Mag het vast niet hardop zeggen / zal ongetwijfeld mensen beledigen, maarre...

...wie heeft er tegenwoordig nog echt nood aan gratis WiFi ...?
Al die tijd die je telkens kwijt bent aan connecten, om uiteindelijk € 5 p/m te besparen...

...die vervolgens van je gestolen gaat worden omdat je geen VPN gebruikt
of
...die je vervolgens aan een VPN provider moet spenderen

Heb ik eens gedaan in een winkel, maar mijn (betaalde) VPN verbinding werd botweg door het netwerk geweigerd.
Dus wat ga je dan doen?

Het om deze reden aanbevelen van een VPN is juist iets dat door security experts als onnodig/FUD wordt gezien. Typisch dat de Belgische overhheid deze toon aanslaat. Eerste reactie hier (hoi!), dus ik weet niet in hoeverre ik zou moeten verwachten dat de redactie dit duidt in het artikel.

Het fenomeen wordt goed uitgelegd in de podcast van Fleur van Leusden: https://open.spotify.com/episode/1f0CzQG14goyMXlHBmgntJ

Mullvad, iVPN, NymVPN, URnetwork, XiVPN, RiseUpVPN, MysteriumDark, EduVPN en StrongswanVPN zijn erg goede candidaten.
Iets anders zou ik niet kiezen, die verkopen vaak je metadata.

Mullvad met DAITA, multihop en Shadowsocks aan.

Zucht.... de Belgische overheid leeft nog ergens in de jaren 80 zo lijkt.

Met VPN loop je over het algemeen meer risico dan met openbare WiFi, kijk dit fragment waar het haarfijn wordt uitgelegd:
https://www.youtube.com/live/QEoYWWzshj8?t=903s

Naomi Brockwell heeft een goede video over het gevaar van de meeste VPN's, maar inderdaad, zoals anoniem van 11:54 al uitlegde, er zijn ook aardig veilige VPN's, al is het nog steeds een kwestie van vertrouwen, dus als je al een VPN vertrouwd, kies er dan eentje die beter te vetrouwen is dan de gemiddelde Nord of ExpressVPN.
The dark side of VPN's
https://youtu.be/8MHBMdTBlok

In dat filmpje zie ik alleen twee mensen die zonder enige kennis uit hun nek aan het lullen zijn.

In het algemeen is VPN gewoon veilig en ook vrij toegankelijk. b.v. op een Samsung toestel kun je gewoon "veilige wifi" inschakelen. Dat is een (niet gratis) VPN dienst van Samsung zelf en als ze al data zouden stelen, deden ze het ook al zonder die VPN verbinding.

Op heel veel plaatsen buiten Europese steden heb je slecht of geen 4G/5G bereik.

Mijn tip: gebruik een browser met de instelling "Altijd beveiligde verbindingen gebruiken" of een vergelijkbare tekst. Deze komt uit Chrome onder Android in 'Instellingen' -> 'Pricacy en Beveiliging'. In die browser-instellingen heb je tevens de volgende keuzes:

Standaard staat de bovenste keuze ingesteld. Zeker op vakantie zou ik de onderste instelling kiezen (zoals hierboven aangegeven). Dit is belangrijk tenzij je zeker weet dat je "veilige DNS" hebt ingesteld en dat dit werkt.

LET OP: teksten zoals "Altijd beveiligde verbindingen gebruiken" of "https only" zijn misleidend. Je kunt gewoon http gebruiken, alleen word je daarvoor gewaarschuwd. En niet eens elke keer: veel browsers "onthouden" een door jou gegeven toestemming voor een specifieke domeinnaam (hoe lang, is browser-afhankelijk).

Aanvulling 13:38, Safari onder iOS/iPadOS ondersteunt iets vergelijkbaars (zonder onderscheid tussen privé- en internet-IP-adressen te maken). Ga daarvoor in Instellingen naar 'Apps' -> 'Safari' en zet "Meld onveilige verbindingen" aan.

Een aanvaller met toegang tot het onveilige netwerk kan een supersimpele http-website opzetten op een "privé" IP-adres (zoals 10.x.x.x of 192.168.x.x). Het enige dat die website hoeft te doen is jouw browser doorsturen naar een andere https website dan jij bedoelde. Als je vervolgens niet de domeinnaam checkt, of niet weet dat de on-the-fly gewijzigde domeinnaam niet van de door jou bedoelde organisatie is, kan dat jou in de problemen brengen.

Nb. in domeinnamen heb ik de punt telkens door · vervangen om onbedoeld openen van nepsites te voorkómen.

1) Stel je wilt, op vakantie, toegangskaartjes voor een voorstelling, concert of attractiepark bestellen - of jouw cryptovaluta checken op bijvoorbeeld safepal·com (dat ik verder als voorbeeld gebruik). Je tikt de domeinnaam in (gevolgd door Enter) in de adresbalk van jouw browser, of je scant een QR-code waarin niet expliciet https:// vóór de domeinnaam staat (maar dat zie je niet altijd).

2) Jouw browser vraagt, via DNS, het IP-adres op van safepal·com. Tijdens het opzetten van WiFi kan de aanvaller jouw computer, tablet of smartphone (via DHCP) een DNS-server in zijn beheer hebben opgegeven, of kan eerder dan de juiste server een vervalst DNS antwoord sturen, bijvoorbeeld 192.168.178.123 - van zijn nepwebsite (die geen https ondersteunt).

3) De meeste browsers proberen eerst via https verbinding te maken met websites, maar als dat niet lukt proberen ze stilletjes http. Zonder de bovengenoemde instelling in Chrome leidt dit niet tot een waarschuwing of foutmelding.

4) De nepwebsite (via http naar 192.168.178.123), die pretendeert safepal·com te zijn, kan jouw browser onmiddellijk doorsturen naar elke door de aanvaller gewenste website, zoals https://safepal·com·co.

LET OP: dit gebeurt allemaal in een oogwenk, zonder dat jouw browser een waarschuwing toont.

Van laatstgenoemde phishing-site heb ik zondag nog een screenshot gemaakt (op dit moment stuurt die site door naar https://app·www·safepal·com·co/?timeout=gateway&id=56161 en dat levert een DNS-foutmelding op in mijn browser). Meer info over de nepsite in https://virustotal.com/gui/domain/safepal.com.co (0/94).

TESTEN: als jouw brouwser je niet waarschuwt voor een onveilige verbinding als je http://gemeente.amsterdam of http://http.badssl.com opent, is die browser niet veilig geconfigureerd (nb. hiermee wordt niet met privé-IP-adressen getest).

Voordat iemand "ja maar HSTS" (*) roept: safepal·com ondersteunt dat niet (zie https://internet.nl/site/safepal.com/3341234/#sitetls). En websites waar je, op vakantie, toegangskaarten o.i.d. bestelt, heb je waarschijnlijk nog niet eerder bezocht, dus heeft jouw browser daar hoogstwaarschijnlijk geen HSTS-gegevens van.

(*) HSTS dwingt gebruik van https af nadat je een website eerder (doch max. bijv. 1 jaar geleden) hebt bezocht met dezelfde browser en geen "historie" hebt weggegooid. Ook bij "private vensters/tabs" werkt HSTS meestal niet, en is dus een minder betrouwbaar protocol dan veel mensen denken.

Dit heeft niet altijd met geld te maken. In buitengebieden van Europa ben je soms afhankelijk van de WiFi verbinding van je hotel/huisje omdat het 4G/5G te traag is.

Zelf recent nog meegemaakt met een superdeluxe abonnement vorige maand in Zuid Italie, maar 4G/5G bereik was zo slecht dat je dan moet kiezen tussen WiFi+VPN of geen internet.

Dan zijn het ook geen echte security experts.

Dus, diezelfde gebruiker die 'slim' genoeg is om een betrouwbare VPN te gebruiken, is beschermt in het geval dat diezelfde gebruiker 'dom' genoeg zou zijn om de https/certificaat waarschuwing te negeren (in het uitzonderlijke geval van een Wifi MITM aanval).


In de geloof ik er niks van dat je de daadwerkelijke kwetsbare/onnozele gebruiker hiermee bereikt, en mocht dat wel zo zijn dan installeert de helft waarschijnlijk VPN spyware crap.

Mobiele abonnementen zijn ontzettend duur. Wat je per GB betaald is absurd. Helemaal bij de abonnementen/providers die gefixeerd zijn op dat jij buiten de bundel komt.

In tegendeel.
VPN is just someoneelses verbinding.
basically alle websites hebben standaard TLS. dus enige dat men kan afvangen is DNS verkeer. want de rest is encrypted.
en dan nog. voor de 1% van de wereld bevolking waar het echt zin heeft?? Die pakt men wel via andere social engineering methode i.p.v. op de luchthaven.

Dit onderwerp is door gerenomeerde security experts debunked o.a. in de podacast van fleur.van.leusden maar ook in de specials van Angrynerds.

De VPN is alleen echt super veilig als je hem zelf host.
Goodluck

ProtonVPN

En een TOR browser is dat dan beter om te internetten in plaats van een VPN?

ProtonVPN vergeten.

Als je gemeente.amsterdam + de enterknop intikt in de adresbalk van jouw browser, en je zonder waarschuwing van jouw browser uitkomt op https://amsterdam.nl, raad ik je aan om https://security.nl/posting/895409 te lezen.

Een aanvaller hoeft trouwens niet eens DNS af te vangen, hij kan ook tussen de op te zetten IP-verbinding met de door jou bedoelde website gaan zitten - en geen antwoord geven op TCP poort 443 (https). Als jouw browser jou niet waarschuwt voor het feit dat deze daarom http probeert, kan de http-nepsite jouw browser weer naar elke gewenste website doorsturen. Als daarbij weer een https verbinding wordt gebruikt, zie jij geen waarschuwingen vanuit jouw browser. Je kunt echter op een andere website zijn uitgekomen dan je dacht.

In tegenstelling tot wat ik hierboven in https://security.nl/posting/895409 schreef, gaat ook veilige DNS je niet redden als de aanvaller een "catch all" (IP-adressen) tussenwebsite heeft opgezet. Een site die niet eens binnen het netwerk zelf hoeft te staan, nl. als de aanvaller een nep-accesspoint gebruikt en netwerkverkeer daarvandaan naar zijn nepwebsite routeert (de nepwebsite onderdeel laten uitmaken van het "accesspoint" kan natuurlijk ook).

Ten slotte sluit ik niet uit dat een slimme aanvaller mensen op deze wijze zou kunnen misleiden bij het opzetten van sommige VPN-verbindingen (met name browser-gebaseerde).

Tot dat je bank je account vergrendeld omdat je opeens een Tor IP address gebruikt en/of omdat je IP address elke 10 minuten verandert.

TOR is beter qua veiligheid en incognito, maar is vaak erg langzaam aangezien de servers gedeeld worden met vele andere gebruikers en het feit dat de verbinding via meerdere servers verloopt via de gehele wereld.

Tegenwoordig met de internetbundels kom je inderdaad al een heel eind en dat zal alleen maar toenemen tot op het punt dat die gratis wifi punten echt niet noodzakelijk zijn. Vaak buiten Europa kan het echter wel schelen natuurlijk ivm roamingkosten......

Thuis een Raspberry Pi met Pi-Hole (en Unbound) en daar verbinding mee maken via WireGuard, of ProtonVPN, kost ook niets.

Iedereen die een beetje ervaring heeft met ietwat interactief gebruik van mobiel ?

Wifi en een vaste verbinding erachter leveren gewoonlijk _veel_ beter Internet dan 4G/5G , met name als de mobiele dekking wat marginaal is.

Gaat niet om besparen van een paar euro's (in EU dan . Roaming erbuiten tikt wel heel hard aan)

De QR-code, die om 19:34 op NPO1 tijdens het EK damesvoetbal in beeld stond, bevat:

http://qr.nos.nl/bfrJ9d

Ook met een http-link proberen browsers eerst om de verbinding met https op te zetten. Met de browserinstelling die ik in https://security.nl/posting/895409 beschreef, waarschuwen browsers als https niet lukt, en de browser http wil proberen. En die waarschuwing zag ik, want qr.nos.nl ondersteunt blijkt geen https te ondersteunen! Zoals ik schreef kan ik er wel voor kiezen om toch verbinding via http te maken; op een veilig netwerk (anders dan via public WiFi) zijn mijn security-risico's minimaal.

De stelling van Anoniem: "basically alle websites hebben standaard TLS" gaat beslist niet altijd op, en als jouw browser niet waarschuwt (voor meestal kortstondige, ongemerkte) http-verbindingen, hoef je daar niets van te merken.

Verder onderzoek wijst uit dat de NOS het genereren van QR-codes kennelijk heeft uitbesteed aan een derde partij: https://www.qr-code-generator.com/. En dat de NOS haar subdomeinnaam qr.nos.nl heeft gekoppeld aan twee IP-adressen van genoemde derde partij (die dus risicovolle http-QR-codes genereert): 54.194.83.17 en 52.48.57.162 (beide van Amazon).

Oftewel: geen beveiligde verbinding (risico op kapen daarvan), vanzelfsprekend geen HSTS en geen privacy: de derde partij en Amazon kijken mee en verzamelen jouw gegevens als je een link met de domeinnaam qr.nos.nl opent. Ik vind dat misleiding van de NOS.

Het enige waar mensen dan vooral tegenaan lopen is dit: VPN IS NIET GRATIS.

Holy moly. Er is echt zoveel mis met deze aanname. Tuurlijk gaat verkeer via TLS; maar dan ga je er van uit dat je daadwerkelijk met de juiste website praat. En juist daar zit het gevaar met openbare WiFi. Heb je wel eens een Pineapple Router aangezet op een openbare plek en laten uitzenden als "KPN" of "McDonalds" als SSID? Heb je enige idee hoeveel mensen je dan op je router hebt afgevangen?
Als jij bij een onbekend wifi punt zit; vertrouw jij dan de DNS? Denk je dat als je www.ing.nl invult je dan ook daadwerkelijk daar terecht komt? Ook in een budgethotel in Turkije?

Jij goodluck. Ik vertrouw liever de VPN naar mijn huis (nog los van het voordeel dat Ziggo Go dan ook gewoon wil streamen) of zelfs ProtonVPN dan wat voor malafide, onbekende WiFi punten.

Dat hoeft niet (zie hierna).

Als ik geen waarschuwing of foutmelding gegenereerd door mijn browser zie, dan weet ik behoorlijk zeker dat mijn browser een beveiligde verbinding heeft met de échte www.ing.nl (zie https://security.nl/posting/895409, een instelling die ik ook adviseer als je een VPN gebruikt).

Mét die instelling, of zonder - mits je https://www.ing.nl intikt (dus inclusief "https://") in de adresbalk van jouw browser, zijn er namelijk drie mogelijkheden (ervan uitgaande dat het apparaat en de browser die je gebruikt betrouwbaar zijn):

1) Jouw browser krijgt een beveiligde verbinding met de échte www.ing.nl;

2) Jouw browser toont een foutmelding;

3) Nagenoeg uitgesloten: de aanvaller heeft een (door jouw browser vertrouwd) certificaat, dat geldig is voor www.ing.nl, weten te verkrijgen (en beschikt over de bijbehorende private key). Dan krijgt jouw browser een beveiligde verbinding met een nepsite die eveneens www.ing.nl lijkt te heten.

Belangrijk: laat je nooit overhalen om een root-certificaat te installeren, want als je dat doet wordt punt 3 véél eenvoudiger voor criminelen. Mogelijk ook als je een VPN gebruikt.

Je weet hopelijk dat TLS _ook_ de authenticatie doet ? Je schrijft alsof het alleen maar transport encryptie is, en de sessie elders te laten landen "gewoon" werkt . Nope. Werkt niet.

Browser waarschuwing serieus nemen (niet doorklikken), geen root cert laten installeren en verder niet bang zijn.
Kom maar met je pi router.

Juist dat budget hotel vertrouw ik wat meer. Dat is meestal een consumentenprovider met verder niks.

Maar goed - "in het wild" TLS waarschuwingen heb ik bij publieke Wifi vrijwel nooit (enige : RET Wifi) meegemaakt.

https://www.eff.org/deeplinks/2020/01/why-public-wi-fi-lot-safer-you-think