Frage:
Ist öffentliches WLAN heutzutage eine Bedrohung?
Ay0
2017-12-04 21:15:55 UTC
view on stackexchange narkive permalink

Meiner Meinung nach sind Argumente, die wir seit Jahren verwenden, um zu sagen, dass öffentliche Wi-Fi-Zugangspunkte unsicher sind, nicht mehr gültig, ebenso wie die empfohlenen Abhilfemaßnahmen (z. B. VPN verwenden).

Heutzutage Die meisten Websites verwenden HTTPS und legen HSTS-Header fest, sodass die Wahrscheinlichkeit, dass jemand die Verbindung eines anderen belauschen kann, sehr gering ist, bis eine Zero-Day-Sicherheitsanfälligkeit in TLS erwartet wird.

Welche anderen Bedrohungen können also auftreten? jemand heutzutage in einem öffentlichen Netzwerk konfrontiert?

Ich weiß nicht, dass ich es als Bedrohung oder als Sicherheitslücke bezeichnen würde.Selbst wenn "die meisten" Sites HTTPS verwenden und HSTS festlegen, ist "most" nicht "all".
@yzT Ich kann mir kein Argument der letzten 10 Jahre vorstellen, das von Mainstream-Sicherheitsleuten verwendet wurde und das nicht mehr gültig ist.Ja, HTTPS wird verwendet.Dies beseitigt jedoch nicht alle Risiken und auch nicht die HTST-Header (die nicht von allen Browsern vollständig unterstützt werden).
* "Die meisten Websites verwenden HTTPS und setzen HSTS-Header" * - Dies ist eine Behauptung ohne Beweis.Laut builtwith.com [verwenden nur 12% der Top-10k-Websites HSTS] (https://trends.builtwith.com/docinfo/HSTS).
nicht von allen Browsern unterstützt?https://caniuse.com/#feat=stricttransportsecurity Wer kümmert sich um Netscape?
Ein öffentliches WLAN ist keine Bedrohung mehr, sobald das Anschließen eines Hackernetzwerkkabels an Ihren Laptop keine Bedrohung mehr darstellt.
@dandavis, all andriod pre 4.4 (immer noch üblich auf Second-Hand-Märkten und in einigen Teilen der Welt) IE pre 11 (also unter anderem 7 gewinnen).2 Gruppen im aktiven Gebrauch.
Wifi-Zugangspunkte, die Sie nicht verwalten, sind unsicher. Dies gilt weiterhin.(Was Sie daraus machen, ist eine ganz andere Frage.)
@PlasmaHH Das ist ein guter Kommentar, obwohl ich nur erwähnen möchte, dass öffentliches WLAN in mancher Hinsicht weniger sicher sein kann als ein Kabel, das Sie direkt mit Hackern verbindet.Sie können den Datenverkehr auf diesem Kabel ignorieren und verhindern, dass Daten über dieses Kabel gesendet werden. Sie können jedoch niemanden daran hindern, auf Ihre drahtlosen Netzwerksendungen zuzugreifen, und Sie können auch nicht verhindern, dass er Ihnen Eingaben liefert.
Schlagen Sie vor, dass sich Benutzer nur auf Websites beschränken, die sie bereits im öffentlichen WLAN besucht haben?
Diese Position entspricht, wie bereits erwähnt, der Aussage: "Der gesamte Netzwerkverkehr ist jetzt sicher, da ein Protokoll für die anonyme Veröffentlichung zurückgehackt wurde, um die Bearbeitung des Verkehrs etwas schwieriger zu gestalten."Das ist natürlich eine lächerliche Idee.Das Internet ist viel breiter als das Web und der gesamte Datenverkehr kann beängstigend sein (und HTTPS und HSTS sind aus ernsthafter Sicherheitssicht unvollständige Lösungen - und das ist großzügig).Netzwerke werden niemals sicher sein (hinter NAT, VPN, was auch immer), nur Ihr System kann weiter vor oder hinter dem Cracker-Horizont sein.Öffentliches WLAN macht Sie nur * mehr * sichtbar.
Hacker können HTTPS fälschen, wenn sie die Kontrolle über den Wi-Fi-Hotspot haben.So funktioniert eine Cache-Vergiftung.Wobei JS-Dateien im Cache des Browsers durch die eigenen JS-Dateien des Hackers ersetzt werden.
@Aaron Wie "ignorieren Sie den Verkehr auf diesem Kabel"?
@zxq9 Nicht sicher, was Sie meinen: "Netzwerke werden niemals sicher sein"
@jpmc26 Das Springen zu einer HTTPS-URL, die Sie von einem sicheren Kanal erhalten haben, zu einem Web einer anderen HTTPS-URL sollte sicher sein
@curiousguy Mein Punkt betrifft ausschließlich Websites, von denen der Benutzer keine HTTPS-URL von einem sicheren Kanal erhalten hat, sodass Ihre Antwort keine Gegenargumentation ist.
@curiousguy Jedes Netzwerk, das mit dem Internet verbunden ist, wird niemals sicher sein.Ein vollständig isoliertes Netzwerk * kann * sein (ist es aber normalerweise nicht).Es gibt immer * einen * Weg, um hineinzukommen, obwohl das Bedrohungsprofil, mit dem die meisten Benutzer konfrontiert sind, keine entschlossenen Angreifer enthält, die Sturm- oder Sneakernet-Brücken verwenden.Generell ist "Netzwerke werden niemals sicher sein" korrekt.Die Annahme, dass böswillige Bits ein System nicht treffen können, weil das "Netzwerk gesichert ist", ist ein fehlerhaftes Denken - das im Laufe der Geschichte ausführlich demonstriert wurde.
@curiousguy Durch Ignorieren aller Daten davon.Wenn ich einen zusätzlichen Netzwerkport hätte, der direkt mit einem bekannten böswilligen Host verbunden ist, wenn er sich in einer Unix-ähnlichen Umgebung befindet, insbesondere in einem Open-Source-Betriebssystem, gibt es wahrscheinlich mehrere Möglichkeiten: Den Schreibzugriff auf die Datei dieses Geräts für alle verweigernBenutzer oder blockieren durch Firewall oder bearbeiten das Betriebssystem, um dieses Gerät oder alle oben genannten und alles andere, was Sie sich vorstellen können, vollständig zu ignorieren.In dieser Situation würde jemand einen Berg bewegen, um dies zu ermöglichen.Nichts davon mindert jedoch den Punkt von PlasmaHH;Ich habe nur Nissen gepflückt.
@curiousguy Andererseits ist diese Frage trotz meines vorherigen Kommentars aus der Sicht einer zufälligen Person, die kompetent genug ist, um über gültige Sicherheitsprobleme besorgt zu sein (dh: kompetenter als Ihr durchschnittlicher Benutzer), aber wahrscheinlich weniger als die IT-Fachkompetenz.Wer verbindet sich gerade mit einem zufälligen WLAN-Netzwerk.Zu Ihrer Verteidigung kann es für eine so zufällige Person schwierig sein, das zu tun, was ich vorgeschlagen habe.
** HTTPS ist keine Sicherheitslösung mehr **.TLS-Interception-Proxys sind an der Tagesordnung: Universitäten, Unternehmen, Schulen, Büros, ISPs, Cafés usw. HTTPS kann nicht als sicher angesehen werden, wenn es ohne Ihr Wissen oder Ihre Zustimmung routinemäßig durchdrungen wird.
Zwölf antworten:
#1
+198
Anders
2017-12-04 21:31:36 UTC
view on stackexchange narkive permalink

Öffentliches WLAN ist immer noch unsicher und wird immer verwendet, wenn es nicht zusammen mit einem VPN verwendet wird.

  • Viele Websites verwenden HTTPS, aber nicht fast alle. Tatsächlich verwenden mehr als 30 Prozent nicht.
  • Nur etwa 5 Prozent der Websites verwenden HSTS. Und es ist immer noch Vertrauen beim ersten Gebrauch. Wenn das maximale Alter kurz ist, kann diese erste Verwendung ziemlich oft sein. Seien wir ehrlich, auch wenn Sie ein Sicherheitsprofi sind, besteht die Möglichkeit, dass Sie sowieso auf SSL-Strip hereinfallen. Ich weiß, dass ich es tun würde.
  • Nur weil Sie HTTPS verwenden, heißt das nicht, dass Sie es richtig machen. Es gibt immer noch viele gemischte Inhalte. Viele Clients unterstützen immer noch alte Versionen mit bekannten Schwachstellen, sodass ein Angriff nicht null Tage dauern muss, um erfolgreich zu sein.
  • Selbst wenn Sie HTTPS verwenden, verlieren Sie trotzdem viele Informationen, z Die Domain, die Sie besuchen, Ihr gesamter DNS-Verkehr usw.
  • Ein Computer oder Telefon nutzt das Internet nicht nur zum Surfen:
    • Es ist nur eine App erforderlich, die fehlerhaft ist (oder keine) ) crypto für seine Update-Funktion und Sie sind im Besitz.
    • Alle Apps, denen Sie die Erlaubnis gegeben haben, auf alle Arten von persönlichen Daten zuzugreifen ... Sie telefonieren ständig nach Hause und Sie haben wahrscheinlich keine Ahnung, welche Daten sie senden und was ist, wenn sie eine Krypto verwenden?
    • Dancrumb hat weitere Beispiele in seiner großartigen Antwort.
  • Verteidigung im Detail.

Ein VPN ist billig und in Bezug auf die Sicherheit immer noch eine niedrig hängende Frucht.

Ein VPN behebt diese Probleme nicht wirklich.Es erhöht nur die Sichtbarkeit vom lokalen ISP / Access Point auf den VPN-Anbieter, und viele der VPN-Anbieter, die es heute gibt, sind in Bezug auf dieses Zeug nicht wirklich sehr vertrauenswürdig.
@JoelCoehoorn Ja, sicher.Aber das MITM in einem öffentlichen WLAN zu sein, ist einfach.Ein MITM am Ausgang eines VPN-Tunnels zu sein ... nun, das erfordert einige Arbeit.Lass das Perfekte nicht der Feind des Guten sein.
@JoelCoehoorn Sie können Ihr eigenes VPN betreiben, wenn Sie Angst vor anderen VPN-Anbietern haben.Und wenn Sie Ihrem eigenen ISP nicht vertrauen können, ist öffentliches WLAN nicht wirklich Ihr Hauptproblem.
@JoelCoehoorn Das ist im Grunde der Grund, warum Sie Schlösser an einer Tür haben, die Sie in 10 Sekunden eintreten können.Sie möchten immer noch, dass dieser Kerl diese 10 Sekunden Mühe verbringt und viel Lärm macht, anstatt nur in Ihr Haus zu gehen, als ob ihm der Ort gehört.
Firefox blockiert jetzt gemischte Inhalte, was hier ein guter Schritt ist.
Die Lösung für all dies ist natürlich Tor, aber das hat seine eigenen Probleme.Keine technischen Probleme, sondern Usability-Probleme aufgrund allgemeiner Unkenntnis der Webadministratoren hinsichtlich ihrer praktischen Anwendungsfälle.Obwohl es selbst mit Tor schwierig sein kann, völlig anonym zu bleiben, ist es bei weitem nicht so schwierig.
Die meisten dieser "Probleme" werden die meisten Menschen nicht stören.Selbst wenn ich Online-Banking über öffentliches WLAN mache, ist es mir egal, ob die Leute wissen, dass ich Bankgeschäfte tätige, welche Bank ich benutze, einige unverschlüsselte Bilder sehen usw. Solange sich niemand als ich anmelden und meine nehmen kannGeld ist mir egal.Gleiches gilt für Einkäufe bei Amazon usw. Es ist mir egal, ob die Leute sehen können, was ich kaufe, genauso wie ich nicht verschleiere, was ich gekauft habe, wenn ich es mit dem Zug nach Hause nehme.Es wäre gut, tatsächliche Probleme der realen Welt für normale Menschen zu beschreiben, anstatt "Sie könnten DNS-Lookups lecken".
@DrEval Ich denke, die meisten Punkte gelten ganz direkt für normale Benutzer.Normale Benutzer besuchen Websites, die kein HTTPS oder HSTS verwenden.Normale Benutzer haben Apps, die ihre Updates nicht richtig entschlüsseln.Die Übertragung Ihres Passworts im Klartext, weil Ihnen SSL entfernt wurde oder Malware auf Ihr Telefon gelangt, ist für normale Benutzer ein sehr reales Problem.
Fast jede VPN-Sicherheitsfrage kann mit "Wenn Sie ein VPN verwenden, haben Sie zwei Internetdienstanbieter anstelle von nur einem" gelöst werden können.Wenn man extrem nicht vertrauenswürdig ist (öffentliches WiFi), ist das ein offensichtlicher Gewinn.
@WilliamTFroggard Tor ist ein Verschleierungswerkzeug - es überprüft nicht, ob die Site, die Sie sich ansehen, tatsächlich die ist, für die es sich ausgibt.Sie können sich das als ein riesiges Netzwerk von Proxyservern vorstellen.Das FBI hat [Tor erfolgreich ausgenutzt] (https://arstechnica.com/tech-policy/2016/06/fbis-use-of-tor-exploit-is-like-peering-through-broken-blinds/) und eshat [viele bekannte Schwächen] (https://en.wikipedia.org/wiki/Tor_ (anonymity_network) #Weaknesses), daher würde ich nicht darauf vertrauen, dass es Ihren Datenverkehr von einem entschlossenen und gut finanzierten Angreifer verschleiert.
Stellen Sie sicher, dass Sie ein sicheres VPN verwenden, das nicht aufzeichnet.
Ich habe zu Hause einen Router mit integriertem VPN und DynDNS - beide einfach für Heimanwender einzurichten.Eine Domain ist sehr billig, also ... Gewinn.(nur um zu erwähnen, dass Sie VPN-Dienste von Drittanbietern normalerweise recht einfach vermeiden können).
Sogar Sites, die HTTPS erfordern, werden normalerweise von HTTP umgeleitet, was bedeutet, dass ein MITM-Angreifer stattdessen zu einer Lookalike-Site umleiten kann ...
@DrEval Das Problem mit Ihrer Logik ist, dass unsicher geladener Inhalt einer Seite von einem MITM-Angreifer durch buchstäblich alles andere ersetzt werden kann.Ein Angreifer ersetzt möglicherweise ungesicherten Inhalt durch JavaScript, mit dem Sie mithilfe Ihrer authentifizierten Sitzung beispielsweise auf Schaltflächen in Amazon oder in Ihrem Bankkontoportal klicken können.
#2
+119
Dancrumb
2017-12-05 04:22:40 UTC
view on stackexchange narkive permalink

Ich bin ein wenig überrascht, dass niemand darauf hingewiesen hat, dass das Internet mehr bietet als HTTP.

Auch wenn Ihre Behauptungen zu HTTP (S) und HSTS richtig waren (und andere Antworten diskutieren dies) Sie vergessen POP, SMTP, IMAP, FTP, DNS usw. Keines dieser Protokolle ist von Natur aus sicher.

Ihr Punkt ist sehr gültig, und das Folgende ändert das nicht wirklich, aber in POP, SMTP, IMAP und FTP ist TLS jetzt entweder integriert (POPS, IMAPS usw.) oder in das Protokoll integriert (STARTTLS usw.).und DNS verfügt über DNSSEC, das Ihre Kommunikation nicht verbirgt, sie jedoch vor Manipulationen schützen kann. Ein VPN ist immer noch eine geeignete Lösung für das öffentliche WLAN-Problem.
Ein DNS-MITM-Angriff kann in einer öffentlichen WLAN-Umgebung besonders unangenehm sein.Sie können ganze Personengruppen auf gefälschte Websites umleiten (oder den gesamten Datenverkehr über einen Proxy senden).
@fjw Führen große Betriebssysteme die DNSSEC-Validierung jetzt sofort durch?Das wäre ein großer Gewinn, aber ich kann mir nicht vorstellen, dass dies tatsächlich passiert, wenn man bedenkt, wie schuppig es unter meinem Linux immer noch ist.Abgesehen davon würde ich Mail-Clients nicht vertrauen, dass sie nicht wirklich auf STARTTLS-Stripping hereinfallen.
Obwohl die meisten Leute heutzutage ihre E-Mails nicht über einen Webclient lesen?
@Shadur Nicht, wenn ein PGP-E-Mail-Benutzer seinen privaten Schlüssel nicht an den Betreiber des Webmail-Silos weitergeben möchte.
@Shadur anscheinend nicht: https://emailclientmarketshare.com/
Abhängig vom Betriebssystem und verschiedenen Hintergrundprogrammen (Treibern usw.) kann sich Ihr Computer massiv anfällig machen, ohne dass Sie es wissen, sobald Sie eine Verbindung zu einem Zugriffspunkt herstellen.Es war einmal, dass unsere Arbeits-Laptops (RSA-Schlüssel-geschützte sichere Netzverbindung usw. usw.) MSN Messenger problemlos einwandfrei funktionierten, bevor Sie überhaupt mit dem sicheren Netzwerk-Anmeldevorgang begonnen hatten, da das Protokoll nicht erfasst / gefiltert / usw. Wurde.durch die angeblich sehr sichere Verbindung.
#3
+24
entrop-x
2017-12-04 21:49:35 UTC
view on stackexchange narkive permalink

Eine weitere Schwierigkeit des öffentlichen WLAN-Zugangs besteht darin, dass Sie im selben lokalen Netzwerk wie andere unbekannte Akteure sind. Jede Fehlkonfiguration Ihrer lokalen Netzwerkberechtigungen kann zu einem Eindringen in Ihr Gerät führen. Möglicherweise haben Sie zu Hause gemeinsam genutzte Daten in Ihrem lokalen Netzwerk konfiguriert. Jetzt kann jeder am selben WLAN-Zugangspunkt auf diese gemeinsam genutzten Daten zugreifen. In den meisten Fällen wird dieser Schutz durch eine Firewall (im Büro oder zu Hause) gewährleistet, und Sie halten das lokale Netzwerk für sicherer als das nackte Internet. Diesmal befinden Sie sich jedoch möglicherweise im selben lokalen Netzwerk wie ein Angreifer.

Das Problem bei dieser Ansicht ist, dass WLAN regelmäßig so allgemein unsicher ist, dass es wahrscheinlich gut ist anzunehmen, dass jeder mit mehr als minimaler Motivation Zugriff auf Ihr WLAN-Heimnetzwerk hat.Das ändert die Frage zu "Was ist der Kosten-Kompromiss des Angreifers für die Suche nach zufälligen Benutzern auf einzelnen Laptops über öffentliches WLAN im Vergleich zur Suche nach Heimnetzwerken?".
@Curt: ein gut konfiguriertes Heim-Wifi ist normalerweise ziemlich sicher.Natürlich, wenn Sie über Zero-Days sprechen, kann es Möglichkeiten geben, aber dann verstehe ich nicht, warum Sie WLAN herausgreifen.Zero-Days in verkabelten Routern bieten Ihnen auch Zugriff, und zumindest können Sie sie von überall auf der Welt verwenden.Mit einem öffentlichen WLAN sind sie bereits im Netzwerk.Sie benötigen einen Zero-Day in einem Router oder einem Heim-WLAN, um dasselbe zu erreichen.
Ich spreche nicht von Zero-Days.Angenommen, WiFi-Netzwerke sind im Allgemeinen von Anfang an schrecklich gut konfiguriert: Gute Sicherheit berücksichtigt die Benutzer und ihre Fähigkeiten;Die meisten WiFi-Heimnetzwerke werden nicht von Netzwerktechnikern eingerichtet.Darüber hinaus weist selbst ein gut konfiguriertes WiFi-Netz regelmäßig Schwachstellen auf, darunter häufig Probleme mit den WiFi-Protokollen.(Spätestens vor zwei Monaten ist KRAK.) Hier gibt es keinen Raum für weitere Analysen, aber ich stehe zu meiner Aussage, dass es gut ist, von der Annahme auszugehen, dass Angreifer Zugriff auf Ihr WiFi-Netzwerk haben.
(Übrigens würde ich auch vorschlagen, dass Sie davon ausgehen, dass Angreifer einfachen Zugriff auf Ihr kabelgebundenes Netzwerk haben, es sei denn, Sie haben in diesem Bereich besondere Vorsichtsmaßnahmen getroffen. Vielleicht hilft dies beim Hintergrundwissen darüber, was ich hier vorhabe.)
#4
+11
Gartral
2017-12-05 01:41:29 UTC
view on stackexchange narkive permalink

Ich würde argumentieren, dass jedes Mal, wenn Sie sich mit einem öffentlich zugänglichen Netzwerk verbinden, das Sie selbst gefährden, VPNs großartig sind, aber nichts tun, um Ihren Computer gegen die Bedrohungen im lokalen Netzwerk zu schützen, wenn Sie als Benutzer Fehler machen und öffnen Sie say: Ihren privaten Ordner zum Teilen für andere.

Eine Strategie, die ich in der Vergangenheit in einem öffentlichen Netzwerk angewendet und gespielt habe, ist der altmodische Honeypot. Geben Sie einen Ordner für eine Datei frei und achten Sie auf den Zugriff auf diese Datei. Trennen Sie die Verbindung sofort, wenn Sie darauf zugreifen und Sie wissen, dass Sie nicht darauf zugegriffen haben.

Ich bin mir nicht sicher, was das Verfahren in Ihrem letzten Absatz gebracht hat ...
@GnP Grundsätzlich geht er davon aus, dass ein Angreifer im Netzwerk zuerst die einfachen Dinge erledigt (einen öffentlichen freigegebenen Ordner). Wenn er (Gartral) sieht, dass auf die Datei zugegriffen wurde, trennt er sich von diesem WLAN, da er weiß, dass sich ein Angreifer darin befindet.
Ich denke, das ist eine große Annahme, dass ein Angreifer als erstes mit SMB / CIFS herumschnüffeln wird, und selbst wenn dies der Fall ist, würde er alle Dateien anfordern, die er auf der Netzwerkfreigabe sieht.
Sind Sie sicher, dass dieser Angreifer nicht damit beginnen wird, einen weiteren 0-Tage-Fehler in SMB / CIFS auszunutzen?
Ich sagte "beschäftigt" Ich benutze diese Technik nicht mehr, sie war als Ausgangspunkt gedacht, um über Bedrohungsanalysen nachzudenken und selbstständig nach Intrusion Detection und Minderung zu [email protected], Jedes Mal, wenn Sie einen Honigtopf aufstellen, laden Sie den Angreifer ein, seine Krallen mit einem großen Neonschild mit der Aufschrift "Look! Shiny Data! Come'n get it!" In Ihr System zu graben.
#5
+9
bobstro
2017-12-04 22:17:24 UTC
view on stackexchange narkive permalink

Einige der Probleme haben mit MiTM-Angriffen und der Tendenz zu tun, dass Laptops so konfiguriert werden, dass sie nach der ersten Verbindung blind eine Verbindung zu offenen Netzwerken basierend auf der SSID herstellen. Nichts hindert eine unbekannte Partei daran, einen Zugangspunkt mit derselben SSID zu starten, die an anderen Standorten verwendet wird. Während ein Teil Ihres Datenverkehrs möglicherweise geschützt ist, ist dies nicht der Fall, und der Angreifer verfügt über einen Pfad, über den er versuchen kann, Ihren Laptop zu gefährden.

In der Praxis könnte "eine unbekannte Partei, die einen Zugangspunkt in Betrieb nimmt" ein relativ teures Exploit / riskantes Verbrechen sein, von dem man profitieren kann.Wir sollten beachten, dass sich MiTM-Angriffe zumindest in einigen Bereichen dennoch vermehrt haben: Weil W-Fi-Zugangspunkte ohne Sicherheitsupdates (z. B. die alt sind oder nicht automatisch aktualisiert werden) eine massive Schwachstelle darstellen.https://arstechnica.com/information-technology/2019/07/website-driveby-attacks-on-routers-are-alive-and-well-heres-what-to-do/
#6
+7
Rui F Ribeiro
2017-12-05 20:27:19 UTC
view on stackexchange narkive permalink

Bei der Verwendung öffentlicher WLAN-Dienste können Tor und VPN weiterhin Informationen verlieren.

Neben den Auswirkungen auf die Tor- und VPN-Sicherheit müssen Sie mindestens DHCP-Dienste vom öffentlichen WLAN erhalten.

Abhängig von den WLAN-Einstellungen kann der Angebotsdienst auch bei Verwendung von VPN bei Verwendung von Captive-Netzwerktechnologien ein (eingeschränktes) Browserfenster direkt in Ihrem Gerät öffnen, und Ihr Gerät wird ausgesetzt und spricht außerhalb des Netzwerks VPN bis zu einem gewissen Grad, bis Sie sich im Captive-Netzwerkportal authentifizieren.

IMO, dies ist heutzutage der größere Elefant im Raum, an den die Leute nicht denken. Ich habe in FreeBSD einen Proof of Concept geschrieben, der ein Schädelbild im Client öffnet, bevor Sie den VPN-Weg gehen, meine Arbeitskollegen waren nicht so amüsiert.

Ich würde empfehlen, dass Sie je nach Gerät neben Tor oder / und VPN mindestens die neuesten Betriebssystem-Updates durchführen und eine fein abgestimmte Firewall auf Ihrem Gerät ausführen müssen Auch.

Nein, HTTPS und verwandte Technologien sind in einer Sicherheitseinstellung nur ein (kleiner) Teil der Gleichung und bieten Ihnen nur dann ein falsches Sicherheitsgefühl, wenn sie per se verwendet werden .

Die meisten dieser Antworten konzentrieren sich bis zum letzten Satz auf die Grenzen der Verwendung eines VPN, während sich die Frage wirklich auf die Grenzen der Verwendung von HTTPS bezieht.Obwohl alles, was Sie sagen, richtig klingt, bin ich mir nicht sicher, ob es für die Frage relevant ist.
@Anders Fair genug.Die Frage fragt jedoch nach anderen Bedrohungen als der Verwendung von HTTPS
#7
+6
rackandboneman
2017-12-05 16:16:55 UTC
view on stackexchange narkive permalink

Dies ist genau ein Szenario, in dem eine semi- "opportunistische" Verschlüsselung (wie das gemischte Klartext- / verschlüsselte HTTP / HTTPS-Ökosystem) fehlschlagen kann - zumindest müssen Sie sich darauf verlassen, dass Ihr Browser nicht unerwartet eine in a eingebettete Ressource öffnet Webseite über ein ungesichertes Protokoll (auch wenn ein Mann in der Mitte es für Sie herabstuft) und auch über zwielichtige Zertifikate, die nicht akzeptiert werden. Für jede Seite und für alles, was jede Seite lädt.

Wie bereits erwähnt, kann ein VPN alle Arten von böswilligem Datenverkehr zu einem anfälligen Endpunkt tunneln - und zurück.

In Abwesenheit Bei wirklich problematischer Malware wie Keyloggern und illegaler Fernsteuerungssoftware wäre die sicherste Einrichtung die Steuerung eines vertrauenswürdigen Remotecomputers über einen Remotedesktop oder SSH (mit oder ohne X11-Weiterleitung), wodurch der gesamte relevante Datenverkehr über einen verschlüsselten Kanal erfolgt. Das Einrichten dieses Kanals erfordert noch zusätzliche Sorgfalt (z. B. manuelles Überprüfen der Zertifikatsabdrücke), um das verbleibende Risiko von MITM-Angriffen zu vermeiden (die im schlimmsten Fall die Anmeldeinformationen eines Angreifers erhalten könnten).

#8
+1
Emanuel Pirovano
2017-12-05 17:27:54 UTC
view on stackexchange narkive permalink

Wie Norton, ein Sicherheitsunternehmen, sagt:

Was sind die Risiken?

Das Problem mit öffentlichem WLAN ist das folgende Es gibt eine enorme Anzahl von Risiken, die mit diesen Netzwerken einhergehen. Während Geschäftsinhaber glauben, dass sie ihren Kunden einen wertvollen Service bieten, ist die Sicherheit in diesen Netzwerken wahrscheinlich lasch oder nicht vorhanden.

Man in the Middle-Angriffe

Eine der häufigsten Häufige Bedrohungen für diese Netzwerke werden als Man in the Middle (MitM) -Angriffe bezeichnet. AMitM-Angriffe sind im Wesentlichen eine Form des Abhörens. Wenn ein Computer eine Verbindung zum Internet herstellt, werden Daten von Punkt A (Computer), Punkt B (Dienst / Website) gesendet, und Sicherheitslücken können es einem Angreifer ermöglichen, zwischen diese Übertragungen zu gelangen und sie zu „lesen“. Was also jugendlich war, ist nicht mehr privat.

Unverschlüsselte Netzwerke

Verschlüsselung bedeutet, dass die Nachrichten, die zwischen Ihrem Computer und dem WLAN-Router gesendet werden, in Form eines „Geheimcodes“ vorliegen damit sie von niemandem gelesen werden können, der nicht über den Schlüssel zum Entschlüsseln des Codes verfügt. Die meisten Router werden von der Fabrik mit standardmäßig deaktivierter Verschlüsselung ausgeliefert und müssen beim Einrichten des Netzwerks aktiviert werden. Wenn ein IT-Experte das Netzwerk einrichtet, stehen die Chancen gut, dass die Verschlüsselung aktiviert wurde. Es gibt jedoch keine todsichere Möglichkeit, festzustellen, ob dies geschehen ist.

Malware-Verteilung

Dank an Software-Schwachstellen gibt es auch Möglichkeiten, wie Angreifer Malware auf Ihren Computer übertragen können, ohne dass Sie es überhaupt wissen. Eine Software-Sicherheitslücke ist eine Sicherheitslücke oder -schwäche in einem Betriebssystem oder Softwareprogramm. Hacker können diese Schwachstelle ausnutzen, indem sie Code schreiben, um auf eine bestimmte Sicherheitsanfälligkeit abzuzielen, und dann die Malware auf Ihr Gerät injizieren. Cyberkriminelle können spezielle Software-Kits und sogar Geräte kaufen, um das Abhören von Wi-Fi-Signalen zu unterstützen. Diese Technik Sie können den Angreifern den Zugriff auf alles ermöglichen, was Sie online tun - von der Anzeige ganzer Webseiten, die Sie besucht haben (einschließlich aller Informationen, die Sie möglicherweise beim Besuch dieser Webseite ausgefüllt haben), bis hin zur Erfassung Ihrer Anmeldeinformationen und sogar zur Möglichkeit, Ihre Konten zu stehlen.

Schädliche Hotspots

Diese "Rogue Access Points" betrügen Opfer, die sich mit einem ihrer Meinung nach legitimen Netzwerk verbinden, weil die Namen seriös sind. Angenommen, Sie übernachten im Goodnyght Inn und möchten eine Verbindung zum WLAN des Hotels herstellen. Sie denken vielleicht, Sie wählen das richtige aus, wenn Sie auf "GoodNyte Inn" klicken, aber Sie haben es nicht getan. Stattdessen haben Sie sich gerade mit einem betrügerischen Hotspot verbunden, der von Cyberkriminellen eingerichtet wurde, die jetzt Ihre vertraulichen Informationen anzeigen können.

Wenn jeder diese Risiken kennt, müssen sie nur die Risiken reduzieren.

Hierzu können Sie einige Artikel lesen:

Das Zitat von Norton ist zwar interessant, konzentriert sich jedoch nicht direkt auf die Frage.Die Frage ist, ob HTTPS und HSTS diese Bedenken nicht ansprechen.Das Zitat erwähnt das nicht wirklich.
Das ist nicht der Fokus, aber die erste Frage dieses Beitrags hat nicht den Fokus auf dieses Protokoll, oder?
Die Frage könnte wie folgt umformuliert werden: "Welche Probleme gibt es mit öffentlichem WLAN, die HTTPS nicht löst?"Ich habe das Gefühl, dass Sie die Frage "Welche Probleme gibt es mit öffentlichem WLAN?" Beantworten.
Diese Frage ist also eine Kopie von: https://security.stackexchange.com/questions/1525/is-visiting-https-websites-on-a-public-hotspot-secure
Persönlich würde ich eng verwandt sagen, aber nicht duplizieren."Verwenden von öffentlichem WLAN" ist eine Aktivität, die viel mehr beinhaltet als "Besuchen von HTTPS-Websites über öffentliches WLAN".Wenn Sie nicht einverstanden sind, können Sie die Frage als Duplikat kennzeichnen.
Ich bin damit einverstanden, ich habe nur darum gebeten, den Punkt zu verstehen.Vielen Dank
#9
+1
Damon
2017-12-07 17:35:07 UTC
view on stackexchange narkive permalink

Ich bin mir nicht 100% sicher, was Ihr Anliegen ist.

Öffentliche WLAN-Hotspots sind nicht vertrauenswürdig, das stimmt. Das Internet ist jedoch nicht vertrauenswürdig. Die von Ihnen besuchten Websites sind nicht vertrauenswürdig. Die Websites, die Sie zum Durchsuchen des Webs verwenden, sind besonders nicht vertrauenswürdig.

Jemand in einem öffentlichen WLAN-Hotspot kann möglicherweise Ihre Verbindungen belauschen. Jemand wird ohne Zweifel Ihre gesamte Kommunikation belauschen. Dies geschieht routinemäßig innerhalb der Infrastruktur des Anbieters, am CIX, an den Landesgrenzen und an transozeanischen (und manchmal transkontinentalen) Kabeln. Möglicherweise ist es Ihrem vertrauenswürdigen Anbieter durchaus gestattet und gesetzlich vorgeschrieben (sie sind hier!), Detaillierte Statistiken über jede von Ihnen hergestellte Verbindung, alle DNS-Abfragen usw. aufzuzeichnen und zu speichern und diese Informationen mit einigen mäßig vertrauenswürdigen und einigen definitiv nicht zu teilen Vertrauenswürdige Parteien, darunter Organisationen aus feindlichen Ländern.
Alle großen Industriestaaten (nicht nur die USA) haben Abhörorganisationen mit jeweils zehn bis hunderttausenden Personen, die nichts anderes tun, als Ihre Kommunikation zu belauschen und abhängig von Ihnen Profile zu erstellen Mit wem Sie kommunizieren, wann Sie kommunizieren, welche DNS-Namen Sie auflösen usw.

Ist dies ein Problem für Sie? Wenn ja, nutzen Sie das Internet nicht wirklich.

Jemand in einem öffentlichen WLAN-Hotspot könnte versuchen, Ihren Computer auszunutzen. Weißt du was? Jemand könnte das auch über deine Heim-Internetverbindung tun. Es ist sicher nicht so einfach wie im selben lokalen Netzwerk zu sein, aber bei weitem nicht unmöglich.
Mein ehrwürdiges altes Windows 7 hielt es bereits für keine so gute Idee, Hotspots zu vertrauen, und betrachtet alle Hosts in dieser Einstellung als nicht vertrauenswürdig (es sei denn, Sie sagen ausdrücklich etwas anderes). Das passiert nicht ohne Grund. Bei angemessenen Einstellungen wäre es dennoch einigermaßen sicher, sich in einem vollständig feindlichen lokalen Netzwerk zu befinden. Keiner der Dienste, die in den letzten Jahren ausgenutzt wurden, läuft überhaupt auf meinem Computer (unabhängig davon, ob die Firewall den Datenverkehr ohnehin löscht). Lass einfach keine Scheiße laufen, die du nicht brauchst. Je weniger über das Netzwerk zugängliche Dienste verfügbar sind, desto weniger Exploits (mehr RAM verfügbar und schnelleres Booten als kostenloser Bonus).

Es gibt nicht wirklich so viele Gründe, einen öffentlichen WLAN-Hotspot zu verwenden (ich erinnere mich nicht, jemals einen gehabt zu haben) gebraucht). Ein Grund könnte sein, dass Sie unterwegs sind und dringend etwas wirklich Wichtiges online tun müssen. OK, ich gebe zu, in diesem Zusammenhang kann öffentliches WLAN ein schlechtes Gefühl in Ihrem Magen verursachen, aber wie oft passiert das trotzdem. Außerdem verwendet Ihre Bank hoffnungsvoll https: und Sie können trivial überprüfen, ob dies der Fall ist, bevor Sie Ihre Kontoinformationen eingeben.

Obwohl die Leute dies heutzutage wahrnehmen Sie müssen den ganzen Tag online und erreichbar sein (seien Sie ehrlich, wann haben Sie Ihr Handy das letzte Mal ausgeschaltet?), was eigentlich nicht stimmt. Sie können Ihre Bankgeschäfte sehr gut von zu Hause aus erledigen und müssen unterwegs nicht unbedingt rund um die Uhr online sein. Zumindest normalerweise.
Nein, bei Starbucks zu sein bedeutet nicht, dass Sie darüber twittern und ein Foto Ihres Kaffees auf Facebook posten müssen. Wen interessiert das überhaupt? Wenn Sie jedoch der Meinung sind, dass dies unbedingt erforderlich ist und öffentliches WLAN zu beängstigend ist, verwenden Sie die LTE-Verbindung Ihres Smartphones (die geringfügig sicherer ist). Es ist nicht so, dass Sie öffentliches WLAN verwenden müssen.

Ein weiterer Grund für die Verwendung eines öffentlichen WLANs besteht darin, dass Sie vorhaben, etwas Illegales zu tun, bei dem Sie nicht möchten, dass Ihre Identität zu leicht ermittelt werden kann. Sicher, Sie möchten nicht heftige illegale Dinge (Verkauf von Waffen, Drogen, Schnupftabakfilmen? Terrorismus?) Von zu Hause aus tun. Aber hey, in diesem Fall, was ist das Problem, wenn der Hotspot nicht vertrauenswürdig ist? Ich meine, ernsthaft? Ein Teenager, der am Hotspot an Ihrem Verkehr schnüffelt, ist in diesem Zusammenhang das geringste Ihrer Probleme.

Guter Punkt: "Das Internet ist nicht vertrauenswürdig."Aber um klar zu sein, nur weil Ihre Bank "https:" verwendet, wird die Verbindung nicht sicherer, nicht mit der Verbreitung von ** TLS-Interception-Proxys **, die wir haben, und der Einstellung, dass es in Ordnung ist, sichere Verbindungen zu durchdringenwillkürlich.
@Mac: Das stimmt, aber das Abfangen von TLS erfolgt über Malware, die Sie auf Ihrem Computer installieren möchten (und für die Sie normalerweise sogar Geld bezahlen).Die auf den meisten Unternehmenscomputern installierten Stammzertifikate sind ähnlich, dies ist absichtlich.Grundsätzlich sagen Sie, dass Sie damit einverstanden sind, dass Kaspersky / Avast / Norton (oder ein anderer) Ihren Datenverkehr liest, genauso wie Sie damit einverstanden sind, dass die Malware Ihren Computer unbrauchbar macht.Das hat jedoch nichts mit Wifi oder dem Internet als solchem zu tun.Es ist eine persönliche Entscheidung, die Sie treffen können oder nicht.TLS als solches ist für den normalen Benutzer ziemlich sicher.
Punkt genommen, aber ich bezog mich auf HTTPS Interception, das über Hardware-Appliances wie den Blue Coat-Proxy von Symantec auftritt.
@Mac: Nun ja, als Stammzertifizierungsstelle kann Symantec, wie auch die meisten Regierungen, so ziemlich alles sehen.Das ist leider ein Teil von "Das Internet ist nicht vertrauenswürdig", weil alles Vertrauen, das wir haben, wirklich nur eine zufällige Instanz ist, die sagt, dass sie vertrauenswürdig sind, und jeder, der darauf aufbaut.Ich würde jedoch kein viel besseres System kennen, um die Probleme der Schlüsselverteilung anzugehen.Was PGP in den 90er Jahren einfiel, war nicht praktikabel, und der Austausch von Briefumschlägen zwischen Spion und Spion in einer dunklen Gasse ist noch weniger praktisch.Sie müssen nur hoffen, dass Symantec nicht von Ihrem Bankkonto stiehlt.
Blue Coat ist im Grunde dasselbe wie "Benutzerdefiniertes Stammzertifikat installieren" wie auf Unternehmens-Laptops oder mit Antivirus. Nur müssen Sie dies nicht mehr tun, da der Gegner bereits eine Zertifizierungsstelle ist (oder diesen Dienst von dieser Zertifizierungsstelle kauft) undAuf diese Weise können beliebige Anpassungszertifikate erstellt werden.Also ja, das ist Pech.Die Verwendung von "https: //" macht es jedoch einigermaßen sicher gegen normale Kriminelle.Außerdem stiehlt die Regierung Ihr Geld trotzdem (kalte Enteignung), selbst wenn Sie sich nie bei Ihrer Bank anmelden.Es gibt also nichts zu befürchten.
#10
  0
Mac
2017-12-06 10:20:53 UTC
view on stackexchange narkive permalink

Heutzutage verwenden die meisten Websites HTTPS und setzen HSTS-Header, sodass die Wahrscheinlichkeit, dass jemand die Verbindung eines anderen belauschen kann, sehr gering ist.

Diese Annahme ist beängstigend schlecht. Es spielt keine Rolle, wie viele Sites HSTS-Header festlegen, wenn HTTPS selbst nicht abhängig sein kann, um die Sicherheit von Endpunkt zu Endpunkt zu gewährleisten. Und das kann es nicht. Leider.

Haben Sie von einem TLS Interception Proxy gehört? Sie sind alltäglich. Diese Hardware-Proxys (wie WebTitan Gateway oder Cisco ironPort WSA) werden in Schulen, Universitäten und Bibliotheken eingesetzt und von Arbeitgebern und Cafés gleichermaßen verwendet. Sie machen HTTPS null und nichtig, da sie während der "sicheren" Verbindung ein dynamisches Zertifikat einführen, das vorgibt, es zu sein das offizielle Zertifikat der Zielwebsite. Mein Browser kennt den Unterschied nicht, und wenn ich es nicht besser wüsste, würde ich jeder HTTPS-Verbindung auf den ersten Blick vertrauen.

Ursprünglich wurde HTTPS entwickelt, um MiTM-Angriffe zu verhindern. Heute ist der TLS-Proxy der MiTM-Angriff! Unabhängig davon, ob Sie Ihre E-Mails lesen oder Ihren Kontostand überprüfen, sollten Sie sich keine Illusionen darüber machen, dass HTTPS tatsächlich was tut Sie erwarten, dass dies Ihre Verbindung vor Abhören schützt. Und wenn Sie keine Verbindung über Ihren Heim-WIFI-&-Router herstellen oder kein anständiges VPN verwenden, gewöhnen Sie sich daran, dass Ihre Verbindung wahrscheinlich ohne Ihr Wissen oder Ihre Zustimmung im laufenden Betrieb entschlüsselt und neu verschlüsselt wird.

Die vom OP vorgeschlagenen "anderen Bedrohungen" müssen kaum berücksichtigt werden, bis echte verschlüsselte Verbindungen die Norm sind. Derzeit sind sie nicht und HTTPS ist eine Farce. (Um ein Abhören zu verhindern, verwenden Sie ein zuverlässiges VPN, das von einem Unternehmen betrieben wird, das keine Datensätze speichert oder freigibt. Verwenden Sie TOR, um die Verbindung noch besser zu machen.)

Warum behaupte ich, dass HTTPS / HSTS nicht wirklich die Sicherheitsdecke eines Webbrowsers ist? Weil 3 Jahre vor OP die Frage gestellt wurde, wurde sie bereits ausgenutzt und besiegt. Und nur 2 Jahre zuvor wurde es untergraben. Einige beliebte Implementierungen von SSL wurden bereits 1998 als fehlerhaft erwiesen. Selbst Zertifizierungsstellen (CAs) ist nicht zu trauen. Eine kurze Zeitleiste:

  • 1998 - Daniel Bleichenbacher beschreibt einen erfolgreichen Angriff auf PKCS # 1 v1.5, den (damaligen) RSA-Verschlüsselungsstandard (bei CRYPTO) 98); Bei einem Angriff, für dessen Ausnutzung eine Million Angriffsnachrichten erforderlich sind
  • 2009 - Moxie Marlinspike wird SSLStrip erstellt, um HTTPS anzugreifen ( Demo at Black Hat DC 2009)
  • 2012 - IETF gibt uns RFC 6797, das HSTS implementiert, um SSL-Stripping zu verhindern
  • 2012 - Graham Steel veröffentlicht a Papier (auf der CRYPTO 2012), das zeigt, dass Bleichenbachers Padding-Orakel-Angriff weniger als 15.000 Nachrichten benötigt - nicht eine Million, wie ursprünglich angenommen
  • 2014 - Leonardo Nve erstellt SSLStrip + Um HSTS zu vermeiden ( Demo auf der Black Hat Asia 2014)
  • 2015 - Sam Greenhalgh demonstriert HSTS Super Cookies und zeigt, wie der HSTS-Sicherheitsmechanismus leicht untergraben werden kann eine Verletzung der Privatsphäre
  • 2015 - Google stellt fest, dass Symantec und seine Tochtergesellschaften über 30.000 Sicherheitszertifikate ohne ordnungsgemäße Audits oder Offenlegungen li betrügerisch ausgestellt haben
  • 2016 - Google führt eine veröffentlichte schwarze Liste nicht vertrauenswürdiger Zertifikate ein Die Behörden, genannt Submariner
  • 2017 - Ars Technica berichtete, dass große Websites wie Facebook und PayPal positiv auf Bleichenbachers kritischen 19-Jährigen getestet wurden Sicherheitslücke, die es Angreifern ermöglicht, verschlüsselte Daten zu entschlüsseln und Kommunikationen mit dem eigenen geheimen Verschlüsselungsschlüssel der Site zu signieren
  • 2018 - Google aktualisiert Chrome auf Version 70, um das Vertrauen in die Symantec-Zertifizierungsstelle zu verwerfen (einschließlich Symantec-Marken wie Thawte, VeriSign, Equifax, GeoTrust & RapidSSL). und Mozilla folgt
  • 2018 - Adi Shamir veröffentlicht ein -Papier, in dem dargelegt wird, dass moderne Implementierungen von PKCS # 1 v1.5 ebenso unsicher gegen Padding Orakel sind Anschläge; Auswirkungen auf Protokolle &-Dienste wie AWS, WolfSSL und die neueste Version von TLS 1.3, die im August 2018 veröffentlicht wurden

Derzeit, um Probleme wie "transitives Vertrauen", subCAs und zu bekämpfen die Shenanigans von CAs, die sie ausstellen, z GeoTrust usw. haben wir das DANE -Protokoll, das entwickelt wurde, um das Sicherheitszertifikat über DNSSEC zu "sichern" - die Ironie ist hier nicht zu übersehen -, indem Domain-Administratoren die Erstellung eines TLSA DNS-Eintrag.

Wenn DANE weit verbreitet wäre, wäre ich möglicherweise eher geneigt, der Bewertung der geringen Bedrohung durch das OP zuzustimmen. Die Verwendung von DANE bedeutet jedoch, dass eine Site ihre Zone DNSSEC-signieren muss und ab 2016 sind nur ungefähr 0,5% der Zonen in .com signiert.

Als Alternative zum schlecht übernommenen DANE gibt es CAA-Datensätze das Gleiche zu tun, aber der letztere Mechanismus ist nicht fester verankert als der erstere.

Es ist Ende 2017, und die Chancen stehen sehr gut jemand kann Ihren belauschen HTTPS / HSTS-geschützte Verbindung.

UPDATE DEZ 2018: Ob es sich um unsichere Protokolle, schlecht implementierte sichere Protokolle außerhalb des Zuständigkeitsbereichs des Benutzers, sichere Technologie, die auf die Einführung durch den Mainstream wartet, betrügerische Behörden, die nicht überprüfte Zertifikate ausstellen, oder goo d altmodisches hardwareunterstütztes Abhören, es ist Ende 2018 und ich behaupte immer noch, die Chancen stehen sehr gut Ihre HTTPS-Verbindung schützt Sie nicht.

Das von einem Interception-Proxy eingeführte Zertifikat wird selten von einer global vertrauenswürdigen Zertifizierungsstelle signiert.Wenn es der Fall wäre, macht CA etwas Falsches und sollte nicht mehr werden.Sollte HPKP oder eine andere Schlüssel- / Zertifikat-Pinning-Methode zusammen mit HSTS verwendet werden, würde der Proxy sowieso nicht funktionieren.
Für die anonymen Down-Wähler widerlege ich einfach die Behauptung des OP, dass die Verwendung von HTTPS & HSTS das Abhören zu einer "sehr geringen" Möglichkeit macht.
Warten Sie ** was? ** Die Chancen stehen * extrem * gut?Wenn Sie den auf Ihrem Computer installierten Zertifizierungsstellen nicht vertrauen können, deinstallieren Sie sie bitte und stecken Sie die Schlüssel selbst fest.Habe eine * nicht * anonyme Downvote.
#11
-4
jonna_983
2017-12-05 13:31:51 UTC
view on stackexchange narkive permalink

Ihr Argument wäre gültig, wenn alle drahtlosen Benutzer die Sicherheitsaspekte kennen würden, die mit dem Surfen im Internet und öffentlichen, daher nicht vertrauenswürdigen WLAN-Netzwerken verbunden sind. WLAN ist keine Bedrohung, ebenso wie Social Engineering keine Bedrohung darstellt.

Kurz gesagt, WiFi&HTTPS enthält keine Schwachstellen , aber das bedeutet nicht, dass sie keine Bedrohung darstellen.

Sie scheinen die Frage nicht verstanden zu haben - das Problem betrifft nicht WLAN selbst, sondern böswillige Benutzer, die das Netzwerk mit anderen teilen - und die Frage betrifft die Bedrohung - Sie sagen, es könnte sie geben, aber sprechen Sie nicht darüber
Auch WLAN und https weisen Schwachstellen auf
Ich bin anderer Ansicht. OP behauptet, dass die Protokolle sicher sind, daher ist öffentliches WiFi sicher. Die Protokolle sind in der Tat sicher (keine ungepatchten Schwachstellen für 802.11 oder HTTPS atm - sogar KRACK wird fast behoben), sodass alle Probleme von Benutzern stammen, die Sicherheitsfehler oder Nachrichten, die Entwickler sehr sorgfältig in Browsern oder Betriebssystemen platziert haben, unabsichtlich oder unachtsam ignorieren.
@jonna_983 krack ist bei weitem nicht "erledigt".Viele Hersteller von Telefonen oder Routern veröffentlichen einfach keine Updates, viele Leute aktualisieren nicht, viele Leute verwenden alte Betriebssysteme.Krack wird wahrscheinlich erst in etwa einem Jahrzehnt in der Nähe von "versorgt" sein.
@Avery, Ich glaube, dass Ihre Antwort in meinen Punkt fällt.Benutzer wurden über die Sicherheitsauswirkungen der Verwendung von nicht gepatchten (pro KRACK) Geräten informiert, entscheiden sich jedoch weiterhin für die Verwendung von Sicherheitsmitteln. Mein allgemeiner Punkt ist jedenfalls, dass Benutzer beim Surfen alle Arten von Sicherheitsbenachrichtigungen erhalten, die sie nicht berücksichtigen möchten.
@jonna_983 1) Sie gehen davon aus, dass Benutzer technisch versiert genug sind, um alle Geräte zu verstehen und zu patchen. 2) Sie ignorieren meinen Standpunkt "Einige, wenn nicht die meisten Geräte erhalten keine Sicherheitspatches, insbesondere Router".3) Ich habe noch nie eine solche Benachrichtigung gesehen.Ich halte mein System auf dem neuesten Stand, aber ich habe noch keine gesehen, selbst auf Geräten von Personen, die ihre Systeme nicht aktualisieren.
@jonna_983 Nichts hindert jemanden daran, UTF-8 (Punycode-Unterstützung) zu missbrauchen, um auf eine [identisch aussehende Website] (https://www.xudongz.com/blog/2017/idn-phishing/) mit einem eigenen Zertifikat umzuleiten.Diese Apple-Website vom PoC hat eine gültige Signatur, aber verdammt noch mal nicht die von Apple!Vergleichen Sie https: //www.аррӏе.com mit https://www.apple.com und sagen Sie mir, ob Sie den Unterschied zu den URLs erkennen können.
@forest Danke, ich war mir dessen überhaupt nicht bewusst.Möglicherweise fehlt mir etwas, aber es scheint seltsam, dass Root-Zertifizierungsstellen diese Art von Angriff nicht verhindern, wie es trivial erscheint.
Wie könnten sie diese Art von Angriff möglicherweise verhindern?Für Browser wäre es einfacher, dies zu mildern, indem der Punycode (dh https://www.аррӏе.com vs https://www.xn--80ak6aa92e.com, obwohl beide identisch sind) für Browser mit einer Sprache angezeigt wirddas erfordert keinen Unicode.
@forest OK, hier geht. Jemand versucht, einen Punycode-Domainnamen auszugeben: Wenn decode (punycode)! = Ein bekannter Domainname ist, für den ein gültiges Zertifikat existiert, registrieren Sie die Domain.
Sie dekodieren nicht in dieselbe Domäne, sie sehen lediglich gleich aus.Es gibt so einige Charaktere.Es ist möglicherweise möglich, eine Tabelle mit identisch aussehenden Zeichen zu führen und Domänen zu kennzeichnen, die ansonsten identisch aussehen würden, aber das ist nicht die Aufgabe der Zertifizierungsstellen.Eine solche CA-Polizei zu haben, verlangt nach Ärger.Wenn überhaupt, wäre es die Aufgabe eines Nameservers, nicht einer Zertifizierungsstelle.
#12
-5
Stilez
2017-12-05 12:15:30 UTC
view on stackexchange narkive permalink

Ein Protokoll wie https kann nur so sicher sein, wie es das Medium zulässt, auf dem es übertragen wird.

Das bedeutet, dass selbst wenn alles, was Sie tun, HTTPS verwendet (wahrscheinlich nicht für die meisten Menschen). Und selbst wenn nichts an Ihrem Ende unsicher ist (es ist wahrscheinlich), kann der Angreifer Ihre Verbindung zu WiFi, Ihre Anmeldung, Ihr Gerät nach offenen Ports durchsuchen und viel tun, um die Kontrolle über die Kommunikation oder das Gerät zu erlangen https so effektiv wie ein Schloss an einer Tür mit einer offenen Tür daneben.

Ich verstehe den Punkt nicht.Wenn nichts an meinem Ende unsicher ist, warum ist dann ein Port-Scan eine Bedrohung?Und was bedeutet "Targeting Ihres Logins"?
Ich denke, Sie wollen damit sagen, dass WLAN selbst Sicherheitsbedrohungen darstellt und dass VPNs und HTTPs den anderen lokalen Bedrohungen untergeordnet sind.Wird aber von anderen Antworten abgedeckt.
Was genau kann der Angreifer tun, wenn nur HTTPS verwendet wird?
Zum einen DNS vortäuschen / vergiften.Den unverlierbaren Hafen vortäuschen.Ändern von Headern, um eine schwächere Form der Verschlüsselung zu erzwingen, bevor https vollständig eingerichtet werden kann.Verwendungen, die nur auf Metadaten basieren, z. B. Stalking (wenn Sie einer Person folgen oder überprüfen möchten, ob sie sich im Raum befindet, müssen Sie https nicht unterbrechen, obwohl dies streng genommen ein WiFi-Problem und kein AP-Problem ist).DoS auf ihrem VPN oder einem anderen sicheren Zugriff, der möglicherweise auf eine weniger sichere Route zurückgreift.Uneingeschränkte Versuche, nach Schwachstellen zu suchen (das Endgerät befindet sich nicht hinter einer separaten Firewall).


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...