Säkerhet kring öppet WiFi

Precis som rubriken lyder så undrar jag hur säkerheten är kring att ansluta till någons öppna nätverk? Bör man tänka om eller bör man bara skydda sig på nåt sätt?

Sen undrar jag också om det finns nån app som kan lista och logga öppna nätverk allt eftersom man traskar runt?

Tack på förhand
//Tobbe

 

Tänk om!
Busenkelt att sniffa trafik från folk som tror dom "tjuvsurfar" lite, så logga gärna in på banken, facebook etc. så du delar med dig av dina lösenord m.m.

 

Säkerhet och säkerhet, du ska aldrig lita på öppna trådlösa nätverk. Måste du använda dem sätt upp en VPN tunnel med kryptering så är du något säkrare.

Hade under en period ett öppet trådlöst gästnätverk (SSID: Free4all) som jag hade ett par hundra besökare i under 2 veckors tid. Jag loggade all trafik och många av dessa gäster kollade sin mejl, gjorde bankärenden mm som kräver inloggning av något slag. Det gjorde mig rätt förvånad att man litar så mycket på ett öppet nätverk. Så måste man använda ett öppet trådlöst nätverk utan VPN tunnel uppsatt så skulle jag aldrig göra annat än att surfa på sådant som inte kräver min inloggning.

 

Det där svaret sög ju njb

Finns det nåt man kan göra för att försvåra "sniffningen"? Jag har inga planer på att göra bankärenden i min telefon då jag är alldeles för paranoid för det men mycket enklare saker kan man ju göra men man vill ju oavsett känna sig relativt säker.

 

Du menar att inloggning på mail och bank skedde utan kryptering? Det är ju ganska galet.

 

Köra enbart krypterat är ju vettigt. https för inloggning på webb-grejer t.ex. Men för appar vet man ju inte alltid vad de använder för protokoll.

Väldigt många mail-program kan heller inte använda SSL för SMTP och POP/IMAP.

Vanlig FTP är ju också ren klartext.

 

Jo det kan jag iofs. hålla med om
Har retat mig på min bekantskaps krets som gör alla fel som bara är möjligt.
Allt från t.ex. istället för att fixa sin egen router så surfade en kompis på grannens trådlösa nät *suck* till att ha sin router helt öppen och inte bry sig om att stänga den... aaargh... Tyvärr så gjorde dom erfarenheterna att du fick ett litet spydigt svar

ehnvis nämde vpn och det är nog det enklaste sättet att skydda sig.

 

Lånar tråden lite för det berör iallafall samma ämne.
Görs google-, facebook-, twitter- och flickr-syncningen i android via krypterad uppkoppling eller skickas inloggningsinformationen i klarttext?
Dvs. behöver man vara orolig för att koppla upp sin androidmobil mot ett oskyddat nät för att surfa lite om den ligger och synkar i bakgrunden?

 

Många mejl körde utan kryptering då (var x antal år sedan jag gjorde detta) men bankerna var säkrare och körde med kryptering. Dock så är du ju inte säker för man-in-the-middle attacker.

@TLink, du som användare kan inte försvåra sniffningen på något annat sätt än att använda krypterade tjänster/vpn tunnel.

 

Nån som vet vad för krypterade tjänster det finns att tillgå till Android?

 

SSLStrip är ju annat ett fint verktyg för att strippa bort krypteringen för webinloggningar.

http://www.thoughtcrime.org/software/sslstrip/

Är man uppmärksam kommer man ju kunna se att allt helt plötsligt är HTTP istället men i övrigt så ser det ganska normalt ut. Annars kan man ju köra andra Man-in-the-middle-attacker med "falska" certifikat och liknande. Då kan ju dock ens browser reagera eftersom de inte signerats av en godkänd CA.

Vill man kan man ju sätta upp en VPN-tunnel till sin hemdator eller liknande med den inbyggda VPN-funktionen i Android 1.6 och senare och godtycklig mjukvara på hemdatorn.

 

Hur loggar man användningen av ens nät då? I ens dator eller gör något skript i routern det? Jag har experimenterat en del med länkar/repeatrar och har då kört utan kryptering för enkelhetens skull. Vore ju intressant att veta om någon kan ha sniffat det...

 

Var ett tag jag provade men BackTrack innehåller allt du behöver.
Vet att Wireshark är ett bra verktyg för att spela in nätverkstraffik och Cain & Abel för att sniffa lösenord m.m.

 

Vad jag hade uppsatt var en separat dator som hade ett trådat nätverkskort som var kopplat till min router (som har hand om internet accessen) sedan så hade jag ett trådlöst nätverkskort som jag körde som Access punkt. I denna maskin så lyssnade jag sedan med tshark på all trafik som gick mellan det trådlösa och trådade nätet.

 

Det är väldigt sant, men å andra sidan finns det inte heller något skäl att lita på en trådburen förbindelse som går via internet. Känsliga uppgifter som lösenord och liknande bör endast användas via krypterade protokoll utan att man gör några förutsättningar om att "förbindelsen är säker".

m v h Henrik

 

Ha, fan vad kul de ska bli när jag flyttar till lägenhet. Ska ha öppet nätverk bara för att lära folk att man inte ska sno ;D Hacka mailz hahaha

 

Visst visst, roa dig du med att lyssna av dina "gäster" precis som din internetleverantör lyssnar av dig. Om du använder informationen som du avlyssnat till att hacka email kan det dock komma surt efteråt.

m v h Henrik

 

Undrar om det skulle vara möjligt att sniffa trafiken med froyo (wifi tethering). Visst behövs lite speciella .so filer, men det går ju med rootad mobil

 

Borde gå tycker jag. Om inte trafiken på något sätt döljs för OSet så lär det bara vara att dra igång Andro Shark (förutsatt root) och logga hur mycket man vill. Ger fina pcap-filer. Inte testat än dock men kanske nåt att göra en regnig dag.

 

Tar o ställer min fråga igen.
Görs google-, facebook-, twitter- och flickr-syncningen i android via krypterad uppkoppling eller skickas inloggningsinformationen i klarttext?
Kan vara bra att veta ifall man ska stänga av synkroniseringen när man måste koppla upp sig via ett öppet nät.