Computerbeveiliging - Hoe je bad guys buiten de deur houdt

MitM op security.nl !!

07-07-2017, 15:03 door Anoniem, 39 reacties
Goh...

Een echte MitM net met 'deze' website, nou ja een met de naam
security.nl !

via Torbrowser.

Alleen "www.security.nl" zonder https en certificaat in beeld.
Ik keek ernaar omdat ik de browser niet heel responsive vond.
En 'asjemneou warempel' geen slotje / geen https te zien!!

Er was vandaag al eerder gedonder, bijna vastlopend systeem tot twee keer toe.
Had javascripts openstaan voor het plaatsen van een reactie.

'Grappig' hoe dat gaat, je kijkt nou eenmaal niet continue naar je url balk.
Zal nog kijken of ik een schermshoot kan bewerken, alle drie de nodes krijg je van mij namelijk niet in beeld.
Altijd opletten met schermafbeeldingen.

Maar als het ergens aan lag dan was het vast aan de exitnode :
Czech Republic 94.23.173.249

In de gaten houden : url balk en als er gedonder mee is dan ook je exitnode opzoeken!

Zou er iets in de lucht hangen? Je hoort wel eens dat er mensen zijn die niet van encryptie houden.
O,o

Wees gewaarschuwd en houdt je ogen open ook bij andere https verbindingen (juist die andere ook!)
Reacties (39)
07-07-2017, 15:13 door Anoniem
Aanvullend:

Dit topic is gisteren voor 2300 geüpload en niet geplaatst, maar pas vandaag na herhaald verzoek wèl geplaatst.
Het 'vandaag' in de starttekst is dus gisteren.

Aanvullend, het is op zich belend dat een SSL strip op een exitnode kan voorkomen maar ik heb het in jaren niet meegemaakt / gezien. Geen reden tot paniek maar wel een reden om goed te blijven opletten.
Een advies dat per definitie geldt omdat een SSL strip ook kan voorkomen met een andere browser en je bijvoorbeeld gebruik maakt van een publieke 'terras'-wifi.
Het is tenslotte zomer en lekker weer nietwaar?

Goed blijven opletten in het algemeen en dus ook met Torbrowser.
En houdt desgewenst de genoemde exitnode maar extra in het oog als ze toevallig voorbij komt in je verbindingslijst.

Groet t.s.


@ redactie dank voor het alsnog plaatsen van het topic omdat het een belangrijke waarschuwing betreft.
07-07-2017, 15:18 door Anoniem
Wat een onsamenhangend verhaal... Wat bedoel je nu precies?
07-07-2017, 15:23 door Anoniem
Wat een geneuzel. En waarvoor wil je een slotje / https zien ? Laat je hier persoonsgegevens achter ? Verricht je betalingen via deze website ? Ben je bang dat mensen je posts of reacties kunnen lezen, voordat deze publiek staat ? Of meen je dat alles op internet HTTPS moet zijn ? Wil je ook HTTPS wanneer je naar www.nu.nl gaat, of www.uitzendinggemist ?

Ik zou zeggen, denk eens in risico analyses, op basis waarvan je bepaalt welke maatregelen al dan niet nodig zijn.
07-07-2017, 15:35 door Anoniem
Door Anoniem: Wat een geneuzel. En waarvoor wil je een slotje / https zien ?

Security.nl biedt al jaren de site alleen maar aan over https : daarom.

SSL gaat over security, wanneer die security gebroken wordt is dat relevant voor een security site als deze: punt.
07-07-2017, 15:41 door [Account Verwijderd]
[Verwijderd]
07-07-2017, 15:43 door Anoniem
Waarom zou je Security.nl via tor benaderen.
Ik snap dat niet.
07-07-2017, 15:55 door Martijn9999
Door Anoniem: Wat een geneuzel. En waarvoor wil je een slotje / https zien ? Laat je hier persoonsgegevens achter ? Verricht je betalingen via deze website ? Ben je bang dat mensen je posts of reacties kunnen lezen, voordat deze publiek staat ? Of meen je dat alles op internet HTTPS moet zijn ? Wil je ook HTTPS wanneer je naar www.nu.nl gaat, of www.uitzendinggemist ?

Ik zou zeggen, denk eens in risico analyses, op basis waarvan je bepaalt welke maatregelen al dan niet nodig zijn.

Omdat de tussenliggende partij dan allerlei nare javascripts kan inserten bijvoorbeeld?
07-07-2017, 17:11 door Anoniem
Onsamenhangend verhaal deze post. Ik heb geen idee waar je het nou precies over hebt, wat je wil bereiken, en hoe je eventueel een probleem oplost.
07-07-2017, 17:20 door Anoniem
Maar als het ergens aan lag dan was het vast aan de exitnode :
Czech Republic 94.23.173.249

Hoe kun je dat zien?
07-07-2017, 17:48 door Anoniem
Omdat de tussenliggende partij dan allerlei nare javascripts kan inserten bijvoorbeeld?
Dat is inderdaad goed om rekening mee te houden.

In Tails, waar Tor-Browser een onderdeeltje van is, kun je bijv. de security op "medium" zetten, zodat er i.g.v. http in ieder geval geen javascript kan worden uitgevoerd.

Ik zie wel vaak "Unexpected failure" bij Preview of Reageren.
07-07-2017, 18:11 door Anoniem
Die tor exit node in Roubaix is inderdaad verdacht, zoals hier gemeld met brute force attacks via SSH: http://blackhat.directory/ip/94.23.173.249

Franse mail hackers: http://botscout.com/ipcheck.htm?ip=94.23.173.249

Tevens ander soort brute force aanvallen, aanvallen op Word Press en Magento.
OVH SAS misbruik us, dat daar plaats heeft: https://www.abuseipdb.com/check/94.23.173.249

Geen MiM, maar Brute Force log-in pogingen.

Kijk waar je met tor er op gaat en waar eraf, liever daar waar de tor dienst het minst gecompromitteerd wordt, toch?

Frankrijk is een niet erg anonimiseringsvriendelijke tor-omgeving, vrij restrictieve overheid.
07-07-2017, 18:47 door Anoniem
Door Neb Poorten: Denk je niet eerder dat je antivirus de boosdoener is?
Nee.

Of gebruik je geen Windows?
Maak er niet weer een OS discussie van svp.

Het lag aan de exitnode.
Drie keer verbinding met deze site vernieuwd bleef een verbinding op normale http geven.
Na het vernieuwen van het Tor-netwerk cricuit en het hebben van een andere exitnode was het probleem weer over.
De verbinding was weer over https.

Wanneer iets wel als theoretisch risico bestaat kan je toch verbaasd zijn als het na jaren een keer in de praktijk voorkomt.
Reden om er extra op te attenderen, een attentie die geldt voor andere browser gebruikers en met name ook Torbrowser gebruikers.
Ik ben namelijk vast niet de enige die dit verder een hele prettige browser vindt omdat ze super easy je privacy beschermt en ook veilig is.

Maar niets is 100% veilig en alles vraagt om aandacht, altijd.
Dat lijken we nog wel eens te vergeten.
Een SSL strip kan je dus overkomen en als je niet oplet vervelende gevolgen hebben.
Opletten dus.

Blijven opletten valt overigens op sommige https sites niet mee door de afleidende elementen, maar dat is weer voer voor een ander topic.
07-07-2017, 19:01 door Anoniem
Door Anoniem: Die tor exit node in Roubaix is inderdaad verdacht, zoals hier gemeld met brute force attacks via SSH: http://blackhat.directory/ip/94.23.173.249

Franse mail hackers: http://botscout.com/ipcheck.htm?ip=94.23.173.249

Tevens ander soort brute force aanvallen, aanvallen op Word Press en Magento.
OVH SAS misbruik us, dat daar plaats heeft: https://www.abuseipdb.com/check/94.23.173.249

Geen MiM, maar Brute Force log-in pogingen.

Kijk waar je met tor er op gaat en waar eraf, liever daar waar de tor dienst het minst gecompromitteerd wordt, toch?

Frankrijk is een niet erg anonimiseringsvriendelijke tor-omgeving, vrij restrictieve overheid.

Ahah
Ze is in ieder geval niet geblacklisted hier
http://www.blutmagie.de/

De enige die wel geblacklisted is is een node van Kaspersky Lab.
inetnum: 37.221.171.232 - 37.221.171.239
netname: Kaspersky_Lab_Romania
descr: Kaspersky Lab Research TOR exit node
Kaspersky is geen aanhanger van Tor, dat is bekend.
Maar om daar nou actief gevolg aan te geven?

Benieuwd om als iemand de Tjechische node nog een keer voorbij ziet komen tijdens het browsen daar nog gemelde hinder van ondervindt.
Vinger aan de urlbar-pols.
07-07-2017, 19:38 door Anoniem
En wat dacht je hier van? https://www.abuseipdb.com/check/94.23.173.249
Daarbij: een tsjechisch node gehost in Frankrijk... Ook niet iets wat je onmiddellijk verwacht.
Is het in dit geval dan geen Franse exit node?

O ja, nog even een vraagje: overkwam je dit nog met Tails 3.0 of was je al over naar Tails 3.0.1.
Bekend is dat de Tor versie in Tails 3.0 niet helemaal koosjer was met afscherm-nodes en exit-nodes.
En geen automatische update gedaan he? Want daarvan is ook al bekend dat je problemen krijgt.
07-07-2017, 21:53 door Anoniem
Door Anoniem: En wat dacht je hier van? https://www.abuseipdb.com/check/94.23.173.249
Daarbij: een tsjechisch node gehost in Frankrijk... Ook niet iets wat je onmiddellijk verwacht.
Is het in dit geval dan geen Franse exit node?

O ja, nog even een vraagje: overkwam je dit nog met Tails 3.0 of was je al over naar Tails 3.0.1.
Bekend is dat de Tor versie in Tails 3.0 niet helemaal koosjer was met afscherm-nodes en exit-nodes.
En geen automatische update gedaan he? Want daarvan is ook al bekend dat je problemen krijgt.
Nee dat lag niet aan Tails.

Wat denk ik wel belangrijk is om te onderscheiden is of de eigenaar van de exit node rare dingen doet of dat er anderen zijn die rare dingen doen en dat dat verkeer (al dan niet toevallig, dus wel of niet bewust gekozen) over deze exit node ging.

Aangaande dat laatste maken blauwe petjes nog wel eens een vergissing, houden ze de eigenaar van de exitnode aan of nemen de exitnode server in beslag terwijl alleen verkeer van anderen er tijdelijk overheen ging.
Fout verkeer kan over alle exitnodes gaan maar het lijkt erop dat sommigen bewust alleen bepaalde exitnodes kiezen die in bepaalde landen liggen.

Maar het onderbreken van een beveiligde verbinding op een bepaald punt, de exitnode, dat lijkt me een kwestie van de beheerder zelf (of iemand die toegang heeft tot het beheer van die server).

Maar ik beheer geen exitnode en weet ook niet hoe je een ssl verbinding openbreekt, dus wie het beter weet mag het zeggen.
07-07-2017, 22:33 door Anoniem
Maar van dat IP (in de kwaliteit van exit-node of niet) had dus of heeft nog misbruik plaatsgevonden.

Je gaat geen Word Press sites of Magento webshops lopen log-in brute-forcen....

dan is een blacklisting een logisch gevolg en volkomen op zijn plaats.
07-07-2017, 23:38 door [Account Verwijderd]
[Verwijderd]
07-07-2017, 23:39 door [Account Verwijderd]
[Verwijderd]
08-07-2017, 09:12 door Anoniem
OVH is een grote goedkope Franse hoster met veel internationale klanten. Een OVH IP adres op zich is niet vreemd.

Misschien had iemand een dekmantel nodig voor activiteiten die het daglicht niet kunnen verdragen en dacht dat een exitnode daarvoor zou kunnen dienen.

Je kunt de locatie van entry en exitnodes configureren. Nodes kunnen ook worden uitgesloten. Als je dat doet wordt het mogelijk wel trager.

Iemand schreef op http://blackhat.directory/ip/94.23.173.249: "This Exit node does MitM on torbrowser connections by SSL stripping HTTPS traffic and changing them to insecure HTTPS!" De laatste HTTPS moet HTTP zijn?
08-07-2017, 11:04 door Anoniem
Door Neb Poorten:
Door Anoniem: Waarom zou je Security.nl via tor benaderen.
Ik snap dat niet.

Oh, je dacht dat Anoniem posten echt anoniem was? Nee hoor, dan moet je ook Tor gebruiken. Anders kan je net zo goed een http://security.nl account aanmaken.
VPN?...
08-07-2017, 11:18 door Anoniem
Door Martijn9999:
Door Anoniem: Wat een geneuzel. En waarvoor wil je een slotje / https zien ?

Omdat de tussenliggende partij dan allerlei nare javascripts kan inserten bijvoorbeeld?

Normaal gesproken heb je als Nederlandse surfer bij een Nederlandse website daar niet zo veel kans op, maar als
je via Tor gaat werken wordt dat een heel ander verhaal natuurlijk. Dat is in feite een uitnodiging om je eens goed in
de tang te nemen.
08-07-2017, 12:31 door karma4 - Bijgewerkt: 08-07-2017, 12:33
Door Neb Poorten:
Door Anoniem:
Door Neb Poorten: Denk je niet eerder dat je antivirus de boosdoener is?
Nee.

Of gebruik je geen Windows?
Maak er niet weer een OS discussie van svp.

Niet te krampachtig gaan doen daarover. In dit geval wel degelijk relevant (lees die link maar die ik erbij gaf).
Link is totaal niet relevant bij elk OS systeem kan je de boel decrypten en opnieuw encrypten.
Als je de inhoud van mail of webverkeer wil inspecteren dan heb je die technische mogelijkheid, staat los van OS .
De beruchte https://en.wikipedia.org/wiki/Morris_worm (1988) ander OS. Internet is gewoon ontworpen zonder security zonder session awareness of wat dan ook. Het zij zou we zitten nu met het pleisterwerk. Het veiligere SNA (IBM) zou ik je niet aanraden als alternatief, het heeft het niet voor niets afgelegd.

Security en dan security by design privacy by desing is wezenlijker, moet je wel doosjes loslaten.
08-07-2017, 12:36 door Bitwiper
Alleen "www.security.nl" zonder https en certificaat in beeld.
https://www.security.nl/ stuurt een HSTS header mee naar jouw browser, ook bekend als Strict Transport Security, met "max-age=31536000" in seconden. Met 86400 seconden in 24 uur is dat 365 dagen.

Als jij zo'n HSTS site bezoekt worden de domeinnaam (www.security.nl) plus de datum en tijd van jouw laatste bezoek in jouw persoonlijke browserprofiel opgeslagen of bijgewerkt.

Elke keer dat je een website opent zal jouw browser checken of daar een HSTS registratie voor bestaat in jouw profiel (t.g.v. een eerder bezoek). Als dat zo is (en de datum/tijd info niet verlopen zijn) zal jouw browser weigeren om http verbindingen te maken (uitsluitend https toestaan dus).

Dus wat jij schrijft kan niet - tenzij (of, of etc.):
- Jouw browser geen HSTS ondersteunt (een Tor "feature" wellicht om te voorkomen dat jij identificeerbaar bent? [1]);
- Jij, met die browser + opgslagen en hergebruikt gebruikersprofiel de afgelopen 365 dagen security.nl niet hebt bezocht;
- Het jou niet eerder is opgevallen dat jij met die browser + profiel nooit https://www.security.nl/ hebt gezien;
- Jouw gebruikersprofiel (met daarin HSTS data) niet wordt bewaard, bijv. omdat je steeds van een read-only medium opstart;
- De datum en tijd op jouw computer meer dan 365 dagen fout staat;
- De domeinnaam in de URL die jij zag slechts leek op de ASCII karakters www.security.nl (maar dan moet je op een foute link hebben geklikt).

Als 1 (of meer) van die issues spelen zou ik me eens goed afvragen of ik wel goed bezig ben, en niet beter een minder paranoïde setup kan gebruiken.

[1] http://www.radicalresearch.co.uk/lab/hstssupercookies/ (lees in elk geval onderaan)
08-07-2017, 12:43 door Anoniem
Je mag wel anoniem bezig zijn met tor..Maar als je zo bezorgd bent over een man in the middle attack, waarom gebruik je dan een Tor browser, aangezien,een man in the middle attack daarmee vereenvoudigd wordt. En het bekend is dat de meeste exit nodes in handen zijn van "criminelen / overheidsinstanties". Denk dat als je Tor gebruikt, je je juist in een hoek duwt, waardoor je voor andere interessant wordt.

Anyway in dit geval, had je geen tor gebruikt, was er ook geen Man in the middel attack (Bij security.nl.. )
08-07-2017, 14:13 door Anoniem
@ 'HSTS'wiper

https://www.torproject.org/projects/torbrowser/design/
HSTS and HPKP supercookies

An extreme (but not impossible) attack to mount is the creation of HSTS supercookies. Since HSTS effectively stores one bit of information per domain name, an adversary in possession of numerous domains can use them to construct cookies based on stored HSTS state.

HPKP provides a mechanism for user tracking across domains as well. It allows abusing the requirement to provide a backup pin and the option to report a pin validation failure. In a tracking scenario every user gets a unique SHA-256 value serving as backup pin. This value is sent back after (deliberate) pin validation failures working in fact as a cookie.

Design Goal: HSTS and HPKP MUST be isolated to the URL bar domain.

Implementation Status: Currently, HSTS and HPKP state is both cleared by New Identity, but we don't defend against the creation and usage of any of these supercookies between New Identity invocations.

Ook interessant
https://www.torproject.org/docs/faq.html.en

Verder hebben lang niet alle websites die https gebruiken ook HSTS geïmplementeerd.
Kijk maar naar de banken die daar met zijn allen toch ook langer dan een jaar over hebben gedaan.
En dan hebben we nog de vele lets encrypt gebruikers die net een stapje op weg zijn.

De onderliggende boodschap van dit topic blijft dus van kracht. : blijven opletten op je url bar
(juist bij sites waarvan je gewend bent dat ze een slotje hebben)
08-07-2017, 14:21 door Anoniem
Door Anoniem: Normaal gesproken heb je als Nederlandse surfer bij een Nederlandse website daar niet zo veel kans op, maar als je via Tor gaat werken wordt dat een heel ander verhaal natuurlijk. Dat is in feite een uitnodiging om je eens goed in de tang te nemen.
Suggestieve onzin

Ga je maar eens inlezen, dat is wat nuttiger dan maar wat roepen
https://www.torproject.org/projects/torbrowser/design/
https://www.torproject.org/docs/faq.html.en

Sterker nog, misschien is het binnenkort wel beter om Nederlandse entry en exitnodes helemaal te gaan mijden.
Torproject heeft geen zin om daarvoor een systeem op te tuigen maar het wordt onderhand wel een interessantere gedachte.
Nederland gaat namelijk proberen het internetverkeer in haar geheel te monitoren.

BigData analyses doen dan de rest en dan komen analyses op tijd gevaalijk in de buurt van welke geanonimiseerde wie wat bezoekt.

Nee, de tijd dat wij belerend wijzen naar anderen landen (Chine ed.) is niet meer houdbaar.
08-07-2017, 15:11 door Anoniem
Door Anoniem:

Maar als het ergens aan lag dan was het vast aan de exitnode :
Czech Republic 94.23.173.249

In de gaten houden : url balk en als er gedonder mee is dan ook je exitnode opzoeken!

Zou er iets in de lucht hangen? Je hoort wel eens dat er mensen zijn die niet van encryptie houden.
O,o

Wees gewaarschuwd en houdt je ogen open ook bij andere https verbindingen (juist die andere ook!)

Het is eigenlijk wel apart. Je gebruikt TOR om aan de overheid monitoring te ontkomen, maar daarna vertrouw we je wel op een exit node die je eigenlijk helemaal niet kent. Dus eigenlijk ook niet te vertrouwen is.

Zijn dat dit 2 tegen strijdigheden?
08-07-2017, 18:21 door Anoniem
Door Anoniem:
Door Anoniem:

Wees gewaarschuwd en houdt je ogen open ook bij andere https verbindingen (juist die andere ook!)

Het is eigenlijk wel apart. Je gebruikt TOR om aan de overheid monitoring te ontkomen, maar daarna vertrouw we je wel op een exit node die je eigenlijk helemaal niet kent. Dus eigenlijk ook niet te vertrouwen is.

Zijn dat dit 2 tegen strijdigheden?

Nee,

Omdat je aanname niet klopt en niet snapt hoe waar Torbrowser voor bedoeld is en waar het je wèl en waar het je niet tegen kan beschermen.

Ik gebruik geen Torbrowser om aan de overheid te ontkomen.
Ik gebruik die aangepaste ESR Firefox browser omdat ze op een heel simpele en heel doeltreffende gratis manier is om mijn privacy te bewaken tegenover een wereldwijde tracking industrie.

Dat het ook vrij goed beschermt tegen hitsige andere meekijkers met een embleempje van het een of het ander is mooi meegenomen (privacy is privacy) maar op zich niet waarvoor ik het gebruikte.
Er zijn echter landen waar je leven wel afhangt van je privacy (interesse) bescherming en waar jouw genoemde gebruik zeker wel van toepassing is.
Maar hier is het nog niet zover.
Hier gaat het niet over leven en dood, hooguit over een zeker comfort rondom mogelijk te genieten voordeel of nadeel.

Verder kan je het beste op de uitlegpagina's terecht van Torproject maar ik wil er best wat over zeggen.
Torbrowser beschermt jou privacy op een iets andere manier dan je gewend bent.

Bij privacy kan je denken: niemand krijgt bepaalde informatie.
Maar je kan ook denken: niemand kan die informatie aan een bepaalde persoon koppelen.
In beide gevallen is globaal gezegd je privacy beschermd.

In principe is het zo dat Torproject je aanraad om zoveel als mogelijk alleen https websites te bezoeken, dan is jouw informatie van begin tot eind beschermd omdat ze helemaal versleuteld is.
Wanneer dat verkeer dan toch onderweg wordt opengebroken dan zie je dat ook, dat is ook de uitzondering waar dit topic over gaat en waarvoor ik in algemene zin ook wilde waarschuwen.

Bij niet versleutelde http verbindingen is vanaf de exitnode waar jouw verkeer vanaf Tornetwerk het wereldwijde web opgaat niet meer versleuteld en dus onderweg mee te lezen.
Maar het is niet bekend bij wie die informatie hoort, dat wil zeggen wie die pagina bezoekt want het eerste deel van de route vanaf jou computer over het Tornetwerk is versleuteld en geanonimiseerd.

Het is dus niet tegenstrijdig om Torbrowser te gebruiken om je privacy te gebruiken.
Maar je moet je wel aan een aantal basisregels houden.
De belangrijkste staan onderaan de download pagina van Torproject.
https://www.torproject.org/download/download-easy.html.en

Sommige mensen zeggen, je moet nooit onder je eigen naam iets doen met Torbrowser want anders heeft het geen zin.
Dat is niet helemaal waar.
Facebook heeft bijvoorbeeld ook een website op het Tornetwerk (wat sommigen met veel bangmakende tamtam het donkere web noemen)
https://www.facebookcorewwwi.onion/
Mensen riepen in het begin dat dat onzin was omdat Facebook toch wel wist wie jij was.
Dat klopt helemaal, maar het idee erachter was niet om je identiteit voor Facebook af te schermen maar voor overheden die niet graag zien dat hun burgers Facebook bezoeken.

Als er gevangenisstraf of erger staat op het bezoeken van Facebook, dan is zon adres dus heel erg nuttig en functioneel; je beschermt je privacy tegenover een overheid die jou bepaalde rechten niet gunt.

Over rechten voor burgers kan je discussiëren en twisten.
Sommige overheden willen daar helemaal niet over discussiëren en willen dat graag zelf bepalen.

Dat risico gaan we hier in zekere zin ook lopen, een overheid die je straks bij alles probeert te volgen en je hebt geen idee wat dat nationaal of internationaal voor consequenties heeft.
Daar hoef je echt geen actievoerder voor te zijn die onderweg naar Hamburg ineens bij de grens (eh die waren toch open?) wordt aangehouden (niet dat ik voor rellen ben en niet dat deze mensen relschoppers waren, dat weet ik niet. Wel jammer dat de kleinste groep het voor de grootste verpest. 100.000 mensen die wel nadenken, kom daar in nl nog maar eens om.).
Aangehouden straks omdat je privacy niet wordt gerespecteerd, omdat men stiekem van alles op de achtergrond heeft verzameld door alles te tappen. Aangehouden om computerbepaalde redenen die niet eens hoeven te worden gaan genoemd : computer says no.

Dus het is op zich heel begrijpelijk als meer mensen in de nabije toekomst voor de super eenvoudige oplossing van Torbrowser gaan kiezen om niet alleen de reclame industrie een hak te zetten maar ook om op te komen voor een recht op privacy.
En daarbij is het op zich ook een heel prettige ontwikkeling dat steeds meer websites over gaan op https want dan is dus ook het verkeer vanaf de exitnode versleuteld.

Maar zoals met alles kan techniek je niet voor stommiteiten of ongelukken behoeden, een deel van security zal altijd mede afhangen van je eigen oplettende houding.
Sommigen noemen dat ook wel eigen verantwoordelijkheid.
08-07-2017, 19:39 door Bitwiper
Door Anoniem: @ 'HSTS'wiper
[...]
De onderliggende boodschap van dit topic blijft dus van kracht
WTF onderliggende boodschap? Subject is "MitM op security.nl !!" en de TS heeft het nergens over andere sites.

Gebruik een fatsoenlijke browser, problem fixed.
08-07-2017, 20:59 door Anoniem
Als je MiTM kan uitvoeren, dan kan je ook web injecten ;) Dus heel erg gevaarlijk
08-07-2017, 21:39 door Anoniem
Door Anoniem:
Door Neb Poorten:
Door Anoniem: Waarom zou je Security.nl via tor benaderen.
Ik snap dat niet.

Oh, je dacht dat Anoniem posten echt anoniem was? Nee hoor, dan moet je ook Tor gebruiken. Anders kan je net zo goed een http://security.nl account aanmaken.
VPN?...

Zowel met tor als vpn Success: https://amiunique.org (sorry voor de schrik die je nu mogelijk krijgt).

En post je werkelijk zulke vreemde dingen dat de beheerders niet mogen zien dat iemand mogelijk meerdere Posts doet?
08-07-2017, 21:44 door Bitwiper
Door Anoniem: Als je MiTM kan uitvoeren, dan kan je ook web injecten ;) Dus heel erg gevaarlijk
Als een site HSTS gebruikt en jij een fatsoenlijke browser, waarmee je niet al te lang geleden die site hebt bezocht, moet een aanvaller heel veel moeite doen om een geslaagde MitM aanval uit te voeren en/of content te injecteren zonder dat jij een certificaatwaarschuwing krijgt - zonder HSTS is dat een koud kunstje.
08-07-2017, 23:22 door Anoniem
@ Bitwiper,

Daarom alleen al zou men werk moeten maken van het invoeren van Security Headers.
Zie test hier: https://observatory.mozilla.org/analyze.html?host=www.security.nl

De trackers en profilers zijn inmiddels al zo veel verder dan degenen die ertegen dienen te beveiligen,
zie bijvoorbeeld een issue als Keyboard Privacy, zo veel manieren om je uniek te fingerprinten
en api sleutels etc. etc.

We voeren een achterhoedegevecht, maar sommigen zoals jij zijn al wel alert.
Hier dragen we deze kennis uit, maar hoe lang duurt tot het gemeengoed worden kan.

lauferek
09-07-2017, 15:00 door Anoniem
Headers helpen niet bij een dergelijke MITM bij de exit node. (even afgezien of dat wel mogelijk is; het lijkt me sterk)
Maar stel dat het mogeliujk is, dan ben je al geMitMt voordat jouw websitebezoekrequest bij www.security.nl aankomt.
09-07-2017, 18:46 door Anoniem
Wie zou er toch weer een abuse reportje hebben ingediend over deze draad?
Wie hebben er belang bij dat een dergelijke IP niet direct wordt geblokkeerd?

Zoek maar op het IP adres en je ziet deze security.nl abuse melding bij de zoekresultaten.

Meer geven Ip op als de bron van een heleboel misbruik, bulk spam en zelfs tor exit node spam: https://www.stopforumspam.com/ipcheck/94.23.173.249
Als frauduleus IP: https://www.maxmind.com/en/high-risk-ip-sample/94.23.173.249
Als bulk spambot adres: https://cleantalk.org/blacklists/94.23.173.249
Geblacklist door 20 websites: https://www.ip-finder.me/94.23.173.249/
Als geblokkeerde spam tor exit node: https://www.webiron.com/abuse_feed/94.23.173.249
Ook interessant is de bulk list hier: https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=94.23.173.249&port=80

So "look before you leap, folks!"

lauferek
09-07-2017, 21:13 door Anoniem
Wie zou er toch weer een abuse reportje hebben ingediend over deze draad?
Wie hebben er belang bij dat een dergelijke IP niet direct wordt geblokkeerd?
Waarschijnlijk niemand.
Die abuse link bestaat nu eenmaal, en die domme zoekmachines pikken hem dan automatisch op.
09-07-2017, 22:36 door Anoniem
@ anoniem van 21:13

Dat is dan een pak van mijn hart. Je voelt je op het Internet inderdaad steeds meer gevolgd.
En Google kan je af en toe al lekker bang maken, anders social media wel.

Voor de site hier kon ik het volgende vaststellen:

HTTP Strict Transport Security (HSTS) header set to a minimum of six months (15768000) zie:
https://observatory.mozilla.org/analyze.html?host=www.security.nl

In Iridium browser, kan ik hier checken: "chrome://net-internals/#hsts" of het ondersteund wordt (HSTS nml.).

static_sts_domain:
static_upgrade_mode: UNKNOWN
static_sts_include_subdomains:
static_sts_observed:
static_pkp_domain:
static_pkp_include_subdomains:
static_pkp_observed:
static_spki_hashes:
dynamic_sts_domain: security.nl
dynamic_upgrade_mode: STRICT
dynamic_sts_include_subdomains: false
dynamic_sts_observed: 1499632401.287811
dynamic_pkp_domain:
dynamic_pkp_include_subdomains:
dynamic_pkp_observed:
dynamic_spki_hashes:

Hoe belangrijk is dit voor firefox binnen tor?
10-07-2017, 07:58 door Bitwiper
Door Anoniem: Headers helpen niet bij een dergelijke MITM bij de exit node. (even afgezien of dat wel mogelijk is; het lijkt me sterk)
Maar stel dat het mogeliujk is, dan ben je al geMitMt voordat jouw websitebezoekrequest bij www.security.nl aankomt.
Ja, als het de eerste keer is dat je met die webbrowser + profiel security.nl bezoekt door zelf met een http URL te beginnen.

Nee, als je met die webbrowser + profiel eerder, doch niet langer dan 365 dagen geleden, een succesvolle (zonder certificaatfouten) verbinding met security.nl hebt gehad: het maakt dan niet uit of je met https of http begint (jouw webbrowser zal dan elk http verzoek van jou automatisch in https omzetten voordat het verbindingsverzoek wordt uitgestuurd).

Bij een https verbinding met www.security.nl krijg je ALTIJD een certificaatfoutmelding als die verbinding wordt geMitMed of als je door DNS manipulatie op een andere server dan de Cloudflare front end server voor security.nl site uitkomt. Hier zijn uitzonderingen op (in elk geval gestolen of gelekte private key, onterecht uitgegeven certificaat, kwaadaardige rootcert in jouw browser of OS of anders gemanipuleerde browser, kraakbare ciphers en andere TLS issues) maar de kans daarop is erg klein. En nog eens extra klein als mijn vermoeden, dat noch geheime diensten, noch cybercriminelen, baat hebben bij het MitMen van verbindingen met security.nl.

HSTS is TOFU (Trust On First Use) met beperkte tijdsduur voor het https protocol. Een klein beetje vergelijkbaar met ssh: de eerste keer dat je met een specifieke client een verbinding maakt met een server is die eenvoudig te MitMen (tenzij je via een ander kanaal hebt vastgesteld wat de getoonde fingerprint moet zijn). Daarna kom je daar als aanvaller niet meer tussen zonder dat jij een waarschuwing te zien krijgt dat de fingerprint is gewijzigd.

Lees je eens in in HSTS. Dat is iets dat m.i. elke https website zou moeten ondersteunen, juist omdat het een eenvoudig maar heel krachtig middel is tegen MitM aanvallen tegen onwetende gebruikers die als URL "security.nl" (zonder https ervoor) invoeren.

PS ik begrijp niet dat er tor gebruikers bestaan die zodanig security-unaware zijn dat ze niet eerst https intikken voor elke site die ze bezoeken (naast het dubbelchecken op spelfouten in de domeinnaam). Als https niet werkt kun je altijd nog handmatig http proberen (tenzij eerder verkregen HSTS data jou dat onmogelijk maakt), maar dan weet je in elk geval zeker dat er meegekeken en/of gemanipuleerd kan worden.
10-07-2017, 12:58 door Anoniem
Bedankt Bitwiper voor je waardevolle informatie en het onderstrepen van de betekenis van HSTS ondersteuning op websites. Ik ga me verder inlezen en ben dankbaar dat ik hier met zo veel waardevolle info de weg wordt gewezen.
We staan steeds op elkanders shouders.

lauferek
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.