Bezoekers beveiligingsconferentie afgeluisterd
De organisatie van de SecTor beveiligingsconferentie heeft vorige week gebruikersnamen, wachtwoorden en al het verkeer van bezoekers afgeluisterd, die in de veronderstelling waren dat het aanwezige draadloze netwerk veilig was. SecTor wilde de "Wall of Sheep" van de Defcon hackerconferentie herhalen, door informatie dat over het publieke netwerk ging op een muur te projecteren. Volgens sommige bezoekers werd het netwerk als veilig voorgesteld. Zo was het SSID "Sector2009Secured" genaamd en gebruikte het WPA als beveiliging. Daarnaast moesten deelnemers die via dit netwerk wilde surfen, langs een speciale stand gaan om hun pre-shared key op te halen.
De organisatie wilde aantonen dat mensen nog steeds onveilige protocollen uitrollen en gebruiken. "Onze bedoeling met de Wall of Shame was om dat te benadrukken", zegt organisator Brian Bourne, die zelf ook slachtoffer werd en met zijn gegevens op de muur verscheen.
Kinderachtig
Sommige bezoekers zien dat anders. "De meeste deelnemers, waaronder ikzelf, dachten dat het gebruik van de SecTor 'beveiligde WiFi' verbinding ze de schande van de Wall of Shame zou besparen. Helaas was dit niet het geval", aldus blogger en deelnemer Andrew Hay.
Hij vond dat de organisatie niet duidelijk had vermeld dat het verkeer kon worden afgeluisterd. Bourne is het daar niet mee eens, maar laat weten het volgend jaar nog duidelijker te maken. Anderen vinden weer dat security professionals beter hadden moeten weten dan zomaar een draadloos netwerk te vertrouwen, maar dat het aan de schandpaal nagelen wel erg kinderachtig was. De machine die de gegevens verzamelde is inmiddels met DBAN gewist.
Over wat voor "gegevens" gaat dit eigenlijk? Het lijkt me nogal een naai streek om login informatie (username/password) van mensen op die muur te zetten
Je kunt er misschien op rekenen op zo'n conferentie dat medebezoekers dit mogelijk proberen. Het feit dat de organisatie zelf de bezoekers op deze wijze gaat afluisteren vind ik op zijn zachtst gezegd merkwaardig en onethisch. Verder is het gedrag ook simpelweg strafbaar.
als mensen stom genoeg zijn om hun username/password in plaintext over het netwerk te sturen verdienen ze niet beter
Maar ja dat is dan de aard van de beveiliging,hoelang het zal duren voordat er weer ergens een lek is ondekt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
