[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Kein Online-Banking im öffentlichen WLAN
[Thread Prev] | [Thread Next]
- Subject: Re: Kein Online-Banking im öffentlichen WLAN
- From: Stefan Hagen <sh@xxxxxxxxx>
- Date: Sat, 21 Oct 2023 18:30:40 +0200
- To: uugrn@xxxxxxxxx
Christian Weisgerber wrote (2023-10-21 16:54 CEST): > Danny Edel: > > > Schritt 1: Anwender will auf sein Online-Banking gehen. > > > > Option 1 (sicher): Er klickt auf sein Lesezeichen, wo z.B. > > https://meine-bank.de/onlinebanking drinsteht. > > > > Option 2 (unsicher): Er gibt (nur!) meine-bank.de in die Adresszeile > > ein, der Browser erweitert das zu http://meine-bank.de und die Anfrage > > geht unverschlüsselt raus. Der böse Netzwerkadmin kann machen was er will. > > (Der Browser versucht heute https://meine-bank.de zuerst.) > > Ja diese Szenarien hatte ich im Hinterkopf. Der Browser kontaktiert > meine-bank.de:443, Connection refused, fällt zurück auf meine-bank.de:80, > und ... Ich empfehle bei Banken die Apps zu nutzen. Die Qualität ist lange nicht mehr so furchtbar wie vor 15 Jahren. Ich habe es hier über den Browser via SSL MiTM geschafft meine Online Banking Session mitzulesen. Sowohl die photoTan App, als auch die Banking App erkennen den MitM sofort, und melden sie wären offline. Obwohl das Zertifikat im System Store steckt. Zudem können die ganzen punnycode und url-tricksereien mit der App nicht passieren. Die Apps verbinden sich immer zur richten URL. Manche direkt auf eine IP - oder sie machen DoH oder kennen die Zertifkate. Wie viele Apps DoH nutzen, habe ich gelernt als ich das verhindern wollte um meinen eigenen Adblock DNS im Heimnetzwerk zu erzwingen. Browser lassen sich umbiegen. Apps nicht. Und es kommt inzwischen durchaus vor, dass security relevante Apps von Menschen gebaut werden die ihr Handwerk verstehen. > > Typischerweise wird er mit einem HTTP 302 Redirect nach > > https://klingt-so-ähnlich-wie-meine-bank.de antworten, also einer > > Webseite die er kontrolliert und für die er auch problemlos ein gültiges > > TLS-Zertifikat bekommt. > > Warnen aktuelle Browser an irgendeiner Stelle in diesem oben > skizzierten Ablauf? Jain, wenn Safebrowsing aktiv ist, dann kann es sein, dass so eine rote "Achtung, Phishing!" Seite hoch poppt. Aber da wir ja Privacy schätzen und die Safebrowsing APIs bei Google/Apple liegen, nutzen wir alternative Browser oder haben das rausgepatcht oder ausgeschaltet :-) > > Schritt 2.2: Zertifikatsvalidierung > > * Ist es von einer vertrauten CA ausgestellt? > > => Hier ist die Crux. > > Soweit ich mich erinnere, sind solche Angriffe bisher nur von > staatlichen Stellen gefahren worden, aber, wenn noch nicht geschehen, > ist es nur eine Frage der Zeit, bis Kriminelle mal bei einer CA > eindringen und sich eigene Zertifikate ausstellen. Sicherlich aber > ein geringfügiges Risiko gegenüber: > > > Erfolgreiche (!) Angriffe haben daher fast immer folgende Ursachen: > > > > (1) Der Benutzer hat NICHT https://meine-bank.de aufgerufen sondern > > https://klingt-so-ähnlich-wie-meine-bank.de > > Ja, darauf läuft es in Praxis hinaus. Ack. Bei Firmengeräten die zur privaten Nutzung freigegeben sind dürfte es allerdings regelmäßig der Fall sein, dass SSL offen liegt obwohl die Firma nicht wirklich Interesse am Online Banking hat. Ich leide hier ein bisschen unter Cisco[1]. Viele Grüße, Stefan [1] https://docs.umbrella.com/umbrella-user-guide/docs/enable-ssl-decryption -- Unix User Group Rhein-Neckar e.V.: https://www.uugrn.org Archiv und An-/Abmeldung: https://mail2.uugrn.org Social Media: https://social.uugrn.org
| Kein Online-Banking im öffentlichen WLAN | Werner Holtfreter <holtfreter@xxxxxx> |
| Re: Kein Online-Banking im öffentlichen WLAN | Christian Weisgerber <naddy@xxxxxxxxxxxx> |
| Re: Kein Online-Banking im öffentlichen WLAN | Werner Holtfreter <holtfreter@xxxxxx> |
| Re: Kein Online-Banking im öffentlichen WLAN | Danny Edel <mail@xxxxxxxxxxxxx> |
| Re: Kein Online-Banking im öffentlichen WLAN | Christian Weisgerber <naddy@xxxxxxxxxxxx> |