27-10-2014, 13:14 door Anoniem: @Erik :
"Anderzijds, het feit dat Tweakers.net geen fatsoenlijke beveiliging biedt, resulteert erin dat ik persoonlijk daar al twee jaar niet meer heb ingelogd (tot vandaag, om te testen)."
Kan je ons dan eens laten weten welke risico's er naar voren kwamen bij het niet-encrypted gebruik van Tweakers.net aangezien je stelt dat je een risico analyse hebt gemaakt ?
Ik weet niet waar jij leest dat ik stel dat ik een risico-analyse van Tweakers.net heb gemaakt. Wat ik probeer duidelijk te maken, is dat je bij zo'n vraagstuk een risico-analyse hoort te (laten) maken, op maat gesneden op de organisatie en haar "klanten".
Het inleidende stuk op tweakers.net [1] (link bovenaan deze pagina) suggereert geenszins dat dit gebeurd is; de grootste zorg lijkt performance te zijn (ruim 4 jaar geleden liet Google al zien dat dit geen issue hoeft te zijn, zie
https://www.imperialviolet.org/2010/06/25/overclocking-ssl.html, en ondertussen draaien vele zeer grote sites op https).
Ik heb terloops wel op één risico gewezen, namelijk dat, als je ingelogd bent op tweakers.net, jouw authenticatie cookie onversleuteld wordt verzonden en daardoor gekaapt zou kunnen worden. Daar moet je je dan wel de vragen bij stellen: A) waarom zou een aanvaller dat willen en B) hoe lastig is het om zo'n aanval uit te voeren.
A) Een aanvaller kan verschillende motieven hebben, ik noem er een viertal (allemaal identiteitsdiefstal, 1+2 gericht tegen een
specifieke Tweaker, bij de andere twee is "wie" nauwelijks van belang):
1) "Defacement": iemand die een hekel heeft aan een Tweaker, zou diens account kunnen kapen, en dan namens die persoon ruzie maken met andere Tweakers. Dat kan knap lastig uit te leggen zijn. Ik zie vaak genoeg hier op security.nl mensen klagen die voor schut worden gezet.
2) De aanvaller kan zodanige schofferende bijdragen namens een Tweaker plaatsen dat die Tweaker gebanned wordt. Lastig uit te leggen, zie het maar eens te bewijzen dat jij die bijdragen niet gepost hebt.
3) Misbruik maken van "gezag": stel je een Tweaker voor die er om bekend staat dat hij vaak links post naar handige tools, waar vervolgens weer anderen naar verwijzen. Of denk aan door een Tweaker gescheven reviews waarbij links naar firmware denkbaar zijn. Een aanvaller die dergelijke links wijzigt (of toevoegt) zodat malware wordt gedownload, kan die Tweaker in diskrediet brengen (en is zelf lastig te traceren).
4) Een Tweaker zou een mailtje kunnen ontvangen van een afperser:
Ik heb in meer dan 1000 van jouw oudere bijdragen links naar kinderporno opgenomen. Ik noem er enkele dit om te bewijzen: <1>, <2>, <3>. Als jij mij 1 Bitcoin betaalt vertel ik je welke andere bijdragen ik gewijzigd heb. Als je niet binnen 1 week betaalt doe ik aangifte bij de politie.
Waarschijnlijk zal de Tweaker meteen zijn wachtwoord wijzigen, maar dat lost het probleem natuurlijk niet op.
En tenzij de Tweaker een slim tooltje bedenkt, kan hij blijven twijfelen of hij alle ongewenste links heeft kunnen verwijderen.
Een creatieve aanvaller kan vast wel meer narigheid bedenken.
Een account zegt iets over jou (en kennelijk snap je dat heel goed, want je post hier anoniem - iets dat niet kan op Tweakers.net). Het is moeilijk om je voor te stellen dat iemand misbruik van van jouw account zou willen maken, maar de praktijk is dat er mensen zijn die dit overkomt. Niet veel, maar je zult het maar zijn.
B) Hoe lastig is zo'n aanval? Ik vermoed dat er Tweakers te vinden zijn die hun IP-adres (evt. via DynDNS etc.) en merk+type modem hebben gepost, en dat remote toegang enabled is. Bij de loodgieter lekt de kraan, de kans dat je op zo'n modem kunt inbreken en de DNS instellingen wijzigen acht ik in een deel van de gevallen reëel.
Van veel Tweakers is het ook niet moeilijk om hun woonplaats en adres te achterhalen. Een aanvaller zou dan vlak bij het huis van zo'n Tweaker zijn WiFi kunnen proberen te hacken. Of de aanvaller wacht tot die (of een willekeurige) Tweaker via een public WiFi hotspot inlogt op de Tweakers site. Een willekeurig TU studentenhuis is ook een "mooi" target.
Afgelopen maandagavond werd in het 20:00 Journaal (
http://nos.nl/uitzendingen/22359-nos-journaal-27-oktober-2014-2000u.html, op offset 19:25), nog gewaarschuwd voor open WiFi netwerken. Helaas was dat wel weer een enorm ingekort sensatieverhaal. Zomaar meekijken bij een Facebook login kan niet, want
juist https beschermt je (en juist
dat knippen ze eruit). Met MSIE wel onder voorwaarde dat je weet waar je op moet letten, maar met andere browsers is de kans op een geslaagde MitM aanval, door HSTS (http Strict-Transport-Security), nagenoeg nul.
27-10-2014, 23:19 door Anoniem: In het geval van tweakers ga je publiekelijk toegankelijke artikelen met ook nog eens doodnormaal karakter nu standaard versleuteld aanbieden. Wat is de meerwaarde hiervan?
Zie mijn reactie hierboven. Of lees artikelen te vinden via Google: firesheep site:security.nl
Http heeft z'n langste tijd gehad. Uit
https://www.ietf.org/proceedings/90/slides/slides-90-httpbis-0.pdf:
Door Adam Langley:
Plaintext is no longer reasonable.
We cannot build a sane Internet without end-to-end cryptography.
Laten we nou niet zeuren over een paar milliseconden (performanceverlies) en het Internet veiliger maken, maar dan wel meteen goed!