Tsja, ze vinden het natuurlijk ook niet fijn als ze er zelf niet bij kunnen...
Openbaar netwerk? Prima, wel via een VPN.

Wie scande ook al weer naar WiFi netwerken? Ah, ja Google in scanauto's die alle straten in beeld brengen.

Wauw, just wauw.. Valt me vies af van google, wat een achterlijke bewering. Alsof enkel je browser en wat instellingen je volledig beschermen tegen kwaadwillenden via malafide hotspots, lol.. Gewoon WEL vermijden, die openbare netwerken.

Openbaar netwerk, sowieso VPN. Ik snap het punt van Google waarbij ze beweren dat SUFEN vandaag de dag relatief veilig is. Mee eens, maar wat dan met DNS poisoning en de data die op het apparaat staat, wat als we met malafide netwerken (omdat ze makkelijk te clonen zijn) verbinden...

Wat heeft dat in vredesnaam met de veiligheid van publieke WiFi-netwerken te maken?

Deze uitspraak is erg kort door de bocht. Chrome kan wel een HTTPS-only filter hebben, maar er is meer dan een browser met https websites. Bovendien zijn er meer methodes en browsers voor het ophalen van informatie op het internet die nog steeds via HTTP verlopen. Hoe bijvoorbeeld om te gaan met DNS Hijacking en een rogue DNS server? Of een fake captive portal van bijv office365 login of facebook login? Of port scanning van je device op vulnerabilities? Ik sla de openbare hotspots toch even over.

Ze snappen het daar beter dan jij.

Net zoals de EFF dat al zei.

https://www.eff.org/deeplinks/2020/01/why-public-wi-fi-lot-safer-you-think

Het is gewoon achterhaalde napraat dat je zulke enorme risico's loopt als je een publieke Wifi gebruikt.

Er is dan veel minder controle,
als iedereen dit massaal zal gaan doen
het ontmoedigen van wifi

The Matrix

Net als bij anticonceptie is het idee van "volledig beschermen" sowieso een mythe. Volledige bescherming heb je enkel bij volledige onthouding.

Door het IP adres weet Google dan je exacte locatie. Want aan de meeste IP adressen heeft Google voor positiebepaling vrij weinig.

Als je de DNS entries van sites aanpast naar je eigen web server op je openbare wifi-netwerk kan je vrij eenvoudig een man-in-the-middle attack opzetten voor je "klanten". Ik zou gelijk beginnen met de DNS entries van alle grote internet banking sites...

Ik snap dat je de boel wilt versimpelen voor de massa maar zou als een CISO hier niet mijn handtekening aan verbonden ooit willen zien. Gelukkig is ze een Global head of product security strategy (nooit gehoord van die titel). Ik snap werkelijk niet hoe iemand met PMP, CISSP kan denken ja dit een helder eerlijk en vooral *veilige* training richting eindgebruikers.


Eerste punt. "It’s up to me to spot suspicious links on my own" Ja absoluut dat is je verantwoordelijkheid.
Je kunt tools gebruiken als onderdeel van je audit, controle maar enkel vertrouwen op dat je browser (Sorry Google product) weet dat iets fraude risico meedraagt is false sense of security.


"Avoid public Wi-Fi at all costs" Nuance ontbreekt wat wil je doen op het WIFI punt wat is de WIFI versleutelingstype waar je mee connect? Moet je gegevens invullen voor je erop mag? Ga je roddel site bladeren op je telefoon of je persoonlijke laptop met up to date beveiliging aansluiten voor browsing dan who really cares? Ga je je bankzaken regelen persoonlijke informatie invullen of iets downloaden dan waar ben je in hemelsnaam mee bezig?

En dan het slot icoontje verhaaltje wat nergens op slaat. Ja de pagina heeft versleuteling maar het zegt *niks* over wat de versleuteling is en wie je mee communiceerd. Daarvoor moet je onder andere het certificaat uitlezen. Beste false sense of security in browser voorbeeld ooit het geweldige https slotje (wat trouwens Google met alle mogelijke manieren probeert te killen) een prachtige echte beveiliging mythe mede mogelijk gemaakt door de EV certificaat wereld in het verleden.


"Bluetooth is dangerous" Generalisering ten top zowel de mythe als de uitleg hier. Welke standaard gaat het over? Wat is current standard ? Ik ken latest bluetooth sversie van moment van schrijven is 5.2. Ik kan gokken wat de meest gebruikte versie is zakelijk en particulier met enige datasets. Maar current standard? Dat zijn alle versies die niet deprecated zijn. Ofwel alles ouder dan 4.1 momenteel. Maar dat gaat niet om software EOL dat gaat om fabrikant verbod van product certificering als het land er uberhaubt omgeeft en andere landen de controle serieus nemen (which most don't)

Daarnaast Bluetooth versies hebben soms hele specifieke rollen denk aan Bluetooth Low Energy (BLE) . En weer mis ik wat sluit je aan? headset voor muziek op je telefoon no problem. Voor gesprek afhankelijk wat gespreksstof is. Voor toetstenbord, muis buiten gecontroleerde omgeving wel wat doe je op je apparaat? Pleasure or work?


"Password managers are risky" Ja password managers zijn risikant van nature. Daarom dat je op een goede password manager werkt met secret keys, MFA, IP restrictie en in corporate met monitoring diensten. Alles dat gegevens bevat dat toegang geeft tot iets anders is een risico. Dat neemt niet weg dat het een minder risico kan vormen dan andere methodes maar alles waar toegang tot te krijgen is is ten alle tijden een risico.


"Cybercriminals won’t waste their time targeting me" Het verhaal begint goed maar dan gaat men ineens social engineers gebruiken alsof het een vak is dat je kan volgen. Social engineering is een methode, techniek niet een vak. Zelfs Google zelf weet dat want die donderd je meteen naar paginas door met social engineering. En er wordt geen woord gerept over social engineers. Wel criminelen, hackers, con artists.

Daarnaast de kans dat je iemand aan de lijn krijgt vs een spambot die je een script activerend bestand stuurt zit wel een heel groot verschil in. Kan je wel leuk zeggen secure by default (Alles is insecure by default) maar als je op een mail klikt met script en expliciet het toelaat wel dan heb je niks aan security van je MUA of browser. En waar beschermt een browser of mua bij laten we zeggen niet technisch onderlegd goed gelovig persoon die target is van social engineering?
Dat slotje op die kadobon site staat er ook gewoon en inloggen op je eigen bank wel ook gewoon veilig natuurlijk (niet met wie je dat doet)


Use 2-Step Verification (2SV): Nee please don't for F sake. Gebruik 2FA of gebruik nog liever MFA. 2SV wordt ronduit slecht geimplementeerd iedereen in cybersecurity weet dat het minder veilig is dan 2FA of MFA. Je doet twee stappen controle en niet twee losse factors. De naam zegt het al er is geen verplichte losse extra authenticatie nodig het wordt aangeraden maar niet afgedwongen en het laatste wat je wilt is dat de eindgebruiker kan bepalen hoe zwaar slot je op de deur gooit tussen twee types want grootste deel gaat voor de less hassle less secure method.


"Setup Account Recovery" Congrats Google door eerst te zeggen het is belangrijk om account recovery in orde te hebben (wat klopt) om dat verhaal daarna compleet om zeep te helpen door te zeggen omdat we inactieve accounts verwijderen. Is dit mede van belang.

Een inactief account op zichzelf is geen enkel groter risico. De naam zegt het al *inactief* Dat zegt ook niks over de monitoring status. Dat is het zelfde zeggen dat omdat je een kluis nooit opent met je testatement erin dat we uit veiligheid maar de kluis moeten weghalen. Zolang je maar weet dat je account er is en in de gaten houdt dat er niks mee gebeurd.

Is het efficient om inactieve accounts te hebben? Meestal niet maar dit gaat puur om sales puur om kostenbesparing en betere targeted marketing *niet* om veiligheid.


"Install Updates" Het enige punt wat eigenlijk redelijk goed is verwoord het is wonder te noemen.


Het ergste van dit alles vind ik alle argumenten (niet mythes) worden geminimaliseerd Het is een mythe het is geen echt risico zolang je maar Google producten gebruikt. En menig niet kritisch persoon slikt dit met de pap lepel. Dat je dit vanuit marketing functie ethisch kunt verantwoorden weet je ok maar een Cybersecurity professional? Ik zou me kapot schamen. Als dit echt door Camille Stewart is opgesteld en of goedgekeurd heeft mij betreft haar credibility een goede deuk opgelopen.

DNS-over-HTTPS, daarmee kan je veilig op een openbare WiFi.
Google heeft er ook een: https://en.wikipedia.org/wiki/Google_Public_DNS

Nee wat ze bedoelen en niet zeggen is ze hebben twee-factor-authenticatie,
dat willen ze graag dat iedereen dat gebruikt, en gaan ze vanuit dat iedereen dat heeft.

Als de eigenaar van een web server de DNS entries van zijn klanten aanpast, lijkt mij een een framing van het artikel. Dit veronderstelt dat de eigenaar van een webserver crimineel is. Zo kan ik er ook nog wel een paar bedenken..

Goed lezen: Google geeft aan dat je alleen https moet gebruiken. Dan geeft de browser aan dat er iets niet klopt als je via zo'n aangepaste DNS naar een malafide site gaat...

Ik snap haar prima , en - in de context van adviezen aan "het grote publiek" heeft ze gewoon gelijk.

De security industry zit vol met "best practices" die niet langer "best" of relevant zijn - als de omstandigheden en het threat landschap wijzigen kunnen aanbevelingen en waarschuwingen ook niet meer van toepassing zijn.
Of in prioriteit en nut verschuiven .


Dat is de zaak omdraaien - niks mis met awareness - maar het is inderdaad niet (meer) de gebruiker die als enige in staat moet zijn om malicious links te herkennen.


Dat is gewoon volkomen terecht - in het risicolandschap van gewone gebruikers is "publieke wifi" een heel klein probleem .
"Wij" als security professionals toeteren permanent hoe goed TLS wel niet is - en dan is het opeens niet goed genoeg voor de kleine kans dat er iemand meekijkt op wifi .

Sinds de wereld "alles over TLS" geworden is en plaintext POP zo goed als uitgeroeid is het risico van "publieke wifi" marginaal geworden.

Wanneer je tante Truus 4 of 5 of 10 "meest nuttige" tips moet geven voor "Internet veilig" hoort "mijd publieke Wifi" niet in die lijst - gewoon omdat het geen top 10 probleem is.


Ook daar geldt - als advies aan de tante Truusen van de wereld : bangmakerij over bluetooth hoort van geen kanten in de risico awareness.

Er zijn vast wapenfreaks die miepen over hoe makkelijk een armor-piercing round uit een AK47 door het blik van auto gaat.
Ze hebben technisch geen ongelijk - maar in het threat-model van normale mensen in de redelijk beschaafde wereld staat dat criterium totaal onderaan enige zinvolle lijst van "veilige auto kiezen" .

Het geldt voor meer domeinen - dingen die vakspecialisten "technisch gaaf" vinden, of "nieuwe ontdekking" worden soms over gerepresenteerd in verhouding tot hun relatieve nut of risico .
Of worden pas relevant nadat al het laaghangende fruit geoogst is.


Je hebt gezien dat deze in de sectie "mythologie" staat ?

Het is bijna het equivalent van die rare verhalen van mensen met een hekel aan autogordels, en dan komen met verhalen over gewurgde of onthoofde gordeldragers waar de gordel-loze gewoon uit wrak klom .


Ook deze staat in de sectie "mythologie" - en in de context die ze er netjes bijgeeft klopt het .
Ook al ben je het niet eens met een verhaal - je doet er goed aan nog steeds eerlijk te lezen.
Hier zit je echt spijkers op laag water te zoeken.

Dat de geavanceerde elite hacker zich typisch _richt_ op een totale random nobody - dat is niet waar, en nooit waar geweest . Dat is inderdaad een waste of time .
Maar dat doortrekken naar "geen enkele cybercriminal richt zich op mij" - dat is omjuist , en dus een mythe.
De 'gewone' oplichters, phishers, scammers "richten" zich op alles wat bereikbaar is - en dat kan ook een gewone tante Truus zijn .
En die types mag je echt wel "cybercriminals" noemen - en zijn voor een groot deel social engineers .
En het is goed om te benoemen dat die tak van cybercriminaliteit berust op social engineering - en weinig op technische middelen .


De callcenters scammers doen toch echt heel veel cold calling .
Het _is_ toch terecht om te zeggen dat er een reeel risico is om van dit soort zaken een doelwit te zijn - en dat HIER de gebruiker wel alert moet zijn op social engineering .

Veel relevanter om te adviseren "wees je bewust van social engineering" dan "lgebruiker moet URLs en linken in mail kunnen lezen" .


Ik denk dat je hier ook niet eerlijk bent .

Er is _veel_ verwarring over terminologie - en subsets.
zie https://rublon.com/blog/2fa-2sv-difference

Met de verheldering zie ik totaal niet dat 2FA _uitgesloten_ is - en zo lees jij die paar regels wel.


Je komt over als iemand die in Enterprise security werkt - en dan heb je GEEN bezwaar tegen slapende accounts ?

"In de gaten houden en weten dat het er is " is precies wat een account NIET slapend maakt .

Er is altijd enig risico op een account compromise - en bij slapende accounts kan dat ongemerkt gaan - terwijl het account toch een stepping stone kan zijn naar meer toegang, of andere toegang . Bijvoorbeeld omdat het slapende account social of technisch trusted is.
Inderdaad - als je weet dat het er is en in de gaten houd speelt dat probleem niet -maar dan is het geen slapend account meer . Hooguit 'weinig gebruikt' .



Ik vind dat je een kokerblik hebt . Het doel is niet advies aan het hoofd van de CIA - het doel is advies aan tante Truus in de wereld.

Als je ethisch bezig bent waarschuw je mensen voor de _voor hen meest relevante risico's_ , en beveel je maatregelen aan in volgorde van effectiviteit .
En niet in volgorde van wat je als techneut leuk of spannend vind, of om te laten zien hoe goed je de frontlinie van security research volgt .
De piklengte wedstrijd wat allemaal nog meer een threat kan zijn - die is voor conferentie postings, afstudeerders van Ben Gurion die het zoveelste side channel pimpen, en researchers die naam willen maken.


Als je doelgroep CEOs van Fortune 50 bedrijven en presidenten is zijn je aanbevelingen langer (of korter : "gebruik alleen de speciale IT laptop").

Als je een blog schrijft voor "de wereld" - met een stuk of vijf do's en don't - uitstekend om onterecht groot gemaakte risico's tot realiteit terug te brengen , en de meest relevante maatregelen nogmaals te benoemen.

en dan? dan kom ik via een spoof op een nep banksite met een fake certificaat en dan blaft mijn browser dat het niet veilig is (immers ik vertrouw dat cert niet)

dan moet je wel heel dom zijn om dan dat te accepteren en naar die bankingsite te gaan.

kortom: man in the middle is ook niet zo eenvoudig meer met https

Maar wat helpt dit als je met steeds meer websites achter Cloudflare etc. of wegens Ddos-protectie op Tor wordt geweerd?

Steeds verder wordt het 'onbespied' internet bezoeken gefrustreerd en rondweg tegengegaan. Is het niet door marktpartijen dan wel door overheden, die bijkans willen gaan schoudersurfen.

The going gets narrow, folks. Als FRAVIA anti-smut en anti-ad adept sinds 2001 wordt het mij steeds moeilijker gemaakt onbeperkt en vrij info te kunnen verzamelen. Zijn we zelf deze tegenstander of vormt iets van buiten ons ons om tot meegaand en gedwee volgers van deze 'Overlords'?

#observator

Ik vind het wel enigszins opvallend dat het gebruik van de diensten van Google goed wordt benadrukt. Doet mij denken aan de categorie "wij van WC-Eend adviseren... WC-Eend".

Het is uiteraard een blogposting van Google zelf en het lijkt me dan ook goed om dat vooral niet uit het oog te verliezen bij het lezen van deze "adviezen".

Zolang tls niet verifieerd of het ip hetzelfde blijft is een mitm mogelijk. Het is ook echt niet moeilijk om de standaard vaak gebruikte sites om te leiden met een fake hotspot.

Het advies wat ik aan mijn biz geef is om geen (werkgerelateerde) vertrouwelijke zaken in een publieke ruimte te verwerken of te bespreken, en dus het liefste niet via een openbare wifi ongeacht of je nu via VPN bent ingelogd. Maar dat heeft dan meer te maken met zaken als shouldersurfing en ander kijk en luistervink gedrag. Sowieso moet je als medewerker je toch even flink achter de oren krabben als je bijvoorbeeld iets als strafdossiers gaat zitten verwerken bij een McDonald's of zo, ongeacht of een Wifi hotspot wel of niet heel veilig zou zijn.
Als je bij de Mac je hele privé boekhouding wilt doen moet je dat vooral doen maar op het moment dat je met gegevens van de organisatie aan de slag gaat behoor je je aan mijn richtlijnen te houden. Accepteer dat of ga ander werk zoeken.

Jij snapt het iig niet, zoveel is duidelijk.

Nou knul, nu een anoniem zonder enig verhaal dat zegt ben ik meteen overtuigd .

Jij bent zeker de nobody van 06-05 12:56 , en je teentjes getrapt dat ik je afzeek, geen argumenten waarom je WEL gelijk zou hebben en nu kom je maar een inhoudsloze jij-bak ?

Als je wat wilt doen in IT of security moet je bijblijven - en het risico landschap is gewoon niet statisch.

"Het advies wat ik aan mijn biz geef is om geen (werkgerelateerde) vertrouwelijke zaken in een publieke ruimte te verwerken of te bespreken"

< maar dat doe je nu toch?

Niveautje tweakers.net afzeiken ipv technisch onderbouwen.

Helemaal mee eens! Wat een rare bewering van Google. Er zijn genoeg protocollen die te 'sniffen' zijn.

Kijk eens in een browser als privacy wall of je verbinding echt beveiligd verloopt.
Dat moet het criterium zijn. Https/CSP/header security etc.
#observator

Nuance is natuurlijk een gemiddelde IT wel vreemd....

Voor beide reacties is namelijk ruimte...

Even wat meningen:

#1 WIFI is inherent onvertrouwd (je gooit het in de ether maar er is geen garantie dat de EIND-ontvanger de enige luisteraar is, laat staan alle ontvangers in-the-middle.

#2 als 'standaard-google' gebruiker heb je gewoon geen inzicht in hoe je verkeer geencrypt wordt, of uberhaupt geencrypt wordt. Je moet maar hopen dat de apps en de sites die je gebruikt en bezoekt dat allemaal goed geregeld hebben. Ik zie anno 2022 nog steeds sites en apps die voor bulkdata GEEN encryptie gebruiken (zoals foto's en media)

#3 dat google bijna alles goed geregeld heeft spreekt alleen voor google, maar hotspot gebruikers maken ook gebruik van allerlei andere schizzle. Er hoeft er maar 1 van lek te zijn om gecompromiteerd te worden. Dat is bijna synoniem aan 'de gemiddelde schoenmaat is 42, dus als je iedereen een schoen 43 geeft heeft de meerderheid een goede schoen.. Ja, totdat je mensen met maat 48 tegenkomt....

Wat ik overigens vreemd vind is dat Google heel goed kan detecteren of je op een hotspot zit of niet. De hardware geeft het al aan, of je kunt aan de enorme variatie in clients zien dat het een hotspot is. Je zou dan je verkeer automatisch kunnen tunnelen en niet alle afhankelijk laten zijn van SSL of TLS en hopen op de juiste implementatie... Een soort van eenmalig popup 'ik zie dat u verbonden bent aan de hotspot van ziekenhuis UMC Amsterdam, wilt u dat ik al uw verkeer tunnel naar de google servers gedurende uw bezoek? ps, merk x y en z leveren ook deze diensten, klik hier voor meer info'.... (anders krijg je weer mededingingsgezeur)

Wat grappig dat je precies doet waar je de ander van beschuldigd: de ander die je niet kent een knul noemen, toegeven dat je afzeikt, anoniem posten als argument gebruiken (sowieso een onzin argument), zelf niet met argumenten komen en een tu quoque uitvoeren.

Een derde anoniem.

Ik denk overigens dat het voor de gemiddelde gebruiker wel gevaarlijk is, simpel omdat die mensen nu eenmaal niet elke verbinding gaan controleren. Exact de kwetsbaaheid waar phishers gebruik van maken.

Het verschil tussen mijn anonieme posting - ik gaf (6-5 14:13) een URL naar een expert blog bij EFF (kan het nog onverdachter qua privacy) die - net als de Google blog - met argumenten uitlegt waarom "Wifi" geen groot risico meer is.

We hebben dus :
1) blog met argumenten van Google expert

"nobody zonder argumenten of verwijzing zegt op 1) "hullie hebben geen gelijk het is wel gevaarlijk" . (06-05 12:56)

2) blog met argumenten van EFF expert die hetzelfde zegt.

DIe poster wordt daar stevig op gewezen door mij - en deze of andere anoniem komt - quote de link met argumenten - en
komt met niks meer dan "Jij snapt het iig niet, zoveel is duidelijk."

Tsja - vast wel op z'n (?) teentjes getrapt , maar heeft blijkbaar helemaal niks in te brengen .

Voor wat betreft anoniem posten - de eigen naam of pseudoniem is inderdaad zelden boeiend - tenzij je iemand bent die _echt_ een expert is in de zaak - en je identiteit natuurlijk ook klopt .
Iemand als Bruce Schneier kan zeggen "trust me, this is a problem" - en dat neem ik heel serieus . Ook (/zelfs) van hem hoor ik dan graag waarom - maar dat is een verschil tussen bijvoorbeeld hem en een anoniem, pseudoniem of doodgewoon een persoon die al of niet iets doet in IT/security.