Nieuws
image

EFF: openbare wifi-netwerken veel veiliger dan je denkt

donderdag 30 januari 2020, 13:34 door Redactie, 21 reacties

Geregeld wordt er door allerlei instanties gewaarschuwd om openbare wifi-netwerken te vermijden, maar volgens de Amerikaanse burgerrechtenbeweging EFF zijn dergelijke netwerken veel veiliger dan menigeen denkt en is het advies om er geen gebruik van te maken gedateerd.

"Het advies stamt uit de begindagen van het internet, toen de meeste communicatie niet versleuteld was", zegt Jacob Hoffman-Andrews van de EFF. Inmiddels maken nagenoeg alle grote websites gebruik van https. Volgens Google besteden Chrome-gebruikers inmiddels 90 procent van hun tijd op https-sites. Doordat https nu veel meer wordt gebruikt kunnen aanvallers het verkeer van gebruikers niet zomaar onderscheppen of aanpassen.

Een aanvaller kan nog wel zien welke https-site iemand bezoekt, maar niet de betreffende pagina op de website of andere vertrouwelijke informatie die wordt verstuurd. "Als dit een acceptabel risico voor je is, dan moet je je geen zorgen over het gebruik van openbare wifi maken", stelt Hoffman-Andrews. Een ander risico is misbruik van kwetsbaarheden die alleen van via een lokaal netwerk zijn te misbruiken. Bij gebruik van een openbaar wifi-netwerk lopen gebruikers een iets wat groter risico, aldus de EFF. Gebruikers krijgen dan ook het advies om hun software altijd up-to-date te houden.

"In het algemeen is het gebruik van openbare wifi veel veiliger dan het was in de begindagen van het internet. Door het wijdverbreid gebruik van https zijn de meeste grote websites beschermd met dezelfde versleuteling, ongeacht hoe je er verbinding mee maakt. Er zijn genoeg dingen om je in het leven zorgen over te maken, maar je kunt openbare wifi van je lijst strepen", besluit Hoffman-Andrews.

Reacties (21)
30-01-2020, 13:48 door marcod - Bijgewerkt: 30-01-2020, 13:48
"Een aanvaller kan nog wel zien welke https-site iemand bezoekt"

Dat klopt, maar ook dat behoort op termijn wellicht tot de verleden tijd. Met eSNI.

https://tools.ietf.org/html/draft-ietf-tls-esni
30-01-2020, 13:58 door Anoniem
Dat updaten is een goed plan maar doe dit bij voorkeur thuis. Er zijn nog wel eens applicaties welke (een deel) van de update onveilig binnen proberen te hengelen. Een handige Harry op de wifi kan in deze gevallen wellicht malware aan de update toevoegen.
30-01-2020, 14:02 door linux4
En versleutelen iOS en Android apps ook allemaal hun verkeer?
30-01-2020, 14:33 door Anoniem
Door marcod:Dat klopt, maar ook dat behoort op termijn wellicht tot de verleden tijd. Met eSNI.
In combinatie met DNS over TLS en grote CDN's. Het is nog altijd mogelijk om websites op IP adres te correleren, wat pas nutteloos wordt als er meerdere websites gehost worden op 1 IP adres. Wat dat betreft bied eSNI voornamelijk voordelen bij gebruik van grote cloud bedrijven, kuch cloudflare, en dus alleen als een bedrijf er voor kiest om de privacy van website bezoekers te grabbel gooit in de VS.

Verder heb je natuurlijk wel gelijk, er komen wat oplossingen aan ;)
30-01-2020, 14:50 door Anoniem
Hmmm.... verbindingen mogen dan wel versleuteld zijn, maar je weet nog steeds niet of het netwerk zelf veilig is. Misschien geef je indirect toegang tot je apparaat of de data die daarop staat.
30-01-2020, 15:22 door Anoniem
Tuurlijk, want dan kunnen alleen de amerikaanse inlichtingen diensten er makkelijk bij. Als we nu eens een echt betrouwbaar https verkeer hebben, wat niet gemonopoliseerd is door de amerikanen. Dan kan ik er wel mee akkoord zijn.
30-01-2020, 15:28 door Anoniem
Het gebruik van encryptie is uiteraard goed, maar zoals er virusscanners zijn, die een certificaat bevatten om als MITM de inhoud te inspecteren, kan dit ook op een netwerk worden ingericht. Dat is, in combinatie met beperkt inzicht bij de meeste gebruikers, nog steeds een risico. Uitleggen hoe VPN te gebruiken en een betrouwbare VPN-provider aanleveren, is in die situaties vele malen veiliger.
30-01-2020, 15:51 door _R0N_
Door linux4: En versleutelen iOS en Android apps ook allemaal hun verkeer?
Nee, bijna nooit zelfs.
30-01-2020, 15:52 door _R0N_
Door Anoniem:
Door marcod:Dat klopt, maar ook dat behoort op termijn wellicht tot de verleden tijd. Met eSNI.
In combinatie met DNS over TLS en grote CDN's. Het is nog altijd mogelijk om websites op IP adres te correleren, wat pas nutteloos wordt als er meerdere websites gehost worden op 1 IP adres. Wat dat betreft bied eSNI voornamelijk voordelen bij gebruik van grote cloud bedrijven, kuch cloudflare, en dus alleen als een bedrijf er voor kiest om de privacy van website bezoekers te grabbel gooit in de VS.)

Hoe waardevol denk jij dat de data van Clouflare ondertussen is?
30-01-2020, 16:03 door Anoniem
Door Anoniem: Het gebruik van encryptie is uiteraard goed, maar zoals er virusscanners zijn, die een certificaat bevatten om als MITM de inhoud te inspecteren, kan dit ook op een netwerk worden ingericht. Dat is, in combinatie met beperkt inzicht bij de meeste gebruikers, nog steeds een risico.

Gebrek aan inzicht bij de gebruikers? Daar reken je jezelf dan ook toe neem ik aan.
In ieder geval heb je weinig inzicht in hoe dat werkt met certificaten, die virusscanners, en een netwerk, zo te zien....
30-01-2020, 16:30 door Anoniem
Door _R0N_:
Door linux4: En versleutelen iOS en Android apps ook allemaal hun verkeer?
Nee, bijna nooit zelfs.

Onzin, bij iOS is dat verplicht sinds 2016.

https://techcrunch.com/2016/06/14/apple-will-require-https-connections-for-ios-apps-by-the-end-of-2016/?guccounter=1
30-01-2020, 16:35 door Hans van Eijsden
Door linux4: En versleutelen iOS en Android apps ook allemaal hun verkeer?
Bij iOS wel: vanaf 1 januari 2017 is het gebruik van TLS op iOS verplicht gesteld. Dit gebeurt onder de term App Transport Security, of ATS, en dit is vanaf iOS 9 standaard ingeschakeld. Apps kunnen daardoor bij Apple-gebruikers alleen nog via TLS met de buitenwereld verbinden.
30-01-2020, 17:29 door Anoniem
Door Anoniem: Tuurlijk, want dan kunnen alleen de amerikaanse inlichtingen diensten er makkelijk bij. Als we nu eens een echt betrouwbaar https verkeer hebben, wat niet gemonopoliseerd is door de amerikanen. Dan kan ik er wel mee akkoord zijn.
En daar heeft ook iedereen last van.....

Door Anoniem: Het gebruik van encryptie is uiteraard goed, maar zoals er virusscanners zijn, die een certificaat bevatten om als MITM de inhoud te inspecteren, kan dit ook op een netwerk worden ingericht.
Misschien even wat basis kennis opdoen van hoe dit soort software werkt? Scheelt namelijk wat onzin hier.

Dat is, in combinatie met beperkt inzicht bij de meeste gebruikers, nog steeds een risico.
Gebruikers zijn meestal het grootste probleem.

Uitleggen hoe VPN te gebruiken en een betrouwbare VPN-provider aanleveren, is in die situaties vele malen veiliger.
Dan ga je er vanuit dat je de VPN verbinding en de benodigde software wel kan vertrouwen? Hoe weet met een beperkt inzicht bij de meeste gebruikers, dat dit wel goed zit?
30-01-2020, 17:52 door Anoniem
Wij geven dit advies aan onze gebruikers. Niet alleen vanwege het potentieel afluisteren van verkeer, maar ook vanwege de kans op MITM attacks. Door gebruikers niet te laten verbinden met vreemde netwerken wordt de kans hierop wat kleiner.
30-01-2020, 17:58 door The FOSS
Door Hans van Eijsden:
Door linux4: En versleutelen iOS en Android apps ook allemaal hun verkeer?
Bij iOS wel: vanaf 1 januari 2017 is het gebruik van TLS op iOS verplicht gesteld.

Sinds 2018 is het de default bij Android. Niet verplicht natuurlijk, daar doen ze bij Google zo weinig mogelijk aan, aan verplichten.

https://www.digicert.com/blog/android-p-will-default-https-connections-apps/
30-01-2020, 19:14 door Anoniem
Helaas kort geleden een gebruiker in een Duits hotel met openbaar wifi via mitm zijn LinkedIN en mail account gecompromiteerd.
30-01-2020, 23:27 door Anoniem
Mijn VPN is uitermate veilig. VPN naar huis dus. ;)
31-01-2020, 08:37 door The FOSS
Door Anoniem: Helaas kort geleden een gebruiker in een Duits hotel met openbaar wifi via mitm zijn LinkedIN en mail account gecompromiteerd.

Bron?
31-01-2020, 09:31 door Anoniem
Door Anoniem: Helaas kort geleden een gebruiker in een Duits hotel met openbaar wifi via mitm zijn LinkedIN en mail account gecompromiteerd.
Die werkte zeker nog met plaintext POP3 ?
Dat komt nog voor. Sommige providers hebben jarenlang geen encryptie gesupport of het niet verwerkt in hun handleiding.
Met name klanten die er al jaren zitten gebruiken het soms nog.
31-01-2020, 10:52 door Anoniem
Door Anoniem: Helaas kort geleden een gebruiker in een Duits hotel met openbaar wifi via mitm zijn LinkedIN en mail account gecompromiteerd.
Als de gebruiker/applicatie certificaat meldingen negeerd, dan is dit inderdaad mogelijk. Maar dat kun je overal hebben.
01-02-2020, 12:44 door The FOSS
Negeren certificaatmeldingen en hetzelfde wachtwoord overal gebruiken (e-mail, LinkedIn, etc.).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search