Hallo !

Habe mir unter mms://c36000-o.w.core.cdn.streamfarm.net/36000zdf/ondemand/3546zdf/zdf/zdf/08/12/081203_wlan_vks_vh.wmv das Thema WLAN Sicherheit angesehen. Eine Aussage des geladenen Experten verunsichert mich aber doch: man solle in Hotspots (Züge, Cafes etc.) kein Internetbanking / Mails oder andere sensible Informationen über das WLAN abgeben. Mit meinem (begrenzten) Kenntnisstand hätte ich jetzt Online Banking oder eine SS/L / TLS Verbindung zum Mailserver ohne Bedenken auch an einem Hotspot genutzt.. welche Gründe gibt es für diese Warnung ? Ist SSL mittlerweile angreifbar ?

Weil es theoretisch möglich wäre, das sich jemand zwischen deinem und dem Bankrechner klemmt und dir eine SSL-Verbindung zum Bankserver vorgaukelt. Dabei verbindet sich dieser wiederum selber mit dem Bankserver, quasi als (SSL-)Proxy, und dieser hat dann natürlich von dir alles Plain...

Genau deshalb auch "Man in the Middle".

Der bietet Dir eine (gefälschte) https-Seite mit seinem (echten, aber nicht zur Bank gehörenden) Zertifikat an.

Da > 99% der User weder das Zertifikat prüfen, noch misstrauisch werden, warum ein neues Zertifikat "ausgestellt" wurde, klicken die auf OK/Annehmen/Whatever und => Game Over.

Wenn Du die 99% für zu hoch angesetzt hältst, dann empfehle ich (allerdings nicht nur deshalb) diesen Vortrag.

http://www.doxpara.com/DMK_BO2K8.ppt (ab Folie 63)

Das Video dazu ist auch absolut sehenswert (auch aus humoristischer Sicht, der Junge haut so richtig auf die Sahne):

http://www.blackhat.com/presentations/bh-usa-08/Kaminsky/08_bhb_od2_slides.m4v

Greetz,

RM

cooles Video!!!

Danke ! Ich hielt SSL für sicher so lange man Zertifikats-Warnungen bemerkt.. nach diesem Vortrag würde ich mich allerdings auch hüten an einem großen Hotspot (wo sich solche Tricks finanziell lohnen würden) I-Net Banking oder ähnliches zu betreiben ....

Danke ! Ich hielt SSL für sicher so lange man Zertifikats-Warnungen bemerkt.. nach diesem Vortrag würde ich mich allerdings auch hüten an einem großen Hotspot (wo sich solche Tricks finanziell lohnen würden) I-Net Banking oder ähnliches zu betreiben ....
Wieso? das ist doch "sicher" wenn Du nicht bei eventuellen Zertifikats-Fehlern einfach weiter, ok, annehmen,... oderso drückst.
Was ja viele machen die es nicht besser wissen wie Rain_maker schon sagte.

dies war für mich auch mal der grund wieso ich für meine eigenen zertifikate die ich nur intern brauche, eine eigene CA gebaut habe - sonst merkst du es wirklich kaum....

wer mal tips braucht, ich hab n' gutes manual irgendwo

dies war für mich auch mal der grund wieso ich für meine eigenen zertifikate die ich nur intern brauche, eine eigene CA gebaut habe - sonst merkst du es wirklich kaum....

wer mal tips braucht, ich hab n' gutes manual irgendwo
So ein Aufwand! Warum nimmst nicht CAcert (http://www.cacert.org/index.php?lang=de_DE)?

CAcert? So ein Aufwand....

ich rede hier von einer zwei - 3stelligen anzahl zertifikate....

zweistellige anzahl von Sun-Iloms, Firewalls, Accesspoints, eigene intranetseiten, Firmeninterne Persönliche X509 Zertifikate z.b für VPN access, Webmin, Webmail, oder Z.b RDP Server SSL idenditäten und so.....


das alles via CaCert laufen zu lassen => ich bin schneller mit der eigenen... ist eh für den internen gebrauch...

OK ich weiß nicht wie das da bei Dir aussieht aber wenn Du es sagst dann wirds schon so einfacher sein.

Ich habe nur einen server Zuhause da leuft ein Apache und mehrere Webinterfaces deswegen hab ich einfach stunnel genommen da brauch ich nur 1 Servercertifikat.

OK ich weiß nicht wie das da bei Dir aussieht aber wenn Du es sagst dann wirds schon so einfacher sein.

Ich habe nur einen server Zuhause da leuft ein Apache und mehrere Webinterfaces deswegen hab ich einfach stunnel genommen da brauch ich nur 1 Servercertifikat.

jap, da ist ein kleiner faktor dazwischen ;)

ich betreu einige kunden als consultant, welche auch auf interne serverdienste und lösungen innerhalb eines weltweiten intranet (m0n0wall sei dank) zurückgreifen....

Jedenfalls erhärtet das meinen Verdacht dass die Anbieter die per Web Dienste verkaufen nicht unbedingt genug für die Sicherheit tun.. offensichtlich wird noch nicht genug betrogen (siehe der neueste Fall mit angeblich 21 Millionen deutscher Kunden- und Bankdaten auf dem Schwarzmarkt ) .. durch diese "forgot my Password" Dinge verstehe ich jetzt auch warum so viele Spammer versuchen neue Mailadressen zu sammeln ...