'Gebruik tweetrapsauthenticatie en vpn bij publieke wifi-hotspots'

De content via een HTTPS verbinding is helemaal niet zo eenvoudig te onderscheppen. Dit is alleen mogelijk als met een fake SSL-certicate. Maar zo'n fake SSL-certifcaat word door je browser geblokkeerd zolang deze alleen "veilige Certificate Authorities" accepteerd.

Bepaalde virus-scanner s zoals ESET kunnen SSL filteren, door zich zelf als veilige Certicate-authority in je browser toe tevoegen.

Maar als man-in-the-middle kan je natuurlijk wel een re-direct doen naar een eigen domein met bijna de zelfde naam b.v. https://www.twe@kers.net , of stiekem switchen van HTTP naar HTTPS. Maar HTTP zal je bank b.v. niet accepteren, en een ander adres in de adres-balk kan de gebruiker ook opvallen.

maar je browser of bank app controleert het certificaat toch op authenticiteit? Dan moet je als man in de middle in het bezit zijn van een trusted certificaat en de laatste keer dat dat mis ging was bij de diginotar affaire waarna alle browser middels updates weer hersteld zijn.

Die waarschuwingsschermen zijn ook weer een probleem an sich.
Ze kunnen soms problemen veroorzaken.

Een expired of self-signed certificaatje bijvoorbeeld, daar krijg je in sommige browsers een groot rood scherm met "BRENG ME TERUG NAAR DE VEILIGHEID!!1!", alsof er zojuist een atoombom is ontploft midden in je woonkamer; en die browser heeft dat eventjes voor je opgelost.

Het probleem is echter dat bij een aardig aantal (interne) websites, en dan heb ik het dus niet over de bank oid, dit nog best eens wil gebeuren. Het bizarre effect is dan dat je, en dit is slechts een voorbeeldje hoor , op "Login" klikt terwijl je op http zit. De browser stuurt je naar de http versie van een of ander script, en die redirect eenmalig naar SSL. Vervolgens blijkt het certificaat expired of self-signed te zijn... En stuurt die browser je terug naar de HTTP variant *zonder* enige encryptie; en vraagt je doodleuk om daar dan maar in te loggen.
Dat is gewoon leip.

Een self-signed certificaat en/of expired certifcaat, daar ontbreekt het aan de trust. Je kan niet verifieren bij een CA of de boel wel klopt. Maar de verbinding wordt alsnog wel degelijk encrypted, en zal dus in de meeste gevallen nog altijd een heel stuk veiliger zijn dan de HTTP versie van de page waar je gegevens submit.
Bij een bank moet je natuurlijk nooit het risico nemen, en de ***** met een bank die vergeet z'n certificaten te verlengen overigens, maar bij veel huis-, tuin- en keukensites is het in principe vaak prima te harden; zeker indien het om expired gaat ipv self-signed.

Waar ik dan ook op hoop is dat er snel wordt gesleuteld om het HTTP protocol zo rap mogelijk om te zetten dat deze _altijd_ TLS gebruikt, zonder uitzondering. Wat wij nu als normaal HTTP verkeer beschouwen, zou dan alsnog versleuteld verkeer zijn.

"Maar dan kunnen we niet controleren of we wel babbelen met wie we willen babbelen!".
Dat klopt, maar dat kan nu ook niet via reguliere unencrypted HTTP. Daar kan je het én niet controleren, én gaat het in plain-text over the internets heen. Maar daar zijn dan alsnog de SSL certificaten voor; die zijn niet opeens waardeloos ofzo, zelfs niet als al het verkeer automagisch al encrypt wordt. De "encryption is implemented on protocol level" oplossing vervangt de SSL certificaten niet, maar zorgt er wel voor dat er uberhaupt geen plain-text communicatie meer plaatsvindt over het HTTP protocol heen... En dat zou toch wel heel erg fijn zijn!
En de mensen die wel graag alsnog die trust willen hebben en zeker willen weten met wie ze babbelen (dat zijn dus gewoon nog steeds exact dezelfde mensen/bedrijven): die nemen gewoon alsnog een SSL certificaat voor het groene slotje/de groene balk.

Dat er anno 2015 nog steeds geen standaard encryptie in het protocol zit is eigenlijk gewoon godsgeklaagd. Ik weet dat er aan gewerkt werd/wordt, maar het duurt allemaal veel te lang naar mijn mening.

[Reactie gewijzigd door WhatsappHack op 25 juli 2024 02:36]

De VPN in iOS laat wel degelijk wat 'lekken' via de wifi voordat de VPN up is. En dat is best veel omdat alles gelijk gaat lopen checken zodra je verbinding maakt (email, push notificaties enz).

Een tijdje geleden waren er problemen met de always-on VPN die mijn werk gebruikt. Als ik dan WiFi aan/uit zette dan had ik heel even verbinding (net genoeg om een pagina te laden of mail op te halen) maar dan viel het weg. Bleek dat de VPN server zelf een probleem had, de verbinding werd wel opgezet maar hij routeerde het verkeer niet. Maar die eerste paar seconden had ik dus wel verbinding omdat hij gewoon via de wifi routeert terwijl je VPN nog niet up is. Dat is wel jammer.

Vroeger met Symbian Series 60 kon je per applicatie instellen over welke verbinding iets kon: Bijv. email altijd over 3G of over VPN, maar de browser over WiFi indien aanwezig. En dan probeerde hij het dus echt alleen via de gekozen verbindingen. Het is jammer dat dat soort functionaliteit op moderne smartphones ontbreekt.

[Reactie gewijzigd door GekkePrutser op 25 juli 2024 02:36]

Er zijn routers te koop met ingebouwde VPN server.
Dus hoef je geen zorgen meer te maken of je een bedrijf kan vertrouwen.

Je kan met MITM een ander veilig certificaat generen wat gewoon door browsers wordt geaccepteerd.

De app moet voorzien zijn van certificate pinning om alleen het juiste certificaat van de bank te accepteren. Zie https://www.owasp.org/ind...te_and_Public_Key_Pinning

Online bankier app's hebben accepteren alleen het certificaat van hun eigen bank. Dit is dus wel veilig aangezien je dat niet kan faken met een ander veilig certificaat.

Zie https://www.owasp.org/ind...te_and_Public_Key_Pinning

[Reactie gewijzigd door GrooV op 25 juli 2024 02:36]

Laat me raden, je OpenVPN server heeft een zelf gesigneerd certificaat. Niet 100% veilig dus

Niet per sé, je browser gaat klagen (enge waarschuwingspagina's) op het moment dat het certificaat niet klopt. Als de site onversleuteld wordt geserveerd blijft hij kalm, en kun je alleen aan het ontbreken van een slotje zien dat de verbinding niet beveiligd is.
Een leuke workaround van Moxie Marlinspike een tijdje geleden was het instellen van een slotje als favicon

mocht er iemand een uurtje over hebben en geïnteresseerd zijn in hoe software werkt die het HTTPS verkeerd downgrade naar HTTP: Moxie heeft op BlackHat 2009 een talk gegeven over zijn software SSLStrip.
http://www.thoughtcrime.org/software/sslstrip/

edit: een oplossing hiertegen vanuit de gebruikers kant is o.a. wat Google tegenwoordig doet: http pagina's als onveilig markeren en hopen dat de gebruiker het opmerkt. Softwarematig wordt er aan HSTS (certificate pinning) gewerkt, waardoor de browser zelfs nepcertificaten van overheidsinstanties kan ontdekken. Google heeft dit onder andere al een keer gebruikt om een man in the middle aanval van de Turkse overheid op GMail op te merken, die een eigen valide certificaat hadden laten maken voor gmail

[Reactie gewijzigd door Verwijderd op 25 juli 2024 02:36]

Browser gaat niet klagen want men stript gewoon het gehele SSL verkeer weg. zodat er plane http aan de browser geserveerd wordt. Daar piept een browser dus noooooit over.
Dus de gebruiker moet zelf zien dat de site niet naar een https variant gaat.
En dat checkt men niet zo snel.

En als via het rogue netwerk de gebruiker iets download en uitvoert ben je helemaal ver van huis want dan kunnen frauduleuze certificaten gewoon geïmporteerd zijn in het systeem waarna gebruikers het certificaat goed moeten inspecteren om te zien dat het niet een goed certificaat is. Veel succes gewenst voor de normale computer gebruiker.

[Reactie gewijzigd door daft_dutch op 25 juli 2024 02:36]