Privacy
- Wat niemand over je mag weten
Hoe wordt loginnamen/passwords onderschept?
05-04-2017, 11:42 door Anoniem, 5 reacties
Ik ben een beginnende pentester. Ik heb een algemene vraag over Security/Privacy.
Ik weet dat wanneer je op een NIET HTTPS website inlogt dus --> HTTP.
Dat je je loginnaam/password dus bloot kunt laten zien.
Wanneer je --> HTTPS gebruikt, dan is dit versleuteld.
Maar mijn vraag nu is. Als je inlogt op je EIGEN WiFi netwerk, kunnen dan andere hackers meekijken?
Hoe moet ik dat voor mij zien? In een Cafe of drukke WiFi hotspot plek kan ik het begrijpen. Maar werkt dit ook dus thuis op je eigen WiFi netwerk? Dat Iemand anders het dus kan onderscheppen?
Dank jullie wel
Ik weet dat wanneer je op een NIET HTTPS website inlogt dus --> HTTP.
Dat je je loginnaam/password dus bloot kunt laten zien.
Wanneer je --> HTTPS gebruikt, dan is dit versleuteld.
Maar mijn vraag nu is. Als je inlogt op je EIGEN WiFi netwerk, kunnen dan andere hackers meekijken?
Hoe moet ik dat voor mij zien? In een Cafe of drukke WiFi hotspot plek kan ik het begrijpen. Maar werkt dit ook dus thuis op je eigen WiFi netwerk? Dat Iemand anders het dus kan onderscheppen?
Dank jullie wel
Reacties (5)
Goede vraag.
Nee gelukkig is bij verbinden met je eigen netwerk altijd alles veilig.
Als je zelf pentester bent (wat ik verneem in je post) hoef je je dus geen zorgen te maken.
Dergelijke praktijken gebeuren enkel waar het gras groener is
Succes met testen
Nee gelukkig is bij verbinden met je eigen netwerk altijd alles veilig.
Als je zelf pentester bent (wat ik verneem in je post) hoef je je dus geen zorgen te maken.
Dergelijke praktijken gebeuren enkel waar het gras groener is
Succes met testen
Op het moment dat er een hacker in je netwerk zit, kan hij het netwerkverkeer via zijn machine laten lopen. Hij is dan de ManInTheMiddle. Zelfs SSLvekeer kan onderschept worden, maar niet als het SSL vekeer ECHT goed is ingeregeld. Bijvoorbeeld je bank, kan een MITM detecteren en dan zal je verbinding een foutmelding geven.
Mvg Ron
Mvg Ron
Enkele mogelijkheden:
1) Sniff het plain-text netwerkverkeer waarmee jouw devices aangeven met welke SSID's zij ooit verbinding hebben gehad. Zoek daaruit een open wifi access point uit en spoof dat met een sterker signaal en vuur desgewenst "disconnect" pakketjes af op bestaande verbindingen. Met een beetje geluk ziet de gebruiker niet dat hij met een ander (fake) base station verbinding maakt.
2) Kraak het WiFI wachtwoord. Bij alles ouder dan WPA2 een koud kunstje, en bij WPA2 niet moeilijk als het wachtwoord te kort is, vooral niet als het wachtwoord af-fabriek niet is gewijzigd. Zet een "evil twin" base station op met een sterker signaal dat gebruik maakt van hetzelfde wachtwoord.
3) Hack een willekeurig IOT device (waarin het WiFi wachtwoord normaal gesproken plain-text wordt opgeslagen) en gebruik dat om een evil twin als boven op te zetten. Als je de bewakingscamera van de buitenmuur trekt is het daar meestal ook wel uit te halen.
4) Gebruik social engineering vaardigheden om achter het WiFi te wachtwoord te komen. Bel bijv. aan als de heer des huizes weg is; vertel aan mevrouw dat je van Agentschap Telecom of van Ziggo bent, dat de buurt last heeft van storingen en dat je even wat wilt testen en daar het wachtwoord voor nodig hebt. Gebruik je verbeelding, zie ook https://xkcd.com/538/ en https://regmedia.co.uk/2010/12/22/handsupkitty.jpg.
5) Eveneens social engineering: zet een evil twin op die eerst een webpagina toont waarop staat dat de instellingen van jouw WiFi router door jouw ISP zijn aangepast en je opnieuw moet inloggen.
6) Zorg dat je elektronisch "vrienden" wordt met iemand die via Microsoft's bezopen WiFi Sense het gezochte WiFi wachtwoord heeft, dan krijg je het cadeau.
1) Sniff het plain-text netwerkverkeer waarmee jouw devices aangeven met welke SSID's zij ooit verbinding hebben gehad. Zoek daaruit een open wifi access point uit en spoof dat met een sterker signaal en vuur desgewenst "disconnect" pakketjes af op bestaande verbindingen. Met een beetje geluk ziet de gebruiker niet dat hij met een ander (fake) base station verbinding maakt.
2) Kraak het WiFI wachtwoord. Bij alles ouder dan WPA2 een koud kunstje, en bij WPA2 niet moeilijk als het wachtwoord te kort is, vooral niet als het wachtwoord af-fabriek niet is gewijzigd. Zet een "evil twin" base station op met een sterker signaal dat gebruik maakt van hetzelfde wachtwoord.
3) Hack een willekeurig IOT device (waarin het WiFi wachtwoord normaal gesproken plain-text wordt opgeslagen) en gebruik dat om een evil twin als boven op te zetten. Als je de bewakingscamera van de buitenmuur trekt is het daar meestal ook wel uit te halen.
4) Gebruik social engineering vaardigheden om achter het WiFi te wachtwoord te komen. Bel bijv. aan als de heer des huizes weg is; vertel aan mevrouw dat je van Agentschap Telecom of van Ziggo bent, dat de buurt last heeft van storingen en dat je even wat wilt testen en daar het wachtwoord voor nodig hebt. Gebruik je verbeelding, zie ook https://xkcd.com/538/ en https://regmedia.co.uk/2010/12/22/handsupkitty.jpg.
5) Eveneens social engineering: zet een evil twin op die eerst een webpagina toont waarop staat dat de instellingen van jouw WiFi router door jouw ISP zijn aangepast en je opnieuw moet inloggen.
6) Zorg dat je elektronisch "vrienden" wordt met iemand die via Microsoft's bezopen WiFi Sense het gezochte WiFi wachtwoord heeft, dan krijg je het cadeau.
Door Anoniem: Goede vraag.
Nee gelukkig is bij verbinden met je eigen netwerk altijd alles veilig.
Als je zelf pentester bent (wat ik verneem in je post) hoef je je dus geen zorgen te maken.
Dergelijke praktijken gebeuren enkel waar het gras groener is
Succes met testen
Nee gelukkig is bij verbinden met je eigen netwerk altijd alles veilig.
Als je zelf pentester bent (wat ik verneem in je post) hoef je je dus geen zorgen te maken.
Dergelijke praktijken gebeuren enkel waar het gras groener is
Succes met testen
Even de MITS erbij: je je eigen netwerk natuurlijk veilig met WPA-2 hebt ingericht. Anders gaat het toch echt zo goed als plain-text door de lucht.
Als je toch bezig bent, wellicht eens zo'n (b.v. online) cursus crypto doen. Het eerste wat ze je vertellen, na wat crypto is en wellicht een stukje historie, is hoe crypto kapot kan gaan. Of liever, kapot gemaakt kan worden. Dat doen ze met een "aanvalsmodel", dingen die je je tegenstander toedicht te weten en te kunnen. Ook de redenering waarmee ze aannemelijk maken dat dit of dat cryptografisch algorithme een solide ding is, gebeurt altijd onder de aanname van zo'n aanvalsmodel. Hoe meer de aanvaller geacht wordt te kunnen en te weten, hoe lastiger het is daar goed tegen te verdedigen. Welk model gebruikt wordt hoort er dus altijd bij verteld te worden. "Dit is goede crypto voor deze taken onder deze omstandigheden."
Jij hebt het hier over "hackers", een term die onderhand niets meer betekent, en daarmee dicht je die aanvaller alleskunnen toe. "Ik weet niet waar zijn kunde ophoudt dus kan'ie vast wel alles." Vandaar ook dat er nogal graag naar "het was hackers" gegrepen wordt, bijvoorbeeld in het nieuws als er weer eens een bedrijf goed nat gegaan is. Want ja, wie wil er nou toegeven dat het z'n eigen stomme fout was? De grote boze boeman "hacker" kan alles dus daar kan je niet tegen verdedigen, en dus is het je eigenlijk ook niet aan te rekenen dat je gewoon hopeloos onverantwoordelijk bezig bent geweest, nietwaar?
Bij deze dus de tip: Als pentester hoor je tenminste je terminologie op orde te hebben en te weten wat je wel en niet weet. Gebruik dan geen sensatiewoorden als "hacker", want die betekenen inhoudelijk al een tijdje helemaal niets meer. Nouja, je kan ze wel gebruiken, maar je weet vanaf nu dat je eigenlijk je toehoorders angstverhaaltjes op de mouw aan het spelden bent.
Om terug te komen op je vraag, welke capabiliteiten dicht je jouw aanvallers toe? Totale toegang op je draadloze toegangspunt inclusief verkeer aftappen bijvoorbeeld. Dan kun je zelf uittekenen hoe de data stroomt en waar er in meegeneusd kan worden. En vervolgens ga je uitzoeken hoe gevaarlijk dat is op jouw netwerk. Dat moet je kunnen, als pentester, dus bij deze, je huiswerk.
Jij hebt het hier over "hackers", een term die onderhand niets meer betekent, en daarmee dicht je die aanvaller alleskunnen toe. "Ik weet niet waar zijn kunde ophoudt dus kan'ie vast wel alles." Vandaar ook dat er nogal graag naar "het was hackers" gegrepen wordt, bijvoorbeeld in het nieuws als er weer eens een bedrijf goed nat gegaan is. Want ja, wie wil er nou toegeven dat het z'n eigen stomme fout was? De grote boze boeman "hacker" kan alles dus daar kan je niet tegen verdedigen, en dus is het je eigenlijk ook niet aan te rekenen dat je gewoon hopeloos onverantwoordelijk bezig bent geweest, nietwaar?
Bij deze dus de tip: Als pentester hoor je tenminste je terminologie op orde te hebben en te weten wat je wel en niet weet. Gebruik dan geen sensatiewoorden als "hacker", want die betekenen inhoudelijk al een tijdje helemaal niets meer. Nouja, je kan ze wel gebruiken, maar je weet vanaf nu dat je eigenlijk je toehoorders angstverhaaltjes op de mouw aan het spelden bent.
Om terug te komen op je vraag, welke capabiliteiten dicht je jouw aanvallers toe? Totale toegang op je draadloze toegangspunt inclusief verkeer aftappen bijvoorbeeld. Dan kun je zelf uittekenen hoe de data stroomt en waar er in meegeneusd kan worden. En vervolgens ga je uitzoeken hoe gevaarlijk dat is op jouw netwerk. Dat moet je kunnen, als pentester, dus bij deze, je huiswerk.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
