Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Volkskrant: Hotspots KPN zo lek als een mandje

12-01-2011, 10:31 door Anoniem, 3 reacties
Bijgaand artikel stond vandaag in de volkskrant.

http://www.volkskrant.nl/vk/nl/2694/Internet-Media/article/detail/1823517/2011/01/12/Hotspots-KPN-zo-lek-als-een-mandje.dhtml

Weet iemand hoe dat zit met software waarbij https sites worden omgezet naar http standaard sites. Volgens mij is dit uiteindelijk aan de client kant zichtbaar in de vorm van een afwijkend certificaat.
Reacties (3)
12-01-2011, 11:56 door Syzygy

Router
Met een programma zorgt Ackermans ervoor dat al het dataverkeer van apparaten die gebruik maken van het wifi-netwerk eerst via zijn computer loopt voor het langs de router van KPN gaat. Met andere software zet hij zogenaamd beveiligde https-websites om naar de onbeveiligde http-standaard.

Proxy dus, daar hebben we inderdaad leuke tools voor o.a. Webscarab OWASP (heerlijk om mee te werken) plus een extra aanpassing.

echter ...

De grootste fout die KPN maakt, bestaat er volgens de hacker uit dat hij met zijn computer toegang kan krijgen tot andere wifi-apparaten in de buurt.

Betekent dit nou dat hij toegang heeft tot de configs of alleen maar via die apparatuur kan verbinden met het Internet (dus gratis account)

Als hij met 1 Wifi NIC kan verbinden via dat netwerk en een andere Wifi NIC openzet met een SSID naam in de trend van "Schiphol Internet XS" of zo dan is ie dus Man in the MIddle en hoeft ie niks te doen qua Wifi hacken.
Werkt ook leuk in Cafe's en andere openbare gebouwen trouwens. (heb ik van horen zeggen , hè ;-)
Dat is dus altijd een risico met geheel open netwerken en niet zo zeer alleen op Schiphol.
12-01-2011, 12:27 door Anoniem
Een HTTP website gebruikt geen certificaat, dus zal de client / browser ook niet ageren op een fout certificaat.
12-01-2011, 13:06 door Anoniem
Ik denk inderdaad dat er gebruik wordt gemaakt van een identieke methode zoals proxy's ook doen om in een ssl tunnel te kunnen kijken.

Dus je zorgt ervoor dat je op de proxy een certificaat hebt dat door een browser standaard wordt vertrouwd. Je denkt dan contact te maken met een https website, maar je krijgt het certificaat van de proxy voorgeschoteld. Jouw browser vertrouwd deze dan en begint gewoon de rest van de verzoeken af te werken. Je praat dus niet met de website, maar met de proxy computer. En die kan dus gewoon alles meelezen. Deze computer weet wat jij wilt en gaat dus uit jouw naam de verbinding met de echte website opzetten...

https en ook groene adresbalken stellen eigenlijk niets voor. Wat eigenlijk nodig is is dat instellingen veel meer informatie over hun certificaten moeten geven. Want wat de proxy niet kan, is zorgen voor een certificaat met exact dezelfde vingerafdruk als die van de te bezoeken website. Je zou dus die vingerafdruk moeten opvragen door op het slotje te dubbelklikken. Waarschijnlijk staat het certificaat al op een onjuiste naam -- namelijk die van de proxy -- maar dat is nog te vervalsen. Je moet dus kijken of de vingerafdruk klopt. Het beste kan je vanaf een absoluut schone computer in een vertrouwde netwerkomgeving de bewuste website opzoeken en zo de echte vingerafdruk achterhalen. Die zet je dan in een tekstbestandje en je kijkt bij het gebruik bijvoorbeeld op een publieke hotspot of deze sleutel klopt. Zo ja, dan weet je zeker dat je met de juiste computer praat. En anders weet je dat er iemand meeluisterd. Behoorlijk omslachtig maar wel een zekere methode die ook nog wel te automatiseren is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.