3 Levels of WiFi Hacking

Security-all

https://www.youtube.com/watch?v=dZwbb42pdtg

Az intenzíven integrált Nord VPN reklám ellenére egész jó. Egyébként OpenVPN valóban ajánlott kávézókban reptereken, de teljesen jó, sőt jobb saját infrastruktúrán működtetett "My"VPN. :-)

  • 1921 megtekintés

( hajbazer v | 2024. 01. 22., h – 00:31 )

Bizonyára akkor megérte túltitkosítani a webet, főként a WiFi elterjedésének okán. Ja nem, mert a titkosítás titkosításának titkosítása (WPA2, OpenVPN, HTTPS) is kell még a biztonsághoz™.

A kettő nem ugyanarra szolgál, de sebaj, tudjuk, hogy nem tudod/akarod felfogni és megérteni...
Update: visszaolvasva hét éve sem voltál kevésbé... olyan, amilyen... (szóval hét év alatt a személyiség- és szakmai fejlődésed - már ami itt látszik belőle- konvergál a nullához...)

Amit mondtál, az alapvetően baromság volt már hét éve is, és manapság is az. Ugyanis a HTTPS meg a VPN-be húzott forgalom funkcióját tekintve ugyan mutat átfedést, de messze nem ugyanaz a célja/funkciója a kettőnek, és nem volt kár https-be húzni a webes forgalmat.

Tudjuk, hogy nem tudod, de tanulni sohasem késő... (Nem a https _alá_ egy újabb réteg, hanem a saját eszközöm forgalmát (mindent!) rakok bele egy olyan csőbe, aminek mindkét vége az adott eszközhöz van tapasztva úgy, hogy az eszközről/eszközre nem mehet semmilyen egyéb forgalom. (Hint: kettős szigetelés, túlnyomásos csőben vitt optikai kábel, és hasonlók)

Tudjuk, hogy nem tudsz a feltett kérdésre válaszolni, de sohasem késő.

Miért van szükség OpenVPN-re publikus WiFi-n, abban a kontextusban, amiben OP említette (nem kifejezetten saját privát hálózathoz való csatlakozás céljából, hanem abból a célból, hogy minden forgalmát a saját eszköze felé vigye a publikus WiFi-ről való kilépés helyett)?

Tehát alapvetően nem volt baromság, amit mondtam, csak azt gondoltad, egy leminősítéssel könnyebb lesöpörnöd. [1]

HTTPS meg a VPN-be húzott forgalom funkcióját tekintve ugyan mutat átfedést

Konkrétan az átfedés részét használja ki OP, hogy túltitkosítsa a kapcsolódásait.

Az eszközadataidból pedig VPN esetén is ugyanannyit lát. Amit nem lát: hogy milyen más szerverekhez kapcsolódsz, a VPN hoston kívül.

Ha az eszkozodbol csak a VPN megy ki, akkor nem lat semmilyen hozzad kotheto egyeb forgalmat, vagyis nincs tobb infoja rolad, igy nem tud tamadni teged.

Ha kukon megy ki a https, akkor ugye kulon megy ki a dns keres is, vagyis latja, hogy eppen a hup.hu -val beszelgetsz. Ha osszeveti a te kereseidet a hupra bekuldott hozzaszolasokkal, akkor kijohet neki, hogy te vagy a hajbazer. Ha a dns kereseket elfogja es hamisit neked egy masik hupot, ami keri a jelszavadat, raadasul a form ki van toltve a login neveddel, es valahogyan kijatsza a https -t, (macera, de lattunk mar ilyet) akkor holnap lehet, hogy egyszercsak elkezdesz itt nekunk a Win11 mellet ervelni, hogy az mennyire jo, mi meg a szivunkhoz kapunk, hogy nema' Hajbi! Mi tortent veled, sztrokot kaptal? Te pedig irsz egy szivhezszolo postot, hogy elet es Win11 kozott lebegsz az intenziven, es hogy kuldjunk penzt. Mi meg elhisszuk, es termeszetesen kuldunk, igy nem marad a gyereknek egyetemre, es ez csak azert tortent, mert nem hasznaltal VPN-t.

Hajbi! Hasznalj VPN-t! :-)

Ha az eszkozodbol csak a VPN megy ki, akkor nem lat semmilyen hozzad kotheto egyeb forgalmat, vagyis nincs tobb infoja rolad, igy nem tud tamadni teged.

De igen, látja a MAC címemet és tud passive OS fingerprint-elni (p0f). Ha ezenkívül HTTPS-t forgalmazok, akkor annyit lát pluszban, milyen szolgáltatókhoz kapcsolódom. Mást nem lát a HTTPS-ből.

Ha a dns kereseket elfogja es hamisit neked egy masik hupot, ami keri a jelszavadat, raadasul a form ki van toltve a login neveddel, es valahogyan kijatsza a https -t

Ha ki tudja játszani a HTTPS-t, akkor a HTTPS nem biztonságos, tehát totál felesleges a webet túltitkosítani vele. A HTTPS egyik alapja, hogy verifikálja a hostname-et, amihez csatlakozik. Ha ezt DNS-ből elcsalják, a verifikációnak nem szabad sikerülnie.

akkor holnap lehet, hogy egyszercsak elkezdesz itt nekunk a Win11 mellet ervelni, hogy az mennyire jo, mi meg a szivunkhoz kapunk, hogy nema' Hajbi! Mi tortent veled, sztrokot kaptal? Te pedig irsz egy szivhezszolo postot, hogy elet es Win11 kozott lebegsz az intenziven, es hogy kuldjunk penzt.

:DDD

Mi meg elhisszuk, es termeszetesen kuldunk, igy nem marad a gyereknek egyetemre, es ez csak azert tortent, mert nem hasznaltal VPN-t.

Meg is érdemli az a hupu, aki egy ilyen ócska trükknek bedől. :P

Hajbi! Hasznalj VPN-t! :-)

Használok OpenVPN-t. Céges hálózathoz való csatlakozásra, nem túltitkosításra.

Csak és kizárólag a VPN-es UDP-csomagokat látja, semmi mást, a device semmilyen más beérkező csomagra nem válaszol, csak arra, ami az adott VPN csatornához tartozik.
A "vagy de" az egy lehetőség, elég szűk információ megszerzésére, ha sikerül. Kontra minden ki- és bemenő tcp, udp csomagokat, kapcsolatokat látni, minden kliens és szerver oldal támadható, teljes forgalom rögzíthető (későbbi elemzésre, sérülékeny (nem megfelelő kulcsgenerálás) ssl forgalom offline bontására, stb.).
Nagyon nem mindegy, hogy egy szál szigszalaggal tekered be a csupasz drótot, vagy kettős szigetelésű vezetéket használsz. De tudjuk, a kettős szigetelés vagy épp a dupla zár az ajtón az bloat.

a device semmilyen más beérkező csomagra nem válaszol, csak arra, ami az adott VPN csatornához tartozik.

jáj.

 

a szerencsétlen csak beszélget az AP-vel, nem? Néha kulcsot cserél, esetleg (de)authentikál - amire akár egy külső fél (hívjuk mondjuk támadónak) is 'rábeszélheti'...

és még lehet fokozni:

a VPN-ben L3+ forgalom megy, alatta/mellette ugyan úgy ott van az ARP, esetleg ICMP

 

A VPN nem csodaszer. - ahogy a HTTPS/TLS sem old meg minden problémát - sőt!

a cikk/videó meg full marketing 1.0 - 'vannabe' security minded júzereknek

 

szerintem :)

zrubi.hu

Az AP-vel rádión beszélget (drót, amire rá lehet "csiptetni" olyan eszközt, ami mindent _is_  naplóz, vagy olyat is bele lehez applikálni, ami mindent is átfolyat magán, _és_ szükség esetén bele is nyúl), azt nem tudod jobban védeni, mint amennyire az AP "engedi" - ergo nem rajtad múlik, hogy mennyire lesz védett a csatorna lehallgatás/módosítás/eltérítés ellen. A free wifi-k ebben jellemzően nem szoktak a top-on lenni (fallback lehetőség gagyi szintig...) Ugyanígy nem tudod elkerülni az ARP, ICMP forgalmak egy részét sem, de ami releváns, az nagyon nem mindegy, hogy "kint" vagy "bent" megy.

A kettős szigetelés / dupla zár az ajtón nem csodaszer, nem old meg minden kapcsolódó problémát - de a kockázatokat jelentősen tudja csökkenteni.

Szerinted egy VPN mennyi CPU-t eszik meg? Mert én nagyon nem veszem észre, hogy megy a VPN, pedig elég régi gépem van (i5 3470 CPU), de még a Core2 Duo-s gépen sem volt érezhető CPU-terhelésben, ha ment a VPN... Persze, kevesebbet volt idle-ben a proci, ergo többet fűtötte a szobát :-D

Az _akkori_ elvárt biztonságot tudó eszközökkel emlékeim szerint nem volt gondja (ne felejtsük el, hogy az első generációja 25 éve jelent meg...). A mai, azaz 20+ évvel későbbi elvárásokat való igaz, nem, vagy csak nyögvenyelősen tudja teljesíteni, ez igaz, de ezen nem szabad csodálkozni - a titkosító algoritmusok cseréje, fejlődése pont amiatt "must have", mert a rendelkezésre álló számítási kapacitások, amivel a védett adatok kinyerését meg lehet próbálni a titkosított adathalmazból/adatfolyamból, jelentős tempóban nőnek.

A PIII-at kihagytam, a P4-es gépemen emlékeim szerint elfogadható sebességgel ment az _akkor_ elvárt biztonsági szintet tudó VPN, és benne a https-es böngészés - hogy manapság milyen lenne, nem tudom - igen-igen régen lecseréltem már - a mostani ~12 éves cpu-nak meg meg sem kottyan, ha VPN+sok tabon https, meg ssh-k regimentje megy át a dróton... (Ez a "PIII-on próbáld ki" olyan, mintha azt mondanád, hogy lovaskocsival próbáld ki az autópályát...)
 

Ez a "PIII-on próbáld ki" olyan, mintha azt mondanád, hogy lovaskocsival próbáld ki az autópályát...

Nem, ez pont olyan, hogy ha belátnád, hogy 2024-ben sincs szükség minden szar háromszori letitkosítására, akkor P3-on is teljesen jól működne.

WPA2(OpenVPN(HTTPS)) több, mint felesleges túltitkosítás.

Szerinted a két zár az ajtón plusz a rács is fölösleges? Vagy a kettős szigetelés a vezetéken a kábelcsatornában is fölösleges? A WPA2 az egy manapság elég könnyen támadható megoldás, tehát _önmagában_ sem elég biztonságos, de nem is ez az elsődleges probléma egy free wifi esetén- ahogy írtam is, a privacy a nagyobb probléma, hiszen a hálózat üzemeltetője a teljes forgalmadat tudja monitorozni, DNS-kérésektől kezdve az összes hálózati forgalmad "túlsó" végpontjának címéig és nevéig (Hint: TLS+SNI működése). Summa: az, hogy a "drót" ad _valamilyen_ titkosítást az átviteli út védelmére, az sem biztonság, sem privacy oldalról nem elégséges - ez utóbbit megoldja a vpn-csatorna - hogy az OpenVPN, vagy ipsec, vagy más, az irreleváns.
És mivel nem csak wifi-n vpn-en keresztül érhető el a webes tartalom, továbbá a tartalom közzétevője szeretne biztos lenni abban, hogy a kliensre az a tartalom érkezik meg, amit az ő szervere küldött, illetve kliens oldal is szeretne biztos lenni abban, hogy harmadik fél nem kukkolja, hogy mit nézeget, így oda is kell a titkosítás.

Röviden: mindhárom "rétegnek" megvan a célja és a feladata, egymást nem tudják teljes egészében kiváltani/helyettesíteni. Ahogy az Ethernet keretben lévő CRC sem helyettesíti a felette lévő rétegekben is implementált checksum-okat. Mindegyiknek megvan a maga szerepe, helye az adatok integritásának a védelmében.

(Ahhoz egyébként mit szólsz, hogy vannak olyan rest api-t nyújtó szerverek, ahol van TLS, _és_ az API-által küldött/fogadott adatokat ettől függetlenül(!) titkosítva/aláírva _kell_ előállítani, illetve fogadni. És megvan a jól definiált oka, hogy miért(!))

Vagy a kettős szigetelés a vezetéken a kábelcsatornában is fölösleges?

A kettős szigetelésű vezetéket még 2 másik szigeteléssel ellátni fölösleges.

A WPA2 az egy manapság elég könnyen támadható megoldás

Akkor nem kell használni. A publikus WiFi nyugodtan lehet OPEN, titkosítatlan. Legalább nem kell vadászni hozzá a jelszót.

És mivel nem csak wifi-n vpn-en keresztül érhető el a webes tartalom

Amellett ment az érvelés, hogy a HTTPS-t még csomagoljuk be egy OpenVPN-be, egy WPA2-es WiFi-n. Ami túltitkosítás. Önmagában már az is túltitkosítás, hogy bizonyos weboldalak, ahol privát adatok kezelésének semmi létjogosultsága nincs (pl. egy híroldal) is csak HTTPS-en keresztül elérhető.

Ha valaki OpenVPN-ezik a céges hálózatra, akkor ott teljesen elegendő, ha sima HTTP-n keresztül ér el egy belső szolgáltatást.

Ahhoz egyébként mit szólsz, hogy vannak olyan rest api-t nyújtó szerverek, ahol van TLS, _és_ az API-által küldött/fogadott adatokat ettől függetlenül(!) titkosítva/aláírva _kell_ előállítani, illetve fogadni. És megvan a jól definiált oka, hogy miért(!)

Azt, hogy túltitkosítás. Megfelelő jogosultságkezeléssel kiváltható lenne.

"A publikus WiFi nyugodtan lehet OPEN, titkosítatlan. " - azaz bárki láthatja, mit forgalmazol, milyen DNS-kérések és egyéb kapcsolatok mennek-jönnek az eszközödről/re. És ekkor nem csak a hálózat üzemeltetője (aki az AP és a nagyvilág közötti "dróton" folyó forgalmat látja), hanem bárki, aki a rádiós közeghez hozzá tud férni, mindannyian láthatják a teljes forgalmadat.

"Önmagában már az is túltitkosítás, hogy bizonyos weboldalak, ahol privát adatok kezelésének semmi létjogosultsága nincs (pl. egy híroldal)" - azaz a híroldal tartalma esetében szerinted nem fontos, hogy azt a két végpont között ne lehessen észrevétlenül módosítani. Tudom, mutassam be, hogy van ilyen... Egy plaintext protokollban utazó információt bárki, aki a két végpont közötti hálózathoz hozzáfér, képes módosítani, eltéríteni, csak eszköz kérdése.

"valaki OpenVPN-ezik a céges hálózatra, akkor ott teljesen elegendő, ha sima HTTP-n keresztül ér el egy belső szolgáltatást" - Ja, persze... Mert egy céges hálón mindenkinek mindenhez van köze... Pláne ha az az oldal authentikációt is használ... (Nem, nem csak a bejelentkező oldal alá kell TLS...)

"hogy túltitkosítás. Megfelelő jogosultságkezeléssel kiváltható lenne." - Automaták beszélgetnek, úgyhogy mindkét fél jogosult a másik oldalról kapott tartalmat automatán elolvasni. De pl. naplózni is kell, hitelesen igazolni is kell, hogy mikor készült az adott xml, ki készítette - és például a logot elemző supportnak az aláírás validálásához kell, hogy joga legyen, de a tartalomhoz már nem.

 

Áruld már el, mi az, hogy "túltitkosítás"?

Olyan információt titkosítani, amit a biztonsághoz nem feltétlenül szükséges. Leírtam a hivatkozott topikban.

Milyen rossz dolog következik belőle, ha egyszer már titkosított forgalmat valaki mégegyszer titkosít?

Bloat, CPU-overhead, kevésbé optimalizálható hálózati forgalom (pl. caching HTTP proxy). Emellett masszívan hozzájárul régi készülékek mesterséges elavultatásához. Tehát, ha egy legacy készülék (OS, szoftver stb.) csak TLS 1.0-át tud, de nem lenne feltétlenül szükség minden adat titkosítására, akkor lehet kidobni, mert semmivel sem lesz kompatíbilis. Ez hatványozottan igaz olyan rendszerekre, amikbe nem igazán lehet belenyúlni, pl. nem tudok rárakni egy TLS 1.3-at támogató, saját OpenSSL-lel XP-re backportolt friss böngészőt, vagy akármi más szoftvert. Ugyanúgy mesterséges elavultatáshoz vezet a root certek lejárása.

Mindeközben a protokoll nem változott, egy régi rendszeren is simán lehetne HTTP vagy bármilyen titkosítatlan forgalmat bonyolítani, ha az elvárt titkosítást nem változtatgatnák a multik félévtizedente.

A TLS1.0 és 1.1 nem véletlenül mennek a levesbe - ugyanis a "biztonsághoz feltétlenül szükséges" szintet már nem ütik meg. Az 1.2 még tartja magát (a 2011-es újradefiniálással), de lassan az is nyugdíjazható lesz.

Egy legacy eszköz, ami legfeljebb TLS1.0-t beszél, az messze van a 2024-ben elvárt "biztonsághoz feltétlenül szükséges" szinttől.
A root CA-k lejárata normális esetben nem gond, a CA-listát értelmes eszközben tudod frissíteni, illetve azt is érdemes megnézni, hogy a lejárt CA-k kulcsa mekkora volt, és mi az, ami a lejárat idején hozta a "biztonsághoz feltétlenül szükséges" szintet. na ezért (is) járnak le a CA certek is.

"az elvárt titkosítást nem változtatgatnák a multik félévtizedente." öööö...

TLS1.0: 1999.01. - deprecated 2021 óta
TLS1.1: 2006.04. (az 1.0 nem túl jól sikerült "frissítése") - deprecated 2021 óta
TLS1.2: 2008.08. de 2011-ben újradefiniálták az SSL-lel visszafelé kompatibilitás kidobásával.
TLS1.3: 2018.08.

Szóval a releváns verziók (1.0, 1.2, 1.3, az 1.0 és 1.1 együtt lett deprecated) között bőven több idő volt, mint öt év, és a bevezetés/deprecated-dé válás között is jóval hosszabb idő telt el. (Ha a fél évtizedben igazad lenne, akkor már TLS1.4-et tolnánk közel fél éve...)

Ja, és nem "a multik", hanem a matematika és a rendelkezésre álló számítási kapacitások miatt kell a régi algoritmusokat, protokollokat kihajítani. Ahogy a sózott MD5 hash is ezért ment a levesbe.

A "működőképes" és a "biztonságos" fogalmakat kevered, de nagyon. Egy legfeljebb TLS1.0-t beszélő eszköz ebben a tekintetben 2006 _előtt_ leragadt - az meg nem tegnap volt. (Aki akkor született,az idén nagykorú lesz!) És nem "túltitkosítás", hanem a "biztonsághoz feltétlenül szükséges" szint elérése a cél. És egy idegen hálózatban nem csak adott webszerverrel folytatott kommunikáció _tartalmának_ az elfedése jelenti a "biztonsághoz feltétlen szükséges"  szintet, hanem a lehetőség szerint _teljes_ forgalom eltakarása a kíváncsi szemek elől. Semmi köze a mondjuk kocsma hálózatát üzemeltetőnek (vagy annak, aki hozzáfér az adott hálózaton folyó forgalomhoz) ahhoz, hogy pl. milyen DNS-kérések mennek ki az eszközömről.

"eddig is köztudott volt a szakmában" - a szakmában eddig is köztudott volt, hogy a matematika és a számítási kapacitások fejlődése okán protokollokat, algoritmusokat idővel le kell cserélni olyanra, ami az aktuálisan elérhető, illetve a védeni kívánt adat/információ releváns élettartama alatt várhatóan megjelenő eszközökkel gazdaságosan/hatékonyan nem törhető fel. És mivel többek között az egyszerűbb üzemeltetés/sw oldali karbantartás mellett az erősebb/biztonságosabb algoritmusok alkalmazása messze nem jelent a magasabb biztonsággal arányosan magasabb erőforrásigényt/költséget, így célszerűen aki csak teheti, nem fogja megtartani a deprecated protokollokat, hanem azt a "fél maréknyit" fogja használni, amit a másik oldal mondjuk 98%-a is tud. Az a ~2% meg igen, szívni fog az ócska eszközeivel.

"milyen overhead-et, pocsékolást okoz a túltitkosítás" - Mondd el, milyet? Kell hozzá plusz egy CPU-mag? Vagy dupla mennyiségű RAM? Netán sávszélességben kell hozzá jóval több???
 

Sőt! Ráadásul pont a "működőképesség" fenntartása miatt nem tiltják le túl sokáig a régi TLS verziókat és régi cipher-suite-okat, se szerver-, se kliensoldalon. Ez oda vezet, hogy lehetséges marad a kapcsolatfelépítés elején downgrade támadás. És ez megint egy ok, amiért indokolt lehet VPN-t használni olyan hálózaton, ahol esélyes, hogy valaki belenyúl a forgalomba.

Hajbi itt sajnos két dolgot akar egyszerre, ami egyidejűleg csak a biztonság feladásával lehetséges.

Régóta vágyok én, az androidok mezonkincsére már!

Lehet, hogy meg fog lepni, de nem a "multik" azok akik változtatják. Sajnos több ilyen "multi"-nál dolgoztam és ha valami jellemző, az az, hogy a lehető legkevesebbet próbálják költeni a security-re. Akkor mozdulnak ha valami törvényi előírás, audit követelmény, vagy ad absurdum az ügyfelek elkezdik kikövetelni. No meg persze amikor bekapnak valami tényleges támadást. Addig minden marad "jólvanazúgy" állapotban.

Hidd el, a certek évenkénti rotálása is egy nagy nyűg. Amikor egy cégnek van 60-70 domainje (évek alatt összevásárolt kisebb cégek online szolgáltatásaiból gyorsan összejön ennyi és még több), akkor átlag kb 5 naponta jár le valamelyik cert, amit szana-széjjel frissíteni kell CDN-eken, load balanceren, app szervereken, kliens alkalmazásban (kellhet új release-t is csinálni, teríteni az ügyfeleknek). A "multik" is a hátuk közepére kívánják, hidd el.

Régóta vágyok én, az androidok mezonkincsére már!

A 60-70 domain-t évek alatt össze lehet konszolidálni, csak akarat kérdése -  vagy egyben végződtetni többet multi domain-es certtel - csak ugye az előbbi üzleti/marketing oldalról fúrható meg, az utóbbi meg "drááága" (drágább egy mondjuk 20 elemű SAN listát tartalmazó multidomaines cert, mint húsz "sima")...

Hát igen. Az a bizonyos akarat... :) Amikor az üzemeltetett terméknek az aktuális 1db admin és 1db felhasználói felülete mellett van még 4 féle legacy frontendje, mert a product management sosem hozza meg a döntést arról, hogy ki kéne vezetni a régit. Ugye az munka is, extra bevételt sem hoz, meg potenciálisan kellemetlen dolgot kell kommunikálni az ügyfelek felé... Konszolidálni termékek között ördögtől való, mert mivan ha cég felsővezetése később el akarja adni valamelyik termékvonalát... Annál a bizonyos eladásnál derül ki, hogy a devops által kezelt domaineken kívül volt még 2 másik registrarnál is pár dugi-domain, amin a customer teamek különféle mailboxokat hosztoltak egy olyan cloud providernél, ami addig megintcsak a devops látókörén kívül esett... Viccesek ezek a corporate történetek, nyilván nem mindenhol mennek így a dolgok, de azért több, mint tipikus.

Régóta vágyok én, az androidok mezonkincsére már!

Akkor lesz még cudar világ IT szekuriti világban, ha a CA browser forum gittegylet kitalálja h. a 12 hónap max tanúsítvány élettartam sem elég szekjúr már, és leviszik 3 vagy 1 hónapra. Na akkor ott esni-kelni fog mindenki, aki nem tud automatizáltan (és stabilan) cert-eket megújítani.

Nem a CA/Browser Forum volt a bűnös, hanem az Apple. Azzal együtt, hogy leszavazták őket, bejelentették, hogy márpedig a Safari nem fogja elfogadni a 2020 szeptember 1 után kiállított tanúsítványok esetében az egy évnél hosszabb érvényességű tanúsítványokat.

"Although a vote on this issue in the CA/Browser Forum failed in September due to resistance from the certification authorities, it is still being discussed. But in March Apple came forward and declared that Safari will only accept certificates issued after September 1, 2020 if they are not valid for more than one year."

http://blog.cacert.org/tag/cabrowser-forum/

Az apple tagja (member) a CAB szervezetnek. Nem certification authority, hanem application software supplier minősègben.

Az pedig szerintem egy erősebb pozició akármennyire elbaszottul is hangzik ez, mert ha úgy dönt nem fogadja el a gittegylet certifcation authority tagjainak tanúsítványait enbloc, azok kb. mind lehúzhatják a rolót következő hónapban.

( XMI | 2024. 01. 22., h – 09:19 )

Feljött nekem is ez a videó az ajánlásban... gondolom jól "meg van tolva", hogy mindenkinél ott legyen.

Az a szomorú, hogy aki írta/készítette valszeg értett hozzá, de olyan szintre lebutított, debilizált módon próbálja átadni, hogy az borzasztó. (Pl különösen fájt az arp spoofing konfúzálása a wifi management frame-ekkel.) Ennyi idő elég lett volna arra, hogy akár technikailag helyesen is elmagyarázzák az egyes támadási formákat.

Régóta vágyok én, az androidok mezonkincsére már!

Már bocs, de egy 22 perces NordVPN reklámot nem fogok mégegyszer végignézni és másodpercről másodpercre kijegyzetelni, hogy mennyi nettó hülyeség és pszeudo-igazság hangzik el benne. Vannak benne szikrái szakmailag helyes állításoknak, de a korrekt magyarázat áldozatul esett a forgatókönyvíró szellemeskedésének. Tök jó, hogy végig poénkodik a hipsztereken egy ... hipszter (#kifinomulthumor, #nagyometa), de 1-2 ilyen felesleges poén helyett befért volna alkalmanként kb 3-3 mondat, ami után már nem kell olyan szinten túlegyszerűsíteni a magyarázatot, hogy már hibás lesz.

Csak kb emlékezetből:

- Az egész video összemos két fő kérdéskört. Az egyik, hogy a "hacker" milyen felkészültségű, milyen munkamódszere van. A másik, hogy a hálózat melyik rétegét/protokollját támadja. Két független dolog.

- Az ARP spoofing magyarázatára én nem mertem volna vállalkozni a MAC címek és layer-2 legalább említésszintű bevezetése nélkül. Nem is sikerült neki. Valami olyan példán keresztül magyarázza, hogy Bob a WC van-e vagy bárpultnál. Ez leginkább a Wifi L2 management frame-einek felel meg. Kb a Probe request és RTS, CTS, esetleg a Beamforming vagy Beacon frame-ekre lehet ráhúzni ezt a példát, az ARP-re nem. Pedig elég sok időt eltökölt ezzel a témával, ennyi erővel akár jól is elmagyarázhatta volna. Pláne, hogy valamikor később mégis előkerülnek a MAC címek.

- Véd-e a NordVPN ellene? Igazából maga a támadás ellen nem véd. Annyit ér el, hogy a támadást denial of service szintre redukálja, vagy legalább detektálhatóvá teszi. (Tekintsük ezt részemről szőrszálhasogatásnak)

- Esetleg érdemes lett volna megemlíteni, hogy ez ellen tehet egyet s mást az üzemeltető, pl letiltja a kliensek közötti peer to peer kommunikációt a wifi access pointon. (Igen, ha több AP bridge-elve van, akkor ezt ki lehet játszani.)

- Evil twin attack. Itt valamit hablatyolt azzal, hogy a drivereket kell installálni és hogy ez mekkora probléma. Namost ha egy black-hat hackernek problémát jelent a driver installálás... szóval ne vicceljünk már. És ez asszem többször visszatérő "running joke" volt a videóban. Én nagyjából sejtem, hogy mi lehetett a valós mondanivaló mögötte, mielőtt a forgatókönyvíró összebarmolta. Sok wifi adapter firmware-je nem ad szabad alacsonyszintű hozzáférést a 802.11 management frame-ekhez (ez a raw ill. monitor mode), ezért kifejezetten a 802.11 low-level támadásokat nem tudod random laptopról vagy telefonról kivitelezni. Emiatt van létjogosultsága a dedikált támadó hardvereknek, ami a videóban elő is kerül. Megintcsak ennyi erővel el lehetett volna magyarázni helyesen is. A logikája megmaradt, hogy "driverekkel van valami" -> "dedikált hardver", itt is gondolom az eredeti draftot még hozzáértő írta.

- Előkerül a "captive portal", meg hogy feldobja a "Google logint". Azt meg lehetett volna említeni, hogy ez a fajta támadás azért működik, mert van olyan legitim megoldás, hogy egy wifi üzemeltető egy külső SSO szolgáltatót használ autentikációra.

- Meg lehetett volna említeni, ami egy pillanatra látszott a képernyőn (na ezt kíváncsiságból kikerestem 7:34-nél van) hogy a MacOS sajnos a captive portal-t egy teljesen jellegtelen widget-mentes ablakban nyitja meg, amin semmi nem utal arra, hogy az egy böngésző lenne. Nincs address bar, nincs certificate megjelenítés, semmi. Feltételezem Safari engine fut mögötte.

- Azt sem ártana megemlíteni, hogy a captive portal-os támadásnál sütheted a VPN-edet. Ha "jól" van megcsinálva a hálózat, akkor amíg nem lépsz be, addig a VPN szolgáltatód felé egy csomagod sem fog átmenni.

- Ha a böngésződben van sebezhetőség (lásd mai hír: https://hup.hu/cikkek/20240123/az_apple_javitast_adott_ki_kritikus_aktivan_kihasznalt_0day_serulekenyseghez_iphone-t_mac-et_frissiteni), akkor a hamis captive portal akár zero-click jellegű támadást is bevihet. A VPN megintcsak ezellen nem véd.

- Előkerülnek a dnsmasq meg a hostapd. Az előadásmód eléggé azt sugallta, hogy ezek valami "hacker toolok". Megintcsak érdemes lett volna megemlíteni, hogy az otthoni routerek kb 100%-án ugyanezek a szoftverek futnak teljesen legitim használati esetben. Csak ne lepődjön meg senki, ha megtudja, hogy "úristen ez nálam is fut a routeren, akkor biztos feltörtek a hackerek". :)

- DNS spoofing, asszem ezt relatíve jól mondta el. De utána hirtelen in medias res jött, hogy átveheti a kontrollt a webkamerád felett, meg ilyesmi. Azért itt hirtelen átugrottunk pár dolgot, ehhez kell még 1-2 további sebezhetőség, hogy sikerüljön. Meg lehetett volna említeni, hogy a TLS certificate-ek nem fognak stimmelni és ezt észre kell vegyed, stb. DNS over HTTPS és tárasi is léteznek már. Megint nemcsak a NordVPN az egyetlen megoldás.

- WPA jelszó feltörés. Húúú itt megint ugrottunk párat, 4-way handshake-et capture-öli aircrack-ng-vel és már meg is van a wifi jelszavad. Hát nem ilyen egyszerű. Ha kifejezetten insecure beállítás van (régi RC4 crypto meg CCMP mód), még akkor sem.

- Deauthentication támadás, nem igazán van elmondva, hogy ennek mi is a szerepe az egészben. Arról nem beszélve, hogy a WPA3 elég sok szempontból véd ez ellen a támadási forma ellen.

- Eleve figyelmeztetés nélkül ugrottunk egy támadási scenario-t. A wifi jelszó feltörése a coffee shopos falra felírt wifi jelszós példában valahogy értelmetlen.

- Ja és persze sok szerencsét, hogy VPN-nel védekezzél a wifi jelszó feltörési kísérletek ellen.

Régóta vágyok én, az androidok mezonkincsére már!