News Offene WLANs: Kaspersky warnt vor Angriff auf sensible Daten

[max_1234]

@Cool Master, Luxuspur
Wie soll da ein MitM Angriff etwas anrichten können? Genau dafür (oder eher dagegen) wurde ja Public-Key-Verschlüsselung entwickelt..

Höhö .. ich arbeite in dem Bereich
Man in the Middle kann hier sehr wohl was bewirken.
Wenn du dich als Gateway dazwischen klemmst, machst du einfach nen DNS redirekt. Somit leitest du die Ziel-Domain der angefragten Bank auf deine eigene weiter, sollte halt nicht zu stark vom Original abweichen. Durch jahrelanges Phishing sehen solche Fakeseiten inzwischen (teilweise) 100% aus wie das Original, sehr ausgereift eben. Dann noch Cloudflare drauf und man hat ein schönes SSL Icon inklusive.
Die sind schon sehr erfinderisch geworden, da ist nix mit paranoid.

mfg,
Max

 

[Cool Master]

Eben. Ein MitM kontrolliert den Datenfluss und kann diesen hinleiten wo er will. So wird halt aus onlinebanking.de dann onlinebanking.net

Und dank Webcrawler und etwas Arbeit kann man eine Webseite 1:1 nachbauen.

 

[Bagbag]

Okay, Umleitung.. soweit habe ich nicht gedacht. Da greift SSL eben auf zu hoher Ebene.

Aber wenn ich einen VPN- / SSH-Tunnel habe und mich per Key authentifiziere (um sicher zu sein, dass es auch die richtige Gegenstelle ist), dann kann man als MitM wohl tun und lassen was man will, an die Daten kommt man nicht. Denn die DNS-Anfragen kann man dann auch nicht mehr manipulieren (zumindest wenn man es richtig einrichtet).

Mit diesem Setup hätte ich keine Bedenken mehr, zumindest was die Verbindungen zur Außenwelt angeht - gegen Angriffe auf das OS oder sonstige Software hilft das natürlich nicht.

 

[Cool Master]

Bitte:

https://who.rocq.inria.fr/Philippe.Sultan/vpn/spoofed_vpn_server.html

 

[h00bi]

Aber wenn ich einen VPN- / SSH-Tunnel habe und mich per Key authentifiziere (um sicher zu sein, dass es auch die richtige Gegenstelle ist), dann kann man als MitM wohl tun und lassen was man will

Großartig. Du könntest alternativ auch einfach das mobile Netzwerk nehmen statt das WLAN und dir den Aufwand sparen.
Ist ja nicht so dass du gigabyteweise Pornos saugst WÄHREND deinen Bankgeschäften. Und der YT Stream kann auch mal auf Pause für Überweisungen.

 

[max_1234]

Bitte:

https://who.rocq.inria.fr/Philippe.Sultan/vpn/spoofed_vpn_server.html

Das ist doch zum Glück nur eine veraltete ISAKMP IPSec Geschichte
Mit SSL-basierneden VPN Verbindungen ist das nicht möglich.

mfg,
Max

 

[Bagbag]

Noch dazu kommt: "In order to spoof the VPN server, you need to know the pre-shared key used by both VPN client and server.". Wie soll man an diese Kommen?

@h00bi
Toll gelöst, einfach weglaufen vorm Problem. Abgesehen davon hat mein Laptop kein 3G Modem und laut den AGBs meines Mobilfunkanbieters ist Tethering untersagt und mit dem Handy will ich das nicht machen

 

[sunnyday]

Tja die Leute haben halt Tomaten auf den Augen. Man kann sich den Umgang mit wichtigen Daten viel einfacher gestalten, als mit einer komplizierten Technik. Tomaten auf den Augen.

 

[Cool Master]

Das ist doch zum Glück nur eine veraltete ISAKMP IPSec Geschichte

Ok in der Tat hab nicht alles gelesen

Mit SSL-basierneden VPN Verbindungen ist das nicht möglich.

Noch nicht Ich sage immer never say never. Wo ein Wille ist ist auch ein Weg. Hat man immer wieder schön an den diversen Kopierschutzmaßnahen gesehen. "Unser Produkt ist unknackbar" zwei Tage später war es soweit

Auch wenn es gering ist in der Theorie ist es machbar wenn auch extrem extrem unwahrscheinlich.

 

[sunnyday]

Wir wissen ja alle: It's not a Bug! It's a Backdoor! Fehler gibts überall. Sagt ja keiner, dass die Welt perse sicher ist.

 

[Autokiller677]

MITM Attacken sind schon lange nichts außergewöhnliches mehr und können mit einfachsten Tools auf Windows Rechnern durchgeführt werden, dafür braucht man kein Backtrack mit 2 NICs mehr ...

Das ist nicht paranoid, er hat vollkommen recht.
Man ganz davon abgesehen dass 2/3 Benutzer Zertifikatfehler nicht mal beim Online-Banking ernst nehmen würden.

Online Banking ist praktisch der einzige Punkt, wo ein Zertifikatfehler nichtmal so sehr stört, da durch ChipTan (wer mTan vorzieht, sollte aufpassen, da leichter zu knacken) ein sehr effektiver weiterer Schutz besteht. Online Banking würde ich da im ggs. zu Amazon Shopping (die Pfosten schaffen ja nichtmal eine mTan o.ä., wünschenswert wäre hier eher etwas wie ein Token, Smartcard etc., zumindest optional) im offenen WLAN noch völlig bedenkenlos machen.

Anders herum.
Ein Gerät welches sich zwischen dich und dem eigentlichen Hotspot schaltet, wird für dich auf HTTPS Seiten nur ungültige SSL Zertifikate erzeugen. Wenn du nicht weißt woran das liegt, würdest du die (einmalig) bestätigen/weg klicken und einfach weiter machen

Und mit jeder weiteren Seite bekommt der Angreifer Informationen über dich (Usernames/Passwörter/PINs/TANs/etc.).

mfg,
Max

Naja, jeder halbwegs seriöse Browser zeigt das fehlerhafte Zertifikat dann dick an - wer das ignoriert ist dann auch selber schuld.

@Topic:
Man kanns halt auch übertreiben... Jeder mit etwas Verstand fällt auf so simple Sachen wie MITM mit ungültigen Zertifikaten nicht rein. Und der Rest... wird wohl Zeit für einen Computerführerschein.

 

[0screamer0]

Einfach für Online Banking oder den Kauf seine eigene Handynetz Verbindung nutzen.
Das sollte sicher sein.

 

[max_1234]

Online Banking ist praktisch der einzige Punkt, wo ein Zertifikatfehler nichtmal so sehr stört, da durch ChipTan (wer mTan vorzieht, sollte aufpassen, da leichter zu knacken) ein sehr effektiver weiterer Schutz besteht. Online Banking würde ich da im ggs. zu Amazon Shopping (die Pfosten schaffen ja nichtmal eine mTan o.ä., wünschenswert wäre hier eher etwas wie ein Token, Smartcard etc., zumindest optional) im offenen WLAN noch völlig bedenkenlos machen.

Wenn du das Opfer dazu bringst eine Überweisung auf der Fakeseite durchzuführen, dann ist alles Paletti.
Folgendes Beispiel demonstriert den Umfang, wobei "Bot" hier natürlich lokal auf demselben Rechner vertreten ist (z.B. Zeus o.a., siehe Heise Security gibt genügend):

- Opfer geht auf Bankseite (wird auf Fakeseite von Bot weitergeleitet)
- Opfer meldet sich an
- Bot meldet sich auf der echten Bankseite an
- Bot geht auf echte Bankseite und gibt "richtigen Inhalt" weiter an Opfer (Überweisungen, Kontostand etc.)
-- Anmeldeprozess beendet --

- Opfer möchte was überweisen und füllt entsprechend Felder auf der Fake-Seite aus
- Bot überwacht Überweisung, füllt Felder auf der echten Bank Seite "anders" aus
- Opfer wählt auf der Fakeseite "TAN"
- Bot wählt auf der echten "TAN"
- Opfer gibt auf der Fakeseite die TAN ein
- Bot macht dasselbe auf der echten
-- Überweisung --

Naja, jeder halbwegs seriöse Browser zeigt das fehlerhafte Zertifikat dann dick an - wer das ignoriert ist dann auch selber schuld.

Die Voraussetzung hierfür ist immer mit Schuld verbunden

mfg,
Max

 

[Autokiller677]

@max_1234:
Damit eben niemand im Hintergrund einfach die Seite anders ausfüllen kann, wird auch immer Zielkonto + Betrag übermittelt, zumindest bei ChipTan. Bevor ich auf meinem ChipTan Gerät die TAN sehe, sehe ich Ziel + Betrag. Da die TAN basierend auf diesen Daten generiert wird, muss der Angreifer daher auch dieses Flackerbild an mich weiterleiten und kann das nicht durch ein selbst generiertes ersetzen. Und wenn ich jetzt nicht zu doof bin, nochmal zwei Zahlen zu kontrollieren, sehe ich da sofort, ob ich da die Überweisung bestätige, die ich tätigen will, oder die von jemand anders.

Deshalb ist auch mit Fakeseite und Bot nicht alles paletti.

 

[max_1234]

Bevor ich auf meinem ChipTan Gerät die TAN sehe, sehe ich Ziel + Betrag.

Nur dass die gute alte TAN via SMS immer noch die am häufigsten verwendete Variante ist. Hier bekommst du ausschließelich die TAN via SMS - auf deinem Rechner siehst du nur das, was du sehen sollst

mfg,
Max

 

[Cool Master]

@max_1234

Na ja in dem Fall ist der User aber wieder schuld wenn es etwas sichereres gibt aber er nutzt es nicht.

 

[max_1234]

Na ja in dem Fall ist der User aber wieder schuld wenn es etwas sichereres gibt aber er nutzt es nicht.

Richtig! Wenn man alle genannten Szenarien durchdenkt ist es aber immer so: der User ist selbst schuld
In Zeiten in denen sich 9/10 Leute blind auf Pseudo-AV Tools verlassen und das eigene Hirn ausschalten (RTL Reflex?) kann man das nur noch Schulterzuckend unterschreiben.

mfg,
Max

 

[Cool Master]

Mir war das SMS Tan von anfang an zu blöd vor allem wollte meine Bank noch Geld für jede SMS :X Da habe ich gesagt ok TAN Generator her die 5 € dafür habe ich nach ein paar Überweisungen etc. drin.

 

[Autokiller677]

Nur dass die gute alte TAN via SMS immer noch die am häufigsten verwendete Variante ist. Hier bekommst du ausschließelich die TAN via SMS - auf deinem Rechner siehst du nur das, was du sehen sollst

mfg,
Max

Bei SMS Tan wird einem Betrag und Kontonummer nicht mitgeschickt? Ich dachte, so viel Sicherheit wäre auch da drin... wobei es ja, da man SMS abfangen & fälschen kann, immer das unsicherere Verfahren bleiben wird. Aber so ist das ja praktisch schon fahrlässig...

Naja, nichtsdestotrotz bezogen sich meine beiden bisherigen Posts eben auf ChipTan, und da kann ich selbst mit Zertfikatfehler machen wie ich will - auch wenn es natürlich nicht empfehlenswert ist.