Nieuws
image

Firefox plugin beschermt tegen MitM en DNS-aanvallen

dinsdag 26 augustus 2008, 13:26 door Redactie, 13 reacties

De groei van draadloze netwerken, al dan niet gedeeld, zorgt er ook voor dat het risico dat anderen meeluisteren toeneemt. Daarom heeft onderzoekers van de Universiteit van Carnegie Mellon Universiteit een manier ontwikkeld om "Man-in-the-Middle" (MitM) aanvallen tegen te gaan. De oplossing, Perspectives genaamd, zou ook bescherming tegen het ernstige DNS-lek van Dan Kaminsky bieden.

Perspectives gebruikt bepaalde sites (notaries) die helpen bij het authenticeren van websites voor financiële diensten, online winkels en andere transacties die veilige communicatie vereisen. De notaries sturen elk een query naar de op te vragen site en kunnen zo controleren of ze allemaal dezelfde authenticatie informatie terugkrijgen. Als de informatie verschilt van de informatie die de browser terugkrijgt, dan kan de gebruiker aannemen dat een aanvaller zijn verbinding heeft gecompromitteerd

Certificate authorities (CAs), zoals VeriSign, Comodo en GoDaddy, helpen al bij het authenticeren van websites en voorkomen zo het risico van MiTM-aanvallen. Perspectives is voor gecertificeerde sites dan ook een extra beveiligingslaag. Waar het eigenlijk voor bedoeld is, is voor websites die zelf getekende certificaten gebruiken. "Als Firefox-gebruikers een website met een zelf getekend certificaat openen, dan krijgen ze een foutmelding die de meeste mensen niets zegt," aldus informaticaprofessor David Andersen. Het systeem kan ook detecteren als een CA per ongeluk een nepsite heeft geauthenticeerd.

Firefox plugin

Volgens informaticastudent Dan Wendlandt, die aan het project meewerkte, zorgt het groeiend aantal draadloze verbindingen ervoor dat MiTM-aanvallen een serieus risico worden. "Het is zeer eenvoudig voor iemand om bij een publieke WiFi-verbinding al het netwerkverkeer via zijn computer te laten lopen. Veel mensen zouden niet eens weten dat ze zijn aangevallen." Heeft een aanvaller dit voor elkaar, dan kan hij eenvoudig wachtwoorden en andere vertrouwelijke informatie sniffen.

Nu gebruiken belangrijke websites vaak SSL, maar een foutmelding over het certificaat wordt vaak genegeerd. "De meeste mensen hebben geen idee wat ze in zo'n geval moeten doen. Veel negeren ze gewoon en gaan door met verbinden, wat ze kwetsbaar maakt voor aanvallen." Perspectives biedt in die gevallen uitkomst, wat ook geldt als de DNS van de gebruiker z'n provider is aangevallen. De client kan zien dat de publieke sleutel van de nepsite niet overeenkomt met de resultaten van de notaries. Om het gebruik te vereenvoudigen is Perspectives ook als Firefox 3 plugin te installeren.

Reacties (13)
26-08-2008, 13:46 door Nomen Nescio
Laat ik dit nou niet snappen. Wat heeft Firefox te maken met draadloze netwerken? Er is nog altijd heel veel verkeer over draadloze netwerken die helemaal buiten Firefox om gaat. Niet alleen het bezoeken van websites. Ik werk liever met OpenDNS en met een echt goed beveiligd draadloos netwerk. Het mijne is niet eens te traceren. Gewoon geen broadcast aan houdt al de meeste inbrekers tegen. Dan nog een combinatie van goede beveiligingsmaatregelen en een goede firewall, en het risico is miniem. Daar heb ik geen Firefox voor nodig.
26-08-2008, 14:27 door SirDice
Door Nomen Nescio
Het mijne is niet eens te traceren.
Zodra er verkeer overheen gaat is het te traceren. De enige reden dat het niet te traceren zou zijn is wanneer niemand er gebruik van maakt. Dan kun je het m.i. beter helemaal uit zetten.

Gewoon geen broadcast aan houdt al de meeste inbrekers tegen.
Zinloos. Zodra je verkeer genereert gaat je SSID over de ether.
26-08-2008, 17:48 door Anoniem
Door SirDice
Door Nomen Nescio
Het mijne is niet eens te traceren.
Zodra er verkeer overheen gaat is het te traceren. De enige reden dat het niet te traceren zou zijn is wanneer niemand er gebruik van maakt. Dan kun je het m.i. beter helemaal uit zetten.

Gewoon geen broadcast aan houdt al de meeste inbrekers tegen.
Zinloos. Zodra je verkeer genereert gaat je SSID over de ether.
Meeste. Dus Jan Lul die draadloze netwerkjes zoekt ziet hem niet in de lijst oh kut. Dus niet Jan Bef die aircrack-ng en consorten heeft ;)
26-08-2008, 20:00 door Anoniem
Het mijne is niet eens te traceren, nee, als je dat al zegt, dan zal de rest ook wel lekker in elkaar zitten. Je SSID gaat altijd over de lijn, een goede tool en de rest is ook kinderspel.
26-08-2008, 20:19 door Nomen Nescio
Door SirDice
Door Nomen Nescio
Het mijne is niet eens te traceren.
Zodra er verkeer overheen gaat is het te traceren. De enige reden dat het niet te traceren zou zijn is wanneer niemand er gebruik van maakt. Dan kun je het m.i. beter helemaal uit zetten.

Gewoon geen broadcast aan houdt al de meeste inbrekers tegen.
Zinloos. Zodra je verkeer genereert gaat je SSID over de ether.
Heb je ook gelezen wat ik er bij schreef? Tegen de meeste - en dan bedoel ik de simpele - inbrekers. Ze zoeken alleen maar naar SSID-namen en die zien ze niet. En ik concludeer dat het risico MINIEM is, niet dat er geen risico meer is. De echte crack kan het wel vinden, maar hoeveel daarvan kom ie in het normale verkeer tegen?

Blijft nog steeds het punt dat Firefox hier geen klap mee te maken heeft.
26-08-2008, 20:45 door Anoniem
Door Nomen Nescio
Door SirDice
Door Nomen Nescio
Het mijne is niet eens te traceren.
Zodra er verkeer overheen gaat is het te traceren. De enige reden dat het niet te traceren zou zijn is wanneer niemand er gebruik van maakt. Dan kun je het m.i. beter helemaal uit zetten.

Gewoon geen broadcast aan houdt al de meeste inbrekers tegen.
Zinloos. Zodra je verkeer genereert gaat je SSID over de ether.
Heb je ook gelezen wat ik er bij schreef? Tegen de meeste - en dan bedoel ik de simpele - inbrekers. Ze zoeken alleen maar naar SSID-namen en die zien ze niet. En ik concludeer dat het risico MINIEM is, niet dat er geen risico meer is. De echte crack kan het wel vinden, maar hoeveel daarvan kom ie in het normale verkeer tegen?

Blijft nog steeds het punt dat Firefox hier geen klap mee te maken heeft.
Wel waar, je gebruikt immer een browser (in casu bijvoorbeeld firefox) om te internetten. Het is eenvoudig voor een aanvaller (die toegang heeft tot een netwerk) om het verkeer om te leiden en al je wachtwoorden te sniffen. Hiervoor kan dus zelfs ook een SSL-proxy ingezet worden. De certificaat-foutmelding blijken de meeste mensen weg te klikken. Laat je door derden verifieren of die dezelfde resultaten voor het resultaat krijgen, weet je dat het niet aan je netwerk ligt, of beter gezegd: krijgen die een ander resultaat, dan ligt het wel aan je netwerk dan wel computer.
Door die plugin alleen te laten verbinden met vertrouwde derden (waar dus geen verbinding mee gemaakt wordt als het certificaat niet klopt -> direct een zeer duidelijke foutmelding die niet te negeren valt), kunt je de geldigheid van het certificaat van (bijvoorbeeld) je bank controleren, waardoor je zeker weet dat je een versleutelde verbinding met je bank hebt die dus niet onderschept is en er dus geen MitM aanval kan plaatsvinden.
26-08-2008, 21:46 door wimbo
Als ik het goed begrijp zorgt die plugin er voor dat er via een alternatieve weg ook DNS resolving gedaan wordt etc. Mooi, maar hoe zit dat met het round-robin verhaal binnen DNS?
De client logt aan op website X en krijgt IP adres A terug. De plugin krijgt voor diezelfde website X IP adres B (of C) terug. Gaan er dan alarmbellen rinkelen? Of blijft haalt die plugin (de service die er achter hangt) via bijv. een DNS transfer alle mogelijke IP adressen binnen voor die host / website?
27-08-2008, 09:00 door SirDice
Door Nomen Nescio
Door SirDice
Door Nomen Nescio
Het mijne is niet eens te traceren.
Zodra er verkeer overheen gaat is het te traceren. De enige reden dat het niet te traceren zou zijn is wanneer niemand er gebruik van maakt. Dan kun je het m.i. beter helemaal uit zetten.

Gewoon geen broadcast aan houdt al de meeste inbrekers tegen.
Zinloos. Zodra je verkeer genereert gaat je SSID over de ether.
Heb je ook gelezen wat ik er bij schreef? Tegen de meeste - en dan bedoel ik de simpele - inbrekers. Ze zoeken alleen maar naar SSID-namen en die zien ze niet.
Ik zal je even uit de droom helpen. Op het forum wat ik moderate zijn genoeg "simpele" inbrekers, gek genoeg weten ze allemaal hoe het zit met SSIDs. Nog gekker is dat ze het allemaal voor elkaar krijgen om zelfs die "hidden" netwerken te kraken.

En ik concludeer dat het risico MINIEM is, niet dat er geen risico meer is. De echte crack kan het wel vinden, maar hoeveel daarvan kom ie in het normale verkeer tegen?
Stel dat er iemand in jouw buurt je WiFi zit te kraken, denk jij dat je dat zal merken? Hoe kun je dan concluderen dat het risico minimaal is?

Blijft nog steeds het punt dat Firefox hier geen klap mee te maken heeft.
Voor veel mensen is een browser "het internet".
27-08-2008, 09:13 door Anoniem
Volgens mij gaat dit over het gevaar dat je loopt als je met je draadloze PC verbinding maakt met een publieke WiFi verbinding, bv een hotspot of ander gedeeld netwerk. Dus niet over het inbreken op je eigen beveiligde draadloze LAN.
27-08-2008, 10:04 door Anoniem
Door Anoniem
Laat je door derden verifieren of die dezelfde resultaten voor het resultaat krijgen, weet je dat het niet aan je netwerk ligt, of beter gezegd: krijgen die een ander resultaat, dan ligt het wel aan je netwerk dan wel computer.
Door die plugin alleen te laten verbinden met vertrouwde derden (waar dus geen verbinding mee gemaakt wordt als het certificaat niet klopt -> direct een zeer duidelijke foutmelding die niet te negeren valt), kunt je de geldigheid van het certificaat van (bijvoorbeeld) je bank controleren, waardoor je zeker weet dat je een versleutelde verbinding met je bank hebt die dus niet onderschept is en er dus geen MitM aanval kan plaatsvinden.
Je kunt de integriteit van een SSL-verbinding uitsluitend garanderen aan de hand van de fingerprint.
Dat betekent dat bijvoorbeeld een bank je via andere wegen zoals per brieven post zal moeten laten weten welke fingerprint je moet verwachten. Komt de opgegeven fingerprint niet overeen, dan is de opgezette SSL-verbinding gecompromitteerd.
27-08-2008, 11:45 door Anoniem
Door AnoniemHet mijne is niet eens te traceren, nee, als je dat al zegt, dan zal de rest ook wel lekker in elkaar zitten. Je SSID gaat altijd over de lijn, een goede tool en de rest is ook kinderspel.
Over de lijn ? ;-)

Verder gaat het volgens mij om WiFi in publieke ruimten en niet bij je thuis. Dus het verhaal over SSID's klopt (wellicht), maar is in deze irrelevant :-)

Als je aan een open netwerk verbind dat normaliter "Gratis" heet en de mitm heet "Gratjs", kan ik me voorstellen dat het je niet direct opvalt. Ga je dan telebankieren kun je de sjaak zijn, als je de certificaat fout negeert. Hetzelfde geld echter als je Perspectives :-P
27-08-2008, 12:24 door Anoniem
Door Anoniem
Verder gaat het volgens mij om WiFi in publieke ruimten en niet bij je thuis.
Strikt genomen beperkt je privé WiFi zich niet tot 'thuis' maar tot 'de buurt', de omgeving van je huis, goeddeels een publieke ruimte. Mensen lijken deze eigenschap weleens te vergeten.

Men lijkt te redeneren alsof WiFi een bedraad netwerk betreft, alsof het een lijn is, waar een vergelijking met een 27MC (bakkie) of een plaatselijke omroep met eigen uitzendingen meer op zijn plaats is.
28-08-2008, 08:41 door Anoniem
Het scherm die gebruikers in beeld krijgen bij zelf gesigneerde certificaten is een melding, geen foutmelding, waarbij de gebruiker in de gelegenheid wordt gesteld het certificaat te controleren, met inbegrip van diens fingerprint.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search