Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Ongevraagde demonstratie wifi aanval [toegestaan ?]

02-06-2018, 13:11 door Anoniem, 7 reacties
Laatst bijgewerkt: 04-06-2018, 09:40
Hallo allemaal,

wij, docenten cybersecurity bij *************, hebben het plan opgevat om bij een bepaald evenement een zogenaamde pineapple device in te zetten.

Het plan is om, ongevraagd, mensen te laten verbinden met hun "thuis" wifi door deze na te bootsen en ze door te sturen naar onze webpagina die dit direct ook verteld en duidelijk maakt, en ze uitnodigt om langs te komen bij onze stand.
Er worden verder geen gegevens bewaard, gevraagd of gedeeld.
De discussie die wij voeren is, mag dit ?
Voorstanders zeggen ja, omdat we niets bewaren en geen intentie hebben om werkelijk informatie te ontfutselen. Ook omdat we direct duidelijkheid geven.
Tegenstanders zeggen dat dit misleiding is en niet mag (strafbaar?)

Graag jullie mening.
Dank.
Reacties (7)
02-06-2018, 14:56 door Anoniem
Dit voorbeeld staalt letterlijk genoemd op de wikipedia pagina over de Wet Computercriminaliteit en mag niet:

Fraude met behulp van computers en valsheid in geschrifte met betrekking tot computerdata, bijvoorbeeld door berichten te onderscheppen en te veranderen zoals met een man-in-the-middle-aanval;

Dat je dat als 'voorbeeld' doet verandert daar niet zo veel aan het is puur vanuit de gebruiker gezien volledig onnuttig, het publiek weet dat dit kan ook zonder een technisch voorbeeld, er is geen educatieve functie en het is niet nieuw. 'Kijk ons eens kicke zijn met onze wifi router die we hebben gekocht'.

Ik snap dat jullie het zelf waarschijnlijk erg leuk vinden om te doe maar zeker als docent zou je het goede voorbeeld moeten geven.
02-06-2018, 15:53 door Bitwiper - Bijgewerkt: 02-06-2018, 15:58
Door Anoniem: Het plan is om, ongevraagd, mensen te laten verbinden met hun "thuis" wifi door deze na te bootsen en ze door te sturen naar onze webpagina

Als ik dit soort aanvallen goed begrijp zijn er 2 scenario's mogelijk.

Ik vermoed dat de meeste mensen een wachtwoord op hun thuis-WiFi hebben. Op jullie webpagina zou je die mensen er met social engineering wellicht van kunnen overtuigen dat, vanwege een of ander technisch probleem, ze het nieuwe wachtwoord moeten gebruiken dat jullie hen voorschotelen. Daarmee zou je dan aantonen dat ze gevoelig zijn voor social engineering, maar niet dat hun setup onvelig is.

Als jullie daarentegen in de PineApple kijken naar SSID's (elke smartphone en tablet zendt SSID's uit van access points waar ooit een verbinding mee geweest is) van wachtwoordloze accesspoints, of van bekende accesspoints met bekend wachtwoord, dan is er sprake van een mogelijk onveilige situatie waar geen gebruikersinteractie voor nodig is (je zou dan nl. ook bij die mensen voor hun huis kunnen gaan staan, hun eigen WiFi jamnen en ze zo dwingen om via jullie PineApple het internet op te gaan - in de hoop dat ze niet zien dat ze verbinden via "WiFi in de trein" of de SSID van hun stamkroeg).

Persoonlijk zou ik zeker niet door jullie lastig gevallen willen worden met scenario 1, want in die situatie moet ik een handeling verrichten voordat jullie bij mijn netwerkverkeer kunnen.

In het tweede scenario zou je kunnen argumenteren dat mensen flinke risico's lopen doordat jullie toegang hebben tot het netwerkverkeer tussen het device in Internet. De vraag daarbij is: hoe erg is dat? In veel gevallen zal sprake zijn van https verbindingen - en als die HSTS gebruiken, kom je niet ver met SSLstrip.

Wat meer juridisch gezien ben je de identiteit van een accesspoint aan het spoofen, en dat is (op z'n zachtst gezegd) niet netjes. Anders gezegd bouwen jullie een leegstaand winkelpand zo om dat deze als twee druppels op bijv. de Hema lijkt, met als doel om iedereen die daar binnenloopt te vertellen dat ze een sukkel zijn.

Wat is precies jullie doel? Leerlingen wat laten leren door publiek te slachtofferen, of willen jullie het publiek wijzen op kwetsbaarheden?

In dat tweede geval, hebben jullie een idee hoeveel mensen het geen ruk interesseert dat ze "bespioneerbaar" zijn - omdat ze menen niks te verbergen te hebben en/of er vanuit gaan dat verreweg de meeste mensen niet zo asociaal zijn? En dus helemaal niet zitten te wachten op betweters als jullie?

Kortom, het lijkt mij een slecht plan om mensen ongevraagd aan dit soort experimenten te laten meedoen. Hoe zouden jullie het vinden als ik in een warme zomernacht door jullie openstaande slaapkamerraam klim en jullie wakker maak met de woorden "je loopt risico want ik had een dief kunnen zijn"?
02-06-2018, 17:59 door Anoniem
Antwoord: Als Hans Kazan een portemonnee pikt in een show. En hij geeft hem dan later netjes terug. Kan je die arresteren? Wegens misleiding?

Ik denk van niet. In tegendeel zelfs, de man helpt om mensen bewust te maken hoe gemakkelijk je portemonnee gepikt kan worden.

Niks mis mee wat je schrijft. Wel netjes die portemonnee terug geven achteraf natuurlijk. Anders heb je wel een probleem. Logisch.
02-06-2018, 20:50 door Anoniem
Misschien bij de entree een subtiele waarschuwing ophangen?
02-06-2018, 20:59 door Anoniem
Door Anoniem: Antwoord: Als Hans Kazan een portemonnee pikt in een show. En hij geeft hem dan later netjes terug. Kan je die arresteren? Wegens misleiding?

Ik denk van niet. In tegendeel zelfs, de man helpt om mensen bewust te maken hoe gemakkelijk je portemonnee gepikt kan worden.

Niks mis mee wat je schrijft. Wel netjes die portemonnee terug geven achteraf natuurlijk. Anders heb je wel een probleem. Logisch.

Ja je kunt dan Hans Kazan arresteren. Want anders zegt straks elke dief dat hij van plan was om het eerlijk waar agent weer terug te geven, alleen had hij de kans nog niet gehad.

Bovendien heeft ook Hans Kazan van andermans spullen af te blijven.

Je mag, zoals gezegd, ook niet bij mensen binnen sluipen en ze dan vertellen dat ze de deur moeten sluiten. Dat heet gewoon insluiping.

Zou anders een mooie boel worden.

"ja ik voel even onder je rokje zodat je weet dat iemand dat zomaar zou kunnen doen"

Nog afgezien van wat die studenten op dat moment doen als hun webverkeer wordt afgelusiterd en op het grote scherm getoond.
- kijk, dit is zijn webmailwachtwoord!
- kijk, dit stuurt hij net aan zijn vriendin - eh, vriend?!
- kijk, nu - he, laat me los! Laat me aargh...
02-06-2018, 22:59 door Anoniem
Door Anoniem: Antwoord: Als Hans Kazan een portemonnee pikt in een show. En hij geeft hem dan later netjes terug. Kan je die arresteren? Wegens misleiding?.
Als mensen hier geen toestemming voor hebben gegeven is het antwoord heel simpel een ja.
Maar het geeft weer aan hoe zwak WiFi is.
03-06-2018, 04:00 door Anoniem
Door Anoniem: Dit voorbeeld staalt letterlijk genoemd op de wikipedia pagina over de Wet Computercriminaliteit en mag niet
Om de wet te overtreden dient bewezen te worden dat er sprake is van het strafbare. Van fraude, of van diefstal bij Hans Kazan, is geen sprake. Het gaat ook om de intentie. Het feit dat iedereen kan beweren dat er geen foute bedoelingen waren doet er niet toe. Het gaat er om of aantoonbaar is dat er wel foute bedoelingen waren.

Er is ook geen sprake van fraude als de docenten te werk gaan zoals omschreven. Het is niet verboden om te reageren op een publiek verzoek of een netwerk met een bepaalde naam zich kenbaar wil maken. En als iemand dan graag met dat open netwerk gaat communiceren dan is dat een keuze. Een keuze met risico's die de docenten blijkbaar willen duidelijk maken.

Met de omschrijving is er hier geen sprake van onderscheppen+aanpassen van andermans berichten. Er worden geen berichten aangepast. Er is ook geen sprake van een man-in-the-middle-aanval als ze een server spelen en de client er direct verbinding mee heeft als het eindpunt. Ze zetten de berichten niet door naar het 'echte' netwerk waarop de client waarschijnlijk hoopte.

Docenten, zorg voor een duidelijke waarschuwing vooraf om je in te dekken en doe ook werkelijk wat jullie verder stellen wel en niet te doen. Maar hou er ook rekening mee dat digibeten eigenwijs zijn en jullie (goede) bedoelingen misschien niet snappen omdat ze iets anders ervaren dan ze gewend zijn en de wet zou moeten kennen. Een kind bijsturen is iets anders dan een volwassene met een mening kunnen overtuigen.

Het is te betwijfelen of het klaar zetten van deze waarschuwing effect heeft als je de slachtoffers er niet vooraf bij betrekt. Wifi staat tegenwoordig vaak uit omdat 4g populair is. En als clients toch actief vragen om bekende netwerknamen van open netwerken (zoals van de trein of een restaurant) dan hoeft de gebruiker dat niet te merken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.