image

Test met openbare wifi-netwerken misleidt 2.000 gebruikers

dinsdag 23 februari 2016, 14:53 door Redactie, 15 reacties

Tijdens een test met gratis wifi op het vliegveld van Barcelona hebben meer dan 2.000 gebruikers verbinding met verschillende openbare wifi-netwerken gemaakt die op het eerste gezicht betrouwbaar leken, maar in werkelijkheid al het wifi-verkeer van gebruikers analyseerden.

De test werd het weekend voor het Mobile World Congres in Barcelona door anti-virusbedrijf Avast uitgevoerd. De virusbestrijder wilde aantonen hoe riskant gebruikers zijn als het om openbare wifi-netwerken gaat. Voor de test waren er drie wifi-netwerken opgezet met de namen "Starbucks", "Airport_Free_Wifi_AENA" en "MWC Free WiFi". Het leek daardoor om algemeen bekende wifi-netwerken te gaan en een netwerk dat speciaal voor het congres was opgezet. Binnen 4 uur maakten meer dan 2.000 mensen verbinding met de netwerken.

Avast stelt dat niet alle gebruikers opzettelijk verbinding maakten. Vaak staan mobiele apparaten zo ingesteld om automatisch met bekende netwerknamen verbinding te maken. "Hoewel gemakkelijk voor veel mensen, heb je met deze feature het risico om te worden bespioneerd door cybercriminelen die malafide wifi-netwerken met veelvoorkomende netwerknamen opzetten. Daarnaast is het verkeer bij wifi-netwerken die geen wachtwoord vereisen voor iedereen zichtbaar", aldus het anti-virusbedrijf.

De onderzoekers, die de verkeersgegevens niet opsloegen, zagen hoe bijna 62% van de gebruikers op Gmail inlogde of via Google naar informatie zocht. Daarnaast had iets meer dan de helft de Facebook-app geïnstalleerd en kon van zo'n 64% de identiteit van het apparaat en de gebruiker worden vastgesteld.

Reacties (15)
23-02-2016, 14:59 door Anoniem
Bewijst weer twee dingen:

1: Hoe dom veel telefoon mensen zijn, als ze maar GRATIS!! Wi-Fi hebben.

2: Dat mensen niet eens VPN's gebruiken op openbare spots. (hoewel dit ook niet 100% safe is, maar beter dan niks)
23-02-2016, 15:12 door Erik van Straten
Helaas schrijven de WLAN standaarden niet voor dat access points zich moeten authenticeren met een digitaal certificaat.
23-02-2016, 15:26 door Anoniem
als al je verkeer https beveiligd is, hoe groot is dan het risico?
23-02-2016, 16:33 door Matthias Huisman
Dit is al zodanig vaak gedaan (F-Secure's Mikko Hypponen heeft er al een keer een speech over gehouden, het bestaan van de Wifi Pineapple en ga zo maar door), dat het eigenlijk niet nieuw is.

Het punt is dat gebruikers te makkelijk er van uit gaan, dat omdat het technisch werkt, het in orde is. Ze gebruiken hun eigen device, dus het zal wel goed zijn. Of het interresseerd gewoon te weinig (of is te lastig) om te beschermen.

Kort door de bocht: you cannot patch stupid. Laat de gebruikers maar eens op hun plaat gaan. Zodra eentje goed onderuit is gegaan, weet de rest van de kudde weer waarom het er ook al weer was. Oneerbiedig? Ja, maar we zijn als mensen nu eenmaal een zooi Lemmings.
23-02-2016, 17:11 door Anoniem
Door Matthias Huisman: Dit is al zodanig vaak gedaan (F-Secure's Mikko Hypponen heeft er al een keer een speech over gehouden, het bestaan van de Wifi Pineapple en ga zo maar door), dat het eigenlijk niet nieuw is.

Het punt is dat gebruikers te makkelijk er van uit gaan, dat omdat het technisch werkt, het in orde is. Ze gebruiken hun eigen device, dus het zal wel goed zijn. Of het interresseerd gewoon te weinig (of is te lastig) om te beschermen.

Kort door de bocht: you cannot patch stupid. Laat de gebruikers maar eens op hun plaat gaan. Zodra eentje goed onderuit is gegaan, weet de rest van de kudde weer waarom het er ook al weer was. Oneerbiedig? Ja, maar we zijn als mensen nu eenmaal een zooi Lemmings.

Topic voor extreem slimme mensen

https://www.security.nl/posting/435724/ICT+%26+de+oliedomme+gebruiker
23-02-2016, 17:22 door Anoniem
Door Anoniem: als al je verkeer https beveiligd is, hoe groot is dan het risico?

In theorie niet groot. Ik de praktijk echter wel. Met behulp van bijvoorbeeld SSLstrip tool kun je eenvoudig SSL van een website strippen. Indien de gebruiker dan niet controleert of er daadwerkelijk https gebruikt wordt ben je nog nergens.

Er is eigenlijk maar één advies. Vertrouw geen enkel wifi netwerk behalve degene die je zelf beheerd.
23-02-2016, 17:33 door Erik van Straten - Bijgewerkt: 23-02-2016, 17:36
23-02-2016, 15:26 door Anoniem: als al je verkeer https beveiligd is, hoe groot is dan het risico?

Even uit de losse pols (wellicht niet compleet dus):

1) Niet al het verkeer tussen portable devices en servers is via https beveiligd. Sowieso is DNS dat niet (en ook nog eens simpel te manipuleren door een MITM = Man-in-the-Middle), maar bijv. veel virusscanners downloaden updates via http, en eerder bleek dat de integriteit+authenticiteit van dergelijke downloads zelf niet altijd goed werd gecontroleerd. Dat kan ook voor allerlei applicaties gelden. Daarnaast kan een MITM desgewenst verbindingen blokkeren. Ook zijn veel (nieuws-) sites nog niet bereikbaar via https (of deels, bijv. plaatjes via http - die een MITM desgewenst kan vervangen en je zo op het verkeerde been zetten);

2) Als apps al https ondersteunen, komt het vaak voor dat ze het servercertificaat niet (goed) checken waardoor dit gespoofed kan worden. Dit gold (geldt?) ook voor verschillende antivirus producten die SSL inspecteren;

3) Niet alle devices en software gebruiken up-to-date TLS clients (ook op dit punt faalden veel SSL-inpecterende virusscanners), maar als zowel server als client nog RC4 (of ouder, zoals single DES / export grade encryption) ondersteunen, kan een MITM wellicht het egbruik daarvan forceren en vervolgens de versleuteling kraken;

4) Als de gebruikte webbrowser geen HSTS ondersteunt (of als je een site voor het eerst bezoekt en deze niet in de preloaded list voorkomt) weet je mogelijk niet dat je de site via https kunt benaderen, en kan een MITM van SSLStrip gebruik maken;

5) Als jouw device een rootcertificaat aan boord heeft waarvan de MITM de bijbehorende private key heeft (via social engineering aan jou opgedrongen, of bijv. "eDellRoot", Lenovo etc). kan die MITM elke https verbinding onderscheppen en jouw device wellicht nep-updates opdringen (en dus volledig overnemen);

6) Zelfs al zouden alle verbindingen veilig geauthenticeerd en versleuteld zijn, dan bestaat er nog steeds een privacy risico: de MITM weet (in elk geval aan de hand van het MAC-adres) om welk merk device het gaat en met welke servers (Google, GMail, Facebook, ING, PayPal, security.nl, etc.) jouw device verbinding maakt. Bovendien geven veel devices (meestal zonder dat de gebruiker het weet) zeer veel informatie prijs - meestal via (onversleutelde) broadcast berichten, bijv. welke printer je gebruikt maar ook de device name (niet zelden die van de gebruiker) komen plain-text "voorbij" in het broadcast domain waar je zit - dus in te zien door de MITM, en desgewenst te beantwoorden;

7) Voor heel veel netwerk-gebaseerde lekken wordt als mitigerende maatregel genoemd dat een aanvaller zich als MITM moet kunnen positioneren, iets dat over het algemeen moeilijker wordt geacht dan het is - zeker in dit voorbeeld (de risico's zijn wel afhankelijk van of je een firewall inzet, en de instellingen daarvan).

Vergelijkbaar met te hard rijden op een motor zonder helm en motorpak - je bent gewoon veel kwetsbaarder dan op een bedraad netwerk.
23-02-2016, 18:29 door Anoniem
Failure to authenticate!!!
23-02-2016, 21:08 door Anoniem
Door Erik van Straten:
23-02-2016, 15:26 door Anoniem: als al je verkeer https beveiligd is, hoe groot is dan het risico?

Even uit de losse pols (wellicht niet compleet dus):

1/2/3/4/5/6/7.

Interessant overzicht van risico's die wel aangeven dat er een risico's zijn maar niet hoe groot het risico dan werkelijk is (iets wat de vraagsteller zich afvroeg).

Dat is ook een lastige vraag om te beantwoorden.
Ik denk dat zelfs met al deze angstaanjagende voorbeelden het risico relatief laag is.
Anders zouden we er wel veel meer mee geconfronteerd worden in het nieuws zou je denken.
Want het aantal openbare wifi gebruikers is massaal, internetbankieren via de smfone gebeurt ook massaal en toch horen we niet over een toename van teleurgestelde internetbankierders met plots lege rekeningen.
23-02-2016, 22:09 door Anoniem
Haha, ook toevallig, ik wou deze week op mijn school nog een wifi netwerk met ssid "WiFi in de trein" opzetten en kijken wat ikallemaal kan oppikken.

Ik ben geen bad guy hoor, white hat :)
24-02-2016, 01:37 door Anoniem
.... hoe riskant gebruikers zijn als het om openbare wifi-netwerken gaat ....

Redactie! Dit kan je toch niet toelaten! Doet pijn aan m'n ogen, aan alles eigenlijk. Stuur die schrijver terug naar school, of gewoon weg als het niet anders kan.
Met een automatische spellingchecker kan je veel imbeciliteit verbergen, maar zulke stomme taalfouten laten altijd weer het werkelijke NON-niveau van schrijvers zien. De persoon die dit schrijft is niet in staat om helder te denken, en moet niet worden ingezet op onderwerpen als 'security'!
24-02-2016, 08:57 door Anoniem
Yes! bij avast hebben ze hun wifi pineapple binnen gekregen!

Is dit nieuws ? Ik neem aan dat de meeste mensen hier dit zelf een aantal jaren geleden ook gedaan heeft: toen het nog nieuws was
24-02-2016, 12:56 door Anoniem
als al je verkeer https beveiligd is, hoe groot is dan het risico?
Afhankelijk van hoe goed de honey pot SSLstrip kan configureren.
Als je browserlocatie facebook.com is, en data via ajax komt van fbcdn.net... dan is dat risico minimaal groot te noemen.

bij Avast hebben ze hun WiFi Pineapple binnen gekregen!
Lol, ja, dit deden wij al 3 jaar terug op Schiphol met "KPN", "KLM" en "Schiphol".
Inderdaad met een Pineapple, en met hetzelfde resultaat.
24-02-2016, 13:09 door Erik van Straten
Door Anoniem: Haha, ook toevallig, ik wou deze week op mijn school nog een wifi netwerk met ssid "WiFi in de trein" opzetten en kijken wat ikallemaal kan oppikken.
Doe geen moeite, bestaat al: http://trainwatch.u0d.de/
24-02-2016, 15:33 door Erik van Straten
23-02-2016, 21:08 door Anoniem:
Door Erik van Straten:
23-02-2016, 15:26 door Anoniem: als al je verkeer https beveiligd is, hoe groot is dan het risico?
Even uit de losse pols (wellicht niet compleet dus):
1/2/3/4/5/6/7.

Interessant overzicht van risico's die wel aangeven dat er een risico's zijn maar niet hoe groot het risico dan werkelijk is (iets wat de vraagsteller zich afvroeg).

Dat is ook een lastige vraag om te beantwoorden.
Inderdaad. Risico = Kans x Impact.

De Impact is de schade die je loopt. Persoonlijk kies ik daarvoor graag de "worst case" situaties van een of meer scenario's, en probeer die schade zo goed mogelijk in geld uit te drukken om tot een zo objectief mogelijk resultaat te komen. Deze impact verschilt echter per persoon, per situatie en per locatie (denk aan een dissidente Chinees in China - en wie weet in een Chinees restaurant in Nederland, zie ook het eind van deze bijdrage). Hier kun je dus, zonder aanvullende gegevens, niets zinvols over zeggen.

Het inschatten van de Kans dat je met zo'n worst-case situatie te maken krijgt, is wellicht nog lastiger. Als je lid van de Tweede Kamer/regering of een hoge ambtenaar bent, kan ik me voorstellen dat de kans, dat een journalist (of Oostblokker) middels een in de nabijheid van het Binnenhof opgesteld "evil twin" access point, jouw communicatie afluistert (of erger), groter is dan dat je daar als tiener bij MacDonalds voor moet vrezen.

Uit http://www.theregister.co.uk/2013/11/26/eu_parliament_public_wifi_suspended/:
26 Nov 2013 at 17:26, door John Leyden: :
[...]
The European Parliament has disabled its public Wi-Fi network following the detection of a suspected hacking attack [...]
The Parliament has been subject to a man-in-the-middle attack, where a hacker has captured the communication between private smartphones and the public Wi-Fi of the Parliament (EP-EXT Network).
The consequence is that some individual mail-boxes have been compromised. All concerned users have already been contacted and asked to change their password.

[...]

23-02-2016, 21:08 door Anoniem: Ik denk dat zelfs met al deze angstaanjagende voorbeelden het risico relatief laag is.
Fijn dat jij dat denkt, maar ik heb geen idee (zie hierboven).

23-02-2016, 21:08 door Anoniem: Anders zouden we er wel veel meer mee geconfronteerd worden in het nieuws zou je denken.
De vraag is of men erachter komt op welke wijze gevoelige informatie is ontvreemd, c.q. hoe devices gecompromitteerd zijn geraakt.

23-02-2016, 21:08 door Anoniem: Want het aantal openbare wifi gebruikers is massaal, internetbankieren via de smfone gebeurt ook massaal en toch horen we niet over een toename van teleurgestelde internetbankierders met plots lege rekeningen.
Aanvankelijk waren ook veel internetbankierapps lek. Maar ondertussen hebben banken daar flinke verbeteringen in aangebracht, dus verbaast het mij niet dat we tegelijkertijd geen toename hebben gezien.

Echter, het aantal malware/trojan apps dat oudere Android versies volledig overneemt (en root access verkrijgt) neemt ondertussen wel toe. De tijd zal het leren of het cybercriminelen lukt om daar structureel geld mee te "verdienen". Enkele recente voorbeelden:
http://www.theregister.co.uk/2016/02/23/dangerous_android_banking_bot_leak_signals_new_malware_wave/
http://www.theregister.co.uk/2016/02/24/android_users_installed_2_billion_datastealing_backdooring_apps/

Mocht je overigens denken dat er uitsluitend nog veilige apps worden gemaakt, lees dan dit (gericht op de Chinese markt, maar toch), uit https://citizenlab.org/2016/02/privacy-security-issues-baidu-browser/ (bron: http://www.theregister.co.uk/2016/02/24/baidu_browser_reveals_customer_credentials/):
February 23, 2016, door Jeffrey Knockel, Sarah McKune, Adam Senft:
[...]
- Baidu Browser, a web browser for the Windows and Android platforms, transmits personal user data to Baidu servers without encryption and with easily decryptable encryption, and is vulnerable to arbitrary code execution during software updates via man-in-the-middle attacks.
[...]
(de sleutel voor de "easily decryptable encryption" is hard-coded en wordt genoemd in het artikel).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.