Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Moeite met inloggen i pad op wifi van hotel
06-07-2018, 10:21 door Dutchtrainer, 5 reacties
Hallo, als ik wil inloggen op wifi van mijn hotel kom niet verder dan dat er staat veiligheidsadvies. Klik ik daar kom ik in een ander scherm maar snap daar niks van .... hoe omzeil ik dat ? op mijn samsung tablet heb ik daar geen last van, daarop kan wel inloggen.
Reacties (5)
Je komt op een scherm waar je niets van snapt, en op basis daarvan wil je advies. Nogal vaag verhaal, op basis waarvan inhoudelijk advies lastig te geven is. Vertellen wat er op het scherm staat, of een screenshot bieden, zou het misschien al gemakkelijker maken.
Als je vraagt om hulp, zorg dan dat je genoeg informatie biedt op basis waarvan mensen je kunnen helpen....
Als je vraagt om hulp, zorg dan dat je genoeg informatie biedt op basis waarvan mensen je kunnen helpen....
Door Dutchtrainer: Hallo, als ik wil inloggen op wifi van mijn hotel kom niet verder dan dat er staat veiligheidsadvies. Klik ik daar kom ik in een ander scherm maar snap daar niks van .... hoe omzeil ik dat ? op mijn samsung tablet heb ik daar geen last van, daarop kan wel inloggen.
Misschien eens naar de receptie lopen en daar navragen? Misschien si het wel een bekend probleem?Afgezien ik geen idee heb, waar het nu precies fout gaat....
Bij veel publieke WiFi accesspoints moet je eerst akkoord gaan met hun voorwaarden en/of een code invoeren (die je bij de receptie krijgt of die in de klapper te vinden is op het tafeltje onder de TV van jouw hotelkamer :-) voordat je toegang tot internet krijgt. Vermoedelijk in een poging om gebruikers het leven makkelijk te maken, hoef je niet eerst een specifieke site te openen, maar wordt bij elke site die je probeert te openen een soort MITM (Man In The Middle) aanval uitgevoerd (als het goed is gebeurt dit alleen op de eerste verbinding die je opzet, of als jouw code is verlopen). Je krijgt dan, ongeacht de gevraagde domeinnaam, een webpagina van het accesspoint te zien - althans in de http tijd (ruim vóór 2018) werkte dat nog.
Probleem: hoewel dit goed werkt bij http verbindingen, is de meerwaarde van https dat dit soort hacks worden voorkomen. Immers, in plaats van zo'n aanmeldpagina zou een kwaadwillende een kopie van de site kunnen laten zien waar je naar toe surft, en desgewenst malware kunnen injecteren - of als je op een site zoals security.nl inlogt, jouw inloggegevens kopiëren. Inloggen gebeurt op de meeste sites op een https pagina (ook als "de rest" http is), maar als de aanvaller jou via http een kopie van die inlogpagina laat zien (die de aanvaller via https van de echte site heeft opgehaald), ben je de sjaak als jij niet weet dat je een https verbinding had moeten hebben. Omdat gebruikers niet meer naar slotjes kijken zodra ze een site geopend hebben en op links binnen die site klikken, zijn sites met deels http totaal onveilig - en echt niet meer van deze tijd.
Back on topic na deze achtergrond info :-) waarschijnlijk probeer je met jouw iPad direct een https verbinding te starten. Of je tikt een sitenaam in zoals nu.nl en jouw browser heeft, in opdracht van HSTS, hier ongemerkt https voorgezet - voordat de verbinding gestart werd. Overigens overrule je dit niet door expliciet http:// voor nu.nl te tikken, jouw browser maakt er https van - of je dat nu wilt of niet.
Dit public-WiFi-aanmeld-probleem los je meestal op door naar een site te gaan die nog http ondersteunt (en je niet doorzet naar https, daarna middels HSTS bij elk bezoek https afdwingt, en je die site het afgelopen jaar nog hebt bezocht). Een voorbeeld daarvan is http://almere.nl/.
Nb. dat is één van de gemeentes die allang volledig https met HSTS hadden moeten ondersteunen, maar dat nog steeds niet doen ( zie https://www.security.nl/posting/566101/NL%3A+veel+brakke+https+sites voor nog meer leed).
Of neem een site die vermoedelijk altijd http blijft, zoals http://http.badssl.com/. Wat ook kan is, via http, Google van een land openen dat je normaal gesproken niet gebruikt, zoals http://google.de/.
In sommige gevallen kan het noodzakelijk zijn dat je eerst de webpagina van het hotel, waar je verblijft, opent. Maar als dat via https gebeurt (gelukkig steeds meer) heb je kans dat ook dit niet werkt, nl. als die site ook een HSTS header meestuurt en je die site eerder hebt bezocht. Dit kan komen doordat het WiFi "netwerk" en de bijbehorende aanmeldpagina door een ander bedrijf zijn geleverd dan de cowboys die de website beheren, of dat het om dezelfde cowboys gaat die niet testen - of iets meer bij de tijds willen verkopen waar de herbergier even geen geld voor over heeft.
Probleem: hoewel dit goed werkt bij http verbindingen, is de meerwaarde van https dat dit soort hacks worden voorkomen. Immers, in plaats van zo'n aanmeldpagina zou een kwaadwillende een kopie van de site kunnen laten zien waar je naar toe surft, en desgewenst malware kunnen injecteren - of als je op een site zoals security.nl inlogt, jouw inloggegevens kopiëren. Inloggen gebeurt op de meeste sites op een https pagina (ook als "de rest" http is), maar als de aanvaller jou via http een kopie van die inlogpagina laat zien (die de aanvaller via https van de echte site heeft opgehaald), ben je de sjaak als jij niet weet dat je een https verbinding had moeten hebben. Omdat gebruikers niet meer naar slotjes kijken zodra ze een site geopend hebben en op links binnen die site klikken, zijn sites met deels http totaal onveilig - en echt niet meer van deze tijd.
Back on topic na deze achtergrond info :-) waarschijnlijk probeer je met jouw iPad direct een https verbinding te starten. Of je tikt een sitenaam in zoals nu.nl en jouw browser heeft, in opdracht van HSTS, hier ongemerkt https voorgezet - voordat de verbinding gestart werd. Overigens overrule je dit niet door expliciet http:// voor nu.nl te tikken, jouw browser maakt er https van - of je dat nu wilt of niet.
Dit public-WiFi-aanmeld-probleem los je meestal op door naar een site te gaan die nog http ondersteunt (en je niet doorzet naar https, daarna middels HSTS bij elk bezoek https afdwingt, en je die site het afgelopen jaar nog hebt bezocht). Een voorbeeld daarvan is http://almere.nl/.
Nb. dat is één van de gemeentes die allang volledig https met HSTS hadden moeten ondersteunen, maar dat nog steeds niet doen ( zie https://www.security.nl/posting/566101/NL%3A+veel+brakke+https+sites voor nog meer leed).
Of neem een site die vermoedelijk altijd http blijft, zoals http://http.badssl.com/. Wat ook kan is, via http, Google van een land openen dat je normaal gesproken niet gebruikt, zoals http://google.de/.
In sommige gevallen kan het noodzakelijk zijn dat je eerst de webpagina van het hotel, waar je verblijft, opent. Maar als dat via https gebeurt (gelukkig steeds meer) heb je kans dat ook dit niet werkt, nl. als die site ook een HSTS header meestuurt en je die site eerder hebt bezocht. Dit kan komen doordat het WiFi "netwerk" en de bijbehorende aanmeldpagina door een ander bedrijf zijn geleverd dan de cowboys die de website beheren, of dat het om dezelfde cowboys gaat die niet testen - of iets meer bij de tijds willen verkopen waar de herbergier even geen geld voor over heeft.
Ik was eens, een aantal jaar geleden, een nachtje in het Hilton in Valencia. En ik had graag Wifi. Ik moest me aanmelden met naam en email adres. En het kostte iets van bijna 30 euro voor 24 uur.
Terug thuis kreeg ik een week later een email van ze. Of alles naar wens was geweest. Ik schreef terug dat het prima werkte, maar dat ik voor dat geld voor 24 uur wifi er wel wat "andere diensten" bij had verwacht. Ik zal het netjes houden hier, in de mail stond een ander woord ;-)
Nooit meer antwoord gehad.
Terug thuis kreeg ik een week later een email van ze. Of alles naar wens was geweest. Ik schreef terug dat het prima werkte, maar dat ik voor dat geld voor 24 uur wifi er wel wat "andere diensten" bij had verwacht. Ik zal het netjes houden hier, in de mail stond een ander woord ;-)
Nooit meer antwoord gehad.
06-07-2018, 17:02 door
Bitwiper
Aanvulling: zolang je een of meer namen (SSID's) van publieke WiFi access points in je smartphone, tablet of PC's hebt en je gaat verplaatsen, loop je extra beveiligingsrisico's (dat geldt, in mindere mate, ook voor accesspoints met bij de aanvaller bekende wachtwoorden - denk aan voormalig medewerkers van een bedrijf - maar hier ga ik in deze bijdrage nauwelijks verder op in).
De reden voor deze risico's is dat devices, in elk geval als ze op dat moment geen WiFi verbinding hebben, voortdurend alle SSID's van accesspoints uitzenden waar jouw device ooit verbinding mee heeft gehad (tenzij je die, handmatig, weer hebt verwijderd - wat niemand doet die ik ken).
Als je toevallig in de buurt komt van een kwaadaardig accesspoint, kan deze zich zeer eenvoudig voordoen als een van de SSID's waar jouw device verbinding mee probeert te zoeken. Standaard proberen alle devices die ik ken, dan meteen verbinding te maken met zo'n accesspoint. Als het daarbij om een accesspoint gaat waar geen WLAN (WiFi) wachtwoord voor hoeft te worden ingevoerd, komt die verbinding meteen tot stand.
Maar ook als je verbinding hebt met een wachtwoord-beveiligd accesspoint (zoals bij je thuis of op de zaak), bestaat er voor een aanvaller een relatief eenvoudige mogelijkheid om bestaande, vertrouwde, verbindingen te verbreken terwijl die aanvaller zijn accesspoint ondertussen "adverteert" als een van de historische public WiFi accesspoints in jouw device. Het gevolg kan dan zijn dat jouw device verbinding maakt via het nep accesspoint van de aanvaller, wellicht zonder dat je dit merkt. De kans op MITM aanvallen is dan groot, en als je apps op je device hebt die op onveilige wijze updaten, loop je kans daar malware bij op te lopen.
Mijn advies is dan ook als volgt:
1) Zorg dat je, normaal gesproken, geen wachtwoordloze public WiFi SSID's in jouw portable device hebt;
2) Heb je die wel, dan kun je overwegen om WiFi uit te zetten zodra je het hotel of andere (door jou) vertrouwde locaties verlaat.
M.b.t. punt 1: de code die je vaak bij hotels e.d. moet invoeren, is meestal geen WiFi wachtwoord. Die code is alleen bedoeld om te voorkomen dat derden gratis gebruik van die WiFi functonaliteit gaan maken. Vaak is zo'n code ook slechts geschikt voor 1 device, en heb je andere codes nodig voor elk volgend device (van jezelf of van jouw partner). Ik weet niet precies hoe dit werkt, maar vermoedelijk wordt het WLAN MAC-adres (= ethernet adres) van jouw device, na het ingeven van de code, voor de verblijfsperiode als toegestaan device beschouwd. Of er sprake is van een WiFi wachtwoord, kun je zien in de details van de verbinding. Onder iOS zie je onder Instellingen -> Wifi (onder Android: Instelling -> Verbindingen -> Wi-Fi) aan het getoonde slotje of er sprake is van een beveilgde verbinding tussen jouw device en het WiFi accesspoint (een slotje bij een bestaande verbinding betekent dus dat je ooit dat wachtwoord hebt ingevoerd en dat jouw device dat sindsdien onthoudt en namens jou aantoont dat te kennen, zodra jouw device zich binnen bereik bent van het betreffende accesspoint bevindt).
Eveneens m.b.t punt 1: helaas kun je onder iOS (in tegenstelling tot onder Android en Windows) niet zien welke WiFi "netwerken" (SSID's) jouw device allemaal kent en daar wel/geen wachtwoorden voor onthoudt (alleen de op dat moment bereikbare worden getoond, en kun je "laten vergeten". Het is dus verstandig om, vlak voordat je definitief uit jouw hotel/vakantiepark etc. vertrekt, het betreffende netwerk te laten vergeten.
Veel mensen (waaronder ikzelf) zullen dat vergeten. Op iOS zit er dan, voor zover ik weet, niks anders op dan alle netwerkinstellingen te resetten (Instellingen -> Algeneen -> Stel opnieuw in -> Herstel netwerkinstellingen -> bevestig). Voordeel: je weet zeker dat er geen oude meuk achterblijft; nadeel: je zult van elk vertrouwd netwerk waar je weer mee wilt verbinden, opnieuw het wachtwoord moeten invoeren. Android is op dit punt een stuk veiliger door een lijst van alle op jouw device onthouden netwerken (waar je succesvol verbinding mee gehad hebt) te tonen, waarna aan het slotje te zien is of het om een (wachtwoord-) beveiligde WiFi verbinding ging. Naar keuze kun je vervolgens elk van de onthouden netwerken verwijderen.
M.b.t. punt 2: ook als je geen wachtwoordloze SSID's in jouw device hebt, kun je -vanuit privacy oogpunt- overwegen om WiFi alleen op vertrouwde locaties aan te zetten, en verder zoveel mogelijk uit. Dat maakt WiFi tracking in winkels, sommige steden en door andere niewsgierige aagjes onmogelijk.
De reden voor deze risico's is dat devices, in elk geval als ze op dat moment geen WiFi verbinding hebben, voortdurend alle SSID's van accesspoints uitzenden waar jouw device ooit verbinding mee heeft gehad (tenzij je die, handmatig, weer hebt verwijderd - wat niemand doet die ik ken).
Als je toevallig in de buurt komt van een kwaadaardig accesspoint, kan deze zich zeer eenvoudig voordoen als een van de SSID's waar jouw device verbinding mee probeert te zoeken. Standaard proberen alle devices die ik ken, dan meteen verbinding te maken met zo'n accesspoint. Als het daarbij om een accesspoint gaat waar geen WLAN (WiFi) wachtwoord voor hoeft te worden ingevoerd, komt die verbinding meteen tot stand.
Maar ook als je verbinding hebt met een wachtwoord-beveiligd accesspoint (zoals bij je thuis of op de zaak), bestaat er voor een aanvaller een relatief eenvoudige mogelijkheid om bestaande, vertrouwde, verbindingen te verbreken terwijl die aanvaller zijn accesspoint ondertussen "adverteert" als een van de historische public WiFi accesspoints in jouw device. Het gevolg kan dan zijn dat jouw device verbinding maakt via het nep accesspoint van de aanvaller, wellicht zonder dat je dit merkt. De kans op MITM aanvallen is dan groot, en als je apps op je device hebt die op onveilige wijze updaten, loop je kans daar malware bij op te lopen.
Mijn advies is dan ook als volgt:
1) Zorg dat je, normaal gesproken, geen wachtwoordloze public WiFi SSID's in jouw portable device hebt;
2) Heb je die wel, dan kun je overwegen om WiFi uit te zetten zodra je het hotel of andere (door jou) vertrouwde locaties verlaat.
M.b.t. punt 1: de code die je vaak bij hotels e.d. moet invoeren, is meestal geen WiFi wachtwoord. Die code is alleen bedoeld om te voorkomen dat derden gratis gebruik van die WiFi functonaliteit gaan maken. Vaak is zo'n code ook slechts geschikt voor 1 device, en heb je andere codes nodig voor elk volgend device (van jezelf of van jouw partner). Ik weet niet precies hoe dit werkt, maar vermoedelijk wordt het WLAN MAC-adres (= ethernet adres) van jouw device, na het ingeven van de code, voor de verblijfsperiode als toegestaan device beschouwd. Of er sprake is van een WiFi wachtwoord, kun je zien in de details van de verbinding. Onder iOS zie je onder Instellingen -> Wifi (onder Android: Instelling -> Verbindingen -> Wi-Fi) aan het getoonde slotje of er sprake is van een beveilgde verbinding tussen jouw device en het WiFi accesspoint (een slotje bij een bestaande verbinding betekent dus dat je ooit dat wachtwoord hebt ingevoerd en dat jouw device dat sindsdien onthoudt en namens jou aantoont dat te kennen, zodra jouw device zich binnen bereik bent van het betreffende accesspoint bevindt).
Eveneens m.b.t punt 1: helaas kun je onder iOS (in tegenstelling tot onder Android en Windows) niet zien welke WiFi "netwerken" (SSID's) jouw device allemaal kent en daar wel/geen wachtwoorden voor onthoudt (alleen de op dat moment bereikbare worden getoond, en kun je "laten vergeten". Het is dus verstandig om, vlak voordat je definitief uit jouw hotel/vakantiepark etc. vertrekt, het betreffende netwerk te laten vergeten.
Veel mensen (waaronder ikzelf) zullen dat vergeten. Op iOS zit er dan, voor zover ik weet, niks anders op dan alle netwerkinstellingen te resetten (Instellingen -> Algeneen -> Stel opnieuw in -> Herstel netwerkinstellingen -> bevestig). Voordeel: je weet zeker dat er geen oude meuk achterblijft; nadeel: je zult van elk vertrouwd netwerk waar je weer mee wilt verbinden, opnieuw het wachtwoord moeten invoeren. Android is op dit punt een stuk veiliger door een lijst van alle op jouw device onthouden netwerken (waar je succesvol verbinding mee gehad hebt) te tonen, waarna aan het slotje te zien is of het om een (wachtwoord-) beveiligde WiFi verbinding ging. Naar keuze kun je vervolgens elk van de onthouden netwerken verwijderen.
M.b.t. punt 2: ook als je geen wachtwoordloze SSID's in jouw device hebt, kun je -vanuit privacy oogpunt- overwegen om WiFi alleen op vertrouwde locaties aan te zetten, en verder zoveel mogelijk uit. Dat maakt WiFi tracking in winkels, sommige steden en door andere niewsgierige aagjes onmogelijk.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
