Wifi und SSL

anon28825014 · 11. November 2019 um 23:16

Hi,

da ich oft reise und auf offene WLAN in Bars, Restaurants, Hotels etc. quasi angewiesen bin, habe ich mich mal im www umgeschaut und habe fuer mich folgende Verhaltensregeln aufgestellt. Sind diese so korrekt?

in einem offenen WLAN ohne Zugangspasswort kann jeder der es will alles was ich online mache mitlesen. Hier Benutzernamen und Passwoerter auf unveschluesselten Seiten eingeben (wie z.B. w-w-w) koennte bedeuten dass diese Informationen missbraucht werden. Der Inhaber dieses WLAN koennte diese als Klartext auslesen oder der nette Mensch am Nebentisch mitloggen was ich mache.
in einem WLAN MIT passwort gilt im Prinzip das Gleiche wenn das pw z.B. in einer Bar auf einer Tafel steht. Ein Passwort macht ein WLAN nicht sicherer (ausser meines Zuhause auf welches nur ich zugreife und ein starkes pw habe welches natuerlich nur ich weiss).
alle Seiten mit SSL (https://) sind auch in einem offenen WLAN sicher. Natuerlich gibt es auch hier Mittel und Wege meine pw’s auszulesen, dies bedeutet jedoch fuer den Inhaber des WLAN oder den der neben mir sitzt einen gewaltigen Aufwand. Ein „ich installiere mir mal diese freeware und lese das aus“ ist hier wenig praktikabel. Somit kann ich ohne Sorge in der Bar meine Mails ueber eine SSL Verbindung abrufen.
Skype nutzt auch SSL und auch hier sind Username und pw sowie Chats oder Telefonate verschluesselt.

Ist obiges so richtig?

Danke fuer input
K

godam_a8fc45 · 11. November 2019 um 23:17

Hallo,

deine Aussage zu Punkt 1, 2, und 4 sind soweit richtig.

Zu:

„- alle Seiten mit SSL (https://) sind auch in einem offenen WLAN sicher. Natuerlich gibt es auch hier Mittel und Wege meine pw’s auszulesen, dies bedeutet jedoch fuer den Inhaber des WLAN oder den der neben mir sitzt einen gewaltigen Aufwand. Ein „ich installiere mir mal diese freeware und lese das aus“ ist hier wenig praktikabel. Somit kann ich ohne Sorge in der Bar meine Mails ueber eine SSL Verbindung abrufen.“

Du überschatzt den hierfür nötigen Aufwand. Sicherlich reicht es nicht aus, sich irgendein Programm herunterzuladen, wenn keine fundierten Kenntnisse vorhanden sind. Aber letztendlich ist dies kein Problem und stellt auch keine allzu hohen Ansprüche an den Angreifer.

Wenn es dir um äußerte Sicherheit geht, würde ich eine solches Szenario vermeiden.

Nur ein Stichwort:

http://de.wikipedia.org/wiki/Man-in-the-middle-Angriff

Grüße

godam

Allesquatsch · 11. November 2019 um 23:18

Du überschatzt den hierfür nötigen Aufwand. Sicherlich reicht
es nicht aus, sich irgendein Programm herunterzuladen, wenn
keine fundierten Kenntnisse vorhanden sind. Aber letztendlich
ist dies kein Problem und stellt auch keine allzu hohen
Ansprüche an den Angreifer.

Klares Jein,

zwar kann sich der Angreifer in die Mitte hängen und eine SSL-Verbindung zum Webmailer aufbauen. Weitaus schwieriger ist es dann aber eine neue SSL-Verbindung zum Opfer vorzutäuschen. Wenn man also aufpasst, dass die Verbindung verschlüsselt ist UND die Domäne richtig ist, ist die Hürde schon sehr hoch.

Wenn es dir um äußerte Sicherheit geht, würde ich eine solches
Szenario vermeiden.

Das würde ich wiederum anders sehen, denn nur die SSL-Verbindung ist sicher. Gleichzeitig steht der Rest des PCs offen wie ein Scheunentor. Denn für gewöhnlich gibt es offene Freigaben, die man aus dem Netzwerk heraus nutzen könnte.

Wer wirklich alles hinreichend sicher braucht, muss eine VPN-Verbindung nutzen.

Ciao, Allesquatsch

Sebastian · 11. November 2019 um 23:18

Hallo,

[SSL im ungeschützten Netzwerk]

Du überschatzt den hierfür nötigen Aufwand. Sicherlich reicht
es nicht aus, sich irgendein Programm herunterzuladen, wenn
keine fundierten Kenntnisse vorhanden sind. Aber letztendlich
ist dies kein Problem und stellt auch keine allzu hohen
Ansprüche an den Angreifer.

Wenn es dir um äußerte Sicherheit geht, würde ich eine solches
Szenario vermeiden.

Nur ein Stichwort:

http://de.wikipedia.org/wiki/Man-in-the-middle-Angriff

Naja, aber mit SSL ist man nun wirklich gut gegen MITM geschützt, wenn man darauf achtet, dass das Zertifikat zur Domain passt (da geben aktuelle Browser abar auch Hinweise, wenn das nicht der Fall ist). Entscheidend ist natürlich auch, dass die Certification Authorities, die vom Browserhersteller zufällig vorinstalliert wurden von Dir auch als vertrauenswürdig erachtet werden. Und dass bei denen nichts geklaut wird, mit dem man Zertifikate erstellen kann.

Hatten „wir“ gerade.

Das ist aber eher ein grundsätzliches Problem von SSL (zugegebenermassen eins was alles andere als trivial ist). Wenn man SSL misstraut, dann ist es herzlich egal, ob man das Misstrauen über eine ungesicherte, eine mit WEP oder mit WPA2-Verschlüsselung verschlüsselte (?) Verbindung tut.

Gruß,

Sebastian

godam_a8fc45 · 11. November 2019 um 23:19

Moin Sebastian,

natürlich ist bei einem solchen Szenario SSL relativ sicher. Ich wies nur darauf hin, daß:

"Am effektivsten lässt sich diese Angriffsform mit einer Verschlüsselung der Datenpakete entgegenwirken, wobei allerdings die „Fingerabdrücke“ („fingerprints“) der Schlüssel über ein zuverlässiges Medium verifiziert werden sollten. D. h. es muss eine gegenseitige Authentifizierung stattfinden, die beiden Kommunikationspartner müssen auf anderem Wege ihre digitalen Zertifikate oder einen gemeinsamen Schlüssel ausgetauscht haben, d. h. sie müssen sich kennen. Sonst kann z. B. ein Angreifer bei einer ersten SSL- oder SSH-Verbindung beiden Opfern falsche Schlüssel vortäuschen und somit auch den verschlüsselten Datenverkehr.

Quelle: http://de.wikipedia.org/wiki/Man-in-the-middle-Angriff usw.

Un davor warnt kein Brwoser, wie sollte er auch!?

Dies hat nichts mit Mißtrauen gegenüber SSL tu tun, sondern liegt in der Natur der Sache. Natürlich ist dies Risiko höher, wenn es sich um quasi ungesicherte Netze handelt.

Sicher ist es natürlich (geht ja aber leider nicht immer), wenn - wie oben erwähnt - beide Seiten VORHER auf anderem Weg die Schlüssel ausgetauscht haben.

That’s all.

Grüße

godam

Sebastian · 11. November 2019 um 23:19

Hallo,

Quelle: http://de.wikipedia.org/wiki/Man-in-the-middle-Angriff
usw.

Un davor warnt kein Brwoser, wie sollte er auch!?

SSL-Schlüssel werden in der Regel von einer CA zertifiziert, die Browser haben die Möglichkeit, diese Zertifikate zu überprüfen. Passt da was nicht, gibt es einen Warnhinweis.

So einfach ich MITM nun auch wieder nicht.

Angriffszenarien bleiben da, aber trivial geht anders.

Gruß,

Sebastian

godam_a8fc45 · 11. November 2019 um 23:19

Hallo Sebastian,

nur noch eine Bemerkung: Trivial ist das ganze nicht, aber durchaus möglich und leider auch realistisch. Das Netz ist (wiederum leider) voller Anleitungen, Profis beherrschen dieses Vorgehen eh’…

In Verbindung mit ARP-Poisoning

http://www.watchguard.com/archive/files/images/ARPpo…

können ja die korrekten Certifikate verwendet werden.

Ich wollte nur zum Ausdruck bringen, daß es sich nicht empfiehlt, seinen vertraulichsten Informationen einem Funknetzwerk einer Flughaben-Lounge anzuvertrauen, sofern die Schlüssel nicht vorher vereinbart wurden.

Immer sicheres Surfen wünscht

godam

Sebastian · 11. November 2019 um 23:19

Hallo,

In Verbindung mit ARP-Poisoning

http://www.watchguard.com/archive/files/images/ARPpo…

können ja die korrekten Certifikate verwendet werden.

Nein. ARP-Poisoning kann zwar was mit Man tn the middle zu tun haben, aber mit Certifikaten hat das nichts zu tun. Mit ARP-Poisoning kann man Pakete tatsächlich umleiten.

Eine korrekte Zertifikatkette und vertraenswürdige CA vorausgesetzt macht Dir ARP-Poisoning genausowenig Probleme wie DNS-Poisonig.

Sebastian