Bewijst weer twee dingen:

1: Hoe dom veel telefoon mensen zijn, als ze maar GRATIS!! Wi-Fi hebben.

2: Dat mensen niet eens VPN's gebruiken op openbare spots. (hoewel dit ook niet 100% safe is, maar beter dan niks)

Helaas schrijven de WLAN standaarden niet voor dat access points zich moeten authenticeren met een digitaal certificaat.

als al je verkeer https beveiligd is, hoe groot is dan het risico?

Dit is al zodanig vaak gedaan (F-Secure's Mikko Hypponen heeft er al een keer een speech over gehouden, het bestaan van de Wifi Pineapple en ga zo maar door), dat het eigenlijk niet nieuw is.

Het punt is dat gebruikers te makkelijk er van uit gaan, dat omdat het technisch werkt, het in orde is. Ze gebruiken hun eigen device, dus het zal wel goed zijn. Of het interresseerd gewoon te weinig (of is te lastig) om te beschermen.

Kort door de bocht: you cannot patch stupid. Laat de gebruikers maar eens op hun plaat gaan. Zodra eentje goed onderuit is gegaan, weet de rest van de kudde weer waarom het er ook al weer was. Oneerbiedig? Ja, maar we zijn als mensen nu eenmaal een zooi Lemmings.

Topic voor extreem slimme mensen

https://www.security.nl/posting/435724/ICT+%26+de+oliedomme+gebruiker

In theorie niet groot. Ik de praktijk echter wel. Met behulp van bijvoorbeeld SSLstrip tool kun je eenvoudig SSL van een website strippen. Indien de gebruiker dan niet controleert of er daadwerkelijk https gebruikt wordt ben je nog nergens.

Er is eigenlijk maar één advies. Vertrouw geen enkel wifi netwerk behalve degene die je zelf beheerd.

Even uit de losse pols (wellicht niet compleet dus):

1) Niet al het verkeer tussen portable devices en servers is via https beveiligd. Sowieso is DNS dat niet (en ook nog eens simpel te manipuleren door een MITM = Man-in-the-Middle), maar bijv. veel virusscanners downloaden updates via http, en eerder bleek dat de integriteit+authenticiteit van dergelijke downloads zelf niet altijd goed werd gecontroleerd. Dat kan ook voor allerlei applicaties gelden. Daarnaast kan een MITM desgewenst verbindingen blokkeren. Ook zijn veel (nieuws-) sites nog niet bereikbaar via https (of deels, bijv. plaatjes via http - die een MITM desgewenst kan vervangen en je zo op het verkeerde been zetten);

2) Als apps al https ondersteunen, komt het vaak voor dat ze het servercertificaat niet (goed) checken waardoor dit gespoofed kan worden. Dit gold (geldt?) ook voor verschillende antivirus producten die SSL inspecteren;

3) Niet alle devices en software gebruiken up-to-date TLS clients (ook op dit punt faalden veel SSL-inpecterende virusscanners), maar als zowel server als client nog RC4 (of ouder, zoals single DES / export grade encryption) ondersteunen, kan een MITM wellicht het egbruik daarvan forceren en vervolgens de versleuteling kraken;

4) Als de gebruikte webbrowser geen HSTS ondersteunt (of als je een site voor het eerst bezoekt en deze niet in de preloaded list voorkomt) weet je mogelijk niet dat je de site via https kunt benaderen, en kan een MITM van SSLStrip gebruik maken;

5) Als jouw device een rootcertificaat aan boord heeft waarvan de MITM de bijbehorende private key heeft (via social engineering aan jou opgedrongen, of bijv. "eDellRoot", Lenovo etc). kan die MITM elke https verbinding onderscheppen en jouw device wellicht nep-updates opdringen (en dus volledig overnemen);

6) Zelfs al zouden alle verbindingen veilig geauthenticeerd en versleuteld zijn, dan bestaat er nog steeds een privacy risico: de MITM weet (in elk geval aan de hand van het MAC-adres) om welk merk device het gaat en met welke servers (Google, GMail, Facebook, ING, PayPal, security.nl, etc.) jouw device verbinding maakt. Bovendien geven veel devices (meestal zonder dat de gebruiker het weet) zeer veel informatie prijs - meestal via (onversleutelde) broadcast berichten, bijv. welke printer je gebruikt maar ook de device name (niet zelden die van de gebruiker) komen plain-text "voorbij" in het broadcast domain waar je zit - dus in te zien door de MITM, en desgewenst te beantwoorden;

7) Voor heel veel netwerk-gebaseerde lekken wordt als mitigerende maatregel genoemd dat een aanvaller zich als MITM moet kunnen positioneren, iets dat over het algemeen moeilijker wordt geacht dan het is - zeker in dit voorbeeld (de risico's zijn wel afhankelijk van of je een firewall inzet, en de instellingen daarvan).

Vergelijkbaar met te hard rijden op een motor zonder helm en motorpak - je bent gewoon veel kwetsbaarder dan op een bedraad netwerk.

Failure to authenticate!!!

Interessant overzicht van risico's die wel aangeven dat er een risico's zijn maar niet hoe groot het risico dan werkelijk is (iets wat de vraagsteller zich afvroeg).

Dat is ook een lastige vraag om te beantwoorden.
Ik denk dat zelfs met al deze angstaanjagende voorbeelden het risico relatief laag is.
Anders zouden we er wel veel meer mee geconfronteerd worden in het nieuws zou je denken.
Want het aantal openbare wifi gebruikers is massaal, internetbankieren via de smfone gebeurt ook massaal en toch horen we niet over een toename van teleurgestelde internetbankierders met plots lege rekeningen.

Haha, ook toevallig, ik wou deze week op mijn school nog een wifi netwerk met ssid "WiFi in de trein" opzetten en kijken wat ikallemaal kan oppikken.

Ik ben geen bad guy hoor, white hat :)

.... hoe riskant gebruikers zijn als het om openbare wifi-netwerken gaat ....

Redactie! Dit kan je toch niet toelaten! Doet pijn aan m'n ogen, aan alles eigenlijk. Stuur die schrijver terug naar school, of gewoon weg als het niet anders kan.
Met een automatische spellingchecker kan je veel imbeciliteit verbergen, maar zulke stomme taalfouten laten altijd weer het werkelijke NON-niveau van schrijvers zien. De persoon die dit schrijft is niet in staat om helder te denken, en moet niet worden ingezet op onderwerpen als 'security'!

Yes! bij avast hebben ze hun wifi pineapple binnen gekregen!

Is dit nieuws ? Ik neem aan dat de meeste mensen hier dit zelf een aantal jaren geleden ook gedaan heeft: toen het nog nieuws was

Afhankelijk van hoe goed de honey pot SSLstrip kan configureren.
Als je browserlocatie facebook.com is, en data via ajax komt van fbcdn.net... dan is dat risico minimaal groot te noemen.

Lol, ja, dit deden wij al 3 jaar terug op Schiphol met "KPN", "KLM" en "Schiphol".
Inderdaad met een Pineapple, en met hetzelfde resultaat.

Doe geen moeite, bestaat al: http://trainwatch.u0d.de/

Inderdaad. Risico = Kans x Impact.

De Impact is de schade die je loopt. Persoonlijk kies ik daarvoor graag de "worst case" situaties van een of meer scenario's, en probeer die schade zo goed mogelijk in geld uit te drukken om tot een zo objectief mogelijk resultaat te komen. Deze impact verschilt echter per persoon, per situatie en per locatie (denk aan een dissidente Chinees in China - en wie weet in een Chinees restaurant in Nederland, zie ook het eind van deze bijdrage). Hier kun je dus, zonder aanvullende gegevens, niets zinvols over zeggen.

Het inschatten van de Kans dat je met zo'n worst-case situatie te maken krijgt, is wellicht nog lastiger. Als je lid van de Tweede Kamer/regering of een hoge ambtenaar bent, kan ik me voorstellen dat de kans, dat een journalist (of Oostblokker) middels een in de nabijheid van het Binnenhof opgesteld "evil twin" access point, jouw communicatie afluistert (of erger), groter is dan dat je daar als tiener bij MacDonalds voor moet vrezen.

Uit http://www.theregister.co.uk/2013/11/26/eu_parliament_public_wifi_suspended/:
Fijn dat jij dat denkt, maar ik heb geen idee (zie hierboven).

De vraag is of men erachter komt op welke wijze gevoelige informatie is ontvreemd, c.q. hoe devices gecompromitteerd zijn geraakt.

Aanvankelijk waren ook veel internetbankierapps lek. Maar ondertussen hebben banken daar flinke verbeteringen in aangebracht, dus verbaast het mij niet dat we tegelijkertijd geen toename hebben gezien.

Echter, het aantal malware/trojan apps dat oudere Android versies volledig overneemt (en root access verkrijgt) neemt ondertussen wel toe. De tijd zal het leren of het cybercriminelen lukt om daar structureel geld mee te "verdienen". Enkele recente voorbeelden:
http://www.theregister.co.uk/2016/02/23/dangerous_android_banking_bot_leak_signals_new_malware_wave/
http://www.theregister.co.uk/2016/02/24/android_users_installed_2_billion_datastealing_backdooring_apps/

Mocht je overigens denken dat er uitsluitend nog veilige apps worden gemaakt, lees dan dit (gericht op de Chinese markt, maar toch), uit https://citizenlab.org/2016/02/privacy-security-issues-baidu-browser/ (bron: http://www.theregister.co.uk/2016/02/24/baidu_browser_reveals_customer_credentials/): (de sleutel voor de "easily decryptable encryption" is hard-coded en wordt genoemd in het artikel).