|
|
|
|
|
|
|
Durchaus, aber in vielen Szenarien kann man das zumindest mit etwas Aufwand aufdecken. Nimm ne (signierte) PGP-Mail für die du beide Secret Keys hast: Wenn du Eingangs- und Ausgangstraffic abfängst und entschlüsselst, siehst du jedes Byte was nicht den Gesprächspartnern gehört. Ein Programm so billig zu sabotieren fällt damit im großen Stil aus - Kontrolle über die Verschlüsselungssoftware reicht nicht, man müsste noch irgendwas infizieren um den Key aus nem System rauszuholen.
Bei normalem OTR über XMPP ist diese Art von Analyse zwar nicht grade trivial, aber man kann sie auch durchführen.
|
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von Snowblind1911 am 27.04.2016 23:49]
|
|
|
|
|
|
|
|
|
Ich rede nicht von Bytes.
Es gibt da viele Kommunikationskanäle. Timing ist so der offensichtliche und klappt mit vielen Sachen. Je nach dem wie gut und womit das empfangen werden soll auch viele andere Möglichkeiten...
Und das würde man natürlich auch verschlüsseln, ähnlich zu dem Beispiel was ich oben mit Hardware RNGs gegeben habe, womit es schon arg schwierig wird das noch von Zufallsdaten zu unterscheiden, die da auf irgendwas aufmoduliert werden.
|
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von csde_rats am 27.04.2016 23:55]
|
|
|
|
|
|
|
|
|
Du redest über Sabotage von Messengern, oder? 
Ich meine, Jabber ist ja wohl Always-Online genug um als Beispiel zu taugen?
|
|
|
|
|
|
|
|
|
|
|
|
Ja, klar. Im Grunde ist das genau das gleiche wie Seitenkanalangriffe, nur dass man hier den Seitenkanal eben mit Absicht einbaut.
|
|
|
|
|
|
|
|
|
|
|
Hmmm das ist ja die interessante Frage: Auf wieviel Kooperation und wieviel Seitenkanal läuft es bei WhatsApp hinaus?
Facebook hat sich die Hintertüre ja ziemlich offensichtlich offengehalten, was den meisten Journalisten irgendwie zu entgehen scheint. Klar ist es so oder so ein toller Schritt, und dass sie ein gutes Protokoll als Basis nehmen ist auch nicht selbstverständlich.
Trotzdem erscheint mir der große Name Textsecure und das blabla um End-To-End nur Show zu sein, um die Schäfchen von den Anderen Closedsource-"Cryptomessengern" wieder einzufangen. Wie viele Leute die verbleibenden Probleme noch raffen werden wir sehen, wenn hoffentlich bald die Opensource-Kuh statt End-To-End durchs Dorf getrieben wird.
|
|
|
|
|
|
|
|
|
|
|
|
Opensource alleine bringt gar nix. Siehe die diversen OpenSSL-Debakel. Das ist _die_ Kernsoftware für Crypto im Internet, dennoch interessiert es fast keinen.
|
|
|
|
|
|
|
|
|
|
|
|
Tauschen wir Selbstverständlichkeiten aus? Opensource ist nur die nächste Voraussetzung für ordentliche Kommunikationssoftware, die man der Allgemeinheit jetzt aufbereiten/in den Kopf dreschen könnte.
|
|
|
|
|
|
|
|
|
Ironie ist
|
|
Wenn ich bei Gmail "Access for less secure apps" aktivieren muss, um die PGP-Integration von K9-Mail zu nutzen.
|
|
|
|
|
|
|
|
|
Ey!
|
Dieser Thread ist ja toter als Henrys Leber, das kann so nicht weitergehen.
Heute kriegt ihr alle eine Hausaufgabe auf.
Ihr sucht euch mindestens zwei dieser Videos hier raus, ladet sie hier als ~150MB 480px 1h Video auf euer Handy runter. Ich empfehle "How governments have tried to block Tor" und "Resilient Botnet C&C".
Wer es gerne etwas diverser will möge sich stattdessen diese Liste (CC-Kongress im Jahr der Aluhüte) vornehmen - und sich eins suchen, was er noch nicht gesehen hat.
Alternativ könnt ihr auch den Hausdurchsuchungen Sammelthread (oder seine Äquivalente in anderen Foren dieser Art) lesen, danach lacht ihr euch beim nächsten Tor/Bitcoin-Panikartikel erst richtig einen ab. Wenn ihr noch könnt.
/jetzt stimmmen alle Links. Glaub ich.
|
|
[Dieser Beitrag wurde 3 mal editiert; zum letzten Mal von Snowblind1911 am 20.06.2016 7:51]
|
|
|
|
|
|
|
|
|
Google möchte, dass ich Reviews zu den Kneipen erstelle in denen ich wahr. Irgendwo hab ich also mal wieder das Tracking-Krams nicht ausgeschaltet…
Alternativ haben meine Kumpanen irgendwas nicht ausgeschaltet und Google hat gemerkt, dass wir zusammen unterwegs waren.
Schöne neue Welt. 
|
|
|
|
|
|
|
|
|
|
|
|
Das ist doch praktisch, so weiß man nach einem Filmriss noch wo man war.
|
|
|
|
|
|
|
|
|
|
|
Naja, beim Kampf um Location Data ist doch eh Hopfen und Malz verloren. Wenn du ein Handy bei dir trägst, wissen ohnehin schonmal alle Mobilfunkbetreiber (dank Hybridortung auf SIM-, GSM- und diverser Handset-Daten) auf eine Hellfiremissile genau wo du dich zu den meisten Zeitpunkten aufhältst. Die Behörden auch, dank Vorratsdatenspeicherung.
Hast du ein Smartphone mit aktiviertem WLAN, kommen Google, Apple usw. (die natürlich auch untereinander mit den Daten handeln) dazu, auf Basis deiner Mac und der der gescannten Zugangspunkte ... wenn du in der Stadt unterwegs bist, ist das meistens noch genauer.
Spoofst du die Mac, widersprechen sich die Informationen. Wechselst du SIM-Karten ohne unendlich viele Smartphones zu haben auch. Wars das wert?
An den Punkt kommt man schon, ohne die "eigentlichen" Location Tracker ala GPS zu berücksichtigen.
Wenn man scheisse bauen will kommt man natürlich immer noch easy um das System rum, aber im Alltag? Keine Chance...
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von Snowblind1911 am 20.06.2016 9:00]
|
|
|
|
|
|
|
|
|
|
Easy, einfach bei einem Bruch kein Handy dabeihaben.
|
|
|
|
|
|
|
|
|
|
|
Ich bin momentan auf einen Vodafone Hotspot angewiesen. Wie stehts da um die Sicherheit? Vodafone selbst empfiehlt deren Produkt SecureNet.
Meine Fragen: kann ich mich zusaetzlich schuetzen? Ist das notwendig, empfehlenswert? Oder sollte ich wichtige Angelegenheiten (Banking, o.ä.) unter keinen Umstaenden in diesem Netz nutzen?
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von Bombur
Easy, einfach bei einem Bruch kein Handy dabeihaben.
| |
Siehe letzten Satz, is halt das gleiche wie immer mit Datensammlerei gegen "Schwerstkriminalität". Gegen die hilft es null, aber dank der großen Fraktion an Nichtszuverbergenhabern (jetzt und auf alle Zeiten, und wers braucht soll halt abkacken!) haben es jetzt alle am Hals.
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von Kirius
Ich bin momentan auf einen Vodafone Hotspot angewiesen. Wie stehts da um die Sicherheit? Vodafone selbst empfiehlt deren Produkt SecureNet.
Meine Fragen: kann ich mich zusaetzlich schuetzen? Ist das notwendig, empfehlenswert? Oder sollte ich wichtige Angelegenheiten (Banking, o.ä.) unter keinen Umstaenden in diesem Netz nutzen?
| |
Online Banking ist ja Ende zu Ende Verschlüsselt. Das heißt das wird auf deinem Gerät (Smartphone, Laptop) verschlüsselt und erst auf dem Server der Bank wieder entschlüsselt. Da ist die Verbindung dazwischen ziemlich wumpe. Das ist sicher. SecureNet kenne ich nicht, was soll das machen? Klingt gruselig 
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ach cool, neue Posts in diesem Thread. 
Ich geh mal davon aus, dass "freie" WLANs demnächst relevanter werden. Also mal ein Rundumschlag.... falls wir auch irgendwann wirklich freie WLANs ohne Anmeldung kriegen wird das erweitert.
TLDR Version in zwei Sätzen am Ende.
| | Zitat von MartiniMoe
| | Zitat von Kirius
Ich bin momentan auf einen Vodafone Hotspot angewiesen. Wie stehts da um die Sicherheit? Vodafone selbst empfiehlt deren Produkt SecureNet.
Meine Fragen: kann ich mich zusaetzlich schuetzen? Ist das notwendig, empfehlenswert? Oder sollte ich wichtige Angelegenheiten (Banking, o.ä.) unter keinen Umstaenden in diesem Netz nutzen?
| |
Online Banking ist ja Ende zu Ende Verschlüsselt. Das heißt das wird auf deinem Gerät (Smartphone, Laptop) verschlüsselt und erst auf dem Server der Bank wieder entschlüsselt. Da ist die Verbindung dazwischen ziemlich wumpe. Das ist sicher. SecureNet kenne ich nicht, was soll das machen? Klingt gruselig
| |
Ähhhh ... so einfach ist das leider nicht. Zwischen dir und deiner Bank ist erstmal nur TLS wenn du Onlinebanking über deinen Browser nutzt, "Ende zu Ende verschlüsselt" ist ne recht irreführende Art das zu beschreiben. Nutzt du ne App, kann das dich vielleicht schützen oder vielleicht angreifbarer machen - je nachdem wer seine Flossen mit in der Entwicklung hatte.
Mit ner "TAN per SMS" Regelung hat sich zumindest direkter Überweisungsbetrug erstmal erledigt, so schützt es dich vor allen außer deinem Mobilfunkbetreiber.
Vodafone ist in diesem Fall ein Mittelmann, jemand der neben dir sitzt und den AP spooft auch, und was die sehen können, hängt sehr von der Beschaffenheit der Hotspots und von deinem Rechner/Telefon ab. Sich mit nem Vodafone-Dienst gegen deren Hotspot zu sichern ist auf jeden Fall ne echt witzige Idee, besonders wenn er als Programm direkt auf deinem Endgerät operiert.
Es gibt ne Menge Möglichkeiten so nen öffentlichen Hotspot mit Landing Page einzurichten, ich kann nicht die genaue Art finden wie sie das machen also schreib ich was zur Häufigsten. Gleicher WPA2 Schlüssel mit nem VPN zum Rechenzentrum.
Läuft so: Du schickst deine Daten mit normaler WLAN-Verschlüsselung (bzw. da ohne) zum Hotspot, der verbindet sich auf das RZ (was alle Nutzerdaten hat, checkt ob du autorisiert bist und ob grade nur einer den Account/Die MAC nutzt), das RZ gibt dir nen VPN Tunnel und verbindet sich wiederum zum Internet.
Ich nehme mal stark an dass die es nicht ganz so scheiße machen wie meine Uni, wo die VPN connections vor dem Router unverschlüsselt sind und jeder Hans mit nem Handy live alle Seiten sehen kann, die alle Leute im gleichen Access Point besuchen.
Macht man es richtig, schließt das dann erstmal die meisten Angriffe aus die andere Leute im Hotspot fahren könnten, aber jemand der Ahnung von MITM Angriffen hat könnte immer noch alles mitlesen wenn er dein Vodafone PW abfängt und sich vor euch beiden als euer Ziel ausgibt. Einfach ist das nicht, weil man die entsprechenden TLS Zertifikate schnell genug verarbeiten und senden muss, aber es geht. Halte ich trotzdem für höchst unrealistisch, viel schwerer als jemandem im gleichen "normalen" WLAN auszuschnüffeln.
Eher noch gibt sich jemand für den Hotspot aus, klaut dir über DNS Spoofing dein Vodafone-PW und nutzt dann den Account für böse Dinge. Kann aber kaum (rechtlich) auf dich zurückfallen, höchstens wird dein Acc mal gesperrt und du musst das PW wechseln.
Nun, was ist mit Vodafone? Grundsätzlich gilt bei jedem VPN: Metadaten (Seitenadresse, Protokoll, Zeit...) kann der Anbieter sehen ohne das Gesetz zu brechen, und außerdem den Inhalt bei allem was nicht wenigstens SSL am Start hat - diese Seite hier etwa, inklusive PNs und deinem Accountnamen. Ggf auch PW, aber das kann man auch ohne SSL unterbinden und ich hab mir noch nicht angeschaut ob das gemacht wird. Erst das Speichern oder Verarbeiten ist in gewissen Fällen illegal.
Über den Fall dass die illegal handeln oder jemand bei ihnen schnorchelt schreibe ich nix, das wird sonst zu lang.
... was kann man machen?
Entweder du nutzt ein VPN, das würde die Position die Vodafone jetzt hat auf deinen VPN-Anbieter verschieben. Wieder unter der Annahme, dass Vodafone einigermaßen Rechtskonform handelt. Vodafone sieht dann nur die Verbindung zu dieser IP - jemand der sich als Access Point ausgibt auch. Ist auch TLS, aber du kannst es nicht vor Ort knacken weil das Zertifikat deines Anbieters bereits aus deinem Gerät liegt.
Oder du nutzt Tor, dann gibts keinen VPN-Anbieter mehr, nur 3 oder mehr Relays die alle zusammenarbeiten müssten um diese Position zu erlangen. Tor hat außerdem den Vorteil gegenüber VPN, dass es nicht Port-basiert arbeitet ("schicke alles was zu Port 80 gehen soll über dieses VPN") oder gar deinen ganzen Traffic durch sein Netz leitet. Das macht es - besonders bei Nutzung von Bridge Relays - äußerst abfuckend für einen Angreifer, überhaupt rauszufinden ob du irgendwas sensibles tust. Der sieht nur eine TLS Verbindung zur Bridge, die man erstmal knacken muss um Tor darunter erkennen zu können. Und diesen Stream (auch die meisten Metadaten) gezielt zu entschlüsseln kann man sich abschminken, egal wer man ist. Da hilft nur Verseuchung des Geräts, und retroaktiv gar nichts.
Aber: Banking geht so afaik nicht, weil wokommwadenndahin - da könnten ja auch die Behörden nicht mehr (nach nem Gerichtsbeschluss) mitlesen. Accounts registrieren wird auf vielen Seiten auch schwierig, weil die IPs der "Ausgangs" Server im Tor-Netz öffentlich sind. Dafür brauchste noch nen privaten Proxy hinter Tor - ein Mittelmann mit anderen Möglichkeiten.
Joa. So ist dat. TLDR: Wenn du Bank-Krempel vor Hackern am Hotspot schützen willst nimm ein VPN, für sensible Kommunikation allgemein nimm Tor mit Bridge. Tor für Android heißt Orbot, ist mindestens so gut wie auf Windows und läuft mittlerweile auch ohne Root.
Und wenn da ein fetter Typ mit Pickeln und nem Linux-Laptop sitzt, fahr NMap Sniffer Detection und hau ihm auf die Fresse falls es anschlägt.
/Falls du kein VPN selber konfigurieren willst, nimm die kostenlose App von Avast. Die ist kompetent gemacht und bedient sich gut, und die Firma ist okay.
https://www.avast.com/de-de/free-mobile-security
Besser ist OpenVPN (fuer alle Systeme) oder die eingebaute VPN-Funktion in Cyanogenmod falls dus hast, da registrierst du das Zertifikat eines Servers deiner Wahl und machst das VPN an wenn dus brauchst.
|
|
[Dieser Beitrag wurde 7 mal editiert; zum letzten Mal von Snowblind1911 am 19.07.2016 6:36]
|
|
|
|
|
|
|
|
|
|
Spricht was dagegen, ein VPN auf der eigenen Fritzbox zu installieren, so dass ich von unsicheren WLANs unterwegs über eigenes VPN über die heimleitung gehe?
|
|
|
|
|
|
|
|
|
|
|
|
Jo, macht Sinn, so muss man nicht mehr Entitaeten Vertrauen als mans eh schon tut. Du meinst so dass das VPN nur zwischen dem Router und deinem Telefon ist oder?
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von Snowblind1911
Jo, macht Sinn, so muss man nicht mehr Entitaeten Vertrauen als mans eh schon tut. Du meinst so dass das VPN nur zwischen dem Router und deinem Telefon ist oder?
| |
Ja ich hab nen vpn auf der Box laufen und logge mich ein über die eigene dal Leitung. Einzig, dass dann die Box selbst und somit das Tor zu meinem internen Netzwerk über den VPN Dienst erreichbar ist mäht mir Kopfschmerz. Lücke in VPN Dienst = Zugriff auf mein Heimnetzwerk
|
|
|
|
|
|
|
|
|
|
|
Kopier dir halt ein schönes langes Passwort und stell alle Logs auf aktiv. Wenn du MAC Adressen whitelisten kannst dann tu das.
Solange das PW >20 Zeichen hat kann man bruteforce vergessen, und gegen deine Nachbarn ist dein Router ja durch WLAN-Verschlüsselung geschützt.
Und wenn dein Handy geklaut wird oder so, wirste das wohl abschalten können selbst wenn jemand echt irgendwann auf den Gedanken käme sich da einzuloggen.
Wenn du das Zertifikat deines Routers auf dem Telefon hast und/oder Public Key Verschlüsselung nutzt, ist es auch sehr unwahrscheinlich dass dir jemand im öffentlichen WLAN was tun kann. Mit Router-Zertifikat kann kein Access Point oder sonstwas so tun als wär er der Router.
Aber selbst wenn nicht... Sowas zu knacken ist schon ein ziemlich schwieriger Angriff, wesentlich schwerer und riskanter als private WLANs direkt anzugreifen. In beiden Fällen kriegst du das Selbe, und beim direkten Knacken hinterlässt du gar keine Spuren bis du das WLAN dann auch für deine Schandtaten benutzt. Also angenommen du willst nur irgendein WLAN und kein bestimmtes, so dass Bruteforcen zum Ziel führ.
|
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von Snowblind1911 am 19.07.2016 9:40]
|
|
|
|
|
|
|
|
|
| | Zitat von Snowblind1911
| | Zitat von MartiniMoe
| | Zitat von Kirius
Ich bin momentan auf einen Vodafone Hotspot angewiesen. Wie stehts da um die Sicherheit? Vodafone selbst empfiehlt deren Produkt SecureNet.
Meine Fragen: kann ich mich zusaetzlich schuetzen? Ist das notwendig, empfehlenswert? Oder sollte ich wichtige Angelegenheiten (Banking, o.ä.) unter keinen Umstaenden in diesem Netz nutzen?
| |
Online Banking ist ja Ende zu Ende Verschlüsselt. Das heißt das wird auf deinem Gerät (Smartphone, Laptop) verschlüsselt und erst auf dem Server der Bank wieder entschlüsselt. Da ist die Verbindung dazwischen ziemlich wumpe. Das ist sicher. SecureNet kenne ich nicht, was soll das machen? Klingt gruselig
| |
Ähhhh ... so einfach ist das leider nicht. Zwischen dir und deiner Bank ist erstmal nur TLS wenn du Onlinebanking über deinen Browser nutzt, "Ende zu Ende verschlüsselt" ist ne recht irreführende Art das zu beschreiben. | |
Das verstehe ich nicht, kannst du das weiter ausführen?
Was sollte ein Angreifer (außer Metadaten) machen / sehen können, wenn ich per TLS (HTTPS) mein Onlinebanking nutze? So wie ich das verstehe garantiert TLS doch sowohl Authentizität der Teilnehmer sowie Integrität der Nachrichten?
|
|
|
|
|
|
|
|
|
|
|
Naja, du kannst deinen Angriff halt unterschiedlich geschickt gestalten. Zugrunde liegt (im Fall des Access Points) DNS-Spoofing, also du gibst z.B. forum.mods.de ein und da steht dann auch forum.mods.de aber die Seite ist ne Andere.
Der einfachste Weg wäre, nach einem Zugriff (und ggf. erster Eingabe der Daten) die https-Seite zu Blocken -> Error, Refresh, Fallback auf http, falsche Seite da, Daten schnell wieder eingegeben und schon isses passiert. Oder halt die Seite komplett unverschlüsselt zu imitieren und dann was auch immer du tust manuell auf der anderen Seite zu tun.
Ich red immer von nem Typ der da rumsitzt, aber das kann natürlich auch ein Telefon sein was irgendwo unterm Sitz klebt und ferngesteuert wird.
Oder man nutzt ne alte TLS-Version ohne Zertifikat, schickt seine Phishingseite damit, dann ist das Schloss gelb oder so aber sonst is alles hübsch.
Oder du lässt dir ne Seite mit ähnlichem Namen zertifizieren und bringst dann das oben: Erster Aufruf OK, zweiter Aufruf weiterleiten auf die Fake-Loginseite mit "Sie haben ihr Passwort falsch eingegeben", nur paar Buchstaben in der Adressleiste ändern sich, Login annehmen, zweiten Aufruf an die Bank weitergeben und ab da nicht mehr Spoofen. Je nachdem wie gut der Name ist haste keine Chance das zu sehen.
Gibt auch noch komplizierteren Kram der noch unauffälliger ist. Heartbleed war son Fall, und es gibt noch viele andere Cryptolibraries als OpenSSL mit anderen Schwächen.
TLS ist broken by Design, damit die Polizei folgendes tun kann: Sie gehen zu ihrer Zertifikatstelle, lassen sich ihren Key auf die Domain zertifizieren, sperren die legitimen CAs von dir ab und nehmen dann mit was sie halt von dir brauchen.
Wäre es ne echte Ende-zu-Ende-Verschlüsselung, hätte dein Browser den Public Key der Seite und nicht die Certificate Authority... und die Seiten würden vom Inhaber signiert werden. So wie bei SSH. Oder OTR. Oder Tor, wobei es da komplizierter ist. Dann ginge das alles nicht, weil man diese Signatur nicht zurückrechnen kann und unsignierte/falsch signierte Daten pauschal in der Tonne landen.
Ebenso hätte deine Bank dann _einen_ Key deinem Account zugeordnet und würde nicht einfach annehmen was auch immer ihm ein dahergelaufener Browser schickt. Alle ordentlichen Systeme sagen dann "möööp falscher Key, Access Denied, teilen Sie ihrem Gesprächspartner mit dass er sich hinfortficken möge.".
Polizeiliche Überwachung wäre mit solcher Verschlüsselung immer noch möglich, indem man den Seitenbetreiber zwingt für einen zu signen oder Session Keys direkt rauszurücken. Das doofe daran ist halt, dass mans nicht heimlich machen kann und wirklich immer nen Gerichtsbeschluss braucht - zumindest in DE.
Außerdem ist das System ohne CAs so einfach, dass man schlichtweg keine Zerodays für Trafficanalyse (=> massenhafte Überwachung) mehr kriegt egal wie viel Kohle man hat. OTR ist son Beispiel dafür, das ist ein Albtraum für Staaten weil sie schlichtweg ausgesperrt sind und für jedes Abhören die Geräte infiziert werden müssen. Bei beschissenen proprietären End-to-End-Verschlüsselungen (etwa WhatsApp) ist das auch nicht so, deshalb tun jetzt auch alle so als würden sie jedem Trottel mit Smartphone eine Privatsphäre zugestehen. Schaut mal, ihr könnt sogar eure Zertifikate anschauen - wie OpenPGP, nur dass ihr nicht sehen könnt wie viele Leute noch Schlüssel haben. Oder ob die Keys und Zertifikate irgendeinen Bezug zueinander haben. Oder ob die Software seit dem letzten Update noch die Gleiche wie bei den Anderen ist. Aber is eh scheiß egal, weil alles so auf eurer SD-Karte liegt dass jeder Taschenrechner es sehen kann. Dat is halt das Ende, könn wir nix dafür.
|
|
[Dieser Beitrag wurde 4 mal editiert; zum letzten Mal von Snowblind1911 am 20.07.2016 1:59]
|
|
|
|
|
|
|
|
|
| | Zitat von Snowblind1911
Ich nehme mal stark an dass die es nicht ganz so scheiße machen wie meine Uni, wo die VPN connections vor dem Router unverschlüsselt sind und jeder Hans mit nem Handy live alle Seiten sehen kann, die alle Leute im gleichen Access Point besuchen.
| |
Ist nicht so ungewöhnlich bei Unis.
Ein Kumpel hat mal aus Spaß an der Freude in seinem Wohnheim mit Uni-WLAN einen Netsniffer laufen lassen. Und dabei einige Zugangsdaten vor allem für Rapidshare bekommen!
Der hatte ziemlich Panik, als er irgendwann mal einen Brief vom Rechenzentrum bekommen hat, in dem die ihn gefragt haben, ob er mal den Traffic mitgeschnitten hat.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von Armag3ddon am 19.07.2016 11:53]
|
|
|
|
|
|
|
|
|
Heh... ja, beim Schuldige finden wenn die Scheisse schon passiert ist sind unsere IT-Hansel auch bemühter.
Sniffer Detection kann man halt komplett vergessen wenn jemand es richtig (=passiv) macht. Oder nicht die ganze Zeit. Bis vor kurzem wären einem dabei auch direkt die Zugangsdaten aller anderen Leute in die Hände gefallen weil die Uniseite TLS nicht für nötig hielt.
|
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von Snowblind1911 am 19.07.2016 11:57]
|
|
|
|
|
|
|
|
|
| | Zitat von Snowblind1911
...
| |
Danke! Wenn ich es richtig verstehe, setzen die genannten Angriffe aber alle entweder Kontrolle über die CA, oder Zugang zum WLAN des Clients voraus, richtig?
Das heißt im Zweifelsfall müsste ein Angreifer erstmal noch ein Gerät in deine Nähe bekommen und WPA2 mit ner anständigen Passphrase knacken.
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von MartiniMoe
| | Zitat von Snowblind1911
...
| |
Danke! Wenn ich es richtig verstehe, setzen die genannten Angriffe aber alle entweder Kontrolle über die CA, oder Zugang zum WLAN des Clients voraus, richtig?
Das heißt im Zweifelsfall müsste ein Angreifer erstmal noch ein Gerät in deine Nähe bekommen und WPA2 mit ner anständigen Passphrase knacken.
| |
Es ging um nen Vodafone Hotspot bzw. öffentliche WLANs generell und jemanden der so tut als wär er einer.
Ja, der bräuchte die WPA-Passphrase falls es eine gibt, aber dann isses halt kein öffentliches WLAN mehr. Die Absicherung erfolgt da etwa anders, wie ich in meinem ersten Post beschrieben hab. Eben durch TLS im besten Fall.
Und keiner der Angriffe erfordert Kontrolle über die CA, das ist ja grade der Witz daran.
/Sry, jetzt stimmts denk ich
|
|
[Dieser Beitrag wurde 3 mal editiert; zum letzten Mal von Snowblind1911 am 19.07.2016 14:42]
|
|
|
|
|
|
|
|
|
|
|
|
| Thema: Verschlüsselung und Anonymität III ( Privatsphäre jetzt ) |
