23-02-2016, 21:08 door Anoniem: Door Erik van Straten: 23-02-2016, 15:26 door Anoniem: als al je verkeer https beveiligd is, hoe groot is dan het risico?
Even uit de losse pols (wellicht niet compleet dus):
1/2/3/4/5/6/7.
Interessant overzicht van risico's die wel aangeven dat er een risico's zijn maar niet hoe groot het risico dan werkelijk is (iets wat de vraagsteller zich afvroeg).
Dat is ook een lastige vraag om te beantwoorden.
Inderdaad. Risico = Kans x Impact.
De
Impact is de schade die je loopt. Persoonlijk kies ik daarvoor graag de "worst case" situaties van een of meer scenario's, en probeer die schade zo goed mogelijk in geld uit te drukken om tot een zo objectief mogelijk resultaat te komen. Deze impact verschilt echter per persoon, per situatie en per locatie (denk aan een dissidente Chinees in China - en wie weet in een Chinees restaurant in Nederland, zie ook het eind van deze bijdrage). Hier kun je dus, zonder aanvullende gegevens, niets zinvols over zeggen.
Het inschatten van de
Kans dat je met zo'n worst-case situatie te maken krijgt, is wellicht nog lastiger. Als je lid van de Tweede Kamer/regering of een hoge ambtenaar bent, kan ik me voorstellen dat de kans, dat een journalist (of Oostblokker) middels een in de nabijheid van het Binnenhof opgesteld "evil twin" access point, jouw communicatie afluistert (of erger), groter is dan dat je daar als tiener bij MacDonalds voor moet vrezen.
Uit
http://www.theregister.co.uk/2013/11/26/eu_parliament_public_wifi_suspended/:
26 Nov 2013 at 17:26, door John Leyden: :
[...]
The European Parliament has disabled its public Wi-Fi network following the detection of a suspected hacking attack [...]
The Parliament has been subject to a man-in-the-middle attack, where a hacker has captured the communication between private smartphones and the public Wi-Fi of the Parliament (EP-EXT Network).
The consequence is that some individual mail-boxes have been compromised. All concerned users have already been contacted and asked to change their password.
[...]
23-02-2016, 21:08 door Anoniem: Ik denk dat zelfs met al deze angstaanjagende voorbeelden het risico relatief laag is.
Fijn dat jij dat denkt, maar ik heb geen idee (zie hierboven).
23-02-2016, 21:08 door Anoniem: Anders zouden we er wel veel meer mee geconfronteerd worden in het nieuws zou je denken.
De vraag is of men erachter komt op welke wijze gevoelige informatie is ontvreemd, c.q. hoe devices gecompromitteerd zijn geraakt.
23-02-2016, 21:08 door Anoniem: Want het aantal openbare wifi gebruikers is massaal, internetbankieren via de smfone gebeurt ook massaal en toch horen we niet over een toename van teleurgestelde internetbankierders met plots lege rekeningen.
Aanvankelijk waren ook veel internetbankierapps lek. Maar ondertussen hebben banken daar flinke verbeteringen in aangebracht, dus verbaast het mij niet dat we tegelijkertijd geen
toename hebben gezien.
Echter, het aantal malware/trojan apps dat oudere Android versies volledig overneemt (en root access verkrijgt) neemt ondertussen wel toe. De tijd zal het leren of het cybercriminelen lukt om daar structureel geld mee te "verdienen". Enkele recente voorbeelden:
http://www.theregister.co.uk/2016/02/23/dangerous_android_banking_bot_leak_signals_new_malware_wave/http://www.theregister.co.uk/2016/02/24/android_users_installed_2_billion_datastealing_backdooring_apps/Mocht je overigens denken dat er uitsluitend nog veilige apps worden gemaakt, lees dan dit (gericht op de Chinese markt, maar toch), uit
https://citizenlab.org/2016/02/privacy-security-issues-baidu-browser/ (bron:
http://www.theregister.co.uk/2016/02/24/baidu_browser_reveals_customer_credentials/):
February 23, 2016, door Jeffrey Knockel, Sarah McKune, Adam Senft:
[...]
- Baidu Browser, a web browser for the Windows and Android platforms, transmits personal user data to Baidu servers without encryption and with easily decryptable encryption, and is vulnerable to arbitrary code execution during software updates via man-in-the-middle attacks.
[...]
(de sleutel voor de "easily decryptable encryption" is hard-coded en wordt genoemd in het artikel).