Computerbeveiliging - Hoe je bad guys buiten de deur houdt

WhatsApp identiteitsfraude?

11-05-2016, 12:33 door Erik van Straten, 10 reacties
Twee punten: (1) gebruik van WhatsApp buiten je smartphone om (vragen) en (2) SS7 kwetsbaarheden (FYI)

(1) Gebruik van WhatsApp buiten je smartphone om (vragen)
Vandaag heeft WhatsApp desktop applicaties voor Windows en OS X gelanceerd. Uit [1] (bronnen: [2] en [3]):
Introducing WhatsApp's desktop app

Today we're introducing a desktop app so you have a new way to stay in touch anytime and anywhere - whether on your phone or computer at home or work. Like WhatsApp Web, our desktop app is simply an extension of your phone: the app mirrors conversations and messages from your mobile device.

The new desktop app is available for Windows 8+ and Mac OS 10.9+ and is synced with WhatsApp on your mobile device. Because the app runs natively on your desktop, you'll have support for native desktop notifications, better keyboard shortcuts, and more.

To download the app, visit [4] from your desktop browser. Then, open the app and scan the QR code using the WhatsApp app on your phone (look for WhatsApp Web menu under Settings).

Just like WhatsApp Web, the new desktop app lets you message with friends and family while your phone stays in your pocket.
Ik ben benieuwd. Stel jij gebruikt WhatsApp op je smartphone, installeert de desktop app op jouw laptop of tablet, scant de op het scherm getoonde QR-code met jouw smartphone (zodat WhatsApp weet dat jouw telefoonnummer gekoppeld is aan de zojuist geïnstalleerde desktop app) en gaat aan het appen.

Vervolgens wordt jouw laptop of tablet, die niet goed beveiligd is, gestolen. Kan de dief dan -zonder in het bezit te zijn van jouw smartphone- namens jou WhatsApps verzenden en/of ontvangen?

Een vergelijkbare vraag heb ik bij WhatsApp Web [5]. Als ik die pagina open zie ik een QR-code met daarnaast een vinkje gezet voor "Keep me signed in". Als je dat vinkje laat staan, en jouw niet perfect beveiligde laptop of tablet wordt gestolen, kan de dief dan namens jou -zonder in het bezit te zijn van jouw smartphone- WhatsApps verzenden en/of ontvangen?

(2) SS7 kwetsbaarheden (FYI)
Sinds gisteren valt in [6] o.a. het volgende te lezen:
10 May 2016 at 01:56, John Leyden: SS7 spookery on the cheap allows hackers to impersonate mobile chat subscribers
WhatsApp, Telegram secure - but the transport isn't

[...]
Security researchers at Positive Technologies found they can intercept messages and respond as if they were the intended recipient in services such as WhatsApp or Telegram.

This is not a man in the middle attack: instead, the attacker is actually impersonating the victims identity. The mechanism of the attack renders encryption offered by the apps irrelevant.
[...]
Met andere woorden: impersonation/identiteitsfraude ligt op de loer. Hoewel WhatsApp "end-to-end encryption" gebruikt geldt ook hier (zoals ik wel vaker heb geschreven): versleutelen is zinloos als je niet weet wie er aan de andere kant van de lijn zit.

SS7 kwetsbaarheden zijn niet nieuw, zie bijvoorbeeld:
- "Europese mobiele telefoons eenvoudig af te luisteren" (door Redactie op 27-12-2011) [7]
- "Onderzoekers achterhalen locatie mobiele telefoon via SS7" (door Redactie op 28 -12-2014) [8]
- "GSM afluisternieuws" (door Erik van Straten op 19-04-2016) [9]

Reacties (10)
11-05-2016, 12:55 door Anoniem
Uiteraard zal dat kunnen. Als je telefoon gestolen wordt heb je echter precies hetzelfde probleem.
Ik zie niet in wat hier anders aan is?
11-05-2016, 13:29 door Anoniem
[1]/[5] Ik mag hopen dat je van een device de authorisatie in kunt trekken en dat incombinatie met een nieuw wachtwoord zou de zaak weer veilig moeten maken. Zoets heeft Telegram ook.
11-05-2016, 13:32 door Anoniem
De web app heeft wel een soort van timeout zonder het vinkje dat ik weet ik weet niet of het vinkje je vatbaar maakt voor indentiteitsfraude. Tevens geloof ik dat je niet via je computer maar via je telefoon whatsapped via de webapp je kunt namelijk niet je telefoon op mobiel internet hebben en je computer op je thuis verbinding. Beide moeten in hetzelfde netwerk leven dacht ik
11-05-2016, 13:42 door Erik van Straten - Bijgewerkt: 11-05-2016, 13:43
11-05-2016, 12:55 door Anoniem: Uiteraard zal dat kunnen. Als je telefoon gestolen wordt heb je echter precies hetzelfde probleem.
Ik zie niet in wat hier anders aan is?
Met de vakanties voor de boeg: laptops/tablets worden wellicht in hotelkamers achtergelaten, terwijl de smartphone wel meegaat naar het strand/zwembad/disco/kroeg etc.

Daarnaast kun je een moderne smartphone (met iets anders wil je toch niet meer gezien worden) redelijk goed beveiligen tegen dit soort dieven (middels wachtwoord, pincode, vingerafdruk of veegpatroon).

Laptops daarentegen worden zelden van FDE (Full Disk Ecnryption) voorzien waarmee dat sitting ducks zijn voor dit soort dieven (schijfje eruit, aan andere PC en je kan overal bij - de doorsnee gebruiker snapt niet eens dat je dan geen wachtwoord nodig hebt). Ook vrees ik dat veel mensen hun tablets slecht beveiligen (als dat überhaupt al zin heeft, ik vermoed dat veel tablets op stokoude en lekke Android versies draaien waarbij beveiligingsmaatregelen relatief eenvoudig zijn te bypassen).

Ik vraag me af of mensen zich de bovengenoemde risico's voldoende realiseren.
11-05-2016, 14:19 door Anoniem
Door Erik van Straten:

Ik vraag me af of mensen zich de bovengenoemde risico's voldoende realiseren.

Nee, en degene die zich dat wel realiseren hebben er vaak geen boodschap aan, verder dan het gebruikelijke "Ik heb toch niks te verbergen" verhaal komen ze niet.
11-05-2016, 16:24 door [Account Verwijderd]
Je kunt per direct de remote app beëindigen door op je smartphone opnieuw te kiezen voor "Whatsapp Web" en dan "Uitloggen alle apparaten" (OID).
12-05-2016, 07:58 door _R0N_
Vanuit je whatsapp applicatie op je telefoon kun je geauthoriseerde QR-codes (webbased of desktop app) verwijderen. Dat probleem is dus niet zo'n groot probleem.

Vinkjes aanlaten staan om wachtwoorden of andere logingegevens te bewaren is natuurlijk iets waar je zelf bij bent maar waarvan iedereen weet dat het eigenlijk niet zou moeten. Als ze je desktop/tablet stelen en ze loggen in op je favoriete forum met jouw opgeslagen credentials is net zo'n security ding..

ik zie een grote rprobleem in mobiele telefoons die gejat worden, dan heb je 2-way authenticatie maar dan heb je wel je gekoppelde telefoon nodig voor de smsjes. De dief heeft dus 1 van je belangrijkste zaken in handen om bij al je sites/applicaties te kunnen.
Whatsapp is dan je minste probleem.
12-05-2016, 10:11 door Anoniem
Door Erik van Straten:
11-05-2016, 12:55 door Anoniem: Uiteraard zal dat kunnen. Als je telefoon gestolen wordt heb je echter precies hetzelfde probleem.
Ik zie niet in wat hier anders aan is?
Met de vakanties voor de boeg: laptops/tablets worden wellicht in hotelkamers achtergelaten, terwijl de smartphone wel meegaat naar het strand/zwembad/disco/kroeg etc.

Daarnaast kun je een moderne smartphone (met iets anders wil je toch niet meer gezien worden) redelijk goed beveiligen tegen dit soort dieven (middels wachtwoord, pincode, vingerafdruk of veegpatroon).

Laptops daarentegen worden zelden van FDE (Full Disk Ecnryption) voorzien waarmee dat sitting ducks zijn voor dit soort dieven (schijfje eruit, aan andere PC en je kan overal bij - de doorsnee gebruiker snapt niet eens dat je dan geen wachtwoord nodig hebt). Ook vrees ik dat veel mensen hun tablets slecht beveiligen (als dat überhaupt al zin heeft, ik vermoed dat veel tablets op stokoude en lekke Android versies draaien waarbij beveiligingsmaatregelen relatief eenvoudig zijn te bypassen).

Ik vraag me af of mensen zich de bovengenoemde risico's voldoende realiseren.

Een laptop zonder paswoord is denk ik een problem van de gebruiker. Dat is een keuze, net zoals het een keuze is om whatsapp op je laptop te installeren.
12-05-2016, 11:51 door Anoniem
Door Erik van Straten:
11-05-2016, 12:55 door Anoniem: Uiteraard zal dat kunnen. Als je telefoon gestolen wordt heb je echter precies hetzelfde probleem.
Ik zie niet in wat hier anders aan is?
Met de vakanties voor de boeg: laptops/tablets worden wellicht in hotelkamers achtergelaten, terwijl de smartphone wel meegaat naar het strand/zwembad/disco/kroeg etc.
smartphone blijft ook regelmatig gewoon op de kamer liggen. Immers je hebt vakantie. Aan de andere kant, tegenwoordig je ook regelmatig de laptops bij het zwembad liggen.
Maar er is niet erg veel verschil tussen nu en vroeger, want toen kon het ook al, via web whatsapps.
Daarnaast kan er op de laptop veel mee meer informatie staan, die veel gevoeliger is dan mijn een whatsapp verbinding.

Laptops daarentegen worden zelden van FDE (Full Disk Ecnryption) voorzien waarmee dat sitting ducks zijn voor dit soort dieven (schijfje eruit, aan andere PC en je kan overal bij - de doorsnee gebruiker snapt niet eens dat je dan geen wachtwoord nodig hebt). Ook vrees ik dat veel mensen hun tablets slecht beveiligen (als dat überhaupt al zin heeft, ik vermoed dat veel tablets op stokoude en lekke Android versies draaien waarbij beveiligingsmaatregelen relatief eenvoudig zijn te bypassen).
Dit is eigenlijk een standaard iets, waar veel gebruikers geen verstand van hebben. Encryptie, beveiligingen of zelfs software updates is vaak al lastig. Maar het zelfde geld voor Backups...... Regelmatig krijg ik weer een "defecte" harddisk en men heeft geen backups. Of ik de foto's van de kleine er af kan halen. Gelukkig zijn dit dan gebruikers die nog nooit van DFE gehoord hebben, en kan ik dus redelijk gemakkelijk de data er afhalen. FDE had dit ongemogelijk gemaakt. FDE is dus niet altijd een goed iets voor de meeste gebruikers.

Ik vraag me af of mensen zich de bovengenoemde risico's voldoende realiseren.
Nee maar dit staat los van Whatsapps of andere security dingen. De meeste eind gebruikers weten gewoon weinig van computers wat regelmatig voor grote problemen zorgt.
12-05-2016, 21:57 door Erik van Straten
Dank voor alle antwoorden, vooral hoe je, na bijv. diefstal of verlies van een laptop of tablet, WhatsApp functionaliteit op die apparaten kunt uitschakelen.

12-05-2016, 10:11 door Anoniem: Een laptop zonder paswoord is denk ik een problem van de gebruiker.
Welk wachtwoord bedoel je? Op mijn computers voer ik 2 wachtwoorden in voordat ik ingelogd ben:

(1) Tijdens opstarten, direct na de BIOS meldingen en nadat de eerste gegevens van de harde schijf zijn gelezen, een TrueCrypt of (sinds kort) VeraCrypt (FDE=Full Disk Encryption) wachtwoord;

(2) Zodra Windows is opgestart, mijn Windows accountnaam en bijbehorend wachtwoord.

Als een dief de harddisk uit mijn computer haalt en als 2e harddisk op zijn eigen computer aansluit, opstart en met een account inlogt dat lid is van de groep Administrators op zijn PC, kan hij mijn bestanden niet lezen doordat mijn hele schijf versleuteld is.

Als ik geen FDE had toegepast, zoals verreweg de meeste laptop bezitters, had de aanvaller al mijn bestanden kunnen lezen, met exact dezelfde rechten als ware zijn account lid van de groep Administrators op mijn PC (die rechten zijn namelijk volledig identiek omdat de SID (Security Identifier) voor de (lokale) groep Administrators identiek is op elke Windows PC, van Windows NT 3.x t/m Windows 10, namelijk "S-1-5-32-544").

Overigens gelden vergelijkbare problemen bij alle andere besturingssystemen die ik ken: als jouw gegevens niet versleuteld zijn en een kwaadwillende de gegevensdrager met die gegevens in handen krijgt, gaat geen enkel wachtwoord jouw gegevens beschermen.

De effectiviteit van een Windows wachtwoord is dus maar zeer beperkt - dit in tegenstelling tot moderne smartphones, waarbij het "unlock" wachtwoord (of vingerafdruk, pincode of veegpatroon) dat gekoppeld is aan geheel of gedeeltelijke versleuteling van het geheugen in die smartphone.

Om die reden begrijp ik niet dat Microsoft Bitlocker niet meelevert met Windows 10 Home. Temeer daar Microsoft zelf Bitlocker positioneert als bescherming tegen gelegenheidsdieven, waardoor het voor de zakelijke of medische gebruiker die serieus wat te verbergen hebben (helemaal in het licht van recentelijk gepatchte Bitlocker kwetsbaarheden type achterdeur in enterprise/AD omgevingen, maar ook vanwege het closed source zijn), minder aantrekkelijk is (zie ook [1]).

12-05-2016, 11:51 door Anoniem: Regelmatig krijg ik weer een "defecte" harddisk en men heeft geen backups. Of ik de foto's van de kleine er af kan halen.
Heel herkenbaar, heb ik ook zeer veel gedaan. Maar de kans dat je van een moderne, tikkende of andere enge geluiden makende 2.5" harddisk -zonder laboratorium met specialistische tools- nog iets kunt redden, is zo goed als nul.

Als het alleen maar om een paar bad blocks gaat die bijv. verhinderen dat Windows opstart, hoeft FDE zoals TrueCrypt overigens geen showstopper te zijn, maar je zult dan wel gebruik moeten maken van een reddingssysteem waarop die FDE software is geïnstalleerd.

[1] Bizar vind ik dat Microsoft, met de introductie van Windows 8, zonder opgaaf van redenen ("goed" gebruik bij Microsoft), de Elephant Diffusser heeft vervangen door de simpele AES-CBC cipher waarvan, op dat moment, al heel lang bekend was dat deze methode flink malleable is.
Interressant vond ik het dan ook om recentelijk in https://technet.microsoft.com/en-us/itpro/windows/whats-new/bitlocker te lezen dat, sinds Windows 10 versie 1511, Bitlocker AES-XTS ondersteunt (naar ik aanneem om malleability te beperken).

Daarbij kan ik het niet laten om mij af te vragen welke achterdeur hiervoor in de plaats is gekomen (de FBI zal wel aan Microsoft hebben verteld dat zij niks aan malleability bleken te hebben nadat de terrorist zichzelf had opgeblazen).

Gokje: zou Microsoft, voor een schappelijk prijsje, de Dual_EC_DRBG sourcecode van Juniper hebben overgenomen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.