Reacties voor: Veiligheid gebruik Wi-Fi op de iPhone in het nieuws

Gebruik van onbeveiligde WiFi-netwerken gaat gepaard met risico's. In dit artikel leggen we je uit wat de risico's zijn en hoe je jezelf hiertegen kunt beschermen.
Paul Pols - · Laatst bijgewerkt:

Reacties: 46 reacties

  1. Goed artikel …
    het kan niet genoeg gezegd worden … beveilig je draadloos netwerk met WPA, WPA2 of andere zeer sterke beveiligingsmethodes …

    Niet beveiligen of enkel WEP gebruiken is zoals een deur zonder slot of met een slot uit de middeleeuwen …

  2. Ik loop toch geen gevaar? Want mijn root wachtwoord is veranderd.

  3. Als ik ergens bijv. Op vakantie een onbev. Netwerk vind dan maak ik er, als het werkt, gewoon verbinding mee hoor!!!
    Even iphoneclub, emails andere sites checken

  4. Bedrijven die lekker winst willen maken: maak een iPhone-virusscaner! Of een filter tegen zulke ‘inbraken’

    Secret weet dat er weinig tot geen virussen zijn op Mac. Ik werk bij de overheid en we gebruken nog steeds Windows 98!

  5. Hoe zit het dan met router instellingen waarvan alleen toegevoegde MAC adressen toegang hebben tot het netwerk?

    Ik zit op zo’n netwerk. Voor zover ik weet is het een onbeveiligd netwerk (geen beveiliging en slot symbool in netwerklijst) maar toch krijg je geen toegang, tenzij het MAC adres van je netwerkkaart is toegevoegd aan de lijst in de routerinstellingen.

  6. Origineel geplaatst door Hoe zit het dan met router instellingen waarvan alleen toegevoegde MAC adressen toegang hebben tot het netwerk?

    Dit lijkt veilig maar is het niet. Het is namelijk vrij makkelijk om een MAC-adres softwarematig te faken. Even afluisteren welke MAC-adressen verbinding maken met zo’n netwerk en je bent binnen.

  7. @Borgqueenx: Wel dus. Je root wachtwoord is wel veranderd maar dat heeft alleen met SSH te maken niets met dit.

  8. @:borgqueenx
    je loopt wel gevaar omdat ze het netwerkverkeer afluisteren. Dit heeft niets te maken met je root password.

  9. @ Borgqueenx: Het gaat nu over WiFi en niet SSH..
    @ Martijn: Natuurlijk kan je connecten met een open WiFi en zal het n.a.w. werken. Maar op het moment dat jij connected bent.. en ik bijv. ook en heb kwade bedoelens..
    Dan kan ik gaan ‘ sniffen ‘ en dus;

    De communicatie die op deze manier onderschept kan worden, is in het geval van de iPhone bijvoorbeeld het wachtwoord dat verstuurd wordt tijdens het controleren, ontvangen of verzenden van e-mail.

    Met je verbinding is dan dus niets mis.. je ww. etc. is echter dan wel bekend bij derde..

    Omtrent de link naar security.nl, da’s fijn en aardig maar ook reeds bekend vanaf het moment dat WiFi @ home zijn intrede deed. Daarbij ook even een sidenote over WEP en WAP.

    De meest gebruikte manier is het beveiligen door middel van een macadres beveiliging (alleen clients waarvan het mac-adres bekend is worden toegelaten) in combinatie met een WEP of WPA encryptie. De beveiliging op macadres-niveau is het meest rudimentair, relatief makkelijk te kraken en het beschermt de gegevens die door de lucht verzonden worden verder niet.

    Dit doen WEP en WPA wel, waarbij WPA veruit de voorkeur heeft verdient omdat WEP inmiddels gekraakt is. Er is slechts 1,5GB aan opgevangen dataverkeer nodig om een 128 bits WEP-encryptie te kraken.
    Mits de apparatuur het ondersteunt is WPA-(PSK) de veiligste variant, omdat deze nog niet gekraakt is. Bij WPA is normaal gesproken een Radius-server nodig, maar omdat de meeste mensen daar thuis geen beschikking over hebben is het mogelijk om met een normaal wachtwoord WPA-PSK te gebruiken. Dit wachtwoord hoeft alleen te worden ingevuld op alle clients en accesspoints die bij elkaar in een netwerk horen.

    Bron.

    Paul, bedankt in ieder geval voor de uitleg en headsup al zou iedereen moeten kunnen weten dat een open WiFi altijd (ook met laptops etc.) meer ‘ gevaar ‘ met zich meebrengt. 🙂

    Anderzijds verwacht ik meer en meer van dit soort dingen op smartphones.
    Wanneer komen de eerste echte virusscanners voor een smartphone om de virussen tegen te gaan houden?

    Origineel geplaatst door Secret
    Bedrijven die lekker winst willen maken: maak een iPhone-virusscaner! Of een filter tegen zulke \u2018inbraken\u2019Secret weet dat er weinig tot geen virussen zijn op Mac. Ik werk bij de overheid en we gebruken nog steeds Windows 98!

    LOl, welk deel van de overheid.. die loopt dan nogal achter vs. andere hoekjes van de overheid.. 😛

  10. Origineel geplaatst door Bedrijven die lekker winst willen maken: maak een iPhone-virusscaner! Of een filter tegen zulke ‘inbraken’Secret weet dat er weinig tot geen virussen zijn op Mac. Ik werk bij de overheid en we gebruken nog steeds Windows 98!

    het gaat hier dus totaal niet over virussen, het gaat over hoe je als gebruiker op andere manieren risico loopt bij het gebruik van open wifi spots.
    Je moest eens weten hoeveel apps en services wachtwoorden in plain text verzenden, als man in de middle is het op deze manier heel simpel om zo aan logins en passwords te komen.
    Een virus is meestal uit op destructie, zodra het bedoelt is om gegevens te achterhalen van de gebruiker heet het een keylogger of trojan.

  11. ze tappen maar lekker mijn internetgebruik af, ieder zijn hobby.

  12. Als je via een beveiligde (SSL-encrypted) login inlogt, is er toch ook niks aan de hand? Dan kunnen ze wel zien dat je inlogt op een bepaalde site, maar de gegevens die ‘over de lijn’ gestuurd worden zijn dan toch gewoon encrypted en niet/nauwelijks af te luisteren? Of heb ik ongelijk?

  13. Origineel geplaatst door Borgqueenx
    Ik loop toch geen gevaar? Want mijn root wachtwoord is veranderd.

    Het gaat niet over inloggen op uw iPhone (waar die root voor kan gebruikt worden), maar over het aftappen van wat je doet via wifi.
    paswoorden, … op een onbeveiligd wifi netwerk zijn gewoon te lezen of eenvoudig te ontcijferen …

    Dit probleem is geen iPhone probleem, maar een standaard WiFi probleem. De artikelschrijver heeft er iPhone in gezet en daardoor is dit bericht plots voor ene groter publiek belangrijker.

    Nietegenstaande dat het probleem gewoon standaard WiFi materie betreft is het nuttig om mensen er aan te herinneren om hun eigen wifi netwerken goed te beveiligen en op een onbeveiligd netwerk voorzichtig te zijn met bvb. banktransacties te gaan uitvoeren …

  14. @Peter: SSL is niet zo veilig als meesten denken … (zie link bovenaan in tekst).

  15. En hoe zit dat dan met die open wifi spots van KPN? Maak ik toch regelmatig gebruik van(betaal er immers voor). Is allemaal open, inloggen via zo’n irritante website.

    Iemand enig idee?

  16. Inderdaad, een SSL verbinding valt niet af te luisteren. Als er een ‘man-in-the-middle’ is, zal je browser aangeven dat het certificaat van de web-site niet klopt. Je krijgt dan de keus of je door wilt gaan. Als je dat niet doet, loop je geen gevaar voor SSL-verbindingen…

  17. Beetje vreemd om dit alleen te betrekken op mobiele telefoons met wifi. Alle apparaten met wifi hebben hetzelfde probleem. Je laptop dus ook. Windows, Linux, Mac, Unix noem maar op. Waarom dit nu weer op de iPhone betrekken?

    WEP is niet veilig, binnen 20 minuten te kraken. WPA met TKIP is inmiddels ook niet veilig meer. Gebruik WPA2 met een sterk wachtwoord en korte sleutel tijd als je veilig wilt zijn.

  18. @Peter: De link waar uitgelegd wordt dat dat dus niet zo is staat nota bene in het artikel.
    http://www.sindark.com/2009/02/21/the-ssl-strip-exploit/

  19. Zelfs zonder het hele man-in-the-middle verhaal is het niet verstandig va een onbeveiligd netwerk gebruik te maken. Iemand kan zelfs zijn eigen 3G verbinding via WiFi sharen als “Schiphol – FREE – Access”. Wedden dat er genoeg mensen zullen happen.

  20. Zelfs zonder het hele man-in-the-middle verhaal is het niet verstandig va een onbeveiligd netwerk gebruik te maken. Iemand kan zelfs zijn eigen 3G verbinding via WiFi sharen als “Schiphol – FREE – Access”. Wedden dat er genoeg mensen zullen happen.

  21. Origineel geplaatst door Peter
    Als je via een beveiligde (SSL-encrypted) login inlogt, is er toch ook niks aan de hand? Dan kunnen ze wel zien dat je inlogt op een bepaalde site, maar de gegevens die ‘over de lijn’ gestuurd worden zijn dan toch gewoon encrypted en niet/nauwelijks af te luisteren? Of heb ik ongelijk?

    Je hebt ongelijk. In het artikel staat ook een link naar “sslsniff”. Dit is een methode die misbruik maakt van de slechte controle van de certificaten die browsers aangeboden krijgen door een server. Ze controleren een bepaald veld niet waardoor je door middel van een “chained certificate” een voor de browser geaccepteerd certificaat aangeboden krijgt. Je merkt dus niets van het feit dat je eigenlijk verbinding hebt met een tussenpersoon die al jouw versleutelde data netjes ontsleuteld, afvangt en doorstuurt naar de eigenlijke website.

  22. Mis ik alleen de verwijzing naar in dit artikel.

  23. Waar blijft de opmerking “Dit moet apple snel fixen!?”.
    Ik erger me aan de snelle koppeling met de iPhone.

    Heeft er niks mee te maken.

  24. … Iemand kan zelfs zijn eigen 3G verbinding via WiFi sharen als “Schiphol — FREE — Access”. Wedden dat er genoeg mensen zullen happen.

    Als ik me niet vergis is daar laatst een keer een test mee uitgevoerd en werden in een uur tijd echt honderden wachtwoorden onderschept.. bizar idee eigenlijk dat iedereen klakkeloos vertrouwt op onbeveiligde verbindingen

  25. Als ik in het buitenland ben is het toch wel mega relaxed als ik daar van beschikbare Wifi netwerken gegruik kan maken.

    Hoe kan je er toch veilig gebruik van maken? (bv door je Gmail via https te benaderen of andere beveiligingsmethode aan de kant van je iPhone of computer?). Of is dat gewoonweg niet mogelijk?

    Oppassen met apps als paypal dus ook?

  26. Wat WiFi betreft, lijkt me dat wel logisch, dat je gevaar loopt, als je een vreemde open WiFi-spot gebruikt.

    Maar hoe zit het eigenlijk als je via gprs, edge of 3g een internet verbindung maakt? Kan daar gemakkelijk meegelezen worden? Vooral betreffende apps waar je je moet aanmelden, of zelfs financiele gegevens mee doorstuurd (PayPal, PCBanking, etc)? Via mobile Safari kun je er op letten dat je een SSL (HTTPS) verbinding hebt, maar doen zulke apps dat ook?

  27. Origineel geplaatst door Wyando
    Maar hoe zit het eigenlijk als je via gprs, edge of 3g een internet verbindung maakt?

    Dat is heel wat minder makkelijk aangezien niet elke willekeurige laptop zich als mobiele antennemast kan voordoen. Maar het is een interessante vraag os iemand met een microcell oid iets vergelijkbaars zou kunnen doen zonder dat dit wordt tegengewerkt door authenticatie door (bv) T-Mobile. In ieder geval is het een stuk lastiger en duurder 🙂

    Vooral betreffende apps waar je je moet aanmelden, of zelfs financiele gegevens mee doorstuurd (PayPal, PCBanking, etc)? Via mobile Safari kun je er op letten dat je een SSL (HTTPS) verbinding hebt, maar doen zulke apps dat ook?

    Reken er maar wel op, aangezien de bedrijven die die dingen maken er zelf belang bij hebben dat het dicht zit. Het zou me verbazen als je -app of webapp- een PP-transactie kunt afronden zonder een beveiligd protocol te gebruiken.

  28. Origineel geplaatst door Wyando
    Wat WiFi betreft, lijkt me dat wel logisch, dat je gevaar loopt, als je een vreemde open WiFi-spot gebruikt.Maar hoe zit het eigenlijk als je via gprs, edge of 3g een internet verbindung maakt? Kan daar gemakkelijk meegelezen worden?

    Vooral betreffende apps waar je je moet aanmelden, of zelfs financiele gegevens mee doorstuurd (PayPal, PCBanking, etc)? Via mobile Safari kun je er op letten dat je een SSL (HTTPS) verbinding hebt, maar doen zulke apps dat ook?

    Niet makkelijk. MAAR: er zijn zat mensen die om bijvoorbeeld tethering op hun iphone aan te kunnen zetten een custom provider profiel installeren dat niet gesignd is door Apple of de provider. Het is een eitje om in de instellingen van zo’n profiel AL het data verkeer over een rogue proxy server te laten lopen; met als gevolg dat AL je data verkeer wordt bekeken als dat over het provider data netwerk gaat. Goed opletten dus met al die custom profiles!
    Hier meer lezen hoe dat werkt: http://www.blackhat.com/presentations/bh-europe-09/Gassira_Piccirillo/BlackHat-Europe-2009-Gassira-Piccirillo-Hijacking-Mobile-Data-Connections-whitepaper.pdf

    Het feit dat je een “slotje” of iets dergelijks ziet in een browser zegt helemaal niks over de veiligheid van de daadwerkelijke verbinding. Ook slotjes kunnen worden gespoofed als (SSL/ HTTPS) verkeer over een Man in the Middle server loopt. Zie voor meer info bijvoorbeeld de SSL attacks van Moxie Marlinspike die dit al lang bewezen heeft. (http://www.blackhat.com/presentations/bh-dc-09/Marlinspike/BlackHat-DC-09-Marlinspike-Defeating-SSL.pdf)

  29. Origineel geplaatst door Wyando
    Via mobile Safari kun je er op letten dat je een SSL (HTTPS) verbinding hebt, maar doen zulke apps dat ook?

    En dat is nu juist wat met SSLsnif gedemostreerd wordt: je browser geeft netjes een veilige verbinding aan, alleen als je het certificaat bekijkt kan je mogelijk zien dat er niets niet klopt.. Je browser zal echter geen foutmelding geven.. Overigens is dit lek al door gedicht door een aantal fabrikanten. Het werkt nog wel op sommige versies van IE.

  30. Een man-in-the-middle-aanval wil zeggen dat een derde zich opwerpt als extra schakel in de communicatie tussen twee partijen en daardoor de communicatie af kan luisteren, waardoor zelfs gebruik van SSL niet meer veilig is.
    Pfff, in het begin wordt er geroepen dat het artikel juist gemaakt is om onjuiste berichtgeving tegen te gaan. Helaas faalt men hier gigantisch in aangezien ook dit bericht bomvol onjuistheden staat en ook eigenlijk niet eens gepubliceerd zou moeten worden. Het bovenstaande stuk is naam geheel onjuist zoals op de link waar naar gelinkt wordt al te lezen is. Het gaat hierbij niet om SSL, dat is gewoon veilig. De exploit beperkt zich tot sites die ssl gebruiken omdat de exploit ‘m in de implementatie van https zit. Een en ander gaat fout aan de serverzijde vanwege de implementatie van ssl. Het gaat hierbij dus absoluut totaal NIET om ssl. Dit is van het niveau van een deur voorzien van een uitstekend slot maar ‘m nooit gebruiken. Sja, als het slot er dan niet op zit is het ook vrij makkelijk om naar binnen te komen. Het probleem is dan beslist niet het slot maar het feit dat de gebruiker ‘m niet gebruikt. Biiiiiiiiig difference ! Overigens lijkt dit probleem er groot maar is dat absoluut niet zo. De genoemde exploit kun je alleen in zeer uitzonderlijke gevallen gebruiken waardoor het al veel interessanter is om via een andere weg te werken omdat die veel eenvoudiger zijn.

    Verder is dit bericht ook meer iets wat in de tips thuis hoort. Op moment dat je met welk apparaat dan ook op welk onbekend wifi netwerk dan ook inlogt loop je altijd risico. Datzelfde geldt ook voor VPN verbindingen. In de tips staat dan ook een zeer onterechte tip over het gebruik van een VPN connectie met een of andere dienst. Ook hier geldt weer dat je met zo’n soort verbinding een risico loopt. Vergeet niet dat als jij verbinding met een ander opzet die ander al het verkeer kan afluisteren. Dat is dus echt niet iets wat beperkt is tot de devices die er staan en is ook zeker niet iets wat op te lossen is door techniek. De enige oplossing zit tussen de oren van de gebruikers, zij moeten leren dat ze niet op een netwerk moeten inloggen als ze het niet vertrouwen en dat ze beveiligde verbindingen met de server waarmee ze verbinden (bijv. de emailserver) moeten gebruiken. Alleen met dit laatste kun je je beveiligen tegen mensen die ook op dat netwerk kunnen inloggen en zo ook het verkeer kunnen afluisteren. Daarom is het gebruik van iets als FTP ook niet aan te raden, die stuurt namelijk doodleuk gebruikersnaam en wachtwoord in klare tekst over de lijn. Iemand die staat af te luisteren kan op eenvoudige wijze die gegevens buit maken.

  31. Achja,ik surf al heel lang via andermans netwerk als het past,no problem.

  32. Waar..! waar..! Ik ben al heeel lang op zoek naar een hutje op de hei met Wi-fi !!!

    @ppl; zeer waardevolle info.

  33. dan heb ik nog een vraagje over die SSH ATtACK:P
    als je SSH uitzet via SBSETTING
    is er dan ook niks aan de hand of kunnen ze dan als nog vanalles?

  34. In buitenland maak ik altijd gebruik van open wi-fi.

  35. Illegaal wifi-en voorkomen is de verantwoording voor de gene die zijn netwerk niet beveigigd, ik zie niet in waarom men niet zou mogen wifi-en als de telefoon of pc een signaal oppikt.

  36. Allereerst moet me even van het hart dat het me opviel dat bijna alle vragen die gesteld zijn onnodig waren geweest als mensen de tijd hadden genomen om het originele artikel eerst goed door te lezen. Ik lees het artikel zelf 10x door voordat ik het publiceer en word er een beetje moedeloos van als mensen dat zelf niet eerst 1x kunnen doen voordat ze hun vraag stellen. Daarom wil ik ook de gebruikers bedanken die de tijd en moeite hebben genomen om deze vragen toch van een antwoord te voorzien, dat kon ik zelf even niet meer opbrengen.

    @ppl: voordat je termen als ‘men faalt hier gigantisch’ in de mond zou nemen, zou je eerst misschien nog even een blik moeten werken op de originele tekst waar staat dat in het geval van een MITM-attack “zelfs gebruik van SSL niet meer veilig is”. Dat betekent niet dat het protocol inherent onveilig is, maar dat de beveiliging die het in theorie biedt in de praktijk in dat geval niet voldoende meer is. De VPN-tip is later (terwijl ik sliep) door Gonny toegevoegd en helpt wel maar is natuurlijk meer een pleister om het bloeden te stoppen en zeker geen oplossing van het probleem. Dat het probleem niet beperkt is tot de iPhone of tot smartphones wordt expliciet in het artikel genoemd. Omdat de aanval in casu wel specifiek op een iPhone was gericht en omdat onze lezers niet allemaal van de genoemde risico’s op de hoogte zijn, heeft het wel nieuwswaarde voor iPhoneclub.

    Daarnaast moet je begrijpen dat het niet eenvoudig is om iets wat toch redelijk technisch is goed uit te leggen zodat elke lezer op iPhoneclub.nl het in principe zou moeten kunnen snappen. Dat betekent dat het echt een kwestie is van het zoeken naar formuleringen die correct voor gevorderden maar toch leesbaar voor beginners zijn en daar dacht ik met de zinsnede gebruik van SSL in geslaagd te zijn. Voor beginners is de term SSL gelinkt naar Wikipedia, voor gevorderden de zinsnede ‘niet meer veilig is’ naar meer informatie over SSLstrip. Als je echt denkt dat je het zelf beter kunt, zien JP en Gonny vast graag je sollicitatie tegemoet.

    @schumi: je zult van een dergelijke aanval dan ook niets merken – totdat iemand aan de haal is gegaan met je persoonlijke gegevens, creditcard informatie, et cetera. Spijt komt vaak pas na de daad.

    @heyday72: als je de link in het artikel volgt bij het woord illegaal zul je zien dat de Nederlandse wetgever er toch anders over denkt. Daar kun je het mee eens zijn of niet; maar uiteindelijk maakt dat niet zo veel uit.

  37. Ik wil me hier toch ook even tegenaan bemoeien. We hebben op iPhoneclub bezoekers die een erg diverse achtergrond hebben, wat technische kennis betreft. Het lijkt me voor een auteur als Paul enorm frustrerend om tijd te steken in een artikel, waarin hij het voor iedereen begrijpelijk probeert te maken, om vervolgens om zijn oren geslagen te worden met opmerkingen als “men faalt hier gigantisch”. Dat is een opmerking die je in face-to-face contact ook niet tegen iemand zou maken.

    Ik snap dat door de anonimiteit van internet alle remmen los kunnen gaan om iemand’s werk genadeloos af te kraken, maar ik blijf dat toch onbeleefd vinden. Besef wel, dat auteurs gedemotiveerd raken door deze manier van keihard erop in hakken en volgende keer zo’n onderwerp maar liever uit de weg gaan. Daar heeft niemand baat bij.

    Je had het ook op een vriendelijke manier kunnen zeggen. Opbouwende kritiek is natuurlijk altijd welkom, daar wordt het artikel alleen maar beter van.

    Ik neem trouwens de volledige verantwoordelijkheid voor het inplakken van de VPN-tipslink. Dat was niet handig, dus ik die zal ik weer weghalen.

  38. Interssante discussie. Maar weet iemand wellicht het antwoord op mijn vraag mbt de KPN hotspots?
    Ik kan me voorstellen dat iemand zich voordoet als KPN die in werkelijkheid een MITM is. Hoe kan ik dat zien? Hoe kan ik het voorkomen? Ik weet immers niet precies op welk station KPN wel en op welke ze niet een officiële hotspot hebben. En illegaal is mijn gebruik in dit geval niet natuurlijk.

  39. De vuistregel: je kunt geen veilig gebruik maken van onveilige netwerken.

    @Kobes: iemand zou zich in principe voor kunnen doen als KPN hotspot als deze er niet eens is. Daarnaast is het mogelijk dat je verbinding maakt met een legitieme KPN hotspot waar iemand een MITM-attack op uit probeert te voeren. Je kunt dit niet op een makkelijke manier ‘zien’ en daardoor ook niet voorkomen. Je kunt er wel op beducht zijn en bijvoorbeeld geen creditcard betaling doen via een hotspot of inloggen op je e-mail. Gebruik van encryptie, VPN en SSL bieden een extra veiligheidslaag, maar zijn niet voldoende om de risico’s uit te sluiten. Persoonlijk zou ik altijd mijn 3G gebruiken in plaats van een onveilig Wi-Fi-netwerk (en het liefst nog gewoon een UTP-kabel).

  40. Paul, je haalt in je artikel 2 dingen door elkaar wat betreft SSL security, zowel in je plaatjes als in je tekst.

    Je verwijst naar SSLStrip, wat niets anders doet dan een gebruiker een valse impressie geven dat hij op een beveiligde site zit te werken terwijl dat niet zo is. Dat heeft verder niets met het SSL protocol ansich te maken. Het enige wat SSLStrip doet is kijken of er via een redirect of als de gebruiker op een beveiligde link klikt (https://…) en dan de gebruiker gewoon een onbeveiligde link teruggeven terwijl de communicatie tussen de man in het midden en de website die de gebruiker wilt opvragen wel versleuteld is.

    Wat bereik je hiermee? Dat de man in het midden het verkeer gewoon kan afluisteren, het is namelijk niet versleuteld. Door middel van trucs zoals het laten zien van een icoon van een slotje als favicon wordt de gebruiker voor de gek gehouden en het gevoel te geven dat de site veilig is.

    Dan SSLSniff (waar die mooie plaatjes over dat gmail account vandaan komen in het rapport van SMobile Systems!). SSLSniff maakt gebruik van het feit dat browsers de controle of een certificaat geldig is niet op de juiste manier uitvoeren. Het gaat hierbij om 2 controle’s:
    1. Het Basic Constraints veld in het certificaat wat aangeeft of een certificaat een CA authoriteit is (lees: het certificaat mag gebruikt worden om andere certificaten te ondertekenen)
    2. Het gebruik van een NULL karakter in de Common Name (CN) van het certificaat waardoor een naam als “www.iphoneclub.nleenanderdomein.nl” ervoor zorgt dat de browser door het NULL karakter (wat in een aantal programmeertalen het afsluitkarakter van een string is) alleen het gedeelte voor de NULL ziet als domeinnaam. De browser zal dus het certificaat goedkeuren als je iemand naar https://www.iphoneclub.nl zal gaan en dit valse certificaat aangeboden krijgt. Dit kan dus ook met zo’n beetje alles wat SSL en/of TLS gebruikt (dus ook je email account die via IMAPS of POP3S een veilige verbinding maakt).

    Dus ja: het SSL protocol is hierdoor niet echt veilig meer, maar er zijn al patches uit om dit gat te dichten. Maar de link van SSLStrip gaat over een heel ander probleem.

    Ik hoop dat hiermee het artikel wat duidelijker is geworden.

  41. Gevaarlijk of niet, ik ga me door genoemde risico’s niet laten tegenhouden Open WiFi netwerken of WiFi HotSpots te gebruiken.
    Als het een onbeveiligd netwerk van een particulier betreft en er is geen 3G beschikbaar (wat in Amsterdam veel voorkomt naar mijn idee) dan ga ik daar ook even op. Ik ben niet het type wat als angsthaas allerlei gemakken overboord zet ‘omdat het misschien niet veilig is’. Een particulier netwerkje in een straat zal doorgaans niet beheerd worden door een script-kiddy die een MITM attack uitvoert. Meestal is dat het bekende netwerk met het SSID “Sitecom” routertje die ‘plug en play’ door de gebruiker is aangesloten. 😉

  42. pfff, beetje erg technisch allemaal. Ik waardeer de uitgebreide moeite die jullie allemaal in je reacties stoppen. Maar ik denk dat de meeste gebruikers van iPhoneclub eigenlijk gewoon willen weten:

    -> Is de kans eigenlijk klein dat er iets gebeurd als je op een onbeveiligd wifi netwerk inlogd op bv vakantie, of toch vrij groot?
    -> als je het risico neemt: wat kun je dan beter wel en niet doen? (Bv wel nieuws kijken, maar geen e-mail checken etc)

  43. @G: hoe groot de kans is dat er iets gebeurt is afhankelijk van de vraag hoe groot de kans is dat iemand probeert je data te onderscheppen en zoals gezegd dus groter als je je op een drukke plaats bevindt zoals b.v. op een station of vliegveld. Verder valt daar niet veel zinnigs over te zeggen en is your guess as good as mine. Als je toch het risico neemt kun je beter niet inloggen, e-mail gebruiken, telebankieren of creditcard- of andere persoonlijke gegevens laten langskomen.

    @Marty: je hebt gelijk, ik heb SSLStrip en SSLSniff verwisseld en dus de link naar SSLStrip verwijderd uit het artikel. De link naar SSLSniff is helaas namelijk wat minder instructief.

  44. Het probleem is nog erger dan reeds beschreven is;

    Maak NOOIT gebruik van een onbeveiligd wifi netwerk op je iphone, dus ook niet als jij het netwerk echt vertrouwd! Nooit dus 😉

    Ik zal het in het kort proberen uit te leggen.
    Het probleem is dat wanneer je ooit een verbinding hebt gehad met een onbeveiligd netwerk, dit netwerk netjes wordt opgeslagen in je iphone zodat wanneer je weer in de buurt komt van het accesspoint er automatisch verbinding gemaakt wordt. Dit gebeurd d.m.v. broadcasts, je iphone broadcast of de netwerken die je iphone kent in de buurt zijn.

    Deze broadcasts kunnen gemakkelijk door iemand worden omgezet naar rogue accesspoints, dit zijn dus accesspoints die automatisch worden aangemaakt n.a.v. zo’n broadcast. Je iphone maakt nu automatisch verbinding met deze rogue accesspoint, vanaf nu zal al je data gesniffed worden (je iphone is namelijk al zo lief om gelijk je mail te controleren wanneer er een verbinding is, zeg maar dag dag tegen je wachtwoorden).

    Dit probleem geld voor (zover mij bekend) alle apparaten (telefoons/computers/laptops/etc.), echter is het probleem bij de iphone nog erger om de volgende reden. Bij alle apparaten kan je zelf de bekende netwerken weer verwijderen (niet dat iemand dat ooit doet, maar oke…), bij de iphone kan dit alleen maar op het moment dat je in de buurt bent van het netwerk. Wanneer je dus niet in de buurt bent van het netwerk, kan je ‘m niet verwijderen (hij staat nou eenmaal niet in je lijstje).

    Ik heb dit probleem ook bij Apple aangekaart, maar heb hier nooit reactie over mogen ontvangen.

    Kortom;
    Nooit verbinding maken met een onbeveiligd netwerk. Wanneer je dit wel hebt gedaan, helaas… factory reset is het antwoord.
    Ga nou ook eens op je andere apparaten na of je hier onbeveiligde netwerk profielen hebt staan, en verwijder deze.
    Denk nou niet, dat gebeurd mij toch niet. Iedereen komt nou wel eens in de buurt van grote winkelcentra / vliegvelden / wegrestaurants. En geloof me, deze aanval gebeurd op steeds grotere schaal en is zeer eenvoudig uit te voeren!

    De mensen van SMOBILE zaten waren al redelijk op weg, maar het dus nog een stukje erger. De aanvaller hoeft dus geen kennis te hebben van welke gebruiker/accesspoint/macadres dan ook. Hij hoeft alleen maar z’n software die rogue software-accesspoints kan aanmaken aan te gooien, en op een drukke locatie te gaan staan.

    Ik hoop dat het e.e.a. duidelijk is overgekomen, zo niet… hoor ik het graag.

  45. @Bram: Wow!!! Serieus?! Slecht dat Apple hier niet op reageert

Reacties zijn gesloten voor dit artikel.