18
Öffentliches WLAN und dessen Gefahren
Hallo Zusammen,
bei meiner Frage geht es um den öffentlichen WLAN, sei es im Hotel, Flughafen oder Cafes. Es wird von Sicherheitexperten dringend geraten keine Banking-App oder sonstige sensiblen Datenverkehr zu benutzen. Und das ist der Punkt, wenn ich Online-Banking benutze, dann ist die Verbindung zwischen den Client und dem Server eine End-to-End Verschlüsslung ( HTTPS, TLS 1.2 min TLS 1.3 max). Ob ich dann mit meinem Ethernet-Kabel gebunden bin oder der WLAN-Verkehr PLAINTEST ist, spielt doch keine Rolle. Die einzige Gefahr, die ich da sehe ist, dass der Hotspot kompromittiert ist, statt auf die eigentliche Bankseite zu leiten statdessen auf eine Fake Bankseite weiterleitet. ( MITM). Da ich aber kein zertifizierter IT-Sicherheitexperte bin, wollte ich gerne eure Meinung wissen. Vielleicht übersehe ich etwas, oder es mangelt an mir am Wissen.
Vielen Dank und viele Grüße
decehakan
bei meiner Frage geht es um den öffentlichen WLAN, sei es im Hotel, Flughafen oder Cafes. Es wird von Sicherheitexperten dringend geraten keine Banking-App oder sonstige sensiblen Datenverkehr zu benutzen. Und das ist der Punkt, wenn ich Online-Banking benutze, dann ist die Verbindung zwischen den Client und dem Server eine End-to-End Verschlüsslung ( HTTPS, TLS 1.2 min TLS 1.3 max). Ob ich dann mit meinem Ethernet-Kabel gebunden bin oder der WLAN-Verkehr PLAINTEST ist, spielt doch keine Rolle. Die einzige Gefahr, die ich da sehe ist, dass der Hotspot kompromittiert ist, statt auf die eigentliche Bankseite zu leiten statdessen auf eine Fake Bankseite weiterleitet. ( MITM). Da ich aber kein zertifizierter IT-Sicherheitexperte bin, wollte ich gerne eure Meinung wissen. Vielleicht übersehe ich etwas, oder es mangelt an mir am Wissen.
Vielen Dank und viele Grüße
decehakan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1620401786
Url: https://administrator.de/contentid/1620401786
Printed on: April 26, 2024 at 15:04 o'clock
18 Comments
Latest comment
Moin...
DUCK & WECH..... Sausssss.. .-)
Frank
....oder es mangelt an mir am Wissen.
ja auch DUCK & WECH..... Sausssss.. .-)
Frank
Moin,
mal so nebenbei WLAN gilt als sächlich, also das WLAN.
Und in der Überschrift öffentliches WLAN.
Was meinst du damit?
Und natürlich ist es unsicher einen öffentlichen Hotspot für was auch immer zu verwenden. Du kannst nie sicher sein wie das Ding konfiguriert ist ob da jemand mit hört oder dich sonst wohin leitet etc., eine einfache Sache, die dir Google schnell beantworten kann.
Grüße
mal so nebenbei WLAN gilt als sächlich, also das WLAN.
Und in der Überschrift öffentliches WLAN.
Was meinst du damit?
Und natürlich ist es unsicher einen öffentlichen Hotspot für was auch immer zu verwenden. Du kannst nie sicher sein wie das Ding konfiguriert ist ob da jemand mit hört oder dich sonst wohin leitet etc., eine einfache Sache, die dir Google schnell beantworten kann.
Grüße
Hallo,
Ein offenes WLAN ist nicht direkt gefährlicher als eines mit Kennwort oder Kabel.
Es kann DNS- und/oder HTTPS-Proxys geben, sowie z.b. Programme um Traffic mitzuschneiden und auszuwerten.
Ein offenes WLAN wird von unfreundlichen Personen häufig verwendet um Personen zu dessen Nutzung zu verführen.
Solange der eigene Traffic verschlüsselt ist, kann recht wenig passieren.
Viele Nutzer passen halt nicht auf oder haben Ihren Mail-Client so konfiguriert, dass ein Fallback ohne Verschlüsselung erlaubt ist.... dann ist hat "doof".
Stefan
Ein offenes WLAN ist nicht direkt gefährlicher als eines mit Kennwort oder Kabel.
Es kann DNS- und/oder HTTPS-Proxys geben, sowie z.b. Programme um Traffic mitzuschneiden und auszuwerten.
Ein offenes WLAN wird von unfreundlichen Personen häufig verwendet um Personen zu dessen Nutzung zu verführen.
Solange der eigene Traffic verschlüsselt ist, kann recht wenig passieren.
Viele Nutzer passen halt nicht auf oder haben Ihren Mail-Client so konfiguriert, dass ein Fallback ohne Verschlüsselung erlaubt ist.... dann ist hat "doof".
Stefan
Einen öffentlichen Hotspot zu benutzen ist Vertrauenssache.
Prinzipiell hast du Recht... ein Hotspot könnte ein Man In The Middle sein... und
Schlimmstenfalls sogar in der Lage sein, sich zwischen Dir und der Bank zu setzen.
Dabei würde der Hotspot-Anbieter dir eine HTTPS-Verbindung zu deiner Bank vorgaukeln, die tatsächlich bei Ihm endet und die 2te Verbindung von Ihm zur Bank aufbaut.
Deine Daten zu Ihm können somit von Ihm zur Bank manipuliert werden.
Wenn du sicherer gehen willst nutzt du VPN-Verbindungen über den öffentlichen Hotspot.
100% sicher ist das auch nicht, wie zahlreiche aufgedeckte Lücken in der Vergangenheit , z.B. bei NordVPN aufzeigen.
Ich habe eine DSL-Anschluß zu Hause, an der eine FritzBox hängt - auf dieser habe ich ein privates VPN eingerichtet.
Bei Bedarf baue ich also über den öffentlichen Hotspot ein VPN zu meiner FritzBox zu Hause auf und nutze sicherheitskritische Anwendungen darüber von meinem Smartphone...
Aber: IMMER! 100% Sicherheit gibt es nicht. Meldungen deiner Bank, etc. , da es Aktionen gab, IMMER auswerten, ob die legitim waren... !
.
Prinzipiell hast du Recht... ein Hotspot könnte ein Man In The Middle sein... und
Schlimmstenfalls sogar in der Lage sein, sich zwischen Dir und der Bank zu setzen.
Dabei würde der Hotspot-Anbieter dir eine HTTPS-Verbindung zu deiner Bank vorgaukeln, die tatsächlich bei Ihm endet und die 2te Verbindung von Ihm zur Bank aufbaut.
Deine Daten zu Ihm können somit von Ihm zur Bank manipuliert werden.
Wenn du sicherer gehen willst nutzt du VPN-Verbindungen über den öffentlichen Hotspot.
100% sicher ist das auch nicht, wie zahlreiche aufgedeckte Lücken in der Vergangenheit , z.B. bei NordVPN aufzeigen.
Ich habe eine DSL-Anschluß zu Hause, an der eine FritzBox hängt - auf dieser habe ich ein privates VPN eingerichtet.
Bei Bedarf baue ich also über den öffentlichen Hotspot ein VPN zu meiner FritzBox zu Hause auf und nutze sicherheitskritische Anwendungen darüber von meinem Smartphone...
Aber: IMMER! 100% Sicherheit gibt es nicht. Meldungen deiner Bank, etc. , da es Aktionen gab, IMMER auswerten, ob die legitim waren... !
.
2
Zitat von @MirkoKR:
Einen öffentlichen Hotspot zu benutzen ist Vertrauenssache.
Prinzipiell hast du Recht... ein Hotspot könnte ein Man In The Middle sein... und
Schlimmstenfalls sogar in der Lage sein, sich zwischen Dir und der Bank zu setzen.
Einen öffentlichen Hotspot zu benutzen ist Vertrauenssache.
Prinzipiell hast du Recht... ein Hotspot könnte ein Man In The Middle sein... und
Schlimmstenfalls sogar in der Lage sein, sich zwischen Dir und der Bank zu setzen.
Das kann aber nur passieren, wenn man selber nachlässig ist und die Bankzertifikate nicht überprüft.
Dabei würde der Hotspot-Anbieter dir eine HTTPS-Verbindung zu deiner Bank vorgaukeln, die tatsächlich bei Ihm endet und die 2te Verbindung von Ihm zur Bank aufbaut.
Genau deswegen muß man die Zertifikate überprüfen. Die sind genau dafür da, daß sich keiner dazwicshen setzen kann.
Deine Daten zu Ihm können somit von Ihm zur Bank manipuliert werden.
Nur dann, wenn man nicht sorgfältig arbeitet.
Wenn du sicherer gehen willst nutzt du VPN-Verbindungen über den öffentlichen Hotspot.
100% sicher ist das auch nicht, wie zahlreiche aufgedeckte Lücken in der Vergangenheit , z.B. bei NordVPN aufzeigen.
Das ist Quatsch. Man nutzt keine VPN-Anbieter. Das verlagert nur den Angriffspunkt von Hotspot zum VPN-Anbieter. Als Nutzer hast Du dadurch überhaupt nichts gewonnen.
Wenn schon VPN, dann macht man das zu sich selbst "nach Hause" oder zu seinem eigenen Root-Server. Alles andere ist Unsinn.
Ich habe eine DSL-Anschluß zu Hause, an der eine FritzBox hängt - auf dieser habe ich ein privates VPN eingerichtet.
brav.
Bei Bedarf baue ich also über den öffentlichen Hotspot ein VPN zu meiner FritzBox zu Hause auf und nutze sicherheitskritische Anwendungen darüber von meinem Smartphone...
Genau das ist die richtige Vorgehensweise.
Aber: IMMER! 100% Sicherheit gibt es nicht. Meldungen deiner Bank, etc. , da es Aktionen gab, IMMER auswerten, ob die legitim waren... !
Insbesonder Zertifikate prüfen, ob man auf dem richtigen Server gelandet ist. Notfalls bei der Bank anrufen und sich den Hash durchgeben lassen (auch wenn manche Bankmitarbeiter damit überfordert sind).
lks
Zitat von @sabines:
Moin,
mal so nebenbei WLAN gilt als sächlich, also das WLAN.
Und in der Überschrift öffentliches WLAN.
Was meinst du damit?
Moin,
mal so nebenbei WLAN gilt als sächlich, also das WLAN.
Und in der Überschrift öffentliches WLAN.
Was meinst du damit?
Er meint Plaintext, wobei mir nicht ganz klar ist, ob das ein Tippfehler oder ein Verständnisfehler ist, wobei ich letzteres vermute. Denn über ein ein öffentliches WLAN benutzt man immer SSL/TLS oder VPN. Und da geht dann nichts per Plaintext drüber.
lks
Zitat von @Lochkartenstanzer:
Genau deswegen muß man die Zertifikate überprüfen. Die sind genau dafür da, daß sich keiner dazwicshen setzen kann.
Und welcher Endanwender tut das? Oder weiß überhaupt was dieses komische Schloss bedeutet?Zitat von @MirkoKR:
Das kann aber nur passieren, wenn man selber nachlässig ist und die Bankzertifikate nicht überprüft.Genau deswegen muß man die Zertifikate überprüfen. Die sind genau dafür da, daß sich keiner dazwicshen setzen kann.
Ne, da muss man sich ja mit beschäftigen. Das 5 Jahre alte Smartphone von China Technologie wird das schon richten. Außerdem bin ich Kunde bei XYVPN und hab ein Abo von AntivirSchnubbel.....
Wenn Alle das wüssten wäre es ja kein Problem oder?
Zitat von @StefanKittel:
Ne, da muss man sich ja mit beschäftigen. Das 5 Jahre alte Smartphone von China Technologie wird das schon richten. Außerdem bin ich Kunde bei XYVPN und hab ein Abo von AntivirSchnubbel.....
Wenn Alle das wüssten wäre es ja kein Problem oder?
Zitat von @Lochkartenstanzer:
Genau deswegen muß man die Zertifikate überprüfen. Die sind genau dafür da, daß sich keiner dazwicshen setzen kann.
Und welcher Endanwender tut das? Oder weiß überhaupt was dieses komische Schloss bedeutet?Zitat von @MirkoKR:
Das kann aber nur passieren, wenn man selber nachlässig ist und die Bankzertifikate nicht überprüft.Genau deswegen muß man die Zertifikate überprüfen. Die sind genau dafür da, daß sich keiner dazwicshen setzen kann.
Ne, da muss man sich ja mit beschäftigen. Das 5 Jahre alte Smartphone von China Technologie wird das schon richten. Außerdem bin ich Kunde bei XYVPN und hab ein Abo von AntivirSchnubbel.....
Wenn Alle das wüssten wäre es ja kein Problem oder?
Aber mit zyx-VPN wird es ja nicht besser. ich sehe da keinen wesentlichen Unterschied, ob man das über eine VPN-Anbieter macht oder direkt über den WLAN-Hotspot. Der Angriffsvektor ist derselbe.
Aber das ist ja das gleiche mit Türschlössern. Man hat ein Zylinderschloß dran und gut ist. Daß man aber die meisten Schlösser innerhalb von 10 Sekunden aufbekommt, will keiner wissen.
lks
Zitat von @Lochkartenstanzer:
Aber mit zyx-VPN wird es ja nicht besser. ich sehe da keinen wesentlichen Unterschied, ob man das über eine VPN-Anbieter macht oder direkt über den WLAN-Hotspot. Der Angriffsvektor ist derselbe.
Das sehe ich genauso. Einziger Unterschied ist, dass man die dafür auch noch bezahlt...Aber mit zyx-VPN wird es ja nicht besser. ich sehe da keinen wesentlichen Unterschied, ob man das über eine VPN-Anbieter macht oder direkt über den WLAN-Hotspot. Der Angriffsvektor ist derselbe.
Es muss ja nur gut klingen. Genau wie "Security-Suite" oder "Personal Firewall", etc.
Stand ja auch nicht in der ursprünglichen Anfrage.
In einem Netzwerk muss immer von einem MITM ausgegangen werden.
TLS ist keine Ende-zu-Ende-Verschlüsselung, sondern eine Transportverschlüsselung.
Kommt darauf an, wie viel Mühe sich die Entwickler der Banking-App gegeben haben. Wurde die Banking-App sicher programmiert, kann man problemlos in öffentlichen WLANs E-Banking betreiben. Das ist allerdings schwer zu wissen, denn die meisten Banken veröffentlichen den Quellcode ihrer E-Banking-App nicht.
Eine zweite Option wäre E-Banking über einen Webbrowser zu betreiben. Wenn dein Webbrowser die Seite als "sicher" markiert (meistens mit einem Schloss) und du sicherstellen kannst, dass die URL 1:1 der originalen entspricht, sehe ich soweit kein Problem E-Banking auch in einem öffentlichen WLAN zu betreiben.
Das mit dem falschen Umleiten auf eine Fake-Bank ist möglich, würde jedoch durch einen Zertifikatsfehler im Webbrowser auffallen. Deswegen sollte man die Warnungen nicht einfach wegklicken, sondern lesen.
Der WAP ("Hotspot") kann noch so kompromittiert und schadsoftware-verseucht sein. Das ist völlig irrelevant, solange der Webbrowser die Website als "sicher" markiert, dabei die Domain 1:1 der originalen entspricht und das Endgerät nicht selbst kompromittiert ist.
Alle anderen Angriffe (bspw. durch eine Fehlkonfiguration des Servers, usw.), wären auch zu Hause passiert.
Der einzige Unterschied zwischen dem WLAN zu Hause und einem öffentlichen WLAN: Der Angreifer kennt das WPA2/WPA3-Passwort deines WAPs nicht und kann somit keine Daten mitlesen oder manipulieren. Den selben Effekt hat ein einfaches Netzwerkkabel.
Fazit:
Das Risiko ist bei öffentlichen WLANs tatsächlich erhöht, bleibt aber überschaubar.
Immer schön das Betriebssystem, den Webbrowser und Apps durch Aktualisierungen auf dem neusten Stand halten, keinen Müll installieren, den man nicht braucht. Software/Features, welche man nicht verwendet, deinstallieren/deaktivieren.
TLS ist keine Ende-zu-Ende-Verschlüsselung, sondern eine Transportverschlüsselung.
Kommt darauf an, wie viel Mühe sich die Entwickler der Banking-App gegeben haben. Wurde die Banking-App sicher programmiert, kann man problemlos in öffentlichen WLANs E-Banking betreiben. Das ist allerdings schwer zu wissen, denn die meisten Banken veröffentlichen den Quellcode ihrer E-Banking-App nicht.
Eine zweite Option wäre E-Banking über einen Webbrowser zu betreiben. Wenn dein Webbrowser die Seite als "sicher" markiert (meistens mit einem Schloss) und du sicherstellen kannst, dass die URL 1:1 der originalen entspricht, sehe ich soweit kein Problem E-Banking auch in einem öffentlichen WLAN zu betreiben.
Das mit dem falschen Umleiten auf eine Fake-Bank ist möglich, würde jedoch durch einen Zertifikatsfehler im Webbrowser auffallen. Deswegen sollte man die Warnungen nicht einfach wegklicken, sondern lesen.
Der WAP ("Hotspot") kann noch so kompromittiert und schadsoftware-verseucht sein. Das ist völlig irrelevant, solange der Webbrowser die Website als "sicher" markiert, dabei die Domain 1:1 der originalen entspricht und das Endgerät nicht selbst kompromittiert ist.
Alle anderen Angriffe (bspw. durch eine Fehlkonfiguration des Servers, usw.), wären auch zu Hause passiert.
Der einzige Unterschied zwischen dem WLAN zu Hause und einem öffentlichen WLAN: Der Angreifer kennt das WPA2/WPA3-Passwort deines WAPs nicht und kann somit keine Daten mitlesen oder manipulieren. Den selben Effekt hat ein einfaches Netzwerkkabel.
Fazit:
Das Risiko ist bei öffentlichen WLANs tatsächlich erhöht, bleibt aber überschaubar.
Immer schön das Betriebssystem, den Webbrowser und Apps durch Aktualisierungen auf dem neusten Stand halten, keinen Müll installieren, den man nicht braucht. Software/Features, welche man nicht verwendet, deinstallieren/deaktivieren.
1
Also habe ich doch nicht übersehen.
Also kommt doch nur MITM in Frage.
Vielen Dank für eure Ansicht und Bestätigung.
Also kommt doch nur MITM in Frage.
Vielen Dank für eure Ansicht und Bestätigung.
Gibt aber auch sicher genug WLANs von kleineren Hotels / Campingplätzen etc. wo alle im selben Netz sich gegenseitig sehen können, inkl. der Besitzer. Da steht halt irgendein Router und jeder bekommt das Passwort. Sowas wäre natürlich auch ein Angriffspunkt, sollte man da auf verseuchte Geräte treffen und man nicht gerade den letzten Patch drauf hat.
Vielleicht bin ich da paranoid aber ich habe da absolut kein Vertrauen - logge mich nicht mal bei halbwegs bekannten ein, ich glaube, ich habe einfach schon zu viel gesehen.
Ich höre ja oft genug "Ein Bier und das WLAN-PW bitte", wenn ich nach Kundeneinsätzen auswärts in der Kneipe hocke. Will gar nicht wissen, was man da so vorfinden würde.
Viele Grüße
Trommel
Vielleicht bin ich da paranoid aber ich habe da absolut kein Vertrauen - logge mich nicht mal bei halbwegs bekannten ein, ich glaube, ich habe einfach schon zu viel gesehen.
Ich höre ja oft genug "Ein Bier und das WLAN-PW bitte", wenn ich nach Kundeneinsätzen auswärts in der Kneipe hocke. Will gar nicht wissen, was man da so vorfinden würde.
Viele Grüße
Trommel
...mir fällt nur transparent proxy und alles was man damit machen kann, ein x)
Im Zusammenhang mit dieser Diskussion mal eine Frage an die Community:
Wenn ich von einem öffentlichen Hotspot - evtl. auch per VPN - eine RDP-Verbindung zu meinem im Büro oder daheim laufenden "Arbeits"-Rechnr aufbaue: sehr Ihr dann hier Angriffspunkte, die sicherheitsrelevant sind?
VG George
Wenn ich von einem öffentlichen Hotspot - evtl. auch per VPN - eine RDP-Verbindung zu meinem im Büro oder daheim laufenden "Arbeits"-Rechnr aufbaue: sehr Ihr dann hier Angriffspunkte, die sicherheitsrelevant sind?
VG George
Die RDP-Verbindung selbst ist dann sicher save, nur die ausgehandelten login-Daten könnten ohne vorherigen VPN auslesbar sein.
Übrigens stelle ich mir ein MITM bei VPN schwierig vor. Wenn das angezeigte Schloss im Browser wirklich zur richtigen Webseite (Zertifikat) passt, bin ich gespannt, wie da dann noch jemand in den VPN-Stream dazwischen kommen will.
BTW: Wer hat denn heute so wenig mobil-Kontingent, dass er die wirklich wichtigen Sachen nicht auch mal per Mobilfunk machen könnte? Da ist ein Datenklau extrem unwahrscheinlich.
Übrigens stelle ich mir ein MITM bei VPN schwierig vor. Wenn das angezeigte Schloss im Browser wirklich zur richtigen Webseite (Zertifikat) passt, bin ich gespannt, wie da dann noch jemand in den VPN-Stream dazwischen kommen will.
BTW: Wer hat denn heute so wenig mobil-Kontingent, dass er die wirklich wichtigen Sachen nicht auch mal per Mobilfunk machen könnte? Da ist ein Datenklau extrem unwahrscheinlich.
Zitat von @george44:
Wenn ich von einem öffentlichen Hotspot - evtl. auch per VPN - eine RDP-Verbindung zu meinem im Büro oder daheim laufenden "Arbeits"-Rechnr aufbaue: sehr Ihr dann hier Angriffspunkte, die sicherheitsrelevant sind?
Wenn ich von einem öffentlichen Hotspot - evtl. auch per VPN - eine RDP-Verbindung zu meinem im Büro oder daheim laufenden "Arbeits"-Rechnr aufbaue: sehr Ihr dann hier Angriffspunkte, die sicherheitsrelevant sind?
Der RDP-Client zeigt bei einer unbekannten RDP-Gegenstelle Informationen dazu an.
Diese sollte man, genau wie Zertfikate im Browser, prüfen bevor man etwas eingibt.
Es könnte ein RDP-Password-Grabber sein der sich als PC ausgibt.
Die Eingabe der Zugangsdaten ist aber schon verschlüsselt.
RDP ohne VPN ist aber sehr empfindlich gegenüber Brute-Forece- oder Sicherheitslücken-Angriffen.
Es gibt leider recht Häufig Accounts wie "scan" mit dem Kennwort "scan".
Also: Kein RDP direkt per Portweiterleitung verwenden. Ein geänderter Port rettet Dich hier auch nicht.
Stefan
Zitat von @-WeBu-:
Übrigens stelle ich mir ein MITM bei VPN schwierig vor. Wenn das angezeigte Schloss im Browser wirklich zur richtigen Webseite (Zertifikat) passt, bin ich gespannt, wie da dann noch jemand in den VPN-Stream dazwischen kommen will.
Übrigens stelle ich mir ein MITM bei VPN schwierig vor. Wenn das angezeigte Schloss im Browser wirklich zur richtigen Webseite (Zertifikat) passt, bin ich gespannt, wie da dann noch jemand in den VPN-Stream dazwischen kommen will.
Geht ganz einfach: Manche Hersteller von Sicherheitsprodukten, bieten die Möglichkeit, SSL/TLS "aufzubrechen", damit die Firma denn SSL-Traffic in Ihrer Firewall nach Malware durchsuchen kann. besonders Symantec ist dafür bekannt geworden.
Da wird quasi "on-the- fly" ein gültiges Zertifikat für das Zielsystem erzeugt, daß der Brwoser dann auch "frißt", ohne zu meckern.
Damit kann man durchaus MITM spielen.
lks
PS: Die Browser-Hersteller haben das schon einiges getan, aber sowohl Dreibuchstabendienste als auch pöhse Purschen haben da passende Tools, insbesondere weil es immer noch "vertrauenswürdige" CAs gibt, die nachlässig arbeiten oder den o.g. Gruppen zuspielen.
Anfängerfehler! Dem Account "Scanner" gibt man das Passwort "Printer" und dem Account "Printer" das Passwort "Scanner". Dann ist alles wieder in Butter.
lks