Hallo Liste,
neben allen anderen Aspekten, die hier schon angesprochen wurden, fällt
mir noch ein möglicher "Angriff" ein. Das habe ich vor ein paar Jahren
mal mit meiner PC-AG umgesetzt:
Ein Nutzer kann sich mit seinem Laptop recht einfach selbst als AP
ausgeben. (AP Spoofing) Wenn er z.B. mittels 'iwconfig wlan0 txpower 27'
die Sendeleistung seines WLAN - Adapters auf Maximum setzt, ist die
Chance recht hoch, dass er von den Clients als AP ausgewählt wird.
Wenn er gleichzeitig eine eigene Verbindung zum echten AP offen hält,
ist das eine für den Nutzer kaum zu bemerkende mitm . Attacke.
Werden jetzt Eingaben im Klartext übertragen (Logininformationen zum
Coova) bekommt man die auf dem "fake AP" frei Haus.
Alle höheren Sicherheitsvorkehrungen wie z.B. WPA2 uns Session-Keys sind
in diesem Szenario hinfällig - die schützen quasi den Verkehr zwischen
User und "fake AP". 8Und dann wieder vom fake AP zum echten AP.
SSL bringt hier erfahrungsgemäß aber nur wenig mehr Sicherheit:
Damit der fake AP die SSL - gesicherten Datenpakete zwischen User und
Coova "auspacken" kann, stellt er sich selbst ein Zertifikat aus. damit
verschlüsselt er den Verkehr zwischen sich und dem User. Der User erhält
hier zwar die bekannte Meldung des Browsers, dass dem Zertifikat nicht
vertraut werden kann - die meisten User klicken hier aber einfach auf
"trotzdem verbinden" (oder dem jeweiligen Äquivalent des genutzen Browser).
Ähnliches gilt beim ARP Spoofing.
Wenn wir fitte Kids in unseren Klassen haben, die ein Kali Linux (oder
irgend ein anderes) bedienen können, kriegen die sowas sicher hin.
Meiner Ansicht nach können wir uns davor kaum technisch schützen
(Auchnicht mit SSL/TLS). Wie immer wenn es keine technische Lösung gibt
gilt, dass eine "menschliche" erstrebenswert ist: Mit den Usern (allen)
über genau die möglichen Lücken offen reden. Lieber WLAN in der Schule
mit der Gefahr eines solchen Angriffs als überhaupt kein WLAN, oder?
Viele Grüße
Stefan Kuchenbrod
HMS Ilshofen
Am 29.06.2016 um 11:06 schrieb Tobias Kuechel:
Hallo Liste,
mein Datenschutzbeauftragter war gewieft:
wenn man sich per unverschlüsseltem Wifi beim Coova-Chilli anmeldet,
dann braucht ein Angreifer nur den Aether mitschneiden und kann
Benutzername und PAsswort auslesen, denn die Coova-Seite ist eine
nicht-SSL Seite.
Richtig?
Wenn ich WPA im WLAN einschalte und das Passwort allen zugänglich mache,
ist dann eine Entschlüsselung des mitgeschnittenen Wifi-Verkehrs
möglich, oder geht das nicht (z.B. wg. Session-keys, etc)?
Welche Lösung empfehlt ihr hier?
Danke fürs Mitdenken und viele Grüße,
Tobias
_______________________________________________
linuxmuster-user mailing list
[email protected]
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
_______________________________________________
linuxmuster-user mailing list
[email protected]
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
