Hamster steelt logins van onbeveiligde Wi-Fi netwerken
Beveiligingsonderzoeker Robert Graham heeft een nieuwe tool beschikbaar gesteld waarmee het kinderlijk eenvoudig is om Gmail, Hotmail en andere logins voor webaccounts, via een onbeveiligd draadloos netwerk te stelen. De Hamster tool, een krachtigere versie van de netwerk fret, kloont de cookies van slachtoffers door hun sessie ID's te sniffen.
"Je zit bijvoorbeeld in een café en ziet een aantal mensen surfen, van wie je hun Gmail kan kapen en klonen. We weten dat het in theorie mogelijk is, dus wilden we het bewijzen. Dit gaat heel ver omdat het zo eenvoudig is," aldus Graham.
De tool kaapt geen wachtwoorden, alleen de cookies en URL die de gebruiker achterlaat. "Hamster is een proxy, net zoals Squid," dat de onderzoeker niet wilde gebruiken omdat het zo'n groot programma is. "Ik wilde mensen een kleine tool geven die ze kunnen downloaden." De aanval is dan niet nieuw, het gemak waarmee Hamster de toegang van gebruikers tot hun account kan klonen is dat wel.
Op deze pagina is de hamster in actie te zien. Als oplossing om Hamster-aanvallers buiten de deur te houden raadt Graham aan om regelmatig tijdens de websessie uit te loggen, waardoor het "cookie spoor" verdwijnt.
beschikbaar gesteld" .... URL ?!
voorpagina van de New York Times mogen staan. Mag dat niet, dan moet
het ouderwets per fax of post. Ook oude techniek heeft nog steeds
voordelen.
Het blijkt maar weer eens: wat je per e-mail verstuurt ,
moet ook op de
voorpagina van de New York Times mogen staan. Mag dat niet,
dan moet
het ouderwets per fax of post. Ook oude techniek heeft nog
steeds
voordelen.
BS! een brief kan je ook gewoon openscheuren/ stomen....
mag eigenlijk ook niet.....
Fax verkeer is helemaal kipsimpel te onderscheppen..... mag
eigenlijk ook niet....
Ligt het aan mij of is het totaal niet spannend? Joh, het is
mogelijk om session hijacking te doen als je data
onversleuteld over het (wireless) netwerk stuurt, nee, echt?
Leuk dat iemand er een tooltje voor heeft geschreven maar ik
zie er de nieuwswaarde niet van in. (Niet tegen security.nl
gericht maar als je de kop op de bron ziet:
"Hamster plus Hotspot equals Web 2.0 meltdown!" krijg ik
jeuk op rare plekken.)
Dus, leuk tooltje, leuk voor script kiddies maar voor de
rest niet erg spannend.
publiek waarmee laatsgenoemde logins van derden kan stelen?
Lijkt mij gewoon aanzetten tot crimineel gedrag en is op zich dus ook
strafbaar.
Het publiceren van methodieken om tot dit doel te komen evt. aangevuld
met een paar snippets als PoC is m.i. meer "onderzoeker" waardig.
Jammer daarbij is dat het grote publiek je verhandelingen
a. niet wil lezen, is teveel werk
b. toch niet snapt.
Daarmee wordt het grote publiek ineens een stuk kleiner en zal je "roem"
ook stukken kleiner zijn.
En dan nu mijn onwrikbare slotconclusie / mening welke mijn superioriteit
aan allen duidelijk moet maken: geen ;-)
Goed weekeinde.
J.
iig niet :)
Het zal in de meeste gevallen niet werken (beveiligd
netwerk), want meestal wordt de ip opgeslagen in een sessie.
netwerk. Maar goed, gewoon SSL (https) gebruiken, dan zit het wel snor.
En geen GMail, want dan luisteren nog veel engere partijen mee naar je
gegevens. Uiteindelijk zijn voor de meeste gebruikers bedrijven als Google
een groter gevaar voor de persoonlijke bedrijven, naast overheiden, maar
daar kan je je toch al amper tegen verdedigen...
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.