image

Security Tip van de Week: do's en don'ts voor open WiFi

maandag 25 februari 2013, 11:30 door Cesare Garlati, 15 reacties

In de Security Tip van de week geeft elke week een andere professional, expert, onderzoeker of lezer een security tip. Persoonlijke tips, variërend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.

Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.

Deze week de tip van Cesare Garlati

Mobiele bedreigingen
We gebruiken steeds meer mobiele devices in ons dagelijkse leven. En steeds vaker worden deze mobiele devices zowel zakelijk als privé gebruikt. Met deze toenemende mobiliteit willen we uiteraard ook overal toegang tot het internet hebben. De noodzaak van een goede beveiliging van de, inmiddels traditionele, desktop is wel bekend, maar hoe zit het met de beveiliging van de verschillende mobiele apparaten?

Uit ons onderzoek blijkt dat maar weinig mensen zich bewust zijn van het feit dat het beveiligen van mobiele apparaten van groot belang is. Zo maakt slechts 20 procent van de Android-gebruikers gebruik van een beveiligingsapp. Voor cybercriminelen is het daarom kinderspel om via deze mobiele devices binnen te dringen.

We verwachten dat bedreigingen op apparaten met Android een grote vlucht zullen nemen en dat de belangrijkste bedreiging dit jaar dan ook afkomstig zal zijn van kwaadaardige Android apps. Waren er eind 2012 nog 350.000 kwaadaardige Android apps, zal dit in 2013 naar verwachting uitgroeien tot een miljoen.

De gevaren
Iedereen heeft het wel eens gedaan; gebruik maken van een openbaar en onbeveiligd Wi-Fi netwerk. Even je email checken, twitteren of gewoonweg het laatste nieuws volgen. Toch breng je hiermee je eigen online veiligheid snel in gevaar. Iedereen die het netwerk gebruikt kan in theorie namelijk zien wat je doet; van het zien van de websites die je hebt bezocht tot het toegang krijgen tot jouw mail.

De do’s en dont’s voor openbare Wi-Fi-netwerken
Maar betekend dit dat je een dergelijk openbare Wi-Fi hotspot in geen enkel geval mag gebruiken? Natuurlijk is het beter om je online activiteiten te beperken tot je eigen beveiligde netwerk, maar mocht het nu echt nodig zijn, is er een aantal zaken die je kunt ondernemen om de risico’s te beperken. Daarom hier enkele do’s en dont’s voor het gebruiken van een openbaar Wi-Fi netwerk:

  • Controleer je eigen instellingen als je buiten de deur bent. Zorg ervoor dat je device niet automatisch verbinding maakt met een Wi-Fi netwerk, maar zorg dat je altijd eerst toestemming moet geven. Maak alleen verbinding wanneer het echt nodig is en zorg er daarnaast voor dat het automatisch delen van bestanden niet is geactiveerd.

  • Het is een open deur, maar onthoud dat een openbaar netwerk openbaar is en pas daar je surfgedrag op aan. Check dus niet zomaar je bankzaken, maar houd het luchtig.

  • Wanneer een openbare gelegenheid gratis Wi-Fi heeft, controleer dan eerst de naam van het netwerk voordat je hier verbinding mee maakt. Cybercriminelen zetten namelijk dummy netwerken op waarbij je, zodra je er verbinding mee maakt, direct in de val loopt. Verifieer daarom altijd eerst de naam van het netwerk bij de gelegenheid waar je bent voordat je het internet op gaat.

  • Laat je niet misleiden door te denken dat een Wi-Fi hotspot in een openbare gelegenheid, bijvoorbeeld in een café of restaurant, waarbij je een wachtwoord ontvangt veilig is. Iedereen die erom vraagt ontvangt tenslotte dit wachtwoord en dat geldt dus ook voor criminelen.

  • Ben je buiten de deur en wil je toch creditcard informatie invullen of bankzaken controleren, zorg dan dat het webadres met ‘https’ begint. De ‘s’ staat voor ‘secure’ en het laat daarmee zien dat de website veilig is. Let er tevens op dat sommige websites ‘https’ alleen gebruiken voor hun inlog pagina en je daarna gewoon weer doorsturen naar de normale ‘http’ pagina. Op je mobiele telefoon is het overigens soms lastig te zien of je gebruik maakt van ‘https’.

  • Verander de wachtwoorden die je hebt gebruikt tijdens het gebruiken van een openbaar Wi-Fi netwerk zodra je weer op een beveiligd netwerk bent.

  • Probeer, indien mogelijk, een Virtual Private Network (VPN) te gebruiken.

Cesare Garlati is Vice President Mobile Security bij Trend Micro

Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.

Reacties (15)
25-02-2013, 14:51 door yobi
Inderdaad even een netwerk opzetten bijvoorbeeld: free-hotspot.com en succes is gegarandeerd.

Belangrijk is ook om de lijst met netwerken na gebruik te schonen. Een nieuw netwerk wordt boven aan de lijst toegevoegd en heeft dan de voorkeur. Een hacker kan zien naar welke netwerken een laptop of ander client zoekt. Het netwerk met de hoogste prioriteit en zonder encryptie kan dan in de lucht worden gezet.

Het lijstje met netwerken kan ook ongewenst details uitzenden. Bijvoorbeeld hotelnamen, plaatsnamen, familienamen, adres enz.

Opschonen dus!
25-02-2013, 14:52 door yobi
Ook beveiligde netwerken van hotels, waarvan iedereen het wachtwoord weet .....
25-02-2013, 16:20 door Anoniem
Controleer de naam? Ik kan als "hacker" best een netwerk opzetten met dezelfde naam als die bij de mac, en door een sterker signaal te hebben verbind men automatisch met mij. Dus nooit automatisch laten verbinden met open netwerken.

De naam is irrelevant.
25-02-2013, 22:07 door Erik van Straten
Als je HTTPS Everywhere installeert zul je zien dat meer sites via https (only) bereikbaar zijn dan je dacht.

Voor Firefox en Chrome zie https://www.eff.org/https-everywhere, voor MSIE: zoek naar de laatste HTTPS Everywhere in https://www.zscaler.com/resourcestools.php.
26-02-2013, 11:46 door Anoniem
Weet ook dat de standaard android email client niet controleert of het certificaat echt is. Iemand die MITM speelt kan dus eenvoudig email wachtwoorden achterhalen. Ook van je IMAPS en POPS email accounts.
27-02-2013, 00:15 door Anoniem
Ben je buiten de deur en wil je toch creditcard informatie invullen of bankzaken controleren, zorg dan dat het webadres met ‘https’ begint. De ‘s’ staat voor ‘secure’ en het laat daarmee zien dat de website veilig is. Let er tevens op dat sommige websites ‘https’ alleen gebruiken voor hun inlog pagina en je daarna gewoon weer doorsturen naar de normale ‘http’ pagina. Op je mobiele telefoon is het overigens soms lastig te zien of je gebruik maakt van ‘https’.
Hier wordt ik nou altijd zo moe van. Alleen controleren of een site 'https' laat zien is NIET voldoende. Het is noodzakelijk om voor bankzaken bijvoorbeeld het certificaat te controleren. Vooral de datum van uitgifte/verlopen en de 'vingerafdruk' van dit certificaat. Een certificaat is bij een MITM-attack te verwijderen en te vervangen door een andere. De grootse websites bieden EV-certificaten die een betere bescherming bieden.
27-02-2013, 09:43 door Anoniem
Er wordt gezegd: nooit verbinding maken met openbare netwerken.
Feit is echter dat wel iedereen dit doet bij de Mac, op de vakantieparken.
Wij, lezers van security.nl, houden onze zaken goed in de gaten, maar het gros niet.
Je kunt zeggen wat je wilt hier en misschien in grote dagbladen met diverse doemscenario's: gebruik geen openbaar wifi!!!
maar de gewone gast in de straat zegt "wtf, ik wil nu internet."

Waar volgens mij meer behoefte aan is is een praktische handleiding hoe je VPN kan inrichten. Ja, natuurlijk is het allemaal op internet te vinden, maar ik bedoel echt praktisch, zodat mijn Pa>70 het ook kan. En mijn zoontje van 9 die nu met Scratch aan het klooien is het over 3 jaar ook kan (en snapt). Het moet zoiets worden als je fiets en je auto op slot zetten.
27-02-2013, 15:29 door Anoniem
"De ‘s’ staat voor ‘secure’ en het laat daarmee zien dat de website veilig is." -> Nee, de 's' laat zien dat de verbinding veilig is, maar zegt niks over de website zelf.
28-02-2013, 01:22 door Erik van Straten
Door Anoniem: Alleen controleren of een site 'https' laat zien is NIET voldoende.
Eens, je moet ook controleren of de hostname in de URL balk overeenkomt met waar je naar toe wilde.

Het is noodzakelijk om voor bankzaken bijvoorbeeld het certificaat te controleren. Vooral de datum van uitgifte/verlopen en de 'vingerafdruk' van dit certificaat.
Oneens. Dat gaat geen normaal denkend mens handmatig doen en is overdreven. En wat doe je als de bank een certificaat heeft vernieuwd?

Daarnaast, als voorbeeld: ik ben zowel met MSIE als met Firefox naar https://encrypted.google.com/ gegaan en kreeg 2 verschillende certificaten. Beide zijn voor *.google.com, en beide verlopen op 2013-06-07 19:43:27 GMT. Echter, eentje is ingegaan op 2013-02-20 13:34:43 GMT en de andere op 2013-02-20 13:39:05 GMT.
Bovendien verschillen de serienummers:
14 84 d9 a3 00 00 00 00 7d 35
14 88 d7 df 00 00 00 00 7e 12
Daarnaast gebruikt het ene certificaat RSA Encryption (OID=1.2.840.113549.1.1.1) en de andere ECC (OID=1.2.840.10045.2.1)
En ook de SHA1 thumbprints verschillen natuurlijk:
ab 93 de a9 19 60 8a 13 ca f0 8a b8 9c 99 be d6 be ee db 8b
f4 66 9b 15 86 43 21 84 ab cb f5 72 2c dc d8 86 45 80 ad 0f
Wat kan ik hieruit concluderen volgens jou? Is één van die certificaten vervalst, zo ja, welke? Of beide misschien? Ook Xs4all gebruikt meerdere certificaten (van verschillende CA's) voor "*.xs4all.nl".

Een certificaat is bij een MITM-attack te verwijderen en te vervangen door een andere.
Voor de site die je opent is dat helemaal niet zo simpel. Het volgende kan dan gebeuren:
1) De hostname in de URL balk wijzigt en klopt niet met waar je naar toe ging. Dat had je moeten zien;
2) De hostname in de URL balk klopt wel, maar toch heb je een andere site "aan de lijn". Dan heb je ofwel:
2.a) Een certificaatfoutmelding;
2.b) Geen certificaatfoutmelding. In dat geval kan het volgende aan de hand zijn:
2.b.1) Een CA heeft onterecht een certificaat voor de betreffende financiële organisatie uitgegeven;
2.b.2) Een CA is zodanig gecompromitteerd dat een aanvaller een vervalst certificaat heeft kunnen maken;
2.b.3) Een CA heeft onbedoeld een (sub-) CA certificaat uitgegeven waarmee een vervalst SSL certificaat is gegenereerd;
2.b.4) De private key van de betreffende website is in handen gevallen van een aanvaller;
2.b.5) De site stuurt jouw webbrowser tevens naar andere sites (die je niet ziet in je URL balk) en de verbinding naar minstens één van die sites wordt gekaapt.

Bij de scenario's 2.b.5 en 2.b.4 zijn jouw checks kansloos. Zeker bij scenario's 2.b.3 en mogelijk bij 2.b.2 (en misschien ook nog wel bij 2.b.1) kan de aanvaller de ingangs- en verloopdatum zelf opgeven. Als je iets van certificaten wilt controleren, zou ik in eerste instantie naar de certificate chain kijken. Als je met een Nederlandse bank communceert en het certificaat is uitgegeven door Türktrust of door CNNIC kun je er donder op zeggen dat er iets niet goed gaat.

De grootse websites bieden EV-certificaten die een betere bescherming bieden.
De enige "zekerheid" die je hebt is dat CA's beloven dat ze nauwkeuriger zullen vaststellen dat de aanvrager gerechtigd is om een certificaat aan te vragen voor de betreffende hostname (zoals "mijn.ing.nl"). Verder is het alleen een verkooppraatje.

Bovendien: als ik https://mijn.ing.nl/internetbankieren/SesamLoginServlet open zie ik een EV-certificaat. Echter, onderaan de sourcecode van die webpagina staat:
<iframe src="https://bankieren.mijn.ing.nl/static/preloader.html" width="0" height="0" tabindex="-1" style="border: none;"></iframe>
Fijn dat https://bankieren.mijn.ing.nl (waar mijn webbrowser daadwerkelijk naar toe gaat als ik https://mijn.ing.nl/internetbankieren/SesamLoginServlet open) ook een EV-certificaat heeft, en hetzelfde geldt ook voor https://bankieren-mijnzakelijk.glb.ing.nl/.
Alleen jammer dat een gewone gebruiker helemaal geen certificaten ziet van die "onderwater" sites (laat staan thumbprints kan checken). Last but not least wordt er ook verbinding gemaakt met https://mon.retail.ing.nl/. En die heeft (momenteel in elk geval) helemaal geen EV certificaat. Hoewel er dus onder water een https verbinding gemaakt wordt met een site die helemaal geen EV certificaat heeft, leidt dit niet tot een afwaardering van het getoonde EV-certificaat, noch tot een waarschuwing...

Nb. het feit dat webbrowsers, tijdens een https sessie, straffeloos onder water met allerlei andere sites (dan getoond in de URL balk) verbinding kunnen maken, is natuurlijk absurd.

En dat banken van dit mechanisme gebruik maken vind ik helemaal onbegijpelijk (zie ook https://gathering.tweakers.net/forum/list_message/36523714#36523714 en bijbehorende melding http://www.siteadvisor.com/phishing.html?domain=ing.nl&originalURL=1312547732&pip=false&premium=false&client_uid=212700250&client_ver=3.3.1.133&client_type=IEPlugin&suite=false&aff_id=0&locale=en_us&os_ver=6.1.1.0, en https://gathering.tweakers.net/forum/list_message/36518735, en https://www.security.nl/artikel/32214/1/ING_en_2o7.net.html).

Door Anoniem: "De ‘s’ staat voor ‘secure’ en het laat daarmee zien dat de website veilig is." -> Nee, de 's' laat zien dat de verbinding veilig is, maar zegt niks over de website zelf.
Correcte opmerking, +1!
01-03-2013, 00:37 door Anoniem
Nb. het feit dat webbrowsers, tijdens een https sessie, straffeloos onder water met allerlei andere sites (dan getoond in de URL balk) verbinding kunnen maken, is natuurlijk absurd.
Niet mee eens. Zo is het web nou eenmaal opgebouwd, uit links. Anders zou alle content lokaal aanwezig moeten zijn. Zolang alle 'onder water sites' geldige certificaten hebben voor remote content is er niks aan de hand. Wanneer op een beveiligde pagina content van een onbeveiligde verbinding wordt gelinkt krijg je een waarschuwing.

Daarnaast, als voorbeeld: ik ben zowel met MSIE als met Firefox naar https://encrypted.google.com/ gegaan en kreeg 2 verschillende certificaten. Beide zijn voor *.google.com, en beide verlopen op 2013-06-07 19:43:27 GMT. Echter, eentje is ingegaan op 2013-02-20 13:34:43 GMT en de andere op 2013-02-20 13:39:05 GMT.
Gebruikt een gemiddelde gebruiker verschillende browsers voor hetzelfde doel, bankzaken > nee.

Dat 2 browsers verschillende certificaten geven, geeft alleen maar aan dat deze een andere DNS route hebben. Dat kan bij grote sites zo zijn die meerdere servers over de hele wereld hebben staan. Voor een bank (ing.nl) is dit niet waarschijnlijk. Daarom heb je ook google gebruikt waarschijnlijk. Daarvan is bekent dat er overal servers staan, net als van facebook.

Dat xs4all meerdere certificaten gebruikt is heel mooi. Wil je daarmee zeggen dat deze elke dag veranderen? En dat een vingerafdruk nakijken geen zin heeft van een van de subdomeinen? De vingerafdruk is het belangrijkste waar je certificaten mee kan onderscheiden.

De site stuurt jouw webbrowser tevens naar andere sites (die je niet ziet in je URL balk) en de verbinding naar minstens één van die sites wordt gekaapt
DE site? welke site? Bedoel je dat iemand (MITM) eerst een site heeft opgezet met hetzelfde certificaat als het origineel?

Laten we het maar houden op de conclusie dat als de vingerafdrukken overeenkomen je in ieder geval met dezelfde site te doen hebt. Zo niet, dan kunnen daar meerdere redenen voor zijn. Laten we het niet hebben over gemiddelde gebruikers. Daar zit altijd de oorzaak van niet werkende beveiliging.
01-03-2013, 16:39 door [Account Verwijderd]
[Verwijderd]
01-03-2013, 17:31 door Erik van Straten
Door Anoniem: Anders zou alle content lokaal aanwezig moeten zijn.
Onzin. Je kunt prima voor één https endpoint kiezen, wat je daarachter bouwt is helemaal aan jou.

Door Anoniem: Dat 2 browsers verschillende certificaten geven, geeft alleen maar aan dat deze een andere DNS route hebben. Dat kan bij grote sites zo zijn die meerdere servers over de hele wereld hebben staan. Voor een bank (ing.nl) is dit niet waarschijnlijk.
Als je mijn post goed gelezen had, had je kunnen zien dat als ik in mijn webbrowser (de enige die ik op dat moment gebruik) https://mijn.ing.nl/ open, er verbinding wordt gemaakt met 4 verschillende ing.nl servers, en mijn webbrowser daar dus 4 verschillende SSL certificaten van ontvangt (waarvan 3 EV en 1 gewoon).

Overigens gebeurt dit zowel in Firefox als in MSIE.

DE site? welke site?
https://mijn.ing.nl/

Bedoel je dat iemand (MITM) eerst een site heeft opgezet met hetzelfde certificaat als het origineel?
Nee, ik bedoel dat een aanvaller bewust niet de primaire verbinding met https://mijn.ing.nl kaapt (dat valt teveel op), maar juist met één of meer van de onderwatersites, bijv. met https://bankieren.mijn.ing.nl/.

Zoals ik in mijn vorige bijdrage aangaf: die laatstgenoemde site wordt, in opdracht van html code vanaf https://mijn.ing.nl/, in een iframe van 0x0 pixels geopend - vermoedelijk om security checks te kunnen uitvoeren. Die "feature" zou echter wel eens een bug kunnen blijken te zijn (kennelijk moet ING zich verlagen tot malware trucs om malware te kunnen vaststellen, Google maar eens naar: malware iframe 0x0).

Zo ben ik benieuwd of alle webbrowsers een foutmelding tonen als https://bankieren.mijn.ing.nl/ een nepcertificaat aanbiedt, en zo ja, of dat vervolgens "blocking" is voor de sessie. Of is het wellicht mogelijk om de webbrowser daarna een redirect te laten uitvoeren naar een andere site (welke niet op ing.nl eindigt), natuurlijk met een wel geldig certificaat, waarna alles voor de gebruiker in orde lijkt maar de aanvaller wel kan "meekijken"?

Teken aan de wand hierbij is wat mij betreft dat noch MSIE, noch Firefox (andere webbrowsers heb ik niet getest), erover klaagt dat in elk geval één van de "onderwatersites" geen EV certificaat gebruikt - wat mij betreft is dat een bug. En dat stinkt naar meer ellende.

Daarom vind ik dat webbrowsers uitsluitend een https verbinding met de in de URL balk getoonde site zouden moeten maken, daar zou veel potentiële ellende mee kunnen worden voorkomen. Helaas wint featuritis het nog van common sense, maar het zou mij niet verbazen als webbrowsers binnen een paar jaar alleen nog doen wat ik voorstel. Beter nog, dat een https webbrowser en geheel ander programma is dan een http webbrowser. Of in elk geval een andere GUI schil heeft, de rendering engine kan eventueel dezelfde zijn.

Laten we het niet hebben over gemiddelde gebruikers
Wat mij betreft hebben we het daar juist wel over, en over alle mensen die daar qua securitykennis onder zitten. Want bij elkaar vormen zij de groep internetbankiers waar ik me het meeste zorgen over maak.
01-03-2013, 21:34 door Anoniem
Do's en don'ts? Geniet, maar gebruik het internet met mate. Dus niet op iedere plek waar het kan (maar niet moet, en meestal ook niet hoeft). En al helemaal niet op vakantie. En bankier lekker thuis.
15-08-2013, 13:40 door Anoniem
Als ik naar mijn ing.nl ga loopt de verbinding via https://bankieren.mijn.ing.nl en via https://mon.retail.ing.nl/
Is dat normaal ?

Als ik naar facebook ga loopt de verbinding via andere sites.
Is dat normaal ?
06-05-2015, 19:11 door Anoniem
Is het ook zo dat je mails door anderen te lezen zijn op een openbaar netwerk?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.