it-swarm.com.de

Ist öffentliches WLAN heutzutage eine Bedrohung?

Meiner Meinung nach sind Argumente, die wir seit Jahren verwenden, um zu sagen, dass öffentliche Wi-Fi-Zugangspunkte unsicher sind, nicht mehr gültig, ebenso wie die empfohlenen Abhilfemaßnahmen (z. B. VPN verwenden).

Heutzutage verwenden die meisten Websites HTTPS und legen HSTS-Header fest, sodass die Wahrscheinlichkeit, dass jemand die Verbindung eines anderen belauschen kann, sehr gering ist und eine Zero-Day-Sicherheitsanfälligkeit in TLS zu erwarten ist.

Welchen anderen Bedrohungen kann jemand heutzutage in einem öffentlichen Netzwerk ausgesetzt sein?

138
eez0

Öffentliches WLAN ist immer noch unsicher und wird immer verwendet, wenn es nicht zusammen mit einem VPN verwendet wird.

  • Viele Websites verwenden HTTPS, aber nicht fast alle. In der Tat mehr als 30 Prozent nicht .
  • Nur rund 5 Prozent der Websites verwenden HSTS. Und es ist immer noch Vertrauen beim ersten Gebrauch. Wenn das maximale Alter kurz ist, kann diese erste Verwendung ziemlich oft sein. Seien wir ehrlich, selbst wenn Sie ein Sicherheitsprofi sind, besteht die Möglichkeit, dass Sie sowieso auf SSL-Strip hereinfallen. Ich weiß, ich würde.
  • Nur weil Sie HTTPS verwenden, heißt das nicht, dass Sie es richtig machen. Es gibt immer noch viele gemischte Inhalte. Viele Clients unterstützen immer noch alte Versionen mit bekannten Schwachstellen, sodass ein Angriff nicht null Tage dauern muss, um erfolgreich zu sein.
  • Selbst wenn Sie HTTPS verwenden, verlieren Sie ohnehin viele Informationen, wie z. B. die Domain, die Sie besuchen, den gesamten DNS-Verkehr usw.
  • Ein Computer oder ein Telefon nutzt das Internet nicht nur zum Surfen:
    • Alles was es braucht ist eine App, die eine schlechte (oder keine) Krypto für ihre Update-Funktion hat und Sie sind im Besitz.
    • Alle diese Apps, denen Sie die Erlaubnis gegeben haben, auf alle Arten von persönlichen Daten zuzugreifen ... Sie telefonieren ständig nach Hause und Sie haben wahrscheinlich keine Ahnung, welche Daten sie senden und welche Krypto sie verwenden.
    • Dancrumb hat weitere Beispiele in seinem großartige Antwort .
  • Tiefenverteidigung .

Ein VPN ist billig und in Bezug auf die Sicherheit immer noch eine niedrig hängende Frucht.

197
Anders

Ich bin ein wenig überrascht, dass niemand darauf hingewiesen hat, dass das Internet mehr bietet als HTTP.

Selbst wenn Ihre Behauptungen zu HTTP (S) und HSTS korrekt waren (und andere Antworten dies diskutieren), vergessen Sie POP, SMTP, IMAP, FTP, DNS usw. Keines dieser Protokolle ist von Natur aus sicher.

118
Dancrumb

Eine weitere Schwierigkeit des öffentlichen WLAN-Zugangs besteht darin, dass Sie im selben lokalen Netzwerk wie andere unbekannte Akteure sind. Jede Fehlkonfiguration Ihrer lokalen Netzwerkberechtigungen kann zu einem Eingriff in Ihr Gerät führen. Möglicherweise haben Sie zu Hause gemeinsam genutzte Daten in Ihrem lokalen Netzwerk konfiguriert. Jetzt kann jeder am selben WLAN-Zugangspunkt auf diese gemeinsam genutzten Daten zugreifen. In den meisten Fällen wird dieser Schutz durch eine Firewall (im Büro oder zu Hause) gewährleistet, und Sie halten das lokale Netzwerk für sicherer als das nackte Internet. Diesmal befinden Sie sich jedoch möglicherweise im selben lokalen Netzwerk wie ein Angreifer.

23
entrop-x

Ich würde argumentieren, dass VPNs jedes Mal, wenn Sie sich mit einem öffentlich zugänglichen Netzwerk verbinden, das Sie selbst gefährden, großartig sind, aber nichts tun, um Ihren Computer gegen die Bedrohungen im lokalen Netzwerk zu schützen, wenn Sie als Benutzer es vermasseln und öffnen : Ihr privater Ordner zum Teilen für andere.

Eine Strategie, die ich in der Vergangenheit in einem öffentlichen Netzwerk angewendet und gespielt habe, ist der altmodische Honeypot. Geben Sie einen Ordner für eine Datei frei und achten Sie auf den Zugriff auf diese Datei. Trennen Sie die Verbindung sofort, wenn auf sie zugegriffen wird, und Sie wissen, dass Sie dies nicht getan haben darauf zuzugreifen.

10
Gartral

Einige der Probleme haben mit MiTM-Angriffen und der Tendenz zu tun, dass Laptops so konfiguriert werden, dass sie nach der ersten Verbindung blind eine Verbindung zu offenen Netzwerken basierend auf der SSID herstellen. Nichts hindert eine unbekannte Partei daran, einen Zugriffspunkt mit derselben SSID zu starten, die an anderen Standorten verwendet wird. Während ein Teil Ihres Datenverkehrs möglicherweise geschützt ist, ist dies nicht der Fall, und der Angreifer verfügt über einen Pfad, über den er versuchen kann, Ihren Laptop zu gefährden.

8
bobstro

Dies ist genau ein Szenario, in dem eine semi- "opportunistische" Verschlüsselung (wie das gemischte Klartext-/verschlüsselte HTTP/HTTPS-Ökosystem) fehlschlagen kann - zumindest müssen Sie sich darauf verlassen, dass Ihr Browser nicht unerwartet eine in eine Webseite eingebettete Ressource über ein öffnet ungesichertes Protokoll (auch wenn ein Mann in der Mitte es für Sie herabstuft) und auch auf zwielichtige Zertifikate, die nicht akzeptiert werden. Für jede Seite und für alles, was jede Seite lädt.

Wie bereits erwähnt, kann ein VPN weiterhin alle Arten von böswilligem Datenverkehr zu einem anfälligen Endpunkt tunneln - und zurück.

Ohne wirklich problematische Malware wie Keylogger und illegale Fernsteuerungssoftware wäre die sicherste Einrichtung die Steuerung eines vertrauenswürdigen Remotecomputers über Remotedesktop oder SSH (mit oder ohne X11-Weiterleitung), wodurch der gesamte relevante Datenverkehr über einen verschlüsselten Kanal erfolgt . Das Einrichten dieses Kanals würde noch zusätzliche Sorgfalt erfordern (z. B. manuelles Überprüfen der Zertifikatsabdrücke), um das verbleibende Risiko von MITM-Angriffen zu vermeiden (die im schlimmsten Fall die Anmeldeinformationen eines Angreifers erhalten könnten).

6
rackandboneman

Über die Nutzung öffentlicher WLAN-Dienste können Tor und VPN weiterhin Informationen verlieren.

Neben den Auswirkungen auf die Tor- und VPN-Sicherheit müssen Sie immer noch mindestens DHCP-Dienste vom öffentlichen WLAN erhalten.

Abhängig von den WLAN-Einstellungen kann der Angebotsdienst auch bei Verwendung von VPN bei Verwendung von Captive-Netzwerktechnologien ein (eingeschränktes) Browserfenster direkt in Ihrem Gerät öffnen, und Ihr Gerät wird ausgesetzt und spricht bis zu einem gewissen Grad außerhalb des VPN, bis Sie Authentifizierung im Captive-Netzwerkportal.

IMO dies in dem größeren Elefanten im Raum heutzutage, an den die Leute nicht denken - ich habe einen Proof of Concept in FreeBSD geschrieben, der ein Schädelbild im Client öffnet, bevor Sie den VPN-Weg gehen, waren meine Arbeitskollegen nicht so amüsiert.

Ich würde empfehlen, dass Sie je nach Gerät neben Tor oder/und VPN mindestens die neuesten Betriebssystem-Updates durchführen und eine fein abgestimmte Firewall auch auf Ihrem Gerät ausführen müssen.

Nein, HTTPS und verwandte Technologien sind nur ein (kleiner) Teil der Gleichung in einer Sicherheitseinstellung und bieten Ihnen nur dann ein falsches Sicherheitsgefühl, wenn sie verwendet werden per se.

6
Rui F Ribeiro

Als Norton , eine Sicherheitsfirma, sagt:

Was sind die Risiken?

Das Problem mit öffentlichem WLAN besteht darin, dass mit diesen Netzwerken eine enorme Anzahl von Risiken verbunden ist. Während Geschäftsinhaber glauben, dass sie ihren Kunden einen wertvollen Service bieten, besteht die Möglichkeit, dass die Sicherheit in diesen Netzwerken nachlässig oder nicht vorhanden ist.

Mann in der Mitte greift an

Eine der häufigsten Bedrohungen in diesen Netzwerken wird als Man in the Middle (MitM) -Angriff bezeichnet. Im Wesentlichen ist ein MitM-Angriff eine Form des Abhörens. Wenn ein Computer eine Verbindung zum Internet herstellt, werden Daten von Punkt A (Computer) zu Punkt B (Dienst/Website) gesendet, und Sicherheitslücken können es einem Angreifer ermöglichen, zwischen diese Übertragungen zu gelangen und sie zu „lesen“. Was Sie für privat hielten, ist also nicht mehr.

Unverschlüsselte Netzwerke

Verschlüsselung bedeutet, dass die Nachrichten, die zwischen Ihrem Computer und dem WLAN-Router gesendet werden, in Form eines „Geheimcodes“ vorliegen, sodass sie von niemandem gelesen werden können, der nicht über den Schlüssel zum Entschlüsseln des Codes verfügt. Die meisten Router werden ab Werk mit standardmäßig deaktivierter Verschlüsselung geliefert und müssen beim Einrichten des Netzwerks aktiviert werden. Wenn ein IT-Experte das Netzwerk einrichtet, stehen die Chancen gut, dass die Verschlüsselung aktiviert wurde. Es gibt jedoch keine todsichere Möglichkeit, festzustellen, ob dies geschehen ist.

Malware-Verteilung

Dank Software-Schwachstellen gibt es auch Möglichkeiten, wie Angreifer Malware auf Ihren Computer übertragen können, ohne dass Sie es überhaupt wissen. Eine Software-Sicherheitslücke ist eine Sicherheitslücke oder -schwäche in einem Betriebssystem oder Softwareprogramm. Hacker können diese Schwachstelle ausnutzen, indem sie Code schreiben, um auf eine bestimmte Sicherheitsanfälligkeit abzuzielen, und dann die Malware auf Ihr Gerät injizieren.

Schnüffeln und schnüffeln

Wi-Fi-Schnüffeln und Schnüffeln ist das, wonach es sich anhört. Cyberkriminelle können spezielle Software-Kits und sogar Geräte kaufen, um das Abhören von Wi-Fi-Signalen zu unterstützen. Mit dieser Technik können die Angreifer auf alles zugreifen, was Sie online tun - von der Anzeige ganzer Webseiten, die Sie besucht haben (einschließlich aller Informationen, die Sie möglicherweise beim Besuch dieser Webseite ausgefüllt haben), bis hin zur Erfassung Ihrer Anmeldeinformationen und sogar zur Erfassung Entführen Sie Ihre Konten.

Bösartige Hotspots

Diese „Rogue Access Points“ bringen die Opfer dazu, sich mit einem ihrer Meinung nach legitimen Netzwerk zu verbinden, da der Name seriös klingt. Angenommen, Sie übernachten im Goodnyght Inn und möchten eine Verbindung zum WLAN des Hotels herstellen. Sie denken vielleicht, dass Sie das richtige auswählen, wenn Sie auf "GoodNyte Inn" klicken, aber Sie haben es nicht. Stattdessen haben Sie gerade eine Verbindung zu einem betrügerischen Hotspot hergestellt, der von Cyberkriminellen eingerichtet wurde, die jetzt Ihre vertraulichen Informationen anzeigen können.

Wenn jeder diese Risiken kennt, müssen sie nur die Risiken reduzieren.

Darüber können Sie einige Artikel lesen:

1

Ich bin mir nicht 100% sicher, was Ihr Anliegen ist.

Öffentliche WiFi-Hotspots sind nicht vertrauenswürdig, das stimmt. Das Internet ist jedoch nicht vertrauenswürdig. Die von Ihnen besuchten Websites sind nicht vertrauenswürdig. Die Websites, die Sie zum Durchsuchen des Webs verwenden, sind insbesondere nicht vertrauenswürdig.

Jemand an einem öffentlichen WLAN-Hotspot möglicherweise kann Ihre Verbindungen abhören. Jemand wird ohne Zweifel all Ihre Kommunikationen belauschen. Dies geschieht routinemäßig innerhalb der Infrastruktur des Anbieters, am CIX, an den Landesgrenzen und an transozeanischen (und manchmal transkontinentalen) Kabeln. Möglicherweise ist es Ihrem vertrauenswürdigen Anbieter durchaus gestattet und gesetzlich vorgeschrieben (sie sind hier!), Detaillierte Statistiken über jede von Ihnen hergestellte Verbindung, alle DNS-Abfragen usw. aufzuzeichnen und zu speichern und diese Informationen mit einigen mäßig vertrauenswürdigen und einigen definitiv nicht zu teilen vertrauenswürdige Parteien, darunter Organisationen aus feindlichen Ländern.
In allen großen Industriestaaten (nicht nur in den USA) gibt es Abhörorganisationen mit jeweils zehn bis hunderttausenden Personen, die nichts anderes tun, als Ihre Kommunikation zu belauschen und Profile über Sie zu erstellen, je nachdem, mit wem Sie kommunizieren, wenn Sie kommunizieren , welche DNS-Namen Sie auflösen und so weiter.

Ist das ein Problem für dich? Wenn ja, nutzen Sie das Internet nicht wirklich.

Jemand an einem öffentlichen WLAN-Hotspot versucht möglicherweise, Ihren Computer auszunutzen. Weißt du was? Jemand könnte das auch über deine Heim-Internetverbindung tun. Es ist sicher nicht so einfach wie im selben lokalen Netzwerk zu sein, aber bei weitem nicht unmöglich.
Mein ehrwürdiges altes Windows 7 hielt es bereits für keine so gute Idee, Hotspots zu vertrauen, und betrachtet alle Hosts in dieser Einstellung als nicht vertrauenswürdig (es sei denn, Sie sagen ausdrücklich etwas anderes). Das passiert nicht ohne Grund. Bei angemessenen Einstellungen wäre es dennoch einigermaßen sicher, sich in einem vollständig feindlichen lokalen Netzwerk zu befinden. Keiner der Dienste, die in den letzten Jahren ausgenutzt wurden, läuft überhaupt auf meinem Computer (unabhängig davon, ob die Firewall den Datenverkehr ohnehin löscht). Lass einfach keine Scheiße laufen, die du nicht brauchst. Je weniger über das Netzwerk zugängliche Dienste verfügbar sind, desto weniger Exploits (mehr RAM verfügbar und schnelleres Booten als kostenloser Bonus).

Es gibt sowieso nicht wirklich so viele Gründe, einen öffentlichen WiFi-Hotspot zu nutzen (ich erinnere mich nicht, jemals einen benutzt zu haben). Ein Grund könnte sein, dass Sie unterwegs sind und dringend etwas wirklich Wichtiges online tun müssen. OK, ich gebe zu, in diesem Zusammenhang kann öffentliches WLAN ein schlechtes Gefühl in Ihrem Magen verursachen, aber wie oft passiert das trotzdem. Auch Ihre Bank hoffnungsvoll verwendet https: und Sie können trivial überprüfen, ob dies der Fall ist, bevor Sie Ihre Kontoinformationen eingeben.

Obwohl die Leute heutzutage erkennen, dass sie den ganzen Tag online und erreichbar sein müssen (seien Sie ehrlich, wann haben Sie Ihr Handy das letzte Mal ausgeschaltet?), Ist das eigentlich nicht wahr. Sie können Ihre Bankgeschäfte sehr gut von zu Hause aus erledigen und müssen unterwegs nicht unbedingt rund um die Uhr online sein. Normalerweise zumindest.
Nein, bei Starbucks zu sein bedeutet nicht, dass Sie müssen darüber twittern und ein Foto Ihres Kaffees auf Facebook posten. Wen interessiert das überhaupt? Aber wenn Sie der Meinung sind, dass dies absolut notwendig ist und öffentliches WLAN zu beängstigend ist, verwenden Sie die LTE -Verbindung) Ihres Smartphones (die geringfügig sicherer ist). Es ist nicht so, als ob Sie müssen) benutze öffentliches WiFi.

Ein weiterer Grund für die Nutzung eines öffentlichen WLANs besteht darin, dass Sie vorhaben, etwas Illegales zu tun, bei dem Ihre Identität nicht zu leicht lokalisiert werden soll. Sicher, Sie würden nicht wollen von zu Hause aus heftige illegale Dinge (Verkauf von Waffen, Drogen, Schnupftabakfilmen? Terrorismus?). Aber hey, in diesem Fall, was ist das Problem, wenn der Hotspot nicht vertrauenswürdig ist? Ich meine, ernsthaft? Ein Teenager, der am Hotspot an Ihrem Verkehr schnüffelt, ist in diesem Zusammenhang das geringste Ihrer Probleme.

1
Damon

Heutzutage verwenden die meisten Websites HTTPS und setzen HSTS-Header, sodass die Wahrscheinlichkeit, dass jemand die Verbindung eines anderen belauschen kann, sehr gering ist

Diese Annahme ist beängstigend schlecht. Es spielt keine Rolle, wie viele Sites HSTS-Header festlegen, wenn HTTPS selbst nicht abhängig sein kann, um die Sicherheit von Endpunkt zu Endpunkt bereitzustellen. Und das kann es nicht. Traurig.

Haben Sie von einem TLS Interception Proxy gehört? Sie sind alltäglich. Diese Hardware-Proxys (wie WebTitan Gateway oder Cisco ironPort WSA) werden in Schulen, Universitäten und Bibliotheken eingesetzt und von Arbeitgebern und Cafés gleichermaßen verwendet. Sie machen HTTPS null und nichtig, da sie während der "sicheren" Verbindung ein dynamisches Zertifikat einführen, das vorgibt, es zu sein das offizielle Zertifikat der Zielwebsite. Mein Browser kennt den Unterschied nicht und wenn ich es nicht besser wüsste, würde ich jeder HTTPS-Verbindung auf den ersten Blick vertrauen.

Ursprünglich wurde HTTPS entwickelt, um MiTM-Angriffe zu verhindern. Heute ist der TLS-Proxy [~ # ~] [~ # ~] der MiTM-Angriff! Ob Sie ' Wenn Sie Ihre E-Mails lesen oder Ihren Kontostand überprüfen, sollten Sie sich keine Illusionen darüber machen, dass HTTPS tatsächlich das tut, was Sie von ihm erwarten, dh Ihre Verbindung vor Abhören schützen. Und wenn Sie keine Verbindung über Ihr Heim-WIFI und Ihren Router herstellen oder wenn Sie kein anständiges VPN verwenden, gewöhnen Sie sich daran, dass Ihre Verbindung wahrscheinlich ohne Ihr Wissen oder Ihre Zustimmung im laufenden Betrieb entschlüsselt und neu verschlüsselt wird.

Die vom OP vorgeschlagenen "anderen Bedrohungen" müssen kaum berücksichtigt werden, bis echte verschlüsselte Verbindungen die Norm sind. Derzeit sind sie nicht und HTTPS ist eine Farce. (Um ein Abhören zu verhindern, verwenden Sie ein zuverlässiges VPN, das von einem Unternehmen betrieben wird, das keine Datensätze speichert oder freigibt. Verwenden Sie TOR, um die Verbindung noch besser zu machen.)

Warum behaupte ich, dass HTTPS/HSTS nicht wirklich die Sicherheitsdecke eines Webbrowsers ist? Da 3 Jahre vor OP die Frage gestellt wurde, wurde sie bereits ausgenutzt und besiegt. Und nur 2 Jahre zuvor wurde es untergraben. Darüber hinaus wurde bereits 1998 festgestellt, dass bestimmte populäre Implementierungen von SSL fehlerhaft sind. Selbst Zertifizierungsstellen (CAs) ist nicht zu trauen. Eine kurze Zeitleiste:

  • 1998 - Daniel Bleichenbacher beschreibt einen erfolgreicher Angriff auf PKCS # 1 v1.5, den (damaligen) RSA-Verschlüsselungsstandard (at CRYPTO 98 ); Ein Angriff, für dessen Ausnutzung eine Million Angriffsnachrichten erforderlich sind
  • 2009 - Moxie Marlinspike erstellt SSLStrip um HTTPS anzugreifen ( Demo bei Black Hat DC 2009)
  • 2012 - IETF gibt uns RFC 6797 , das HSTS implementiert, um das SSL-Stripping zu verhindern
  • 2012 - Graham Steel veröffentlicht ein Papier (auf der CRYPTO 2012), das zeigt, dass Bleichenbachers Padding-Oracle-Angriff weniger als 15.000 Nachrichten benötigt - nicht eine Million, wie ursprünglich angenommen
  • 2014 - Leonardo Nve erstellt SSLStrip + um HSTS zu vermeiden ( Demo bei Black Hat Asia 2014)
  • 2015 - Sam Greenhalgh demonstriert HSTS Super Cookies und zeigt, wie der HSTS-Sicherheitsmechanismus leicht als Verletzung der Privatsphäre untergraben werden kann
  • 2015 - Google stellt fest, dass Symantec und seine Tochterunternehmen betrügerisch über .000 Sicherheitszertifikate ohne ordnungsgemäße Audits oder Offenlegungen ausgestellt haben
  • 2016 - Google richtet eine veröffentlichte schwarze Liste nicht vertrauenswürdiger Zertifizierungsstellen ein, die als Submariner bezeichnet wird
  • 2017 - Ars Technica berichtet dass große Websites wie Facebook und Paypal positiv auf Bleichenbachers kritische, 19 Jahre alte Sicherheitslücke getestet wurden, die es Angreifern ermöglicht, verschlüsselte Daten zu entschlüsseln und Kommunikationen mit dem eigenen geheimen Verschlüsselungsschlüssel der Websites zu signieren
  • 2018 - Google aktualisiert Chrome auf Version 70, um veraltet Vertrauen in die Symantec-Zertifizierungsstelle zu haben (einschließlich Symantec-Marken wie Thawte, VeriSign, Equifax, GeoTrust & RapidSSL) ); und Mozilla folgt dem Beispiel
  • 2018 - Adi Shamir veröffentlicht ein Papier , in dem detailliert beschrieben wird, dass moderne Implementierungen von PKCS # 1 v1.5 ebenso unsicher gegen das Auffüllen von Oracle-Angriffen sind. Auswirkungen auf Protokolle und Dienste wie AWS, WolfSSL und die neueste Version von TLS 1.3, die im August 2018 veröffentlicht wurde

Um derzeit Probleme wie "transitives Vertrauen" zu bekämpfen, subCAs und die Spielereien von CAs, die sie ausstellen, z. GeoTrust usw. haben wir das Protokoll DANE , mit dem das Sicherheitszertifikat - die Ironie, die hier nicht zu übersehen ist - über DNSSEC durch Zulassen "gesichert" werden soll Domain-Administratoren erstellen einen TLSA DNS-Eintrag.

Wenn DANE weit verbreitet wäre, wäre ich möglicherweise eher geneigt, der Bewertung der geringen Bedrohung durch das OP zuzustimmen. Die Verwendung von DANE bedeutet jedoch, dass eine Site ihre Zone mit DNSSEC signieren muss, und ab 2016 nur noch etwa 0,5% der Zonen in .com sind signiert.

Als Alternative zu dem schlecht übernommenen DANE gibt es CAA-Datensätze, die das Gleiche tun sollen, aber der letztere Mechanismus ist nicht fester als der erstere.

Es ist Ende 2017 und die Chancen stehen sehr gut Jemand kann Ihre HTTPS/HSTS-geschützte Verbindung abhören.

UPDATE DEZ 2018: Ob es sich um unsichere Protokolle, schlecht implementierte sichere Protokolle außerhalb des Zuständigkeitsbereichs des Benutzers, sichere Technologie, die auf die Einführung durch den Mainstream wartet, betrügerische Behörden, die nicht verifizierte Zertifikate ausstellen, oder gute handelt altmodisches hardwareunterstütztes Abhören, es ist Ende 2018 und ich behaupte immer noch die Chancen stehen sehr gut Ihre HTTPS-Verbindung schützt Sie nicht.

0
Mac