Ευαίσθητα δεδομένα και πληροφορίες δεν πρέπει να διακινούνται μέσω ελευθέρων δημοσίων Wi-Fi hotspots προειδοποιεί ο επικεφαλής του τμήματος κυβερνοασφαλείας της Europol, Troels Oerting, λέγοντας πως αυτά 136210πρέπει να στέλνονται μόνο μέ χρήση έμπιστων δικτύων.

Η προειδοποίηση έρχεται μετά την αύξηση των επιθέσεων με χρήση δημοσίων Wi-Fi δικτύων και την βοήθεια που έχει κληθεί να προσφέρει η Europol στις χώρες που είναι αντιμέτωπες με τέτοιες επιθέσεις.

Οι επιθέσεις δεν γίνονται με πρωτοποριακές τεχνικές αλλά χρησιμοποιούνται ήδη γνωστοί τρόποι υποκλοπής δεδομένων μέσω wifi σαν το "Man in the middle" στο οποίο ο επιτιθέμενος μπαίνει ανάμεσα στον χρήστη και το hotspot υποκλέπτοντας την μεταξύ τους κίνηση δεδομένων ή "σηκώνοντας" κακόβουλα hotspots για να παγιδεύσουν τα θύματα τους και να κλέψουν τα στοιχεία όσων συνδεθούν σε αυτά.

Πηγή : BBC (http://www.bbc.com/news/technology-26469598)

κανένας κίνδυνος δεν υπάρχει
η εντολή Σαμαρά δε μπορεί να έχει bugs

Να κάτι τέτοια μας κάνει η Europol και μετά δε θα μπορέσει η κυβέρνηση να υλοποιήσει το όραμα του κ. Πρωθυπουργού στους υπόλοιπους 9 μήνες...
Ευρομπάτσοι... Σταδιάλαπια!

κανένας κίνδυνος δεν υπάρχει
η εντολή Σαμαρά δε μπορεί να έχει bugs

Ήμουν σίγουρος ότι θα υπάρξει ανάλογο post, δεν ήμουν όμως σίγουρος αν θα ήταν πρώτο...

Στο θέμα μας, δεν χρησιμοποιώ σε καμία περίπτωση δημόσια wifi όταν θέλω να δω λογαριασμούς μέσω ebanking, να κάνω αγορές κτλ κτλ. Ότι κλειδώνει, ξεκλειδώνει, είναι κανόνας και καλό είναι να φυλαγόμαστε.

Ήμουν σίγουρος ότι θα υπάρξει ανάλογο post, δεν ήμουν όμως σίγουρος αν θα ήταν πρώτο...

το αξίζει γιατί είναι θαυμάσιος και δουλεύει πολύ σκληρά, όπως έκανε σε όλη του την καριέρα

μην απαξιώνετε το free wifi όμως γιατί θα πέσει το ΑΕΠ. στήστε τις on-line επιχειρήσεις σας πάνω του και φέρτε την ανάπτυξη

Παρότι αυτονόητη παρατήρηση, είναι χρήσιμη για όσους δεν έχουν βαθύτερη κακτανόηση του τρόπου λειτουργίας των ασύρματων δικτύων. Πάντως εναλλακτικές υπάρχουν: Ή φροντίζεις να χρησιμοποιείς δεδομένα κινητής, ή πάνω από το ανοιχτό ασύρματο βάζεις κάποιο κρυπτογραφημένο VPN, και στη χειρότερη περίπτωση εξασφαλίζεις ότι τουλάχιστον έχεις SSL με τη σελίδα/υπηρεσία που χρειάζεσαι.

το αξίζει γιατί είναι θαυμάσιος και δουλεύει πολύ σκληρά, όπως έκανε σε όλη του την καριέρα

μην απαξιώνετε το free wifi όμως γιατί θα πέσει το ΑΕΠ. στήστε τις on-line επιχειρήσεις σας πάνω του και φέρτε την ανάπτυξη
Κοροιδεύεις, κοροιδεύεις, αλλά άμα με δεις να κυκλοφορώ με Lamborgini λόγω του free wifi και της ανάπτυξης θα σου κοπεί το γέλιο. :p

Τα wifi που προωθεί ο ΟΤΕ μέσω των οικιακών ρούτερ, έχουν κινδυνο;

διαβάζοντας για την επίθεση τύπου Man in the middle (http://el.wikipedia.org/wiki/Επίθεση_man-in-the-middle) αναρωτιέμαι αν υπάρχει τρόπος να την γλυτώσεις αν σου την στήσουν.
αναφέρονται κάποιοι τρόποι στην αγγλόφωνη βικιπέδια (http://en.wikipedia.org/wiki/Man-in-the-middle_attack#Defenses_against_the_attack).
Οι browser και οι άλλες εφαρμογές και οι διαφορές υπηρεσίες πχ ηλεκτρονικού ταχυδρομείου κάνουν χρήση αποτελεσματικών μορφών κρυπτογράφησης της επικοινωνίας ώστε να μην ειναι ευπαθείς σε αυτή τη μορφή της επίθεσης;
και πως μπορείς να το ελέγξεις;

γουστάρω που στην Ευρώπη έχουμε υπηρεσίες που μας λένε το αυτονόητο...επειδή κατα βάθος αν δεν μας το έλεγαν δεν θα το καταλαβαίναμε....

Δηλαδή τι μας λένε, ότι αν συνδεθώ μέσω free / public wifi με https στο ebanking μου, η με ssh στο cloud server μου διατρέχω κίνδυνο?
Έλεος...

Δηλαδή τι μας λένε, ότι αν συνδεθώ μέσω free / public wifi με https στο ebanking μου, η με ssh στο cloud server μου διατρέχω κίνδυνο?
Έλεος...

Δεν είναι μόνο το passive sniffing το πρόβλημα. Υπάρχουν και ενεργητικές επιθέσεις που αν είσαι απρόσεκτος μπορεί να την πατήσεις.

Κοροιδεύεις, κοροιδεύεις, αλλά άμα με δεις να κυκλοφορώ με Lamborgini λόγω του free wifi και της ανάπτυξης θα σου κοπεί το γέλιο. :p


τότε θα βαλαντώσω που δεν τα κονόμησα πρώτος :cry:
τουλάχιστον θα με πας μια βόλτα;


Τα wifi που προωθεί ο ΟΤΕ μέσω των οικιακών ρούτερ, έχουν κινδυνο;

όλα τα wifi γενικά έχουν κίνδυνο. κι ακόμα γενικότερα όλο το internet είναι ανοιχτό. απλά όταν συνδέεσαι σε router που δεν ελέγχεις είσαι πιο ευάλωτος


Δηλαδή τι μας λένε, ότι αν συνδεθώ μέσω free / public wifi με https στο ebanking μου, η με ssh στο cloud server μου διατρέχω κίνδυνο?
Έλεος...

το https και το ssh από μόνα τους δε λένε τίποτα στο mitm



γενικά όμως μην είστε φοβικοί και μίζεροι ρε. μπείτε στο Samaras WiFi και πάρτε ρίσκα (όλων των ειδών, όχι μόνο ασφαλείας)
σπάστε την εσωστρέφεια και κυνηγήστε επενδύσεις όπως αυτός

γουστάρω που στην Ευρώπη έχουμε υπηρεσίες που μας λένε το αυτονόητο...επειδή κατα βάθος αν δεν μας το έλεγαν δεν θα το καταλαβαίναμε....

όπως έγραφε κι ο Αρκάς σε μια φοβερή ατάκα : "Χέζουν οι αρκούδες στο δάσος!?!?"
Είναι κάτι που αρκετοί (και ειδκότερα στο παρόν φόρουμ, για το συγκεκριμένο θέμα) μπορεί να το θεωρήσουν δεδομένο, όμως στη συντριπτική πλειοψηφία του κόσμου ούτε που τους πέρασε ποτέ από το μυαλό, ούτε θα καθίσουν ποτέ να το κουβεντιάσουν..

Δηλαδή τι μας λένε, ότι αν συνδεθώ μέσω free / public wifi με https στο ebanking μου, η με ssh στο cloud server μου διατρέχω κίνδυνο?
Έλεος...

SSLstrip (https://vimeo.com/50018478)

απορω πως οργανισμοι που εμπλεκονται με την χρηση ευεσθητων δεδομενων (τραπεζες πχ) , δεν χρησιμοποιουν δικο τους software , κομενο και ραμενο στα μετρα των αναγκων τους και των πελατων τους .

απορω πως οργανισμοι που εμπλεκονται με την χρηση ευεσθητων δεδομενων (τραπεζες πχ) , δεν χρησιμοποιουν δικο τους software , κομενο και ραμενο στα μετρα των αναγκων τους και των πελατων τους .

Νομίζεις πως οι τράπεζες ξοδεύονται?

απορω πως οργανισμοι που εμπλεκονται με την χρηση ευεσθητων δεδομενων (τραπεζες πχ) , δεν χρησιμοποιουν δικο τους software , κομενο και ραμενο στα μετρα των αναγκων τους και των πελατων τους .
Εκτός από το θέμα του κόστους (και η αλήθεια είναι ότι οι τράπεζες ξοδεύουν συγκριτικά μεγάλα ποσά) συνήθως η ανοιχτή ασφάλεια και αυτή που ακολουθεί πρότυπα είναι ασφαλέστερη από την κλειστή, του τύπου "δε λέω σε κανέναν πώς το κλείδωσα και εύχομαι να μην το καταλάβουν".

Τα WiFi του OTE νομίζω εφαρμόζουν WPA2 και για τους guests, οπότε είναι μια σκάλα πάνω στην ασφάλεια από τα εντελώς ανοιχτά...

απορω πως οργανισμοι που εμπλεκονται με την χρηση ευεσθητων δεδομενων (τραπεζες πχ) , δεν χρησιμοποιουν δικο τους software , κομενο και ραμενο στα μετρα των αναγκων τους και των πελατων τους .


χαχαχα καλό. Έχω δει αρκετές αναφορές για (αμερικάνικες) τράπεζες που έχουν δική τους android/iphone εφαρμογή που είναι γεμάτη τρύπες ή δεν χρησιμοποιεί και τόσο καλό encryption.

Το καλύτερο είναι όλοι να χρησιμοποιούν τα standard και να μην δημιουργούν δική τους εφαρμογή. Τι κάνεις αν είσαι σε Linux ή mac και η τράπεζα βγάζει μόνο για windows?
Το standard είναι να χρησιμοποιούν ssl και να ακολουθούν ευρέως διαδεμένους κανόνες ασφάλειας. πχ να μην θεωρούν cookie παλιότερης συνεδρίας έγκυρο πλεον.
Με το να σου στέλνουν sms με κωδικό πριν μετακινήσεις λεφτά(pireus) ή να έχεις ειδικό μηχανάκι που παράγει κωδικούς προς εισαγωγή(εθνική) είναι μια χαρά λύσεις.

Το man-in-the-middle-attack δεν μπορεί να πετύχει αν κάποιος ΤΡΙΤΟΣ δεν έχει βάλει στον browser ΣΟΥ άσχετο "trusted/root certificate" για τον εαυτό του.

Για μένα το καλύτερο είναι, εφόσον θες να κάνεις ευαίσθητα πράγματα μέσω free-wifi ενώ έχεις σύνδεση και στο σπίτι σου, φτιάχνεις ένα vpn στο σπίτι σου και μετά συνδέεσαι από κάθε wi-fi σε αυτό. Έτσι όλη η κίνηση σου από το wi-fi περνάει μέσα από την σύνδεση του σπιτιού σου. Η σύνδεση από το free wi-fi μέχρι τον σπιτικό σου υπολογιστή είναι εγγυημένα ασφαλής(εφόσον χρησιμοποιείς δικά σου certificate).

Μπορεί η ανακοίνωση να αναφέρει το (σε πολλούς) αυτονόητο αλλά ζούμε σε μια εποχή/κοινωνία που πρέπει να γίνεται και αυτό για δύο λόγους:

Όσο περίεργο και αν φαίνεται κάποιοι δεν το έχουν σκεφτεί. Ειδικά με την εξάπλωση του ίντερνετ και την χρήση του ακόμα και από την "κουτσή Μαρία" υπάρχουν πολλοί που ξέρουν απλά να "μπαίνουν" στο ίντερνετ και τίποτα παραπάνω. Βέβαια αυτοί ίσως δεν θα ακούσουν ή δεν θα δώσουν σημασία ακόμα και στην ανακοίνωση, αλλά αυτό είναι άλλο θέμα.

Δεύτερος λόγος είναι ότι πρέπει κάποιοι (φορείς, οργανισμοί, εταιρίες, κλπ) να καλύψουν τον...απαυτό τους, γι' αυτό και σε ειδοποιούν για το αυτονόητο. Για πράγματα που είναι απλή κοινή λογική. Γιατί αν δεν το κάνουν μπορεί αύριο ο καθένας μας να ζητάει τα "ρέστα".
Όπως παράδειγμα έβλεπα στο Ikea ότι στα φυτά που πουλάει γράφει στο ταμπελάκι ότι δεν είναι για...φάγωμα. Προφανώς και όταν παίρνεις ένα καλωπιστικό φυτό δεν είναι για μασαμπούκα. Αλλά ποιος ξέρει αν κάποιος δεν πήγε να το μασουλίσει εκείνος ή το παιδί του και μετά ζητούσε τα ρέστα από την εταιρία γιατι δεν τον είχε ενημερώσει!!!

Για μένα το καλύτερο είναι, εφόσον θες να κάνεις ευαίσθητα πράγματα μέσω free-wifi ενώ έχεις σύνδεση και στο σπίτι σου, φτιάχνεις ένα vpn στο σπίτι σου και μετά συνδέεσαι από κάθε wi-fi σε αυτό. Έτσι όλη η κίνηση σου από το wi-fi περνάει μέσα από την σύνδεση του σπιτιού σου. Η σύνδεση από το free wi-fi μέχρι τον σπιτικό σου υπολογιστή είναι εγγυημένα ασφαλής(εφόσον χρησιμοποιείς δικά σου certificate).

θα συμφωνησω!!! και οχι μονο για public wifi αλλα και για mobile internet, ετσι κανω ηδη και εγω και συνδεομαι στον asterisk μου, σε CCTV, ip cameres κτλ, ετσι δεν χρειαζεται κιολας να τα εκθετω αυτα στο internet. Το ποιο ασφαλες! αν το VPN ειναι και τυπου openvpn ακόμα ασφαλεστερο απο τα PPTP VPN πχ που δουλευουν περισσοτερο.

Ολο και καποιο κοροιδακι θα την πατηση...........

Το man-in-the-middle-attack δεν μπορεί να πετύχει αν κάποιος ΤΡΙΤΟΣ δεν έχει βάλει στον browser ΣΟΥ άσχετο "trusted/root certificate" για τον εαυτό του.

Κάποιος που θα συνδεθεί σε ανοιχτό hotspot, και θα ανοίξει σελίδα όπου χρειάζεται login (η οποία σελίδα είναι σίγουρα πιστοποιημένη) θα δώσει πολύ σημασία στο μήνυμα του browser για το άκυρο/ληγμένο πιστοποιητικό;

Τρομοκρατούν τον κόσμο.

Κάποιος που θα συνδεθεί σε ανοιχτό hotspot, και θα ανοίξει σελίδα όπου χρειάζεται login... θα δώσει πολύ σημασία στο μήνυμα του browser για το άκυρο/ληγμένο πιστοποιητικό; ...ιδίως όταν αρκετές τέτοιες σελίδες δίνουν από μόνες τους ληγμένα πιστοποιητικά?

Κάποιος που θα συνδεθεί σε ανοιχτό hotspot, και θα ανοίξει σελίδα όπου χρειάζεται login (η οποία σελίδα είναι σίγουρα πιστοποιημένη) θα δώσει πολύ σημασία στο μήνυμα του browser για το άκυρο/ληγμένο πιστοποιητικό;

Ε τώρα αν πας στη σελίδα της τράπεζας σου και σου πετάξει μήνυμα για ληγμένο πιστοποιητικό και συ προχωρήσεις, τότε φέρεις αποκλειστικά την ευθύνη. Τι άλλο μπορεί να κάνει ο browser; Να σου κάνει ηλεκτροσόκ στα δάκτυλα όταν πατήσεις το enter; :p

Ε τώρα αν πας στη σελίδα της τράπεζας σου και σου πετάξει μήνυμα για ληγμένο πιστοποιητικό και συ προχωρήσεις, τότε φέρεις αποκλειστικά την ευθύνη. Τι άλλο μπορεί να κάνει ο browser; Να σου κάνει ηλεκτροσόκ στα δάκτυλα όταν πατήσεις το enter; :p

Αυτό που θέλω να πω είναι, ότι οι απλοί χρήστες δεν έχουν ιδέα τι σημαίνει πιστοποιητικό και γι'αυτό δεν θα δώσουν ανάλογη σημασία στο μήνυμα.
Υπάρχει και η νοοτροπία του "έλα μωρέ, σιγά μην συμβεί σε εμένα", "πάλι ότι να'ναι μηνύματα μου πετάει ο firefox", κλπ κλπ

Αυτό που θέλω να πω είναι, ότι οι απλοί χρήστες δεν έχουν ιδέα τι σημαίνει πιστοποιητικό και γι'αυτό δεν θα δώσουν ανάλογη σημασία στο μήνυμα.
Υπάρχει και η νοοτροπία του "έλα μωρέ, σιγά μην συμβεί σε εμένα", "πάλι ότι να'ναι μηνύματα μου πετάει ο firefox", κλπ κλπ

Συμφωνώ. Αλλά δεν νομίζω ότι θα βρεθεί ποτέ τρόπος σε επίπεδο software για να προστατευθούν οι χρήστες 100% από την άγνοια και απειρία τους. Εκτός αν φτιάξουμε κάποιο απίστευτο AI(και τότε πάλι θα του πουν "σκάσε ξέρω τι κάνω").

Μετά από 7 χρόνια είναι ακόμα επίκαιρο
http://www.adslgr.com/content/248-%CE%9F%CE%B4%CE%B7%CE%B3%CF%8C%CF%82-%CE%B3%CE%B9%CE%B1-%CE%B1%CF%83%CF%86%CE%AC%CE%BB%CE%B5%CE%B9%CE%B1-%CF%83%CE%B5-%CE%B1%CF%83%CF%8D%CF%81%CE%BC%CE%B1%CF%84%CE%B1-%CE%B4%CE%AF%CE%BA%CF%84%CF%85%CE%B1/view/3

σε δημόσιο δίκτυο απλά δεν υπάρχει απόλυτη ασφάλεια, μπορείς να το χρησιμοποιήσεις ασφαλώς αλλά πάντα είσαι πιο ευάλωτος σε επιθέσεις, η Europol είπε απλά το αυτονόητο.

Απορία, σόρρυ αν έχει απαντηθεί, αν μπαίνεις από το κινητό σου μέσω κάποιας εφαρμογής που τρέχει https δεν είσαι πιο ασφαλής, αν όχι εντελώς ασφαλής;

Και ξέρουμε ποιες δημοφιλείς εφαρμογές χρησιμοποιούν αυτό το πρότυπο σύνδεσης από μόνες τους;

Προτιμώ από το κινητό να κάνω e-banking μέσω του browser παρά της όποιας εφαρμογής της τράπεζας που μπορεί να έχει 1002 τρύπες και ο μόνος που θα τις ελέγξει είναι η τράπεζα η ίδια (αν το κάνει ποτέ).

Καλύτερα open sourse browser και https.

Σε ό,τι αφορά τα public hotspots, λόγω τον πιθανών man in the middle attacks, απλά δεν κάνω ebanking, ή αγορές μέσω πιστωτικής κτλ. Όλα αυτά μπορώ να περιμένω να τα κάνω από το σπίτι ή μέσω του 3g δικτύου του κινητού μου.

Εκεί νομίζεις πως είσαι ασφαλής;

Πουθενά δεν είσαι ασφαλής 100%, μην δαιμονοποιούμε τα wifi spots

Το μόνο που κάνουμε είναι να τρομοκρατούμε τον κόσμο, ώστε να φορτώνει με antivirus και να μην χρησιμοποιεί την τεχνολογία σε όφελός του.
Βέβαια έτσι κερδίζουν οι εταιρίες που πουλάνε κινητή τηλεφωνία κλπ

Πάνω-κάτω το ίδιο πρόβλημα θα είχαμε αν αντί για wifi είχαμε ethernet hotspots.
Ως γενικό κανόνα πρέπει να έχουμε ότι "σοβαρά πράγματα δεν τα κάνω χωρίς ssl (https) σύνδεση". Αν καταφέρουμε αυτό, έπειτα πάμε και παρακάτω(πχ έρευνα ότι δεν έχουμε fake root ca στα έμπιστα certificates).

Δεν υπάρχουν firewalls που να προστατεύουν το χρήστη από το man in the middle?

Τρομοκρατούν τον κόσμο.

Προφανώς είσαι από αυτούς που δεν μασάνε...

Δεν υπάρχουν firewalls που να προστατεύουν το χρήστη από το man in the middle?

όχι
αν δεις τι ακριβώς είναι το mitm θα καταλάβεις πως δεν πρόκειται για απλό σπάσιμο των πληροφοριών που στέλνεις, αλλά για υποκλοπή
δλδ ο Γρυλάκης ακόμα κι αν ο Παπανδρέου μιλούσε συνθηματικά, θα άκουγε τι λέει και θα το μετέφερε στο Μητσοτάκη. από κει και πέρα είναι θέμα του τελευταίου να σπάσει τον κώδικα. τη συνομιλία όμως θα την είχε
ελπίζω με το παράδειγμα βγαλμένο απ τη ζωή να σε βοήθησα

Δεν υπάρχουν firewalls που να προστατεύουν το χρήστη από το man in the middle?

http://en.wikipedia.org/wiki/Man-in-the-middle_attack

Το router δεν σε προστατεύει. Αυτό που χρειάζεται είναι ssh, https κλπ αλλά με ιδιαίτερη προσοχή και ευαισθησία στο θέμα των πιστοποιητικών: τακτικές επαληθεύσεις fingerprint, τηλέφωνο στο helpdesk (αν δεν το έχει χακιάσει και αυτό ο κακός) και αναφορά αν κάποιο απορρίπτεται κλπ.

όχι
αν δεις τι ακριβώς είναι το mitm θα καταλάβεις πως δεν πρόκειται για απλό σπάσιμο των πληροφοριών που στέλνεις, αλλά για υποκλοπή
δλδ ο Γρυλάκης ακόμα κι αν ο Παπανδρέου μιλούσε συνθηματικά, θα άκουγε τι λέει και θα το μετέφερε στο Μητσοτάκη. από κει και πέρα είναι θέμα του τελευταίου να σπάσει τον κώδικα. τη συνομιλία όμως θα την είχε
ελπίζω με το παράδειγμα βγαλμένο απ τη ζωή να σε βοήθησα

:) Εκτιμώ τα παραδείγματα βγαλμένα απ' τη ζωή και τους ανθρώπους που δε βαριούνται να τα παραθέσουν.
Με βοήθησες καλέ μου άνθρωπε! :oneup:

- - - Updated - - -


http://en.wikipedia.org/wiki/Man-in-the-middle_attack
Και σ' ευχαριστώ κι εσένα!

δηλαδή όταν έρθει το samaras wifi να βγω βόλτα με κανένα jasager / wifi pineapple? :)

Άμα το χεις τόσο καημό να παρανομήσεις.

Άμα το χεις τόσο καημό να παρανομήσεις.

Μακρυά από μένα η παρανομία...

Σαμαράς ακούει???