse generaal is iets anders dan jan soldaat, zo werd er in 1990 al glasvezel in een divisie HK aangelegd omdat netwerk kabels afgeluisterd zouden kunnen worden op afstand.
Toch zien wij nog steeds een bekabeld netwerk als veilig.

@Frogmen En er zijn de nodige geruchten dat statelijke actoren de glasvezelkabels op de zeebodem buigen waarmee het licht lekt en daarmee af te luisteren is. Misschien dat Rusland daarom overgegaan is op typemachines: https://www.theguardian.c...a-reverts-paper-nsa-leaks. Maar goed, dat zal ook wel weer af te luisteren zijn: https://www.kaspersky.com...ide-channel-attack/50857/

Als je wilt kun je volledig paranioa worden over wat er allemaal kan. Maar dat is vooral relevant voor een bijzonder kleine groep mensen en bedrijven.

DVX73 schreef op donderdag 19 september 2024 @ 10:32:Dus zolang het niet expliciet verboden is zou ik zeggen doe het gewoon.

Werkgevers en medewerkers gebruiken vaak mogelijkheden omdat het kan, niet omdat het veilig genoeg voor ze is. Dus de vraag of het veilig genoeg is lijkt me hier meer te gaan om het vestandiger proberen te zijn dan simpel genoegen nemen dat er geen verbod is.

Zeker als dit een bring you own device laptop/tablet/smartphone is of onduidelijk is wat er precies wel of niet veilig genoeg via een publiek wifinetwerk zal worden verzonden lijkt het me dat je het niet zomaar gebruikt.

@Atomius De vraag waarom een service gebruikt kan worden gaat vooral om waar die service werkelijk voor in gebruik is. Alle andere gegevens gaan niet spontaan via die service. De service geeft jou dus niet zomaar bescherming als je een eigen systeem gebruikt. En het geeft een bedrijf niet zomaar bescherming tegen alles wat om die service nog in gebruik is.

Hoewel tegenwoordig veel communicatie of toegang wel een vorm van beveiliging heeft hebben de meeste gebruikers en bedrijven niet zomaar inzicht in wat te weinig of geen beveiliging heeft. En dat is op een publiek draadloos netwerk het grote probleem. Anders kan je net zo goed thuis of op het werk je netwerk ook publiek gaan maken.

Hier word voor welke externe connectie naar binnen toe standaard een VPN voor gebruikt en als je die hebt staan kun je inloggen op citrix of watever ze gebruiken.Dat voorkomt dat al je verkeer open en bloot op het internet ligt,

Korvaag schreef op donderdag 19 september 2024 @ 18:04:
[...]
En die angst is wat mij betreft volledig terecht.

FUD is nooit het juiste antwoord.

Een paar jaar geleden had de Correspondent er nog een mooi stukje over. Zal volgens jou allemaal wel overdreven zijn vermoed ik zo, maar ik hoop dat andere mensen er wel twee keer over gaan nadenken voordat ze met een onbekend netwerk connectie leggen.

https://decorrespondent.n...d9-0526-08ad-16a34fd2e876

2014. Tien jaar geleden. Zoek voor de gein eens op wat de HTTPS adoptie heeft gedaan. Wat een modern OS en browsers nu doen met DoH/DoT, met DNSSEC resolvers. Dit was tien jaar geleden leuke sensatie (been there, done that); maar nu grotendeels incorrect. Ja, het kan zeker nog voor een deel. Maar niet meer zoals vroeger.

En bovendien, wat denk je te bereiken hiermee? Help mensen liever om zich te beschermen dan FUD aan te praten. Leg uit wat dr risico's zijn - en vooral wat daar vervolgens tegen te doen is. Beveiliging en privacy doen we samen. Opbouwend en ondersteunend.

jurroen schreef op maandag 30 september 2024 @ 00:15:
[...]


FUD is nooit het juiste antwoord.


[...]


2014. Tien jaar geleden. Zoek voor de gein eens op wat de HTTPS adoptie heeft gedaan. Wat een modern OS en browsers nu doen met DoH/DoT, met DNSSEC resolvers. Dit was tien jaar geleden leuke sensatie (been there, done that); maar nu grotendeels incorrect. Ja, het kan zeker nog voor een deel. Maar niet meer zoals vroeger.

En bovendien, wat denk je te bereiken hiermee? Help mensen liever om zich te beschermen dan FUD aan te praten. Leg uit wat dr risico's zijn - en vooral wat daar vervolgens tegen te doen is. Beveiliging en privacy doen we samen. Opbouwend en ondersteunend.

Zeker. OS en websites gaan tegenwoordig best goed. Een particulier gaat er dan ook waarschijnlijk weinig last van hebben.

Echter (het gaat denk ik alleen te ver gezien de vraagstelling van TS) maar juist bedrijfslaptops bevatten vaak archaische stukken software die totaal niet veilig zijn. Om een een paar voorbeelden te noemen die ik tegenkom in m'n werk:
- Zelfgemaakte software met client/server architectuur zonder HTTPS want dat vindt de applicatiebeheerder maar lastig. Volgens security is dat niet zo'n issue "want het verkeer blijft toch op het eigen netwerk" (I kid you not)
- Zwaar verouderde printsoftware die vrolijk plain text authenticatie gaat naar een printserver zodra de laptop online komt
- Medische systemen waar je op de achtergrond (dus niet de web GUI) na plain text authenticatie non-HTTPS API calls kan doen (again, I kid you not). Combineer dit weer met een client op de laptop en je loopt alweer risico op het lekken van wachtwoorden

Nou is het zo dat TS gebruik probeert te maken van een virtual desktop. Dat is natuurlijk al een heel stuk beter, maar we weten niet waarom. Is het een schone laptop en gaat alles via zo'n virtual desktop? Is dit alleen om op een bepaald deel van het netwerk te komen? Is dit alleen voor een bepaald stuk software waar ze wel wat hebben nagedacht over security?

Zou een gebruiker zich daar druk om moeten maken? Nee natuurlijk niet, maar tenzij je exact weet wat er op je laptop staat, wanneer het gestart wordt etc. moet je er gewoon van uit gaan dat het niet veilig is.

Kalentum schreef op donderdag 19 september 2024 @ 20:57:
Ik maak me meer zorgen over meeglurende medepassagies

Ondergewaardeerd comment, als jij met gevoelige documenten in de trein werkt zonder privacy screen, en je medepassagiers mee kunnen kijken terwijl jij wachtwoorden, pincodes etc intypt loopt je een groter risico. Zelfde geldt voor inbellen in (teams) vergaderingen. Het lijkt erop dat mensen vergeten waar ze zijn zodra ze aan een call deelnemen.

Donaldinho schreef op maandag 30 september 2024 @ 09:15:
[...]


Ondergewaardeerd comment, als jij met gevoelige documenten in de trein werkt zonder privacy screen, en je medepassagiers mee kunnen kijken terwijl jij wachtwoorden, pincodes etc intypt loopt je een groter risico. Zelfde geldt voor inbellen in (teams) vergaderingen. Het lijkt erop dat mensen vergeten waar ze zijn zodra ze aan een call deelnemen.

Vergeet de auto niet. Buiten een auto kan je elk woord letterlijk verstaan. Even parkeren voor je vertrouwelijke call is ook al een slecht idee. Heb voor een aantal klanten gewerkt waar telefoneren in de auto om exact die reden simpelweg verboden was (naast idd calls in de trein).

Korvaag schreef op maandag 30 september 2024 @ 09:10:
[...]


Zeker. OS en websites gaan tegenwoordig best goed. Een particulier gaat er dan ook waarschijnlijk weinig last van hebben.

Het gaat best goed - maar het kan uiteraard veel beter. Om een voorbeeld te geven: DANE is voor MTAs ("mailservers") vrij goed ondersteund en geaccepteerd. Maar in browsers en de rest nog niet. Maar dat doet inderdaad niets af aan de TS en is ook wat offtopic.

Echter (het gaat denk ik alleen te ver gezien de vraagstelling van TS) maar juist bedrijfslaptops bevatten vaak archaische stukken software die totaal niet veilig zijn. Om een een paar voorbeelden te noemen die ik tegenkom in m'n werk:
- Zelfgemaakte software met client/server architectuur zonder HTTPS want dat vindt de applicatiebeheerder maar lastig. Volgens security is dat niet zo'n issue "want het verkeer blijft toch op het eigen netwerk" (I kid you not)
- Zwaar verouderde printsoftware die vrolijk plain text authenticatie gaat naar een printserver zodra de laptop online komt
- Medische systemen waar je op de achtergrond (dus niet de web GUI) na plain text authenticatie non-HTTPS API calls kan doen (again, I kid you not). Combineer dit weer met een client op de laptop en je loopt alweer risico op het lekken van wachtwoorden.

Damn. We kunnen elkaar de hand schudden - maar nog steeds, damn.

Nou is het zo dat TS gebruik probeert te maken van een virtual desktop. Dat is natuurlijk al een heel stuk beter, maar we weten niet waarom. Is het een schone laptop en gaat alles via zo'n virtual desktop? Is dit alleen om op een bepaald deel van het netwerk te komen? Is dit alleen voor een bepaald stuk software waar ze wel wat hebben nagedacht over security?

Zou een gebruiker zich daar druk om moeten maken? Nee natuurlijk niet, maar tenzij je exact weet wat er op je laptop staat, wanneer het gestart wordt etc. moet je er gewoon van uit gaan dat het niet veilig is.

Meer doen dan TS adviseren om dit neer te leggen bij werkgever kunnen we niet doen. Als de werkgever de zaken op orde heeft (gigantische als) dan zou TS niet eens kunnen verbinden met zo'n netwerk, mocht dat niet toegestaan zijn onder de policies.

Maar helaas, het overgrote deel van de partijen heeft het niet dermate op orde dat het "hufterproof" is.

Dus @Atomius: vraag dit vooral na. Liefste per mail zodat je het zelf ook zwart op wit hebt staan.

Niet_Jan_Jaap schreef op donderdag 19 september 2024 @ 10:22:
Wat een angst zaaien. wifi in de trein is prima, tegenwoordig is toch vrijwel alles encrypted. Er is gewoon client isolation, dus jouw mede-wifigebruikers zien 0 wat jij doet. Alleen de NS heeft mogelijk wat inzicht met welke IP adressen jij verbindt, net als de ISP van de NS.

Alleen het eerste stukje klopt maar de rest niet. Het treinnetwerk zelf is verder onversleuteld, dus client isolation zorgt er eigenlijk alleen maar een beetje voor dat je niet geheel triviaal verbinding kan maken met andere verbonden devices. Doordat het onversleuteld is kan iedereen het verkeer van iedereen sniffen, dat vliegt gewoon zo door de lucht. Aangezien het meeste versleuteld is kan je daar tegenwoordig vaak niet veel meer mee dan kijken naar welke IP's verbonden wordt en welke DNS-requests gedaan worden. Maar je kan ook behoorlijk makkelijk je eigen AP opzetten om hele verbindingen te hijacken, of het bestaande AP spoofen om netwerkverkeer bij anderen erin te injecteren. Daarbij is het belangrijk om te bedenken dat lokale netwerkservices vaak onversleuteld toegankelijk zijn. Dus je moet nooit vertrouwen op wat voor beveiligingsmaatregelen wel of niet getroffen zijn en altijd je eigen maatregelen treffen, zoals minimaal een firewall en ook een versleuteld VPN waar al het verkeer overheen gaat.

Maar alle voorbeelden die Korvaag noemt, dat zijn toch applicaties die zo te lezen niet over het internet gaan?
Dus of lokaal of via de VPN.

Inderdaad allemaal niet OK, verkeer in transit hoort gewoon encrypted te zijn maar binnen de context van dit topic denk ik niet de juiste voorbeelden.

[ Voor 9% gewijzigd door laurens0619 op 30-09-2024 16:15 ]

Als jij veilig wil werken in de trein dan zou ik het volgende checken:
- heeft je laptop een VPN? Je wil gewoon al je dataverkeer versleutelen.
- heeft je laptop een privacy screen? Je wil niet dat iemand zomaar kan meelezen.

De Wifi in de trein is overigens best onstabiel. Zelf zet ik altijd de hotspot van mijn bedrijfstelefoon aan.

[ Voor 20% gewijzigd door njitter op 30-09-2024 16:19 ]

Atomius schreef op maandag 30 september 2024 @ 16:16:
maar dan nog is het een onprettig idee dat mensen je laptop in kunnen gluren. Sommige mensen hebben daar geen problemen mee - je ziet best vaak mensen in de trein werken - maar ik wel

Sommige mensen hebben hier een folie voor wat de kijkhoek drastisch verkleint, zo kunnen alleen mensen recht achter je meekijken. Een verdere "security by obscurity" is het weghalen van een van de polariserende lagen van je LCD zodat je een gepolariseerde bril nodig hebt om het weer te kunnen zien, maar ook daarbij kan iedereen met zo'n ding meekijken.

Korvaag schreef op maandag 30 september 2024 @ 09:10:
Echter (het gaat denk ik alleen te ver gezien de vraagstelling van TS) maar juist bedrijfslaptops bevatten vaak archaische stukken software die totaal niet veilig zijn. Om een een paar voorbeelden te noemen die ik tegenkom in m'n werk:
- Zelfgemaakte software met client/server architectuur zonder HTTPS want dat vindt de applicatiebeheerder maar lastig. Volgens security is dat niet zo'n issue "want het verkeer blijft toch op het eigen netwerk" (I kid you not)
- Zwaar verouderde printsoftware die vrolijk plain text authenticatie gaat naar een printserver zodra de laptop online komt
- Medische systemen waar je op de achtergrond (dus niet de web GUI) na plain text authenticatie non-HTTPS API calls kan doen (again, I kid you not). Combineer dit weer met een client op de laptop en je loopt alweer risico op het lekken van wachtwoorden

Die kom ik helaas ook tegen. Maar onze security officer vindt het prima als ik op een willekeurig openbaar wifi-netwerk ga zitten thuiswerken. Waarom? Omdat die pruts-applicaties geen van allen ontsloten zijn naar het internet; alleen Citrix staat open (via de Netscaler, dus met "VPN" / TLS-encryptie).

Ik geloof direct dat er bedrijven zijn die dat soort meuk wel rechtstreeks aan het internet hangen, maar dat maakt een openbare wifi niet onveilig; die applicatie is onveilig, ook als je thuis bedraad aan je Ziggo-modem hangt, en dat bedrijf heeft een (veel) groter probleem dan eigen medewerkers die bij de McDonalds of in de trein gaan zitten werken.

Ja daar heb je een mooi voorbeeld. Als je een applicatie hebt die zonder enige handshake direct zijn authenticatie gaat sturen is er een pad.

Mrja dat is ook een beetje het probleem in deze discussies Er is altijd overal wel een risico voor te verzinnen....Of dat voorbeeld ook bij TS van kracht is weten we niet, of TS geen force tunnel heeft aan staan weten we niet (je kan een vpn ook prima configureren dat hij geen internet doorlaat tot de vpn er is).

DataGhost schreef op maandag 30 september 2024 @ 16:18:
[...]

Sommige mensen hebben hier een folie voor wat de kijkhoek drastisch verkleint, zo kunnen alleen mensen recht achter je meekijken. Een verdere "security by obscurity" is het weghalen van een van de polariserende lagen van je LCD zodat je een gepolariseerde bril nodig hebt om het weer te kunnen zien, maar ook daarbij kan iedereen met zo'n ding meekijken.

Ja mooi is dat. En dan vervolgens aan de telefoon luid en duidelijk de afgelopen vergadering, je collega's en problemen op het werk met een andere collega bespreken

laurens0619 schreef op maandag 30 september 2024 @ 16:37:
Ja daar heb je een mooi voorbeeld. Als je een applicatie hebt die zonder enige handshake direct zijn authenticatie gaat sturen is er een pad.

Mrja dat is ook een beetje het probleem in deze discussies Er is altijd overal wel een risico voor te verzinnen....Of dat voorbeeld ook bij TS van kracht is weten we niet, of TS geen force tunnel heeft aan staan weten we niet (je kan een vpn ook prima configureren dat hij geen internet doorlaat tot de vpn er is).

Ja dat is dus het erge. Ik ken ladingen van dit soort applicaties. Bedrijven zitten er vol mee. Het grappige is dus ook dat de bedrijven die er vol mee zitten vaak ook nog achterlopen met dingen als MFA. Hebben ze wel een Netscaler, maar MFA staat niet aan. Bedenk je dan een wachtwoordbeleid waarbij users overal hetzelfde wachtwoord hebben en ga voor de grap eens met zo'n onderschept username/password inloggen op netscaler.bedrijf.com. Ander voorbeeld: die blijkt aan dezelfde AD te hangen als [het insecure stuk software waar je net username/password van had afgevangen]. Bingo.

En ja, hoe groot is het risico. Het risico op een gerichte aanval is niet heel groot (tenzij je een specifiek persoon bent of voor een specifiek bedrijf werkt). Dit soort dingen gebeurt echter ook op een sleepnetmanier. Kijken wat je binnenkrijgt/aantreft en wat je ermee kunt. Vroeg of laat kom je ergens binnen en vroeg of laat kan je daar wat leuks mee. En zoals al voor mijn belofte het hierbij te houden aangegeven te hebben: mijn risk appetite ligt blijkbaar lager dan sommige anderen in dit topic. Dat mag/kan

[ Voor 18% gewijzigd door Korvaag op 30-09-2024 16:50 ]

Korvaag schreef op maandag 30 september 2024 @ 16:30:
[...]


Natuurlijk. Zo hoort het ook. De case die ik echter aanhaal is het opzetten van een fake WIFI die verkeer onderschept en brakke applicaties die non-HTTPS connecties leggen. Prachtig dat een applicatie dan niet ontsloten is maar als de Pineapple zegt: jahoor, ik ben applicatie.interneurl.nl dan is het niet zo relevant dat het bedrijf zelf de dingen niet ontsloten heeft naar de buitenwereld. Hee, de URL bestaat, hier heb je een POST met een base64 encoded authentication header met username/password.

Al een paar keer eerder gezegd, ja het kan, maar het gebeurd in de praktijk niet dat iemand met een wifi pineapple in de trein zit en toevallig iemand verbind die toevallig ook een niet versleutelde verbinding gebruikt en toevallig ook moet authenticeren en jij toevallig ook precies die url afvangt en daar een nep portaal voor klaar hebt staan. Ja het kan, leuk voor demo's super onpraktisch voor de praktijk.

Korvaag schreef op maandag 30 september 2024 @ 16:42:
[...]


Ja dat is dus het erge. Ik ken ladingen van dit soort applicaties. Bedrijven zitten er vol mee. Het grappige is dus ook dat de bedrijven die er vol mee zitten vaak ook nog achterlopen met dingen als MFA. Hebben ze wel een Netscaler, maar MFA staat niet aan. Bedenk je dan een wachtwoordbeleid waarbij users overal hetzelfde wachtwoord hebben en ga voor de grap eens met zo'n onderschept username/password inloggen op netscaler.bedrijf.com. Ander voorbeeld: die blijkt aan dezelfde AD te hangen als [het insecure stuk software waar je net username/password van had afgevangen]. Bingo.

En ja, hoe groot is het risico. Het risico op een gerichte aanval is niet heel groot (tenzij je een specifiek persoon bent of voor een specifiek bedrijf werkt). Dit soort dingen gebeurt echter ook op een sleepnetmanier. Kijken wat je binnenkrijgt/aantreft en wat je ermee kunt. Vroeg of laat kom je ergens binnen en vroeg of laat kan je daar wat leuks mee. En zoals al voor mijn belofte het hierbij te houden aangegeven te hebben: mijn risk appetite ligt blijkbaar lager dan sommige anderen in dit topic. Dat mag/kan

Pineapples hebben geen sleepnet manier, daar is nog geen geval van bekend, en dan het de reinste FUD om te gaan verkondigen dat je geen public wifi moet gaan gebruiken.

Geen MFA op een netscaler, of je netscaler niet patchen daarentegen is vragen om geransomwared te worden. We kunnen veel beter bedrijven en mesen daar de aandacht op laten richten dan dit wifi verhaal.

Publieke WiFi is prima te gebruiken, mits je maar gebruikt maakt van TLS, dat doet je Citrix omgeving.

De WiFi is maar 1 stukje, daarna gaat het verkeer over allemaal ongecontroleerde verbindingen tot aan je Citrix omgeving. Je moet geen enkel netwerk echt vertrouwen, ook je 5G niet.

In mijn geval gebruik ik: Office 365, Gmail, SSH, IMAP en SMTP met STARTTLS, WhatsApp, Telegram, allemaal diensten die TLS versleuteling gebruiken. Je kan zien waar ik heen verbind, maar niet wat ik doe. Dat is het hele idee van TLS.

Vroeger gingen er nog wel eens dingen via HTTP of IMAP zonder SSL, maar dat is echt nog de hoge uitzondering.

BytePhantomX schreef op dinsdag 1 oktober 2024 @ 08:57:
[...]


Al een paar keer eerder gezegd, ja het kan, maar het gebeurd in de praktijk niet dat iemand met een wifi pineapple in de trein zit en toevallig iemand verbind die toevallig ook een niet versleutelde verbinding gebruikt en toevallig ook moet authenticeren en jij toevallig ook precies die url afvangt en daar een nep portaal voor klaar hebt staan. Ja het kan, leuk voor demo's super onpraktisch voor de praktijk.


[...]

Pineapples hebben geen sleepnet manier, daar is nog geen geval van bekend, en dan het de reinste FUD om te gaan verkondigen dat je geen public wifi moet gaan gebruiken.

Hoe kom je daar nou bij. Die dingen loggen onder andere requests die over en weer gaan. Je kan die inspecteren, manipuleren, loggen etc. Ze kunnen daarnaast ook gerichte websites opzetten al is het nu daarvan momenteel inderdaad een stuk minder nuttig gezien de adoptie van diverse veiligheidsstandaarden. Maargoed, ik ga wederom stoppen in dit topic. Ik heb totaal geen zin in zaken die er allemaal bij gehaald worden en niet relevant zijn. De vraag was of een openbare open WIFI veilig was om te werken en dat is het simpelweg niet. Hoe hoog dat risico is en of je dat risico wilt nemen mag je zelf bepalen.