Dus jij denkt dat het geen goed idee is, maar je hebt er eigenlijk geen reden voor , en dan vraag je hier om eventuele redenen ?

Ik weet niet waar die reactie van Staewold (niet op mij) voor nodig is maar ik zie ook niet wat het probleem is.
Uiteraard ga ik er vanuit dat die "open wifi" geen verbinding maakt met een lokaal netwerk waar zich eventueel services op bevinden die ontworpen zijn met het idee dat er al een of andere fysieke beveiliging is (zoals fileservers e.d.).
Gaan we er vanuit dat het wifi netwerk alleen verbinding maakt met internet, dan is er geen ander risico dan je altijd al hebt als je verbinding maakt met internet.
Dus of die medewerkers op dit netwerk zitten of op hun telefoon 4G of op hun netwerk thuis dat maakt niks uit.
Beveiliging van zowel de devices als de services waar ze contact mee maken moet je goed regelen, en als dat gedaan is maakt het niet meer uit of het netwerk ertussen al of niet gehacked kan worden.

Organiseer eens een hack-demo. Mijn ervaring is dat veel mensen wakker schrikken als een pentester laat zien wat hij van een netwerk kan plukken.

Mijn ervaring is dat pentesters inhoud niet kunnen beoordelen.

Mocht je topic ontstaan zijn uit ervaring op de werkvloer dan raad ik je aan een interne workshop te organiseren en zo de werknemers bewust te maken van de pro's en de cons. En mocht men het toch nodig vinden gebruik te maken van open wifi om hier aanvullende oplossingen m.b.t. veiligheid te kunnen 'garanderen' bv o.a. een vpn oplossing alvorens men verbinding maakt. Lets not judge but educate people..

Wanneer er ergens problemen mee zijn wordt er vaak een snif gevraagd. Dan moet je proberen om ergens bijvoorbeeld wireshark op te laten draaien in de communicatie tussen de PC van iemand die ergens last van heeft en waar die naartoe wil. Lastig, soms kunnen netwerkswitches dit voor je doet, soms firewalls als die er tussen zitten, soms moet je een switch configureren zodat ie verkeer dupliceert en naar een voor jou ingerichte computer stuurt die het allemaal opvangt.

Met een 'open' wifi kan iedereen in een straal van bijna 200m dat doen.
Alles wat niet encrypted is, is gewoon leesbaar voor iedereen.

Nu zijn er manieren om dit probleem te omzeilen door bijvoorbeeld je Linux of Windows systemen een verplichte VPN tunnel op te laten zetten bij detectie van 'niet het eigen netwerk'.
Door de tunnel wordt bijna al het verkeer encrypt en kan er niet meer meegelezen worden, in ieder geval niet 'live'.

Omdat opslag steeds goedkoper wordt, beveiligingen steeds slechter (thanks NSA/CIA/Grapperhaus) is het echter ook gewoon mogelijk alles op te slaan en later te decrypten wanneer de mogelijkheid zich voordoet.
Ja, je hebt oude meuk maar zelfs oude meuk kan nog waardevolle informatie bevatten.


Als het hier gaat om een open wifi netwerk binnen een gebouw welke niet door derden gesnift kan worden (HAK5, Kali,Backbox, Pentoo) dan zou je kunnen denken 'het risico is lager'.. maar het blijft een risico. en hoeveel moeite kost het om een WPA3 beveiligingslaag toe te passen? (retorische vraag, want van de 170 SSID die ik ontvang in mijn huis ben ik de enige met WPA3)

Mijn ervaring is dat niemand zijn wifi laat bekijken door pentesters of redteamers (of uberhaupt door zijn blueteam/admins).

Hoe moet ik deze mensen ervan overtuigen dat dit niet slim is? <- Pentest (impact) resultaten laten zien.
Hoe moet ik deze mensen ervan overtuigen dat dit niet slim is? <- Kort maar bondig management de risico's uitleggen maar ook oplossingen geven.
Hoe moet ik deze mensen ervan overtuigen dat dit niet slim is? <- Het gewoon keihard kapot laten gaan. (Niet zelf kapot maken natuurlijk!)

Open wifi netwerken zijn om de volgende reden een "security probleem":
- Iedereen met een wifi adapter kan je data sniffen (zonder uberhaupt een connectie te maken aan je netwerk) en bekijken de data die rondvliegt is namelijk ook niet "WPA2 versleuteld", naast authenticeren versleuteld WPA2/3 ook je data. Hiermee lek je niet alleen onveilige HTTP credentials, maar ook de versies van applicaties of het OS die zijn updates probeert binnen te halen, dit kan leiden tot het vinden en gebruiken van exploits. Wifi phishing, etc.

- Iedereen kan op het netwerk en dus kan iedereen zonder tracabillity van account aan mac/ip een MITM aanval uitvoeren en met een beetje geluk zelfs dhcp/dns servertje spelen en of wifi phishing uitvoeren om javascript te draaien op de browsers van gebruikers.

- BYODoomDevices kunnen al malware bevatten, een APT / cybercrime groep heeft nu access binnen jou open wifi netwerk omdat een random user zijn device op jou netwerk gooit.

- Open wifi is nog steeds de verantwoordelijkheid van het bedrijf, dus ook schade en eventuele claims.

- Open wifi (compleet gesegmenteerd van de rest van het interne netwerk) maakt nog steeds gebruik van jou internet lijn, stel je nou eens voor dat ik 20-230 devices in een tas/zak/auto laat koppelen aan jou open wifi, en allemaal tegerlijk zware downloads laat uitvoeren, kbai internet.

- RAMLETHAL

Het eerste wat ik hierbij denk is:
ieder zichzelf respecterend bedrijf maakt toch gebruik van een (eigen) VPN?...
En waarom zou je dan een probleem moeten hebben met open wifi?

Maar zelfs daarbij blijken complicaties op te kunnen optreden waar ik zelf nog niet aan had gedacht.
En volgens mij is die complicatie ook niet eerder op dit forum gemeld. (?)

De complicatie houdt in dat je ondanks VPN toch even kwetsbaar bent totdat de VPN verbinding daadwerkelijk is gemaakt. Het komt erop neer: alleen een VPN is niet genoeg! Er zou ook een goed ingestelde (software) firewall bij moeten om ongewenst verkeer te blokkeren totdat de VPN-verbinding actief is.
Lees: https://arstechnica.com/information-technology/2015/06/even-with-a-vpn-open-wi-fi-exposes-users/

(ik denk dat veel mensen hier niet bij stilstaan, maar deze informatie lijkt me dus best wel belangrijk!)

Wat betreft het pentesting deze kan men zelf uitvoeren en meteen demonstreren tijdens eerder voorgestelde workshop.
De standaard gebruikers overvallen met technische bulk info zal het gros echt niet bewuster maken wanneer ze een pentest verslag onder ogen krijgen. Maar wanneer ze deze live bijwonen en de benodigde tekst en uitleg krijgen wellicht wel.

Ja maar WPA2 beveiligde WiFi netwerken met het password aan de muur geplakt dat is in die zin hetzelfde als WiFi
zonder password. En in een omgeving waarin er nu geen password is, is dat meestal realistisch gezien het alternatief.
Ik neem aan dat mensen zich met WPA2 (-PSK) veiliger voelen, maar is dat ook terecht?
En door je veiliger te voelen ga je wellicht weer dingen doen die je niet zou doen als je wist dat het onveilig was.

Dus het is oppassen met dat soort algemene regeltjes ("open slecht, WPA2 goed") want voor je het weet reken je je te rijk.

Uhm, nee. De VPN’s die ik ken versleutelen direct. OpenVPN, WireGuard, Cisco, etc. En als je de DNS manipuleert start de VPN niet en kun je dus niet bij de data. Redelijk opvallend.

Tja dat hangt er vanaf hoe diepgaand en hoe paniekerig die "pentester" te werk gaat. Waarschijnlijk is hij na een minuut
iedereen al kwijt, en met de high-level opmerkingen als "kijk iedereen kan zien dat je hier naar gmail gaat, ok ze kunnen
niet zien wat voor mail je leest maar ze zien wel dat je mail leest" daar gaat ie waarschijnlijk buiten dit selecte gezelschap
van argwanenden ook geen indruk mee wekken...

Wij hebben een hotspot voor iedereen die wil.
Nieuwjerusalem wachtwoord ezeltje. Want de ingang van de straat lijkt op een oude stadspoort, versierd met olijftak ornamenten.

De hele straat weet het inmiddels.

Waarom zou het minder veilig zijn? Hoe meer mensen het weten hoe beter er wordt opgelet.

Hangt natuurlijk volledig af van de scope van een pentest. En ja, dagelijks worden er pentest uitgevoerd op wireless netwerken.


Is het dan ook oppassen met algemene regeltjes ("voordeur open laten staan slecht, voordeur op slot doen goed'') ? Natuurlijk is het terecht dat je je in het laatste geval veiliger voelt, want het is veiliger. Behalve dan bij brandt, maar dat heeft niet met wifi en WPA2 te maken ;)

Geef eens een voorbeeld van open goed, WPA2 slecht ;)

Nog altijd veiliger dan open, en verder hangt het er daarbij volledige van af of iedereen die in zicht van dat password aan de muur een legitieme gebruiker is, op dat netwerk. Verder zegt niemand bijvoorbeeld dat je vervolgens geen HTTPS of andere E2E encryptie hoeft te gebruiken.

Uiteraard de hele technische infrastructuur behoort onder de beheerders te liggen en ja deze dient gewoon goed op orde te zijn. Maar de gemiddelde gebruiker/werknemer zal deze een worst zijn. Komt het toch echt weer neer op gebruikers/werknemers bewust te maken. En natuurlijk hoeft je niet een hele technische uitleg aan deze te geven, maar wel de benodigde bewustwording. Het is hetzelfde als men zijn/haar bankzaken gaat regelen via een open wifi. Dat doe je logischerwijs ook niet. Nou dan zal je je echt nog verbazen, er zijn tal die dat vandaag de dag nog steeds doen. De doorsnee gebruiker verkiest gemak toch vaan boven verstand.. helaas

Dat gaf ik al maar dat heb je weg geknipt...
Ik denk ook wel dat dit IETS veiliger is maar niet zo veel als veel mensen denken... incl ikzelf vroeger.
Er heerst wel een beetje het beeld van "met WPA2 is je verkeer encrypted dus kan niemand meeluisteren" maar alleen
het 1e klopt. Het is wel encrypted maar de key is bekend als het Wifi wachtwoord bekend is. Dat is wel een domper,
je zou denken dat er een logon sequence is die per verbinding een key onderhandelt die voor iedereen anders is, maar
dat is dus niet zo. M.a.w. voor het scenario "iedereen kan meelezen wat je doet" maakt het niet veel uit, iedereen die
in dezelfde ruimte rondloopt kan nog steeds meelezen. Hooguit iemand die net het parkeerterrein op rijdt niet.
Het gevaar is dat mensen denken "ok mijn wifi is encrypted dus als ik iets stuur in plaintext is dat evengoed veilig".

Om dit op te lossen moet je WPA2-EAP gebruiken, dat kan met een certificaat of met een usernaam/wachtwoord.
Wel jammer dat je in dat laatste geval, als je dat bijv op je publieke wifi wilt gebruiken, de gebruikers dus weer meer
moet laten intypen, en wellicht zien ze die situatie voor het eerst en snappen ze niet wat waar moet.

Oh? Waarom niet dan? Juist bankzaken zijn altijd wel goed end-to-end beveiligd, dat is nou net een voorbeeld van iets
wat je wel via open wifi kunt doen. Het zijn juist de zaken die wellicht niet waterdicht beveiligd zijn die riskant zijn.

Ja leuk verhaal, maar je kan je WPA2 ook gewoon goed instellen ipv een passcode op de muur. Dat is zeker niet het enige alternatief.

Daarbij versleutel je dan wel je data, iedereen moet opzenminst een keer binnen in het pand zijn geweest of het wachtwoord via via verkregen hebben om data te sniffen. "WPA2 met een shared password" is ook onveilig omdat je met een single client compromise al aan het wachtwoord kan komen. Maar het is in iedergeval "niet open". Security stapje vooruit.

Als het gaat om een gigantische open wifi hotspot zoals je ziet in ziekenhuizen, mja creatief mee omgaan, maar security technisch is open wifi vaak een no-no.

Misschien in een bedrijf met 10 medewerkers ja. Je kunt wat doen met certificaten maar voor gastgebruik is dat totaal onpraktisch.
Maar als ik bijv hier op de gasten WiFi kijk met ruim 2500 users dan maak ik me geen enkele illusie over de geheimhouding van de passwords.
Zeker niet omdat tegenwoordig devices het opgeslagen wachtwoord gewoon weer tonen in de vorm van een QR.
(voorheen kon je nog zeggen we zetten dat erbij de IT afdeling in of gebruiken device management daarvoor, maar
daar houd je het niet meer mee geheim)

Daarmee is WPA2-PSK gewoon hetzelfde geworden als "open voor iedereen binnen, wellicht enige beveiliging voor onbekenden buiten". En dat is dus grotendeels een illusie van veiligheid die wellicht zelfs juist problemen geeft.

lol.. ik ben bij menig bank gedetacheerd geweest en weet uit ervaring zo waterdicht is het niet
om nog maar te zwijgen over menig bank in de media berichten ivm fraude en beveiliging

Nop. De wifi-verbinding is eerder gelegd dan de VPN verbinding, want in geval je connect via open wifi kan de VPN-tunnel kan pas worden gecreëerd als je wifi-verbinding al helemaal up-and-running is.
Vervolgens kost het enige tijd voordat die VPN-tunnel ook daadwerkelijk is gecreëerd/geactiveerd.
Het gaat misschien om seconden of fracties van een seconde, maar in die korte tijd kan er tussen hacker en je OS via wifi veel gebeuren als er onvoldoende maatregelen zijn genomen.

Ben jij een van de "leden" ? Of hoe ben jij hier achtergekomen?

Het is een probleem van het niet goed kunnen laten aansluiten van front-end op back-end.
Alles blijft in dat systeem dus "aanmodderen" met de uiteindelijke security.

Ik ga dus als ik kan beschikken over mijn eigen mobiele platform op zak,
niet het "gemak" of liever gezegd het "ongemak" zoeken van een zogenaamd gratis open wifi netwerk.

Niet in een hotel, niet in een restaurant, zeker niet op een luchthaven of in een winkelcentrum.

Een dataverbinding kost tegenwoordig peanuts en daarom zijn er betere oplossingen dan open wifi.

Ik zat al wel eens heel vroeger op een trage Mikrotik open stadsnetwerk in Centraal Europa.

Koop in dat geval (bij de grootgrutter of een kiosk) een plaatselijk los abonnamentje van een locale provider
en maak van je smartfoon een hub voor al je devices.

Bij opwaarderen wel al je mobiele data netwerkverkeer even uitzetten.

Trouwens tegenwoordig werken je providers al EU-breed.

Of ik heb een account toegewezen gekregen van een netwerk op mijn werk met log-in voor een bepaalde tijd
(meestal een semester of twee). (Neen, ik neem nergens gast-accounts voor een dag).

Maar meestal is het aantal GB toegewezen door een mobiele provider voor een maand ruim voldoende.

Blijf veilig offline en online,

#sockpuppet

grapje zeker