De gemiddelde surfer is op dat punt "onbewust". Ooit nog gedaan op een studentenkot. Ik beheerde de linux firewall, op bepaald moment experimentje ...
Ik zet een lokale apache op die firewall op, met een kopie van Crapmail, from the legions of bill gates (een parodie site).
Op de firewall redirect ik alle traffic bestemd voor de echte hotmail naar mijn fake intranet site.
Ondanks dat er nu zwart op wit staat dat het crapmail is, blijven studenten maar proberen aanloggen.
En pas nadien komen ze bij mij zagen dat hotmail niet meer werkt.
Ondertussen had ik al hun hotmail users & passwords verzameld, want die stonden gewoon in de GET request, zichtbaar in mijn apache logs.
Niet dat ik daar iets mee deed, maar was gewoon een experiment om te kijken hoe 'onbewust' een doorsnee surfer is.
Nep hotspots
-
ubremoved_2964
- Elite Poster
- Berichten: 5295
- Lid geworden op: 12 jan 2006, 14:25
- Uitgedeelde bedankjes: 67 keer
- Bedankt: 397 keer
-
ubremoved_2964
- Elite Poster
- Berichten: 5295
- Lid geworden op: 12 jan 2006, 14:25
- Uitgedeelde bedankjes: 67 keer
- Bedankt: 397 keer
Klopt ... als je naar een SSL poort zou surfen en https:// als beginsel van de URL, en die site geeft unencrypted traffic terug, dan moet normaal een beetje browser een serieuze waarschuwing geven. Dus die attack vector werkt al niet.r2504 schreef:Ik ben snel door de verklaring gegaan maar volgens mij werkt het alléén als je vertrekt vanaf een HTTP pagina met een login erop.ub4b schreef:Was nog benieuwd naar manieren om SSL te bypassen, maar antwoord werd hier al gepost: SSLstrip.
Iemand die voorzichtig is en start vanaf https zou volgens mij geen probleem hebben.
http://www.thoughtcrime.org/software/sslstrip/
Maar het werkt idd wel door https links te herschrijven naar http, op voorwaarde dat dit een gewone http site is met de link daarop zodat de HTTP reply herschreven kan worden. Een beetje als airpwn maar dan voor url's ipv images zoals de beruchte goat.cx
-
ubremoved_539
- Deel van't meubilair
- Berichten: 29849
- Lid geworden op: 28 okt 2003, 09:17
- Uitgedeelde bedankjes: 446 keer
- Bedankt: 1985 keer
Dan wil ik nog altijd weten hoe men op Nederland 2 iemands wachtwoord van bv. Facebook kon achterhalen (tenzij mensen http://www.facebook.com ingeven en niet opletten dat ze naar een fake website worden geredirect).ub4b schreef:als je naar een SSL poort zou surfen en https:// als beginsel van de URL, en die site geeft unencrypted traffic terug, dan moet normaal een beetje browser een serieuze waarschuwing geven. Dus die attack vector werkt al niet.
Feit blijft dat de gemiddelde gebruiker geen opleiding/kennis heeft om zorgvuldig om te gaan het SSL... en dus overal op klikt.
-
johcla
- Elite Poster
- Berichten: 2386
- Lid geworden op: 23 maa 2009, 21:08
- Uitgedeelde bedankjes: 646 keer
- Bedankt: 149 keer
Hebben ze de login-gegevens van facebook zelf onderschept? Je kan ook een fake-portaal voor de wifi-hotspot maken en om een email-adres en wachtwoord vragen. Het zal niet lang duren voordat iemand daar een adres en wachtwoord ingeeft dat hij ook voor facebook gebruikt.
Het is heel eenvoudig.
Zoals reeds werd gezegd: MITM man in the middle.
Een eerste voorbeeld: je zit op café en je wil je mail, facebook checken. Je toestel geeft aan dat er een wifi netwerk in de buurt is. Je ziet "free wifi" en je connecteert. Al je trafic gaat door het toestel van wie de data wil onderscheppen. Je surft naar https maar het toestel stuurt je automatisch naar de http versie van de site. Het hoeft geen fake site te zijn maar gewoon de http versie van de https site. Je geeft je gegevens en en bingo alles mooi opgevangen.
tweede voorbeeld: je zit in mcdonalds. Er hangt overal uit dat er free wifi is. De persoon die de data wil opslaan maakt een evil twin. Een netwerk met dezelfde naam. Je toestel gaat altijd connecteren bij het sterkste signaal dus je gaat zonder dat je het weet over naar zijn nep netwerk.
derde voorbeeld: Je staat ingesteld om automatisch in te loggen op de telenet homespot. De onderschepper laat zijn toestel aanvragen ontvangen. Je toestel gaat zoeken naar een telenet homespot en het toestel van de ontvanger onderschept de aanvraag. Telenet homespot in de buurt? Ja zegt het toestel van de onderschepper ik ben hier. Je toestel gaat connecteren en je ziet dat je verbonden bent met de homespot. Je moet geen login en paswoor ingeven want het stond ingesteld om dit automatisch te doen dus je vermoed niets.
En als iemand het helemaal wil afmaken dan zend de onderschepper een signaal uit om de andere wifi netwerken te blokkeren. Vb de echte mcdonalds wifi onbereikbaar maken.
Zoals reeds werd gezegd: MITM man in the middle.
Een eerste voorbeeld: je zit op café en je wil je mail, facebook checken. Je toestel geeft aan dat er een wifi netwerk in de buurt is. Je ziet "free wifi" en je connecteert. Al je trafic gaat door het toestel van wie de data wil onderscheppen. Je surft naar https maar het toestel stuurt je automatisch naar de http versie van de site. Het hoeft geen fake site te zijn maar gewoon de http versie van de https site. Je geeft je gegevens en en bingo alles mooi opgevangen.
tweede voorbeeld: je zit in mcdonalds. Er hangt overal uit dat er free wifi is. De persoon die de data wil opslaan maakt een evil twin. Een netwerk met dezelfde naam. Je toestel gaat altijd connecteren bij het sterkste signaal dus je gaat zonder dat je het weet over naar zijn nep netwerk.
derde voorbeeld: Je staat ingesteld om automatisch in te loggen op de telenet homespot. De onderschepper laat zijn toestel aanvragen ontvangen. Je toestel gaat zoeken naar een telenet homespot en het toestel van de ontvanger onderschept de aanvraag. Telenet homespot in de buurt? Ja zegt het toestel van de onderschepper ik ben hier. Je toestel gaat connecteren en je ziet dat je verbonden bent met de homespot. Je moet geen login en paswoor ingeven want het stond ingesteld om dit automatisch te doen dus je vermoed niets.
En als iemand het helemaal wil afmaken dan zend de onderschepper een signaal uit om de andere wifi netwerken te blokkeren. Vb de echte mcdonalds wifi onbereikbaar maken.
-
ubremoved_2964
- Elite Poster
- Berichten: 5295
- Lid geworden op: 12 jan 2006, 14:25
- Uitgedeelde bedankjes: 67 keer
- Bedankt: 397 keer
Heb ooit eens een access point overstemd ...
Zelfde MAC address gespoofed, zelfde SSID als target, en zelfde WiFi channel. En dan 250 milliwatt TX power uit een linksys WRT54GL.
Access point in vals plafond verborgen ...
Moeilijk is dat niet. Reden was iemand had een wifi access point opgezet in een datacenter office die publieke IP's uitdeelde, en de helpdesk van onze firma surfte snachts via die AP terwijl het de bedoeling was dat hun traffic via onze checkpoint firewall verliep, en laptops op twee netwerken aansluiten was ook al tegen de policy.
Dus gezien wifi toch unregulated spectrum is, hebben we eens fun gehad met countermeasures.
Zelfde MAC address gespoofed, zelfde SSID als target, en zelfde WiFi channel. En dan 250 milliwatt TX power uit een linksys WRT54GL.
Access point in vals plafond verborgen ...
Moeilijk is dat niet. Reden was iemand had een wifi access point opgezet in een datacenter office die publieke IP's uitdeelde, en de helpdesk van onze firma surfte snachts via die AP terwijl het de bedoeling was dat hun traffic via onze checkpoint firewall verliep, en laptops op twee netwerken aansluiten was ook al tegen de policy.
Dus gezien wifi toch unregulated spectrum is, hebben we eens fun gehad met countermeasures.
-
ubremoved_539
- Deel van't meubilair
- Berichten: 29849
- Lid geworden op: 28 okt 2003, 09:17
- Uitgedeelde bedankjes: 446 keer
- Bedankt: 1985 keer
Ik denk dat je het wat te eenvoudig ziet... als je https gebruikt en er komt geen geldig certificaat (iets waarvoor jij nooit kan zorgen) dan krijg je gewoon geen pagina te zien.nabs schreef:Je surft naar https maar het toestel stuurt je automatisch naar de http versie van de site. Het hoeft geen fake site te zijn maar gewoon de http versie van de https site.
Automatisch doorsturen kan je dus gewoon vergeten !
