Nep hotspots

[ubremoved_539]

De laatste dagen lees of hoor ik het bijna dagelijks wel ergens... WIFI gebruiken is gevaarlijk (en dan heb ik het eens niet over de straling). Via een nep hotspot zou men kunnen achterhalen op welke wireless netwerken jij normaal connecteerd (wat correct is)... maar verder in het verhaal zegt men ook dan men je Facebook, Gmail, ... paswoord kan achterhalen ?

Volgens mij gebruiken deze diensten allemaal SSL en is die bewering dus gewoon fout... zelfs verkeer rerouten naar een fake server zal altijd aantonen dat het SSL certificaat ongeldig is (of vergeet men dat erbij te vertellen in hun drang naar sensatie en FUD) ?

[Tomby]

Ik zou het ook niet weten. Wat ik me wel al afgevraagd heb, is of je op die manier niet heel gemakkelijk iemands Telenet paswoord kan vastkrijgen ? Of worden die hotspots en homespots op de een of andere manier toch geauthenticeerd ?

[wimpie3]

Nog straffer: volgens mij is het zelfs niet eens mogelijk om te achterhalen of een hotspot 'officieel' is, of dat het een kopie is. Ga maar eens op een willekeurige luchthaven en zie wat er daar allemaal rondvliegt aan toegangspunten. Welke is te vertrouwen? Welke niet? Zelfs in een "officiele" Starbucks hotspot of eender welk ander cybercafe is het voor de eigenaars een koud kunstje om het verkeer te loggen! Een VPN is volgens mij de enige manier om daar aan te ontsnappen.

Langs de andere kant... ontsnappen aan logging kan eigenlijk al helemaal niet meer tegenwoordig. Als de eigenaar van de WIFI hotspot het niet doet, doet de NSA het wel.

[axs]

Vermoedelijk wordt er gevraagd om een login te maken en laat nu veel mensen voor heel wat dingen dezelfde login en paswoord gebruiken... denk dat dat de truk is.

[NickG]

Je moet anders een Droidsheep of iets soortgelijks installeren en wat scannen op openbare plaatsen (station, cafe, mcdonalds,...). Je zou verbaast zijn hoe makkelijk het is om iemands sessie over te nemen. Ik ben zelf geen expert op vlak van security, maar heb bij wijze van experiment wel tientallen sessies kunnen overnemen in de buurt van een station. En dan kon ik gewoon Facebook profielen, hotmail, ... lezen :-s

Er zal ook wel een hoop sensatie bij zijn, maar heel erg veilig is 't in elk geval niet!

[Dima_2005]

Langs de andere kant... ontsnappen aan logging kan eigenlijk al helemaal niet meer tegenwoordig. Als de eigenaar van de WIFI hotspot het niet doet, doet de NSA het wel.

Met het verschil dat het de NSA niet boeit wat jij allemaal doet, ze doen het alleen om algoritmes erdoor te rammen.
De eigenaar daarentegen kan het wel commercieel gebruiken door je prive-mails te lezen / facebook account te bekijken en als het een goede verkoper is, kan deze het gebruiken.
Of erger: die mails gaan gebruikt worden voor phishing, spam, oplichting,... Of nog erger: dieven die toegang krijgen tot al je gegevens om te zien of er iets te stelen valt bij jou en wanneer je niet thuis bent.

[krisken]

men in the middle...

Ahja : zoals gezegd : VPN!

[ubremoved_539]

Wat ik me wel al afgevraagd heb, is of je op die manier niet heel gemakkelijk iemands Telenet paswoord kan vastkrijgen ?

TN Hot/homespots zijn open wireless netwerken... je moet dus op dat niveau geen paswoord ingeven.

Je komt daarna wel op de login portal maar dit is een HTTPS pagina... je kan hier dan wel een nep pagina in de plaats zetten... maar wederom ga je SSL fouten te zien krijgen in je browser... dus nee, bij een oplettende gebruiker zou dit volgens mij niet kunnen.

Nog straffer: volgens mij is het zelfs niet eens mogelijk om te achterhalen of een hotspot 'officieel' is, of dat het een kopie is.

Dat is eveneens een feit... maar zoals ik al schreef komt daarna de login portal en daar kan je het wel zien aan het SSL certificaat.

Ik ben zelf geen expert op vlak van security, maar heb bij wijze van experiment wel tientallen sessies kunnen overnemen in de buurt van een station. En dan kon ik gewoon Facebook profielen, hotmail, ... lezen :-s

Op basis van je bewering stel je dus dat je SSL verbindingen kan meelezen... niet echt geloofwaardig (zelfs de NSA kan dit niet realtime).

[philippe_d]

Vermoedelijk wordt er gevraagd om een login te maken en laat nu veel mensen voor heel wat dingen dezelfde login en paswoord gebruiken... denk dat dat de truk is.

Ik denk dat ook.
Zoveel mensen gebruiken gewoon één paswoord voor alles (zie in de reportage gisteren: "is dit jouw paswoord?" ...)
Met jouw mail adres + jouw "uniek" paswoord kunnen ze waarschijnlijk al in heel veel sites / mailboxen met succes inloggen ??

[axs]

of zelfs paswoorden recoveren via toegang tot die mailbox...

Denk dat we het hier veel te ver (technologie gewijs) zoeken, terwijl de oplossing soms zo simpel is.

[Tomby]

Je komt daarna wel op de login portal maar dit is een HTTPS pagina... je kan hier dan wel een nep pagina in de plaats zetten... maar wederom ga je SSL fouten te zien krijgen in je browser... dus nee, bij een oplettende gebruiker zou dit volgens mij niet kunnen.

Het was me inderdaad te doen om de captive portal. Dat de echte SSL gebruiken, was ik me niet van bewust. Maar dan nog is het toch heel gemakkelijk te spoofen ? Je redirect het initiële verkeer gewoon naar een fake lokale copy over HTTP ipv HTTPS. 90% van de gebruikers gaan gewoon niets vermoeden als ze als URL gewoon een lokaal IP adres gebruiken, en van SSL fouten zal al helemaal geen sprake zijn.

Zelf gebruik ik de 'Telenet Homepost AutoLogin' app om transparant op Telenet hotspots in te loggen. Vraag me nu wel af of die ook zo gemakkelijk te misleiden is.

[MClaeys]

Je komt daarna wel op de login portal maar dit is een HTTPS pagina... je kan hier dan wel een nep pagina in de plaats zetten... maar wederom ga je SSL fouten te zien krijgen in je browser... dus nee, bij een oplettende gebruiker zou dit volgens mij niet kunnen.

Maar is een doorsnee gebruiker wel een oplettende gebruiker? Het gaat vaak immers over dezelfde gebruiker die vergeet toolbarvinkjes uit te schakelen en een stuk of 2 fake antivirus-programma's op zijn pc heeft staan omdat er een melding op het scherm kwam dat zijn systeem geïnfecteerd is. Ik zie het jammer genoeg nog veel te vaak voorkomen en men mag die dingen op scholen en bedrijven eigenlijk wel eens wat beter aanleren.

Op basis van je bewering stel je dus dat je SSL verbindingen kan meelezen... niet echt geloofwaardig (zelfs de NSA kan dit niet realtime).

Moest je een beveiligde verbinding bij Facebook niet zelf inschakelen in de instellingen? Ik weet alleszins dat ik dat nog heb gedaan.
Bij Hotmail dacht ik dat dat ook het geval was tot men volledig overging naar outlook.com

[raf1]

Een valse hotspot opgezet door criminelen zal natuurlijk ook over een valse DNS-server beschikken en nagemaakte populaire websites en valse IMAP of POP3-servers...

[euromusic]

WiFi Pineapple + SSLStrip, fluitje van een cent..

[ubremoved_2964]

Ik beheerde ooit nog een Linux firewall op een studentenkot, ik was toen security engineer bij een grote telecom speler.

Dus volgende voor de lol opgezet:

- webserver met een namaak hotmail pagina, maar dan crapmail, from the legions of bill gates (dus de portaal was al zo nep als iets)
- iptables rerouting van hotmail traffic naar mijn interne neppagina

wel je wil niet weten hoeveel studenten daar in trapten en gewoon hun username en passwoord ingaven, ondanks het feit dat de neppagina niet over SSL ging ... en er in koeien van letters niet HOTMAIL stond maar CRAPMAIL FROM THE LEGIONS OF BILL GATES (sorry voor de CAPS, maar zo dom waren dus mijn users).

Dus als jij een nephotspot opzet die er 't zelfde uitziet als een telenet hotspot login page en je laat alle HTTP traffic via een captive portal naar deze neppagina rerouten, dan zal je heel wat logins van telenet harvesten. Want de meeste users trappen daar gewoon.

[ubremoved_2964]

Tutorials genoeg, en backtrack is ook een leuke live cd voor dit soort doeleinden:

[wimpie3]

Mannekes, hoor ons hier eens bezig... en wij zijn dagdagelijks met informatica bezig! Hoe moet de doorsnee Jan met de pet daar allemaal op letten?

Een telenet login is inderdaad makkelijk te spoofen denk ik. Wie let er op die url in een mobiele browser? Mijn conclusie: vertrouw NOOIT een wifi toegangspunt dat met vaste paswoorden werkt. Een wifi met wegwerppaswoord, zoals je in hotels of vakantieparken wel eens tegenkomt, why not als je er dan een VPN over gooit. Maar die telenet toestand? Ik heb mijn twijfels.

Hoe ouder hoe achterdochtiger ik ben geworden. Het leven als informaticus is eigenlijk gewoon de hele tijd achter een hoekje kijken of er niemand staat te luistervinken

[tommekentom]

Heb je hier een betalende VPN voor nodig of kan een VPN naar je thuis ook niet worden onderschept?

[didi79]

Het is en blijft uiteindelijk het probleem van de user: als die niet weet wat hij doet, is hij de pineut.
En daar is het malafide personen nu net om te doen, de gemakkelijke slachtoffers vinden en misbruiken...

In wat in de pers verschenen is, lees je tussen de regels:
- de aanbieders van open hotspots moeten misbruik maar tegengaan
- gebruik gewoon geen open hotspots meer

Not going to happen...

Heel die berichtgeving is een klucht

[MClaeys]

Heb je hier een betalende VPN voor nodig of kan een VPN naar je thuis ook niet worden onderschept?

VPN naar thuis volstaat.

[meon]

De Telefacts-uitzending gisteren heeft me inderdaad ook wel doen nadenken over VPN op de smartphone.
Ik zou graag m'n eigen VPN opzetten met m'n thuisserver (Win 2003 R2), maar PPTP opzetten met RRAS... euhm... lukt me niet echt. RRAS gaat zich immers ook als firewall en router gedragen, en dat gaat verder dan wat ik er van verwacht eigenlijk. Ook heb ik er maar 1 NIC in steken.
Iemand een Android-vriendelijke oplossing die volledig in eigen beheer kan draaien?
Ik kan bij VPN type PPTP, L2TP/IPSec, IPSec kiezen.

[ubremoved_2964]

Ik draai al jaren OpenVPN tot volle tevredenheid, en er is een Android client:

https://play.google.com/store/apps/deta ... kt.openvpn

een openvpn server kan je dan weer op elke dd-wrt, openwrt en linux box draaien

[tommekentom]

Iemand ervaring met onavo protect?

[dupondje]

https://play.google.com/store/apps/deta ... pn.openvpn

Waarom deze niet? Is de officiele?

[johcla]

Het is inderdaad aangeraden zoveel mogelijk HTTPS te gebruiken. Maar dat is jammer genoeg ook onderhevig aan bugs. Zo was er paar weken geleden nog de SSL-bug in iOS van Apple, waarmee man-in-the-middle aanvallen mogelijk waren. Op Windows zijn er ook enkele, de meeste zijn wel te voorkomen door je browser up-to-date te houden.
Om de gewone hackers te slim af te zijn, volstaat het principe van fysieke inbrekers: zorg dat je beter beveiligd bent dat je buurman, dan gaat hij geen moeite doen om jou te hacken. HTTPS gebruiken volstaat dus in de meeste gevallen wel.
Zelf gebruik ik in België nooit een ander wifi-netwerk. Mobiel data is in België niet zo duur meer en snelheden zijn ook ok. In het buitenland staat VPN op mijn toestellen altijd aan.
Nadeel van VPN op Android is dat je een fixed ip adres nodig hebt om het always-on te zetten. Onhandig om een VPN op te zetten langs je router of NAS, zeker bij Belgacom. En het steeds manueel aan zetten, is lastig. Zeker voor tablets van kinderen. Ik heb nu een abonnement op privateinternetacces.com, voor 30 EUR/jaar heb je VPN, voor 5 toestellen gelijktijdig. Je kan het dus op meer dan 5 toestellen instellen, maar slechts 5 kunnen er op hetzelfde moment gebruik van maken. Je kan ook VPN bijvoorbeeld over poort 80 of 443 laten lopen, zodat je beperkingen van sommige hotspots kan omzeilen.

[Sub Zero]

Er is maar 1 manier: geen wifi-netwerken van iemand anders gebruiken. Je hebt alvast een optie op Android toestellen dat ze nooit met open wifi-netwerken mogen verbinden. Gebruik dit dan ook. Idem met Bluetooth: als je 't niet nodig hebt, zet het uit. Nu ik geen car kit meer heb staat BT altijd uit. Vroeger gebruikte ik daar llama voor om BT 3 minuten aan te zetten als ik op kantoor of thuis wegging (GSM-mast gebaseerd). Dus tijd genoeg om met de carkit te verbinden. Was hij binnen de 3 minuten niet verbonden, dan ging bluetooth weer gewoon uit.
Met een paar simpele regeltjes geraak je echt al een heel eind hoor.

[ubremoved_2964]

Nadeel van VPN op Android is dat je een fixed ip adres nodig hebt om het always-on te zetten.

Is dat wel zo ? OpenVPN clients overleven zelfs IP address changes langs hun client kant.

[johcla]

De standaard VPN-implementatie op Android wel, de OpenVPN apps heb ik nog niet getest.

Gisterenavond wou ik nog een link zetten naar een ssl exploit, maar vond de juiste site niet meer.
Voor wie geïnteresseerd is: https://secure-resumption.com/

[johand]

Je hebt alvast een optie op Android toestellen dat ze nooit met open wifi-netwerken mogen verbinden. Gebruik dit dan ook.

welke?

[NickG]

Op basis van je bewering stel je dus dat je SSL verbindingen kan meelezen... niet echt geloofwaardig (zelfs de NSA kan dit niet realtime).

Ik beweer niks. Nogmaals, ik ben niet thuis in de security wereld. Ik zeg alleen dat ik perfect facebook profielen & hotmail inboxen kon overnemen, gewoon door droidsheep te gebruiken. Ondertussen is dit al 2 jaar geleden, geen idee of dit momenteel nog kan trouwens.

[MClaeys]

Ja, eergisteren in Telefax deed men dat bij iemand dus het kan nog steeds

Sent from my Surface with Windows RT using Tapatalk

[ubremoved_539]

Ja, eergisteren in Telefax deed men dat bij iemand dus het kan nog steeds

Spijtig dat ik het niet gezien heb maar volgens mij houden ze wat essentiele details achter om het spektakel wat groter te maken.

Moest je zo eenvoudig een men in the middle attack kunnen uitvoeren dan was geen enkel internet bankieren nog veilig.

[AndRo555]

Op basis van je bewering stel je dus dat je SSL verbindingen kan meelezen... niet echt geloofwaardig (zelfs de NSA kan dit niet realtime).

Ik beweer niks. Nogmaals, ik ben niet thuis in de security wereld. Ik zeg alleen dat ik perfect facebook profielen & hotmail inboxen kon overnemen, gewoon door droidsheep te gebruiken. Ondertussen is dit al 2 jaar geleden, geen idee of dit momenteel nog kan trouwens.

Op een niet beveiligde hotspot met alleen HTTP, kinderspel, jan met de pet zou het kunnen op zijn laptop.
Zolang je beveiligde netweken gebruikt en HTTPS voor services met logins (fb,webmail,..) zit je 99.99% safe. Het valt te kraken, zoals vele andere dingen, maar dan moet je juist op het slechte moment op een bepaalde hotspot zitten waar iemand met veel kennis van zaken ook op bezig is.

ik raad dan ook iedereen aan om in de fb settings Secure browsing (https) in de settings aan te vinken.

Iedereen die hier VPN's adviseert, leuk voor die ene heel louche open hotspot, maar voor de meeste is het niet nodig.

Om nog maar te zwijgen hoe lek sommige gprs/edge implementaties kunnen zijn.

[meon]

Ik draai al jaren OpenVPN tot volle tevredenheid, en er is een Android client:

Bleh, zelfs met how-to's snap ik niet hoe ik een openvpn-server aan de gang moet krijgen (onder Windows Server 2003 R2). Heb wel een paar how-to's gevonden, maar zodra ze over internet connection sharing of easy-rsa beginnen moet ik afhaken want dan klopt er niks meer.

[ubremoved_2964]

Ik vind die easy-rsa echt wel "easy" en vrij universeel .... met een paar scriptjes kan je gewoon een volledige certificate authority maken met bijhorende root cert, en client certs aanmaken. Al je clients trusten de root cert.

En die openssl certs werken dus ook met andere opensource zaken die SSL ondersteunen, bvb bepaalde versies van syslog-ng kunnen ook clients laten authen via certs gemaakt met easy-rsa ... de security op de klassieke syslog is een joke, logs spoofen en logservers volduwen met fake logs ...wel het kon allemaal tot wanneer je bvb easy-rsa gebruikt om de boel dicht te timmeren.

Uiteraard moet je je bestaande easy-rsa directory wel een beetje protecten, iedereen die in die directory kan, kan certs bijmaken en dus clients toevoegen aan je vpn. Daarom implementeerde ik easy-rsa offline, en kopieerde dan manueel de certs naar de clients. Maar dat geldt voor elke root CA.

[meon]

Maar dat is't net: er is geen easy-rsa directory (meer) bij en als je die los van github downloadt komt niks meer overeen met tutorials. (En openssh op een of andere manier gekoppeld aan een windows-domeinaccount kan niet zeker?)

[qless]

Dat ga je nu toch niet meer op win 2003 installeren?

Als je het simpeler wil, richt een (virtuele) pfsense in, dan kun je kiezen welke vpn type je wilt gebruiken.
(overigens valt pptp af te raden ivm zwakke authentificatie)

[ubremoved_2964]

Net op Nederland 2 geweest, lieten een white hat zien die met een WiFi Pineapple fake AP in een cafee de url's en passwoorden van niets vermoedende slachtoffers kon bemachtigen. Was nog benieuwd naar manieren om SSL te bypassen, maar antwoord werd hier al gepost: SSLstrip.

[ubremoved_539]

Was nog benieuwd naar manieren om SSL te bypassen, maar antwoord werd hier al gepost: SSLstrip.

Ik ben snel door de verklaring gegaan maar volgens mij werkt het alléén als je vertrekt vanaf een HTTP pagina met een login erop.

Iemand die voorzichtig is en start vanaf https zou volgens mij geen probleem hebben.

[Kenw00t]

Inderdaad, ik denk dat vooral apps die geforceerd via HTTPS werken dan zullen stoppen met werken en een waarschuwing geven. De gemiddelde gebruiker op zijn browser zal echter geen idee hebben wat er aan de hand is en surft lustig verder.