Hamster steelt logins van onbeveiligde Wi-Fi netwerken
Beveiligingsonderzoeker Robert Graham heeft een nieuwe tool beschikbaar gesteld waarmee het kinderlijk eenvoudig is om Gmail, Hotmail en andere logins voor webaccounts, via een onbeveiligd draadloos netwerk te stelen. De Hamster tool, een krachtigere versie van de netwerk fret, kloont de cookies van slachtoffers door hun sessie ID's te sniffen.
"Je zit bijvoorbeeld in een café en ziet een aantal mensen surfen, van wie je hun Gmail kan kapen en klonen. We weten dat het in theorie mogelijk is, dus wilden we het bewijzen. Dit gaat heel ver omdat het zo eenvoudig is," aldus Graham.
De tool kaapt geen wachtwoorden, alleen de cookies en URL die de gebruiker achterlaat. "Hamster is een proxy, net zoals Squid," dat de onderzoeker niet wilde gebruiken omdat het zo'n groot programma is. "Ik wilde mensen een kleine tool geven die ze kunnen downloaden." De aanval is dan niet nieuw, het gemak waarmee Hamster de toegang van gebruikers tot hun account kan klonen is dat wel.
Op deze pagina is de hamster in actie te zien. Als oplossing om Hamster-aanvallers buiten de deur te houden raadt Graham aan om regelmatig tijdens de websessie uit te loggen, waardoor het "cookie spoor" verdwijnt.
beschikbaar gesteld" .... URL ?!
voorpagina van de New York Times mogen staan. Mag dat niet, dan moet
het ouderwets per fax of post. Ook oude techniek heeft nog steeds
voordelen.
Het blijkt maar weer eens: wat je per e-mail verstuurt ,
moet ook op de
voorpagina van de New York Times mogen staan. Mag dat niet,
dan moet
het ouderwets per fax of post. Ook oude techniek heeft nog
steeds
voordelen.
BS! een brief kan je ook gewoon openscheuren/ stomen....
mag eigenlijk ook niet.....
Fax verkeer is helemaal kipsimpel te onderscheppen..... mag
eigenlijk ook niet....
Ligt het aan mij of is het totaal niet spannend? Joh, het is
mogelijk om session hijacking te doen als je data
onversleuteld over het (wireless) netwerk stuurt, nee, echt?
Leuk dat iemand er een tooltje voor heeft geschreven maar ik
zie er de nieuwswaarde niet van in. (Niet tegen security.nl
gericht maar als je de kop op de bron ziet:
"Hamster plus Hotspot equals Web 2.0 meltdown!" krijg ik
jeuk op rare plekken.)
Dus, leuk tooltje, leuk voor script kiddies maar voor de
rest niet erg spannend.
publiek waarmee laatsgenoemde logins van derden kan stelen?
Lijkt mij gewoon aanzetten tot crimineel gedrag en is op zich dus ook
strafbaar.
Het publiceren van methodieken om tot dit doel te komen evt. aangevuld
met een paar snippets als PoC is m.i. meer "onderzoeker" waardig.
Jammer daarbij is dat het grote publiek je verhandelingen
a. niet wil lezen, is teveel werk
b. toch niet snapt.
Daarmee wordt het grote publiek ineens een stuk kleiner en zal je "roem"
ook stukken kleiner zijn.
En dan nu mijn onwrikbare slotconclusie / mening welke mijn superioriteit
aan allen duidelijk moet maken: geen ;-)
Goed weekeinde.
J.
iig niet :)
Het zal in de meeste gevallen niet werken (beveiligd
netwerk), want meestal wordt de ip opgeslagen in een sessie.
netwerk. Maar goed, gewoon SSL (https) gebruiken, dan zit het wel snor.
En geen GMail, want dan luisteren nog veel engere partijen mee naar je
gegevens. Uiteindelijk zijn voor de meeste gebruikers bedrijven als Google
een groter gevaar voor de persoonlijke bedrijven, naast overheiden, maar
daar kan je je toch al amper tegen verdedigen...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?