decehakan
Goto Top

Öffentliches WLAN und dessen Gefahren

article-picture
Hallo Zusammen,

bei meiner Frage geht es um den öffentlichen WLAN, sei es im Hotel, Flughafen oder Cafes. Es wird von Sicherheitexperten dringend geraten keine Banking-App oder sonstige sensiblen Datenverkehr zu benutzen. Und das ist der Punkt, wenn ich Online-Banking benutze, dann ist die Verbindung zwischen den Client und dem Server eine End-to-End Verschlüsslung ( HTTPS, TLS 1.2 min TLS 1.3 max). Ob ich dann mit meinem Ethernet-Kabel gebunden bin oder der WLAN-Verkehr PLAINTEST ist, spielt doch keine Rolle. Die einzige Gefahr, die ich da sehe ist, dass der Hotspot kompromittiert ist, statt auf die eigentliche Bankseite zu leiten statdessen auf eine Fake Bankseite weiterleitet. ( MITM). Da ich aber kein zertifizierter IT-Sicherheitexperte bin, wollte ich gerne eure Meinung wissen. Vielleicht übersehe ich etwas, oder es mangelt an mir am Wissen.

Vielen Dank und viele Grüße

decehakan

Content-ID: 1620401786

Url: https://administrator.de/contentid/1620401786

Ausgedruckt am: 24.11.2024 um 14:11 Uhr

Vision2015
Vision2015 14.12.2021 um 20:53:04 Uhr
Goto Top
Moin...

....oder es mangelt an mir am Wissen.
ja auch face-smile

DUCK & WECH..... Sausssss.. .-)

Frank
sabines
sabines 14.12.2021 aktualisiert um 21:03:11 Uhr
Goto Top
Moin,

mal so nebenbei WLAN gilt als sächlich, also das WLAN.
Und in der Überschrift öffentliches WLAN.

Zitat von @decehakan:

dann PLAINTEST ist,


Was meinst du damit?
Und natürlich ist es unsicher einen öffentlichen Hotspot für was auch immer zu verwenden. Du kannst nie sicher sein wie das Ding konfiguriert ist ob da jemand mit hört oder dich sonst wohin leitet etc., eine einfache Sache, die dir Google schnell beantworten kann.

Grüße
StefanKittel
Lösung StefanKittel 14.12.2021 um 22:51:22 Uhr
Goto Top
Hallo,

Ein offenes WLAN ist nicht direkt gefährlicher als eines mit Kennwort oder Kabel.
Es kann DNS- und/oder HTTPS-Proxys geben, sowie z.b. Programme um Traffic mitzuschneiden und auszuwerten.

Ein offenes WLAN wird von unfreundlichen Personen häufig verwendet um Personen zu dessen Nutzung zu verführen.

Solange der eigene Traffic verschlüsselt ist, kann recht wenig passieren.
Viele Nutzer passen halt nicht auf oder haben Ihren Mail-Client so konfiguriert, dass ein Fallback ohne Verschlüsselung erlaubt ist.... dann ist hat "doof".

Stefan
MirkoKR
Lösung MirkoKR 14.12.2021 um 22:51:33 Uhr
Goto Top
Einen öffentlichen Hotspot zu benutzen ist Vertrauenssache.
Prinzipiell hast du Recht... ein Hotspot könnte ein Man In The Middle sein... und

Schlimmstenfalls sogar in der Lage sein, sich zwischen Dir und der Bank zu setzen.

Dabei würde der Hotspot-Anbieter dir eine HTTPS-Verbindung zu deiner Bank vorgaukeln, die tatsächlich bei Ihm endet und die 2te Verbindung von Ihm zur Bank aufbaut.
Deine Daten zu Ihm können somit von Ihm zur Bank manipuliert werden.

Wenn du sicherer gehen willst nutzt du VPN-Verbindungen über den öffentlichen Hotspot.
100% sicher ist das auch nicht, wie zahlreiche aufgedeckte Lücken in der Vergangenheit , z.B. bei NordVPN aufzeigen.

Ich habe eine DSL-Anschluß zu Hause, an der eine FritzBox hängt - auf dieser habe ich ein privates VPN eingerichtet.
Bei Bedarf baue ich also über den öffentlichen Hotspot ein VPN zu meiner FritzBox zu Hause auf und nutze sicherheitskritische Anwendungen darüber von meinem Smartphone...

Aber: IMMER! 100% Sicherheit gibt es nicht. Meldungen deiner Bank, etc. , da es Aktionen gab, IMMER auswerten, ob die legitim waren... !

.
Lochkartenstanzer
Lösung Lochkartenstanzer 14.12.2021 aktualisiert um 23:05:51 Uhr
Goto Top
Zitat von @MirkoKR:

Einen öffentlichen Hotspot zu benutzen ist Vertrauenssache.
Prinzipiell hast du Recht... ein Hotspot könnte ein Man In The Middle sein... und

Schlimmstenfalls sogar in der Lage sein, sich zwischen Dir und der Bank zu setzen.

Das kann aber nur passieren, wenn man selber nachlässig ist und die Bankzertifikate nicht überprüft.


Dabei würde der Hotspot-Anbieter dir eine HTTPS-Verbindung zu deiner Bank vorgaukeln, die tatsächlich bei Ihm endet und die 2te Verbindung von Ihm zur Bank aufbaut.

Genau deswegen muß man die Zertifikate überprüfen. Die sind genau dafür da, daß sich keiner dazwicshen setzen kann.

Deine Daten zu Ihm können somit von Ihm zur Bank manipuliert werden.

Nur dann, wenn man nicht sorgfältig arbeitet.


Wenn du sicherer gehen willst nutzt du VPN-Verbindungen über den öffentlichen Hotspot.
100% sicher ist das auch nicht, wie zahlreiche aufgedeckte Lücken in der Vergangenheit , z.B. bei NordVPN aufzeigen.

Das ist Quatsch. Man nutzt keine VPN-Anbieter. Das verlagert nur den Angriffspunkt von Hotspot zum VPN-Anbieter. Als Nutzer hast Du dadurch überhaupt nichts gewonnen.

Wenn schon VPN, dann macht man das zu sich selbst "nach Hause" oder zu seinem eigenen Root-Server. Alles andere ist Unsinn.


Ich habe eine DSL-Anschluß zu Hause, an der eine FritzBox hängt - auf dieser habe ich ein privates VPN eingerichtet.

brav.

Bei Bedarf baue ich also über den öffentlichen Hotspot ein VPN zu meiner FritzBox zu Hause auf und nutze sicherheitskritische Anwendungen darüber von meinem Smartphone...

Genau das ist die richtige Vorgehensweise.

Aber: IMMER! 100% Sicherheit gibt es nicht. Meldungen deiner Bank, etc. , da es Aktionen gab, IMMER auswerten, ob die legitim waren... !

Insbesonder Zertifikate prüfen, ob man auf dem richtigen Server gelandet ist. Notfalls bei der Bank anrufen und sich den Hash durchgeben lassen (auch wenn manche Bankmitarbeiter damit überfordert sind).


lks
Lochkartenstanzer
Lochkartenstanzer 14.12.2021 aktualisiert um 23:08:10 Uhr
Goto Top
Zitat von @sabines:

Moin,

mal so nebenbei WLAN gilt als sächlich, also das WLAN.
Und in der Überschrift öffentliches WLAN.

Zitat von @decehakan:

dann PLAINTEST ist,


Was meinst du damit?

Er meint Plaintext, wobei mir nicht ganz klar ist, ob das ein Tippfehler oder ein Verständnisfehler ist, wobei ich letzteres vermute. Denn über ein ein öffentliches WLAN benutzt man immer SSL/TLS oder VPN. Und da geht dann nichts per Plaintext drüber.

lks
StefanKittel
StefanKittel 14.12.2021 um 23:11:29 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Zitat von @MirkoKR:
Das kann aber nur passieren, wenn man selber nachlässig ist und die Bankzertifikate nicht überprüft.
Genau deswegen muß man die Zertifikate überprüfen. Die sind genau dafür da, daß sich keiner dazwicshen setzen kann.
Und welcher Endanwender tut das? Oder weiß überhaupt was dieses komische Schloss bedeutet?
Ne, da muss man sich ja mit beschäftigen. Das 5 Jahre alte Smartphone von China Technologie wird das schon richten. Außerdem bin ich Kunde bei XYVPN und hab ein Abo von AntivirSchnubbel.....

Wenn Alle das wüssten wäre es ja kein Problem oder?
Lochkartenstanzer
Lochkartenstanzer 14.12.2021 aktualisiert um 23:19:47 Uhr
Goto Top
Zitat von @StefanKittel:

Zitat von @Lochkartenstanzer:
Zitat von @MirkoKR:
Das kann aber nur passieren, wenn man selber nachlässig ist und die Bankzertifikate nicht überprüft.
Genau deswegen muß man die Zertifikate überprüfen. Die sind genau dafür da, daß sich keiner dazwicshen setzen kann.
Und welcher Endanwender tut das? Oder weiß überhaupt was dieses komische Schloss bedeutet?
Ne, da muss man sich ja mit beschäftigen. Das 5 Jahre alte Smartphone von China Technologie wird das schon richten. Außerdem bin ich Kunde bei XYVPN und hab ein Abo von AntivirSchnubbel.....

Wenn Alle das wüssten wäre es ja kein Problem oder?

Aber mit zyx-VPN wird es ja nicht besser. ich sehe da keinen wesentlichen Unterschied, ob man das über eine VPN-Anbieter macht oder direkt über den WLAN-Hotspot. Der Angriffsvektor ist derselbe.

Aber das ist ja das gleiche mit Türschlössern. Man hat ein Zylinderschloß dran und gut ist. Daß man aber die meisten Schlösser innerhalb von 10 Sekunden aufbekommt, will keiner wissen.


lks
StefanKittel
StefanKittel 14.12.2021 um 23:21:10 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Aber mit zyx-VPN wird es ja nicht besser. ich sehe da keinen wesentlichen Unterschied, ob man das über eine VPN-Anbieter macht oder direkt über den WLAN-Hotspot. Der Angriffsvektor ist derselbe.
Das sehe ich genauso. Einziger Unterschied ist, dass man die dafür auch noch bezahlt...
Es muss ja nur gut klingen. Genau wie "Security-Suite" oder "Personal Firewall", etc.

Stand ja auch nicht in der ursprünglichen Anfrage.
EliteHacker
EliteHacker 15.12.2021 aktualisiert um 03:27:31 Uhr
Goto Top
In einem Netzwerk muss immer von einem MITM ausgegangen werden.

TLS ist keine Ende-zu-Ende-Verschlüsselung, sondern eine Transportverschlüsselung.

Kommt darauf an, wie viel Mühe sich die Entwickler der Banking-App gegeben haben. Wurde die Banking-App sicher programmiert, kann man problemlos in öffentlichen WLANs E-Banking betreiben. Das ist allerdings schwer zu wissen, denn die meisten Banken veröffentlichen den Quellcode ihrer E-Banking-App nicht.

Eine zweite Option wäre E-Banking über einen Webbrowser zu betreiben. Wenn dein Webbrowser die Seite als "sicher" markiert (meistens mit einem Schloss) und du sicherstellen kannst, dass die URL 1:1 der originalen entspricht, sehe ich soweit kein Problem E-Banking auch in einem öffentlichen WLAN zu betreiben.

Das mit dem falschen Umleiten auf eine Fake-Bank ist möglich, würde jedoch durch einen Zertifikatsfehler im Webbrowser auffallen. Deswegen sollte man die Warnungen nicht einfach wegklicken, sondern lesen.

Der WAP ("Hotspot") kann noch so kompromittiert und schadsoftware-verseucht sein. Das ist völlig irrelevant, solange der Webbrowser die Website als "sicher" markiert, dabei die Domain 1:1 der originalen entspricht und das Endgerät nicht selbst kompromittiert ist.

Alle anderen Angriffe (bspw. durch eine Fehlkonfiguration des Servers, usw.), wären auch zu Hause passiert.

Der einzige Unterschied zwischen dem WLAN zu Hause und einem öffentlichen WLAN: Der Angreifer kennt das WPA2/WPA3-Passwort deines WAPs nicht und kann somit keine Daten mitlesen oder manipulieren. Den selben Effekt hat ein einfaches Netzwerkkabel.

Fazit:

Das Risiko ist bei öffentlichen WLANs tatsächlich erhöht, bleibt aber überschaubar.

Immer schön das Betriebssystem, den Webbrowser und Apps durch Aktualisierungen auf dem neusten Stand halten, keinen Müll installieren, den man nicht braucht. Software/Features, welche man nicht verwendet, deinstallieren/deaktivieren.
decehakan
decehakan 15.12.2021 um 07:14:02 Uhr
Goto Top
Also habe ich doch nicht übersehen.
Also kommt doch nur MITM in Frage.
Vielen Dank für eure Ansicht und Bestätigung.
Trommel
Trommel 15.12.2021 aktualisiert um 14:37:01 Uhr
Goto Top
Gibt aber auch sicher genug WLANs von kleineren Hotels / Campingplätzen etc. wo alle im selben Netz sich gegenseitig sehen können, inkl. der Besitzer. Da steht halt irgendein Router und jeder bekommt das Passwort. Sowas wäre natürlich auch ein Angriffspunkt, sollte man da auf verseuchte Geräte treffen und man nicht gerade den letzten Patch drauf hat.

Vielleicht bin ich da paranoid aber ich habe da absolut kein Vertrauen - logge mich nicht mal bei halbwegs bekannten ein, ich glaube, ich habe einfach schon zu viel gesehen. face-big-smile

Ich höre ja oft genug "Ein Bier und das WLAN-PW bitte", wenn ich nach Kundeneinsätzen auswärts in der Kneipe hocke. Will gar nicht wissen, was man da so vorfinden würde.

Viele Grüße
Trommel
schautnurzu
schautnurzu 17.12.2021 um 00:32:59 Uhr
Goto Top
...mir fällt nur transparent proxy und alles was man damit machen kann, ein x)
george44
george44 20.12.2021 um 10:47:09 Uhr
Goto Top
Im Zusammenhang mit dieser Diskussion mal eine Frage an die Community:

Wenn ich von einem öffentlichen Hotspot - evtl. auch per VPN - eine RDP-Verbindung zu meinem im Büro oder daheim laufenden "Arbeits"-Rechnr aufbaue: sehr Ihr dann hier Angriffspunkte, die sicherheitsrelevant sind?

VG George
-WeBu-
-WeBu- 20.12.2021 um 11:17:49 Uhr
Goto Top
Die RDP-Verbindung selbst ist dann sicher save, nur die ausgehandelten login-Daten könnten ohne vorherigen VPN auslesbar sein.

Übrigens stelle ich mir ein MITM bei VPN schwierig vor. Wenn das angezeigte Schloss im Browser wirklich zur richtigen Webseite (Zertifikat) passt, bin ich gespannt, wie da dann noch jemand in den VPN-Stream dazwischen kommen will.

BTW: Wer hat denn heute so wenig mobil-Kontingent, dass er die wirklich wichtigen Sachen nicht auch mal per Mobilfunk machen könnte? Da ist ein Datenklau extrem unwahrscheinlich.
StefanKittel
StefanKittel 20.12.2021 aktualisiert um 11:22:24 Uhr
Goto Top
Zitat von @george44:
Wenn ich von einem öffentlichen Hotspot - evtl. auch per VPN - eine RDP-Verbindung zu meinem im Büro oder daheim laufenden "Arbeits"-Rechnr aufbaue: sehr Ihr dann hier Angriffspunkte, die sicherheitsrelevant sind?

Der RDP-Client zeigt bei einer unbekannten RDP-Gegenstelle Informationen dazu an.
Diese sollte man, genau wie Zertfikate im Browser, prüfen bevor man etwas eingibt.

Es könnte ein RDP-Password-Grabber sein der sich als PC ausgibt.

Die Eingabe der Zugangsdaten ist aber schon verschlüsselt.

RDP ohne VPN ist aber sehr empfindlich gegenüber Brute-Forece- oder Sicherheitslücken-Angriffen.
Es gibt leider recht Häufig Accounts wie "scan" mit dem Kennwort "scan".
Also: Kein RDP direkt per Portweiterleitung verwenden. Ein geänderter Port rettet Dich hier auch nicht.

Stefan
Lochkartenstanzer
Lochkartenstanzer 20.12.2021 um 11:26:05 Uhr
Goto Top
Zitat von @-WeBu-:

Übrigens stelle ich mir ein MITM bei VPN schwierig vor. Wenn das angezeigte Schloss im Browser wirklich zur richtigen Webseite (Zertifikat) passt, bin ich gespannt, wie da dann noch jemand in den VPN-Stream dazwischen kommen will.

Geht ganz einfach: Manche Hersteller von Sicherheitsprodukten, bieten die Möglichkeit, SSL/TLS "aufzubrechen", damit die Firma denn SSL-Traffic in Ihrer Firewall nach Malware durchsuchen kann. besonders Symantec ist dafür bekannt geworden.

Da wird quasi "on-the- fly" ein gültiges Zertifikat für das Zielsystem erzeugt, daß der Brwoser dann auch "frißt", ohne zu meckern.

Damit kann man durchaus MITM spielen.

lks

PS: Die Browser-Hersteller haben das schon einiges getan, aber sowohl Dreibuchstabendienste als auch pöhse Purschen haben da passende Tools, insbesondere weil es immer noch "vertrauenswürdige" CAs gibt, die nachlässig arbeiten oder den o.g. Gruppen zuspielen.
Lochkartenstanzer
Lochkartenstanzer 20.12.2021 um 11:28:04 Uhr
Goto Top
Zitat von @StefanKittel:

Es gibt leider recht Häufig Accounts wie "scan" mit dem Kennwort "scan".

Anfängerfehler! Dem Account "Scanner" gibt man das Passwort "Printer" und dem Account "Printer" das Passwort "Scanner". Dann ist alles wieder in Butter. face-smile

lks