"Kalóz eszköz"

Bevezető: A szomszédban egyetemisták laknak albérletben, és mivel időn ként cserélődnek a lakók engem szoktak meg kérni, hogy álatsam be a "wifit".
Eddig töbször költözött az akié a router, ilyenkőr mindig kerül egy új eszköz.
[update]ugyan azt az ssid+pw beállítást kérték az új eszközre[/update]

A szomszéd mostmár rutinból adta az ISP-s szerződést.(azon van username+pw)

Beállítom. Nagyon alap config wan: pppoe, wifi: ssid+pw.
Szólok, hogy nézzék meg megy-e. Mondják, ja már csatalkozott is, köszi.
Fogalmam sincs, milyen eszöz volt, csak annyit tudok hogy telefon.

Azért ez így picit para. Azt hittem nehezebb manapság MITM-t csinálni.

Hozzászólások

Sok szolgáltató rámatricázza a pw+ssid combót az eszközre. Nem kell rögtön halálfejes lobogókat látni.

Naívan azt hittem, hogy eleve tudni lehet, hogy egy wirless lan több ap-s vagy sem.
És ha az akkor az ap-k jelölve vannak, hogy melyik a hálózat érsze és melyik az új.

pl. ez egy új ap. az adott ssid-n biztos csatlakozol?
Első csatlakozásnál nyilván kapnál egy listát az adott ssid-t osztó ap-król.

-------------------------------------------------------------------------
Nem, de lehetne.

pl. ez egy új ap. az adott ssid-n biztos csatlakozol?

Ez még az enterspájz Wifinél is megoldatlan probléma, ahol az AP adatain felül is van miből kiindulni. A leggyakoribb ugye a PEAP (Protected EAP, ahol az EAP beszélgetést becseszik egy TLS csatornába). Ott ugye van mögötte egy RADIUS-od, amivel authol a pici bamba kliensgép, jó esetben tudja, hogy mi a felhasználónév és jelszó. Kapja _valakitől_ a kérdést, hogy "na de te ki vagy?", a _valaki_ felmutatja, hogy hát a Jóska igazolta, hogy én vagyok a Béla.
És itt a probléma: egyrészt ki mondja meg, hogy a Jóskák melyik csoportja igazolhat (általában az OS cert store-ja, mert abban kb. mindenki egyetért, hogy a RADIUS-nál illik saját CA-t használni :) ), másrészt ki mondja meg, hogy a Pista SSID-jú hálózaton a Bélával szabad-e szóba állni (általában az van, hogy _legjobb esetben_ az OS első csatlakozáskor megjegyzi, hogy milyen CN volt a certen, akivel beszélgetett).

A megoldás természetesen az, hogy az első csatlakozás _előtt_, egy másik csatornán valahogy beállítod, hogy az adott SSID-n az adott CA által aláírt, adott CN-re érvényes certet várjon. A valszeg legnagyobb PEAP deployment (eduroam - tippre százezres nagyságrendű az AP-k száma világszinten) ezt úgy oldja meg, hogy generáltathatsz raklap OS-re Identity provider (~intézmény, aki a hitelesítést végzi)-specifikus beállító programot (Eduroam CAT).

Vaaagy, csinálhatod azt, amit a legtöbb OS és simán bármilyen jött-mentnek átküldheted az auth adataid (Androidnál talán most már nem az a default, hogy ne foglalkozzon a cert-tel, de még mindig csak kiállító adható meg, CN nem; makkosiksz idegen CA-nál rákérdez, hogy megbízol-e benne (és helyi admin fiók kell az első csatlakozáskor); Linux disztrók mindenhol máshogy, többnyire semmi; Windows... alapból a megbízható CA-któl bármit elfogad és első csatlakozáskor megjegyzi a CN-t, ha meg nem olyan certet kap, amit megbízható CA írt alá, akkor bármilyen értelmes hibaüzenet nélkül csak közli, hogy "hát nem sikerült csatlakozni")

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Az se biztos (van EAP-PSK-tól kezdve a TLS kliens certig minden), de a gond, hogy ha az eszköz nem nézi, hogy kinek küldi át, továbbra is ott van. Lehet, hogy minden usernek külön jelszava van, de minden user eszköze simán odaadja neked az adott user jelszavát, ha rosszul van beállítva és szépen kéred :) (oks, kapsz valamit, ami alkalmas authra, és pl. egy challenge-response protokollnál aktívan "proxyznod" kell a kérdést/választ, de hozzáférsz a kommunikációhoz)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Gondolom az a baja vele, hogy egy tamado mitm-et tud csinalni egy ssid+pw ismereteben (amit ismerve mar amugy is lehet).
Fogok egy kaloz ap-t, beallitom rajta a megfelelo azonositast, es elteritem a forgalmat. Ez mondjuk annyira nem erdekes lehetoseg, de ha fogok egy mobiltelefont (mindenkinel ott levo eszkoz, nem feltuno), beallitok egy mobilnet+wifi tetheringet az otthoni ssid+pw-re, akkor menet kozben is racsatlakozhat az aldozat, es ha nem titkositott kapcsolatot hasznal (ami mar hupon is van), elkothetem a dolgait. Nem az evszazad felfedezese (elegge magatol ertetodo, es pont emiatt ugyis titkosit az ember), de erdekes, hogy a hipotetikus mitm-et kb. trivialissa teszi. Persze kell hozza az a franya jelszo..

--
If you get a good wife, you'll become happy; if you get a bad one, you'll become a philosopher. -Socrates

A sajat dhcp igazabol reszletkerdes, mert a teljes forgalom rajtad megy keresztul. De certed a secure oldalakhoz nem lesz, szoval csak a http, ftp, smtp, es hasonlo, titkositatlan protokollok lesznek tamadhatoak (es abbol is csak az, amit nem lat el a masik fel valami plusz dologgal, pl. gpg). A legnagyobb celpont a https lenne, de az vedett a certek miatt. A mindenfele chat appok - ha jol irtak meg - szinten vedettek. Ahol volt korabban kommunikacio (pl. ssh), vagy felismered a masik oldalt (fingerprint), szinten vedett marad. Igazabol mar nem nagy overhead a titkositas, es ahol szamit, ott altalaban hasznaljak is. Ismetleses tamadasra is remelhetoleg fel vannak keszitve.

--
If you get a good wife, you'll become happy; if you get a bad one, you'll become a philosopher. -Socrates

A https-nél azért célszerű odafigyelni. Az egyik korábbi munkahelyemen volt céges proxy, ami bizony belenézett - a dolgozók tudtával - a https-be is. Igaz, ott a desktop gépen a proxy tanúsítványa is telepítve volt. De azt azért vicces volt látni, hogy a Google-höz Symantec-es tanúsítvány kap a böngésző.

Nem feltétlen kell telepíteni. Régebben a sima self-signed cert-eket a legtöbb user leokézta - csak haladjon már - és a böngésző se nagyon hisztizett érte.
Onnantól meg olyan https-es oldalt másolsz le és mutatsz a usernek, amilyet akarsz. Viszont mostanság szerencsére azért a legtöbb böngésző nem engedi a self-signed-ot (vagy a lejárt, nem self-signed-ot) egy egyszerű okéval továbbvinni.

Nézd a napos oldalát: nyugodtan felmondhatod a szerződésedet és ingyen netezhetsz :-)

Azt hittem egyébként, hogy az lesz a sztori, hogy lopják a netet és veled akarják beállíttatni. Slusszpoén, ha tőled lopják.

Egyebkent abbol kiindulva, hogy 2 elofizetes sokkal tobbe kerul, mint egy dupla sebessegu, a kifizetodo tenyleg az lenne, ha venne egy duplat/triplat, es ok meg a tudtaval hasznalnak/(ha hivatalosan kerdezik, lopnak).

--
If you get a good wife, you'll become happy; if you get a bad one, you'll become a philosopher. -Socrates

Egy pillanatra megfordult a fejemben , de annyira olcsó itt a net, hogy nem éri meg. Ha lopnám az övék akkor talán. Da ahhoz meg egy rendes wifi kéne oda. Mivel nincs ac eszközöm így venni kéne. Mind két oldalra. 2 év alatt térülne meg talán. Ja pluszba szarabb netük van, drágábban.

-------------------------------------------------------------------------
Nem, de lehetne.

vicc de volt hasonló. A szomszéd megkért, hogy használhassák a wifit, mert isp váltás miatt egy hétig nem lesz.

3 hét után mondom akkor pw váltás. Aztán kopognak, hogy elromlott a wifi.

Na akkor vették az első routert.
-------------------------------------------------------------------------
Nem, de lehetne.