Door Anoniem: Het plan is om, ongevraagd, mensen te laten verbinden met hun "thuis" wifi door deze na te bootsen en ze door te sturen naar onze webpagina
Als ik dit soort aanvallen goed begrijp zijn er 2 scenario's mogelijk.
Ik vermoed dat de meeste mensen een wachtwoord op hun thuis-WiFi hebben. Op jullie webpagina zou je die mensen er met social engineering wellicht van kunnen overtuigen dat, vanwege een of ander technisch probleem, ze het nieuwe wachtwoord moeten gebruiken dat jullie hen voorschotelen. Daarmee zou je dan aantonen dat ze gevoelig zijn voor social engineering, maar niet dat hun setup onvelig is.
Als jullie daarentegen in de PineApple kijken naar SSID's (elke smartphone en tablet zendt SSID's uit van access points waar ooit een verbinding mee geweest is) van
wachtwoordloze accesspoints,
of van bekende accesspoints
met bekend wachtwoord, dan is er sprake van een
mogelijk onveilige situatie waar geen gebruikersinteractie voor nodig is (je zou dan nl. ook bij die mensen voor hun huis kunnen gaan staan, hun eigen WiFi jamnen en ze zo dwingen om via jullie PineApple het internet op te gaan - in de hoop dat ze niet zien dat ze verbinden via "WiFi in de trein" of de SSID van hun stamkroeg).
Persoonlijk zou ik zeker niet door jullie lastig gevallen willen worden met scenario 1, want in die situatie moet ik een handeling verrichten voordat jullie bij mijn netwerkverkeer kunnen.
In het tweede scenario zou je kunnen argumenteren dat mensen flinke risico's lopen doordat jullie toegang hebben tot het netwerkverkeer tussen het device in Internet. De vraag daarbij is: hoe erg is dat? In veel gevallen zal sprake zijn van https verbindingen - en als die HSTS gebruiken, kom je niet ver met SSLstrip.
Wat meer juridisch gezien ben je de identiteit van een accesspoint aan het spoofen, en dat is (op z'n zachtst gezegd) niet netjes. Anders gezegd bouwen jullie een leegstaand winkelpand zo om dat deze als twee druppels op bijv. de Hema lijkt, met als doel om iedereen die daar binnenloopt te vertellen dat ze een sukkel zijn.
Wat is precies jullie doel? Leerlingen wat laten leren door publiek te slachtofferen, of willen jullie het publiek wijzen op kwetsbaarheden?
In dat tweede geval, hebben jullie een idee hoeveel mensen het geen ruk interesseert dat ze "bespioneerbaar" zijn - omdat ze menen niks te verbergen te hebben en/of er vanuit gaan dat verreweg de meeste mensen niet zo asociaal zijn? En dus helemaal niet zitten te wachten op betweters als jullie?
Kortom, het lijkt mij een slecht plan om mensen ongevraagd aan dit soort experimenten te laten meedoen. Hoe zouden jullie het vinden als ik in een warme zomernacht door jullie openstaande slaapkamerraam klim en jullie wakker maak met de woorden "je loopt risico want ik had een dief kunnen zijn"?