- Anzeige -

Unitymedia: Router der Kunden werden ins WLAN-Netz integrier

In dieses Forum kommen Themen über Unitymedia hinein, die nicht in andere Foren passen.

Re: Unitymedia: Router der Kunden werden ins WLAN-Netz integ

Beitragvon derpfeffi » 09.07.2016, 13:02

Oh man, Unitymedia - die behaupten doch glatt, mein gewähltes Passwort für meinen Wifi-Spot-Account wäre unsicher

6tS#G,+VOzKtX4C/

Was soll daran unsicher sein?

Ah, jetzt lese ich es:
Das gewählte Passwort ist unsicher. Bitte wählen Sie ein anderes Passwort, das mindestens eine Zahl, einen Großbuchstaben und einen Kleinbuchstaben enthält. Andere Zeichen dürfen nicht enthalten sein.


Sicherheit sieht in meinen Augen anders aus ;-) Aber ok, muss ich halt Keepass bissel "entschärfen" ;-)
2Play Premium 200 mit UploadBooster (Telefon-Komfort-Funktion); TV Digital; TV Start; HD Option
Fritz!Box 6490, Unitymedia HD Modul
Bild
derpfeffi
Kabelexperte
 
Beiträge: 171
Registriert: 03.03.2016, 14:54
Wohnort: Lünen

Re: Unitymedia: Router der Kunden werden ins WLAN-Netz integ

Beitragvon athurdent » 09.07.2016, 13:23

johnripper hat geschrieben:
athurdent hat geschrieben:
johnripper hat geschrieben:Wieso die nur die Hashes? Wenn ich ein Accesspoint aufstelle, ein self-signed Zertifikat installiere und alles an den nächsten UM WiFi Spot durchreiche, dann komme ich ohne weiteres an alle Daten. Klassicher Man-in-the-middle Angriff. Genau das ist ja das Problem mit Zertifikaten und den Trust den du (naja vielmehr dein OS) ihnen entgegenbringst.


Öhm, nein. Das Unitymedia Zertifikat, um das es hier geht, ist nur für den RADIUS Server, welcher die User Auth macht.
Nicht für die WLAN Verschlüsselung.


Öhm doch bzw. öhm genau. Solange ich den RADIUS Server nicht sauber identifiziert bekomme, ist der Rest doch vollkommen hinfällig. ICh zitiere aus deinem Artikel:
The first countermeasure is to enforce the client to validate the certificate [Anm: of the RADIUS Server] and avoid those client devices from connecting to the network when the control fails.

D.h.: Solange ich nicht sicher bin welchem Server ich hier die Zugangsdaten gebe, sollte es unterlassen werden.

Im Ergebnis wirst du mir ja wohl zustimmen, dass es wohl für so ein Netzwerk nicht zu viel verlang gewesen wäre ein gültiges Zertifikat von einer Root-CA für seinen Radius zu erhalten?
Alleine schon der Komfortgewinn dass nicht jeder "ok" klicken zu muss.

P.S. Ich stelle die Diskussion jetzt aber hier dazu ein, ich glaub es gehört hier nicht mehr hin.


Es ist in diesem Falle (öffentliches WLAN mit WPA Enterprise) leider relativ egal, ob das Server Cert von einer öffentlichen CA stammt. Du kannst Dir ja auch einfach ein gültiges Cert für Deinen Radius bestellen, dann müssen die Opfer bei Deinem HotSpot nichts wegklicken und bekommen von dem Betrug nichts mit, ausser dass sie sich nicht einloggen können weil Du ja bloss die Passwort Hashes mitloggst. Mit etwas Glück hast Du dann das gültige Passwort beim zweiten Mal einloggen und dann kannst Du natürlich alles mitlesen.
WPA Enterprise Schwäche, daher macht man sowas in Firmen i.d.R. mit 2-Factor Authentisierung. Du rollst den Clients z.b. noch zusätzlich ein persönliches Cert aus und das ist dann neben den Logindaten der zweite Faktor um reinzukommen. Oder verschickst Einmal-Passwörter per SMS zusätzlich zum normalen Login.

Dein oben beschriebenes Angriffszenario ist aber nicht realisierbar. Da Du den Artikel ja nun gelesen hast, wirst Du mir wahrscheinlich zustimmen, dass nicht jeder einfach so alles mitlesen kann.

Unitymedia versucht halt wohl, den Login für die Kunden möglichst bequem zu gestalten (zugegeben, noch bequemer wäre es mit einem Cert von einer öffentlichen CA) . Mit dem Ausrollen und Installieren von Zertifikaten wären die User überfordert. SMS verschicken ist ein Kostenfaktor. Und sich jedesmal auf einer Webpage einzuloggen ist auch nicht besonders bequem.

Ich bin jetzt auch aus der Diskussion raus :)
athurdent
erfahrener Kabelkunde
 
Beiträge: 67
Registriert: 19.09.2011, 19:50

Re: Unitymedia: Router der Kunden werden ins WLAN-Netz integ

Beitragvon addicted » 09.07.2016, 13:48

derpfeffi hat geschrieben:6tS#G,+VOzKtX4C/


correct horse battery staple?
addicted
Glasfaserstrecke
 
Beiträge: 1828
Registriert: 15.03.2010, 03:35
Wohnort: Paderborn

Re: Unitymedia: Router der Kunden werden ins WLAN-Netz integ

Beitragvon addicted » 09.07.2016, 14:00

athurdent hat geschrieben:Dein oben beschriebenes Angriffszenario ist aber nicht realisierbar. Da Du den Artikel ja nun gelesen hast, wirst Du mir wahrscheinlich zustimmen, dass nicht jeder einfach so alles mitlesen kann.

Ich betreibe einen falsche WifiSpot mit einem eigenen RADIUS.
Ich erlaube sämtliche Zugangsdaten.
Ein Client, der sich dort anmeldet, ist dann erstmal in meinem Netz. Wenn ich dem eine Route ins Internet gebe, wird er die verwenden.
Schon lese ich seinen Traffic mit.

Die Gefahr besteht nicht darin, dass die Passwörter abgegriffen werden, sondern der Traffic der Benutzer. Die Leute vertrauen dem Netzwerknamen und klicken die Zertifikatsmeldung weg, weil sie gelesen/gehört haben, dass man das machen muss.

Ich persönlich vertrete die Auffassung, dass mir Leute egal sind, die Fehlermeldungen nicht lesen. Da steht sowas wie "Sind Sie sicher?" - und 99% der Leute verstehen nicht, dass "ich weiß nicht was das bedeutet" eben "ich bin nicht sicher" ist. Wie bei demokratischen Wahlen ja auch...

Ich würde vielleicht einfach mal beim Kundensupport anrufen und nach dem Fingerprint des Zertifikats fragen. Ist sicher ein netter Zeitvertreib wenn ich mal wieder beim Friseur warten muss oder so.
addicted
Glasfaserstrecke
 
Beiträge: 1828
Registriert: 15.03.2010, 03:35
Wohnort: Paderborn

Re: Unitymedia: Router der Kunden werden ins WLAN-Netz integ

Beitragvon erzich » 09.07.2016, 14:56

Als Info:
Der wifispot nutzt eine andere IP4 Adresse im Internet als der eigene Zugang.
Der wifispot belastet nicht die eigene Leitung, es stehen insgesamt wirklich 10/1Mbit/s mehr zur Verfügung. (Vorher 210/9,7, nun 220/10,7)

Zur Sicherheit:
Wer extra einen fake hotspot aufbaut um Leute auszuhörchen oder zu betrügen ist schon ziemlich kaputt. Sehr persönliches oder Geldsachen sollte man eh am besten nie an fremden Anschlüssen machen und Sicherheitswarnungen nicht blind ignorieren. Natürlich kann jemand, wie bei allen bekannten Netznamen oder offenen hotspots, eine Falle aufstellen aber hoffentlich werden die wenigsten genug Langeweile haben das zu tun :)
erzich
erfahrener Kabelkunde
 
Beiträge: 54
Registriert: 28.04.2016, 18:46

Re: Unitymedia: Router der Kunden werden ins WLAN-Netz integ

Beitragvon athurdent » 09.07.2016, 15:03

addicted hat geschrieben:
athurdent hat geschrieben:Dein oben beschriebenes Angriffszenario ist aber nicht realisierbar. Da Du den Artikel ja nun gelesen hast, wirst Du mir wahrscheinlich zustimmen, dass nicht jeder einfach so alles mitlesen kann.

Ich betreibe einen falsche WifiSpot mit einem eigenen RADIUS.
Ich erlaube sämtliche Zugangsdaten.
Ein Client, der sich dort anmeldet, ist dann erstmal in meinem Netz. Wenn ich dem eine Route ins Internet gebe, wird er die verwenden.
Schon lese ich seinen Traffic mit.

Die Gefahr besteht nicht darin, dass die Passwörter abgegriffen werden, sondern der Traffic der Benutzer. Die Leute vertrauen dem Netzwerknamen und klicken die Zertifikatsmeldung weg, weil sie gelesen/gehört haben, dass man das machen muss.

Ich persönlich vertrete die Auffassung, dass mir Leute egal sind, die Fehlermeldungen nicht lesen. Da steht sowas wie "Sind Sie sicher?" - und 99% der Leute verstehen nicht, dass "ich weiß nicht was das bedeutet" eben "ich bin nicht sicher" ist. Wie bei demokratischen Wahlen ja auch...

Ich würde vielleicht einfach mal beim Kundensupport anrufen und nach dem Fingerprint des Zertifikats fragen. Ist sicher ein netter Zeitvertreib wenn ich mal wieder beim Friseur warten muss oder so.


Hatte ich oben bereits geschrieben:
Spendier Deinem fake RADIUS ein echtes Cert, dann braucht niemand mehr was wegklicken und garkeiner merkt was.
Oder spar Dir die Mühe und schalt die Verschlüsselung aus, verbinden sich auch noch genügend Leute.
Da Du aber nichts im Angebot hast (Deine Route ins Internet, dafür haftest ja Du selbst) und das auch nicht mal eben wie oben beschrieben als Man In The Middle an den nächsten UM WiFi Spot durchreichen kannst (dafür brauchst Du Logindaten), sind die Leute dann auch schnell wieder weg. Oder Du haftest halt für alles und nimmst das in Kauf.

Das einzig Interessante in diesem Falle sind doch nur noch die Benutzerdaten, und die kann man eben nicht einfach so mitlesen.

Internettraffic mitzuschneiden mit wie auch immer gearteten freien Hotspots gibt es viele Möglichkeiten, da brauchen wir nicht drüber diskutieren.
athurdent
erfahrener Kabelkunde
 
Beiträge: 67
Registriert: 19.09.2011, 19:50

Re: Unitymedia: Router der Kunden werden ins WLAN-Netz integ

Beitragvon johnripper » 09.07.2016, 15:29

athurdent hat geschrieben:Hatte ich oben bereits geschrieben:
Spendier Deinem fake RADIUS ein echtes Cert, dann braucht niemand mehr was wegklicken und garkeiner merkt was.
Oder spar Dir die Mühe und schalt die Verschlüsselung aus, verbinden sich auch noch genügend Leute.
Da Du aber nichts im Angebot hast (Deine Route ins Internet, dafür haftest ja Du selbst) und das auch nicht mal eben wie oben beschrieben als Man In The Middle an den nächsten UM WiFi Spot durchreichen kannst (dafür brauchst Du Logindaten), sind die Leute dann auch schnell wieder weg. Oder Du haftest halt für alles und nimmst das in Kauf.

Das einzig Interessante in diesem Falle sind doch nur noch die Benutzerdaten, und die kann man eben nicht einfach so mitlesen.

Ich wünschte du hättest deinen eigenen Artikel gelesen : ( Und am besten mein Posting von vorhin auch noch...
Dann hättest du nicht wiederholt was vorhin schon beantwortet wurde.

erzich hat geschrieben:Zur Sicherheit:
Wer extra einen fake hotspot aufbaut um Leute auszuhörchen oder zu betrügen ist schon ziemlich kaputt. Sehr persönliches oder Geldsachen sollte man eh am besten nie an fremden Anschlüssen machen und Sicherheitswarnungen nicht blind ignorieren. Natürlich kann jemand, wie bei allen bekannten Netznamen oder offenen hotspots, eine Falle aufstellen aber hoffentlich werden die wenigsten genug Langeweile haben das zu tun :)

Das Thema was ich abseits von der technischen Möglichkeit Nutzerdaten abzugreifen habe, ist doch ein anderes:
Die Leute werden hier von UM erzogen großzügig Warnmeldung zu ignorieren und durchzuklicken, ohne dass sie verstehen, was sie da eigentlich tun. Und das wirkt sich (langfristig) nicht nur auf Anmeldung am Hotspot sondern auch auf sonstige Warnmeldungen im Zusammenhang mit ungültigen Zertifikaten aus. Irgendwann interessiert es halt einfach keinen mehr ob da ein gültiges Zertifikat geliefert wird oder nicht. Dann kann ich es halt auch gleich sein lassen.
Office & Internet 150 @ Fritz!Box 6490, OS 6.50
johnripper
Übergeordneter Verstärkerpunkt
 
Beiträge: 832
Registriert: 06.02.2014, 20:29
Wohnort: Kabelbw-Land

Re: Unitymedia: Router der Kunden werden ins WLAN-Netz integ

Beitragvon derpfeffi » 09.07.2016, 15:43

addicted hat geschrieben:
derpfeffi hat geschrieben:6tS#G,+VOzKtX4C/


correct horse battery staple?


Nein, von Keepass generiert ;-)
2Play Premium 200 mit UploadBooster (Telefon-Komfort-Funktion); TV Digital; TV Start; HD Option
Fritz!Box 6490, Unitymedia HD Modul
Bild
derpfeffi
Kabelexperte
 
Beiträge: 171
Registriert: 03.03.2016, 14:54
Wohnort: Lünen

Re: Unitymedia: Router der Kunden werden ins WLAN-Netz integ

Beitragvon athurdent » 09.07.2016, 15:58

johnripper hat geschrieben:Ich wünschte du hättest deinen eigenen Artikel gelesen : ( Und am besten mein Posting von vorhin auch noch...
Dann hättest du nicht wiederholt was vorhin schon beantwortet wurde.


OK, wir kommen nicht weiter, ich empfehle Dir dann folgendes:
Probier das klassische Man In The Middle Szenario "Wenn ich ein Accesspoint aufstelle, ein self-signed Zertifikat installiere und alles an den nächsten UM WiFi Spot durchreiche, dann komme ich ohne weiteres an alle Daten." einmal aus und lass die Interessierten nachvollziehbar wissen, wie es gelaufen ist bzw. wie Dein Testsetup konfiguriert wurde.
Besonders der Part "an den nächsten UM WiFi Spot durchreichen" interessiert mich persönlich sehr.

Edit: Testsetup heißt selbstverständlich, unter Laborbedingungen und nicht an echten WiFi Spots testen.
Zuletzt geändert von athurdent am 10.07.2016, 14:37, insgesamt 1-mal geändert.
athurdent
erfahrener Kabelkunde
 
Beiträge: 67
Registriert: 19.09.2011, 19:50

Re: Unitymedia: Router der Kunden werden ins WLAN-Netz integ

Beitragvon Just » 10.07.2016, 11:39

Wie sieht es denn jetzt aus? Besteht ein reales Sicherheitsproblem wenn man seine Fritz Box frei gibt oder sind das eher theoretischen Probleme?
Just
Kabelexperte
 
Beiträge: 191
Registriert: 01.10.2008, 13:19

VorherigeNächste

Zurück zu Unitymedia allgemein

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 15 Gäste