---

Hej NG !

Læste lige en artikel om usikre trådløse netværk, der kan opsnappe ens
brugernavn og kodeord.

http://politiken.dk/turengaartil/rejsenyt/sundogsikker/ECE1293499/pas-paa-det-traadloese-net-paa-rejsen/

Vil en svindler også kunne opsnappe kodeordet, hvis det allerede er tastet
ind i et program eller browser ?

Jeg tænker fx. på Skype, der logger på. Jeg taster ikke noget ind, men det
ligger i programmet og kan huske både brugernavn og kodeord, når det starter
op.

Det samme med fx. Gmail - hvis jeg har sat den til at huske brugernavn og
kodeord.

Har det nogen betydning om man taster navn og kodeord ind på stedet eller PC
kan huske dem ?

mvh. Per

---

Den 29-05-2011 08:39, Per skrev:
>
> Vil en svindler også kunne opsnappe kodeordet, hvis det allerede er
> tastet ind i et program eller browser ?
>
> Jeg tænker fx. på Skype, der logger på. Jeg taster ikke noget ind, men
> det ligger i programmet og kan huske både brugernavn og kodeord, når det
> starter op.
>
> Det samme med fx. Gmail - hvis jeg har sat den til at huske brugernavn
> og kodeord.
>
> Har det nogen betydning om man taster navn og kodeord ind på stedet
> eller PC kan huske dem ?
Det er samme data som sendes til/fra pcen og den fjerne applikation.
Forskellen er bare, at der er "et program" på pc'en som "taster" koderne.

//finn

---

Cykelsmeden wrote:
> Den 29-05-2011 08:39, Per skrev:
>>
>> Vil en svindler også kunne opsnappe kodeordet, hvis det allerede er
>> tastet ind i et program eller browser ?
>>
>> Jeg tænker fx. på Skype, der logger på. Jeg taster ikke noget ind,
>> men det ligger i programmet og kan huske både brugernavn og kodeord,
>> når det starter op.
>>
>> Det samme med fx. Gmail - hvis jeg har sat den til at huske
>> brugernavn og kodeord.
>>
>> Har det nogen betydning om man taster navn og kodeord ind på stedet
>> eller PC kan huske dem ?
> Det er samme data som sendes til/fra pcen og den fjerne applikation.
> Forskellen er bare, at der er "et program" på pc'en som "taster"
> koderne.
> //finn

Ok - tak for det Finn

Mvh. Per

---

Cykelsmeden <afsender@not2old.dk> wrote:

> Den 29-05-2011 08:39, Per skrev:
>
> >
> > Vil en svindler også kunne opsnappe kodeordet, hvis det allerede er
> > tastet ind i et program eller browser ?
> >
> > Jeg tænker fx. på Skype, der logger på. Jeg taster ikke noget ind, men
> > det ligger i programmet og kan huske både brugernavn og kodeord, når det
> > starter op.
> >
> > Det samme med fx. Gmail - hvis jeg har sat den til at huske brugernavn
> > og kodeord.
> >
> > Har det nogen betydning om man taster navn og kodeord ind på stedet
> > eller PC kan huske dem ?
>
> Det er samme data som sendes til/fra pcen og den fjerne applikation.
> Forskellen er bare, at der er "et program" på pc'en som "taster" koderne.

Er Skype ikke krypteret? Logon til Gmail - og Hotmail er krypteret.

Men det er ikke nok, at selve logon er krypteret, for det er muligt at
snuppe en kopi af Session Cookie med f.eks Firesheep, en plug-in til
Firefox.

Se f.eks min post her:

: Newsgroups: dk.edb.sikkerhed
: Subject: Logon fra Hot Spot
: From: hlexa@hotmail.com (Axel Hammerschmidt)
: Date: Wed, 24 Nov 2010 01:46:12 +0100
: Message-ID: <1jsfosr.180b6zh6ydr4iN%hlexa@hotmail.com>

Efter Firesheep, så har Hotmail gjort det muligt at vælge at benytte en
krypteret forbindelse. Gmail har vist hele tiden brugt krypteret
forbindelser.

Men til sådan noget som netbank - med Nemid - kan man godt benytte en
åben trådløs forbindelse. De er krypteret fra ende til anden.

Jeg har ikke læst den norske artikel, men efter beskrivelsen så drjer
det sig om det såkaldte "evil twin" angreb. Men så opdager man sikkert
ret hurtigt, at noget er galt.


--
Ikke ham på Facebook.

---

Den 29-05-2011 15:13, Axel Hammerschmidt skrev:

> Er Skype ikke krypteret? Logon til Gmail - og Hotmail er krypteret.
>
> Men det er ikke nok, at selve logon er krypteret, for det er muligt at
> snuppe en kopi af Session Cookie med f.eks Firesheep, en plug-in til
> Firefox.
>
> Se f.eks min post her:
>
> : Newsgroups: dk.edb.sikkerhed
> : Subject: Logon fra Hot Spot
> : From: hlexa@hotmail.com (Axel Hammerschmidt)
> : Date: Wed, 24 Nov 2010 01:46:12 +0100
> : Message-ID:<1jsfosr.180b6zh6ydr4iN%hlexa@hotmail.com>
>
> Efter Firesheep, så har Hotmail gjort det muligt at vælge at benytte en
> krypteret forbindelse. Gmail har vist hele tiden brugt krypteret
> forbindelser.
>
> Men til sådan noget som netbank - med Nemid - kan man godt benytte en
> åben trådløs forbindelse. De er krypteret fra ende til anden.
>
> Jeg har ikke læst den norske artikel, men efter beskrivelsen så drjer
> det sig om det såkaldte "evil twin" angreb. Men så opdager man sikkert
> ret hurtigt, at noget er galt.
>
>

Den artikel der linkes til omhandler så vidt jeg forstår det, en helt
anden problematik, nemlig den at skurkene lokker folk til at bruge deres
eget falske netværk i stedet for det hotellet tilbyder, eller et
offentligt hotspot.

Derved har de naturligvis helt andre muligheder for at sniffe trafikken
end det er tilfældet med eksempelvis firesheep.

---

Tommy <fjern_tdhansen@stofanet.dk> wrote:

> Den 29-05-2011 15:13, Axel Hammerschmidt skrev:

<snip>

> > Efter Firesheep, så har Hotmail gjort det muligt at vælge at benytte en
> > krypteret forbindelse. Gmail har vist hele tiden brugt krypteret
> > forbindelser.
> >
> > Men til sådan noget som netbank - med Nemid - kan man godt benytte en
> > åben trådløs forbindelse. De er krypteret fra ende til anden.
> >
> >
> > Jeg har ikke læst den norske artikel, men efter beskrivelsen så drjer
> > det sig om det såkaldte "evil twin" angreb. Men så opdager man sikkert
> > ret hurtigt, at noget er galt.
>
> Den artikel der linkes til omhandler så vidt jeg forstår det, en helt
> anden problematik, nemlig den at skurkene lokker folk til at bruge deres
> eget falske netværk i stedet for det hotellet tilbyder, eller et
> offentligt hotspot.

Det kalder man en "evil twin".

> Derved har de naturligvis helt andre muligheder for at sniffe trafikken
> end det er tilfældet med eksempelvis firesheep.

Hvordan undgår "skurken" at offeret ikke opdage det i det tilfælde?


--
Hi! I'm a signature virus. Copy me into yours and join the fun.

---

Per wrote:

> Vil en svindler også kunne opsnappe kodeordet, hvis det allerede er
> tastet ind i et program eller browser ?

Artiklen henviser formentlig til pakkeinspektion (sniffing) af trafikken
som passerer gennem det kompromitterede Access Point (hotspot), og ikke
keyloggers plantet på din PC, så om du selv taster dit password ind eller
om det er gjort på forhånd, gør ingen forskel.

Det som gør en forskel er om der bruges HTTP eller HTTPS (SSL), og
hvordan password verifikationen foregår (challenge-response eller sendes
password i cleartext over HTTP?).

Jeg ville ikke sende login information over HTTP hvis jeg brugte et
ukendt hotspot. Med HTTPS skal du holde øje med at der ikke er
certifikatfejl, da det kan være udtryk for at nogle prøver at hijacke
forbindelsen. Med HTTPS og et certifikat som din browser godkender uden
advarsler, er du rimelig sikker, selvom der er set eksempler på at HTTPS
certifikater bliver forfalsket.

Men selv med HTTPS er der muligheder for at stjæle dit password eller
login session. Hvis der kun bruges HTTPS til selv login delen (hvor du
sender password), er du sårbar over for ting som Firesheep
<http://en.wikipedia.org/wiki/Firesheep>

og dine login/session cookies kan også stjæles på mange andre måder
f.eks. via XSS angreb (cross site scripting).

IT sikkerhed er en svær ting, selv for de professionelle. Og her tænker
jeg ikke på amatørfirmaet Sony som fik PSN netværket hacket for nylig,
men på denne sag
<http://www.dr.dk/Nyheder/Udland/2011/05/29/102402.htm>

Bag denne grimme sag gemmer sig formentlig en total kompromittering af
RSA Secure ID som bruges rigtigt mange steder
<http://en.wikipedia.org/wiki/RSA_SecurID>

--
Jesper Lund