image

VS adviseert reizigers om openbare wifi voor privézaken te vermijden

zondag 24 november 2019, 11:06 door Redactie, 16 reacties

Het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid adviseert reizigers om openbare wifi-netwerken op vliegvelden niet voor privézaken te gebruiken. Het gaat dan bijvoorbeeld om internetbankieren, het downloaden van boardingpassen en online aankopen. Aanvallers zouden via de netwerken gevoelige gegevens kunnen onderscheppen, aldus het CISA dat onderdeel van het Amerikaanse ministerie van Homeland Security is.

Verder wordt reizigers aangeraden om bluetooth uit te schakelen wanneer het niet in gebruik is. "Cybercriminelen hebben de mogelijkheid om met de open bluetooth-verbinding van je apparaat te pairen en persoonlijke informatie te stelen", aldus het advies van het CISA. Reizigers moeten tevens voorzichtig zijn als ze hun telefoon willen opladen. Zo wordt het gebruik van openbare laadstations afgeraden. Als laatste tip wijst het CISA reizigers op de fysieke beveiliging. "Laat je apparaat nooit onbeheerd achter in openbare of eenvoudig toegankelijke locaties."

Reacties (16)
24-11-2019, 11:20 door Anoniem
Wat? Computers zijn niet veilig? Gratis netwerken ook al niet? En bluetooth? Hoe kan dat nu?
24-11-2019, 12:21 door Briolet
En als je de Wifi zakelijk gebruikt is het dan wel veilig? Dan mag je wel:
"Het gaat dan bijvoorbeeld om internetbankieren, het downloaden van boardingpassen en online aankopen."

Beter advies zou zijn om op openbaar wifi altijd via een VPN te gebruiken.
24-11-2019, 12:55 door Anoniem
Ik probeer eigenlijk juist zowat alles uìt de VS niet te gebruiken voor privézaken!
24-11-2019, 13:43 door Anoniem
Ja en alle VPNs zijn ook veilig. Hallo, lust u nog een peul?

Geef toe dat je nergens meer veilig ben in de zin van "absoluut generiek voldoende" veilig.

De digitale infrastructuur is hoog nodig aan een grote absolute overhaul toe.

Bepaalde interessen zullen dat steeds verhinderen, omdat ze zeer veel, zeg maar gigantisch veel,
profijt hebben van deze bestaande situatie. Het surveillance kapitalistisch systeem houdt de holes open.

Dus het maakt niet veel uit of je nu door een ordinaire cybercrimneel gebeten wordt
of door een data grabber of staats-acteur (de laatste kans is zeldzamer, de eerste altijd aanwezig).
Gebeten worden we voorlopig volop. Ad- en script-blokkeren is een goede neven-maatregel.
Pi-hole en blokada op je smartphone.

Zit je op een openbaar wifi netwerk, realiseer je dan dat dat "openbaar" is.
Wissel geen data, die je niet met een heel warenhuis, ziekenhuis, hotel, vliegveld etc. wil delen.

luntrus
24-11-2019, 14:03 door Anoniem
Hoezo. Kan of mag je daar het certificaat van de website waar je mee verbonden bent niet controleren of zo?
24-11-2019, 14:45 door Anoniem
Natuurlijk het certificaat controleren, ook de link, verberg je eigen adres met een VPN.
Maak niet automatisch verbinding en gebruik 2FA.

En dan nog is ervan wegblijven beter, want a priori is openbare WIFI een potentieel gevaar, zelfs die met een "slotje".

luntrus
24-11-2019, 18:06 door Briolet
Door Anoniem: Ja en alle VPNs zijn ook veilig. Hallo, lust u nog een peul?

In elk geval veiliger dan een openbaar Wifi punt, waar je nooit weet of je met een pineapple of andere hacker verbind.

Zelf heb ik de luxe van een eigen VPN server dus daar vertrouw ik de beheerder wel van. (-:
24-11-2019, 18:18 door Anoniem
Door Anoniem: Ik probeer eigenlijk juist zowat alles uìt de VS niet te gebruiken voor privézaken!

En je zit wel op internet?
24-11-2019, 19:17 door Anoniem
Door Briolet: En als je de Wifi zakelijk gebruikt is het dan wel veilig? Dan mag je wel:
"Het gaat dan bijvoorbeeld om internetbankieren, het downloaden van boardingpassen en online aankopen."

Beter advies zou zijn om op openbaar wifi altijd via een VPN te gebruiken.

De security gemeenschap heeft hier wel een erg slechte communicatie .

Op één plek wordt gehamerd dat TLS er is veilig transport te garanderen, en zolang je maar let op slotjes en waarschuwingen niet wegklikt ben je OK.
En op de andere plek wordt je dan bang gemaakt dat een stukje netwerk dat misschien onveilig is maar beter helemaal vermeden moet worden - waarom dan, is TLS opeens niet goed genoeg ?

En al die encryptie tussen jouw en je bank is blijkbaar niet genoeg - maar om één of andere reden is het transport naar een VPN provider immuun voor alle problemen je op een openbare wifi kunt hebben.

Ik kan mensen die dan zeggen ' best hoor, kom maar terug als jullie een eenduidig verhaal hebben' eigenlijk alleen maar gelijk geven.

Ik vraag me werkelijk af wat nu het risico model waarom en waarvoor gewaarschuwd wordt voor de boeman van publieke wifi. Juist in relatie tot e-banking en aankopen.
Zijn er dan nog zoveel zaken die in plaintext gaan ? Ik zou denken dat juist de zaken waarvoor gewaarschuwd wordt (banking, aankopen, boardingpassen) echt al sinds jaar en dag [ook in de VS, waar dit bericht vandaan komt] achter https zitten.
Of is het risico model dat mensen blindelings de certificaat mismatch waarschuwingen wegklikken ?

Hoe dan ook vindt ik de tegenstrijdige boodschap dat encryptie (TLS/SSL) zoveel garantie geeft versus 'maar gebruik geen netwerk waar de kans op malicious middleman ietwat groter is' een heel slechte zaak voor het vak.

Diezelfde ergernis heb ik ook (maar daar ben ik geen persoonlijk expert in) met dieet/voedseladviesen.
Elke paar jaar hebben ze weer een andere boeman, een andere aanbeveling voor 'gezond' en weer iets waar ratjes kanker van krijgen als ze het in megadosis moeten eten. Ik heb geen idee of de echte experts in die hoek wel een consistent en gefundeerd verhaal hebben, maar wat er op dat vlak doorkomt naar de 'algemene' media en de dieet-boek-verkopers is niet geloofwaardig.
24-11-2019, 23:26 door Anoniem
@ anoniem van 19:17

Ja onmiddelijk is nu weeropenbare wifi de nieuwe "gehaktbal",
die we beter in kunnen ruilen voor een vegetarische/veganistische
volgens de verspreiders van deze waan van de dag.

Je opmerking over trends en hypes bij security issues vindt wel gehoor bij mij.

Het leidt ook prachtig af van zaken, die er werkelijk toe doen.
Geef ze een trendy topic waar men over praat
en belangrijker zaken verdwijnen naar de achtergrond.
Het zijn allemaal een soort van bliksemafleiders.

Overal binnen onze maatschappij, dus ook de digitale werkt het inmiddels zo. Capito?

#sockpuppet
25-11-2019, 06:17 door [Account Verwijderd]
Het allerbeste advies zou zijn om de wetgeving aan te passen. Maar de VS is de VS en daarom geloof ik niet echt dat het zal gebeuren.
25-11-2019, 12:22 door Briolet - Bijgewerkt: 25-11-2019, 12:24
Door Anoniem: …Op één plek wordt gehamerd dat TLS er is veilig transport te garanderen, en zolang je maar let op slotjes en waarschuwingen niet wegklikt ben je OK.
En op de andere plek wordt je dan bang gemaakt dat een stukje netwerk dat misschien onveilig is maar beter helemaal vermeden moet worden - waarom dan, is TLS opeens niet goed genoeg ?.

Dat advies over het slotje was vanaf het begin al fout. Het gaat niet om het slotje, maar om de uitgever van het certificaat. Alleen naar een slotje kijken is echter makkelijker uit te leggen dan uit te leggen hoe je een certificaat moet controleren. En vaak gaat dat certificaat controleren ook heel moeilijk. b.v. bij een mail programma.

De controle is nodig omdat iemand halverwege de verbinding een eigen certificaat kan introduceren. Jij communiceert via het certificaat van de aanvaller en de aanvaller communiceert met de bank via het correcte certificaat. Inbreken in een verbinding is doorgaans lastig, maar een publieke Wifi is daar een uitstekend middel voor.

In de VS is het zelfs gebruikelijk dat een bedrijf dat gratis publieke wifi aanbied, als tegenprestatie mag inbreken op TLS verkeer met een eigen certificaat. Ze kunnen dan reclame injecteren op een bezochte site, waar de eigenaar van de site zelfs geen weet van heeft. Het gros van de mensen kijkt niet of het certificaat van een site wel bij die site behoort.

Bij VPN, zet je een tunnel op naar je VPN provider. Als deze tunnel via een wifi punt loopt, kan er niet op ingebroken worden door een beheerder van zo'n wifi.

Verder kan iedereen zo'n Wifi punt opzetten. Als ik bij een winkel een wifi met de naam "Gratis-AH-Wifi" zie, kan ik op mijn laptop ook simpel aangeven om ook een site "Gratis-AH-Wifi" uit te gaan zenden. Als iemand dan dicht langs mijn laptop loopt, zal zijn telefoon plots via mijn laptop verbinden. En daar kan ik natuurlijk allerlei tools op zetten om dat verkeer te analyseren. Er zijn ook virusscanners die zo werken en ook gecodeerd verkeer decoderen, en vervolgens weer met een eigen certificaat coderen. Als je dan het certificaat van de website controleert, zie je dat er iets niet klopt.
25-11-2019, 14:04 door lievenme - Bijgewerkt: 25-11-2019, 14:05
Door Anoniem: Ja en alle VPNs zijn ook veilig. Hallo, lust u nog een peul?

Geef toe dat je nergens meer veilig ben in de zin van "absoluut generiek voldoende" veilig.

De digitale infrastructuur is hoog nodig aan een grote absolute overhaul toe.


luntrus
Zowat een jaar of twee geleden las ik dat Tim Berners-Lee, naast de Vlaming Robert Caillaud, één van de twee vaders van het internet, hard bezig was aan het ontwikkelen van structurele beveiliging van de privacy op internet. Hij dacht eraan dat elkeen zijn privé-gegevens met 1 "betrouwbaar" bedrijf van zijn/haar keuze zou delen, en dan achteraf met andere partijen enkel een tijdelijk gebruiksrecht op een subset van die gegevens, na goedkeuring door de eigenaar zelf. Ik heb daar achteraf niets meer over gehoord. Wie wel?
25-11-2019, 15:23 door Anoniem
Door Briolet:
Door Anoniem: …Op één plek wordt gehamerd dat TLS er is veilig transport te garanderen, en zolang je maar let op slotjes en waarschuwingen niet wegklikt ben je OK.
En op de andere plek wordt je dan bang gemaakt dat een stukje netwerk dat misschien onveilig is maar beter helemaal vermeden moet worden - waarom dan, is TLS opeens niet goed genoeg ?.

Dat advies over het slotje was vanaf het begin al fout. Het gaat niet om het slotje, maar om de uitgever van het certificaat. Alleen naar een slotje kijken is echter makkelijker uit te leggen dan uit te leggen hoe je een certificaat moet controleren. En vaak gaat dat certificaat controleren ook heel moeilijk. b.v. bij een mail programma.

De controle is nodig omdat iemand halverwege de verbinding een eigen certificaat kan introduceren. Jij communiceert via het certificaat van de aanvaller en de aanvaller communiceert met de bank via het correcte certificaat. Inbreken in een verbinding is doorgaans lastig, maar een publieke Wifi is daar een uitstekend middel voor.

In de VS is het zelfs gebruikelijk dat een bedrijf dat gratis publieke wifi aanbied, als tegenprestatie mag inbreken op TLS verkeer met een eigen certificaat. Ze kunnen dan reclame injecteren op een bezochte site, waar de eigenaar van de site zelfs geen weet van heeft. Het gros van de mensen kijkt niet of het certificaat van een site wel bij die site behoort.

Bij VPN, zet je een tunnel op naar je VPN provider. Als deze tunnel via een wifi punt loopt, kan er niet op ingebroken worden door een beheerder van zo'n wifi.

Uh. Waarom kan dat niet ? Wat is het verschil tussen een SSL-VPN en een SSL website ?

Ja - als de gebruiker een valse root authority installeert kan ingebroken worden. Evenals wanneer de gebruiker mismatch waarschuwingen tussen domein en certificaat negeert en toch doorgaat.

Maar waarom zou een VPN immuun zijn voor het probleem dat de authenticatie van de VPN server door de client ergens op gebaseerd moet zijn ?


Verder kan iedereen zo'n Wifi punt opzetten. Als ik bij een winkel een wifi met de naam "Gratis-AH-Wifi" zie, kan ik op mijn laptop ook simpel aangeven om ook een site "Gratis-AH-Wifi" uit te gaan zenden. Als iemand dan dicht langs mijn laptop loopt, zal zijn telefoon plots via mijn laptop verbinden. En daar kan ik natuurlijk allerlei tools op zetten om dat verkeer te analyseren. Er zijn ook virusscanners die zo werken en ook gecodeerd verkeer decoderen, en vervolgens weer met een eigen certificaat coderen. Als je dan het certificaat van de website controleert, zie je dat er iets niet klopt.

Ja en - mijn punt is dat als TLS doet wat het belooft er weinig of niks te analyseren valt - noch te MiTM'en.
Ook niet door mensen die een MiTM AP draaien.

Virusscanners op het endpoint zijn een ander verhaal - met een untrusted endpoint vervallen alle garanties.
De virusscanner (of trojan) kan ook meekijken met je ge-VPN'de , ge-TORde of gewoon je 4G verbinding .
25-11-2019, 16:26 door Briolet
Door Anoniem:Uh. Waarom kan dat niet ? Wat is het verschil tussen een SSL-VPN en een SSL website ?.

Bij een website verbind je zonder autenticatie met de site. De site stuurt jou vervolgens de public key die je moet gebruiken. Een mit stuurt gewoon zijn public key.

Bij VPN gaat er een authorisatiestap aan vooraf, voordat jij de public key krijgt. En bij OpenVPN is het nog beter omdat je zelf al de public key in bezit hebt. Die zal alleen gaan werken bij de originele vpn server.
27-11-2019, 10:56 door Anoniem
Door lievenme:
Door Anoniem: Ja en alle VPNs zijn ook veilig. Hallo, lust u nog een peul?

Geef toe dat je nergens meer veilig ben in de zin van "absoluut generiek voldoende" veilig.

De digitale infrastructuur is hoog nodig aan een grote absolute overhaul toe.


luntrus
Zowat een jaar of twee geleden las ik dat Tim Berners-Lee, naast de Vlaming Robert Caillaud, één van de twee vaders van het internet, hard bezig was aan het ontwikkelen van structurele beveiliging van de privacy op internet. Hij dacht eraan dat elkeen zijn privé-gegevens met 1 "betrouwbaar" bedrijf van zijn/haar keuze zou delen, en dan achteraf met andere partijen enkel een tijdelijk gebruiksrecht op een subset van die gegevens, na goedkeuring door de eigenaar zelf. Ik heb daar achteraf niets meer over gehoord. Wie wel?
https://en.wikipedia.org/wiki/Solid_(web_decentralization_project) geeft meer info hierover: het volgen en propageren waard!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.