[Le Inc]

link :: Eesti Päevaleht


Eesti päevalehe vahendusel saame teada et keegi tubli ameerikamaalane Eric Butler lõi laheda plugina Firefox'ile mis näitab parooliga kaitsmata veebiliiklust. Sellist lahedat ajaviitmist võib harrastada näiteks wi-fi võrkudes, kus ei kasutata võrgu kaitsmiseks parooli (avalikud võrgud).

[Betamax]

Vana asi uues kuues. Nüüd tehti lihtsalt arvutivõhikutele häkkimiseks-kräkkimiseks GUI.
Aga positiivne, et selline asi avalikustati. Ehk aitab kaasa interneti turvalisemaks muutmisel

[psydeblo]

Vahva vidin

[Invention]

Kas kasutamine seadusega vastuolus pole või võibki niisama igale poole "häkkida"?

[korsten]

[R A T]

Mina seda igatahes tööle ei ole saanud 64bit win 7 all. Installisin ilusti selle winpcapi ka (või misiganes see oli). Alles eile veel üritasin viimati

[hvk]

Kas ta mitte 32bit only pole?

[Andrus Luht]

hvk, sama ka firefox'iga vist? Enne v4'ja pole ka x64'ja oodata...

[psydeblo]

System Requirements

* Mac OS X: 10.5 or newer on an Intel processor.
* Windows: XP or newer. Install Winpcap first!
* Linux: Not currently supported.
* Firefox: 3.6.12 or newer. 32-bit only. Firefox 4.x beta not supported.

[ibndaud]

Andrus- mingid mozillalised 64 bit asjad ammu juba liikvel- näiteks SeaMonkey.
Samuti on Firefox'i 64 bit beetad saadaval.
http://wiki.mozilla-x86-64.com/SeaMonkey:Download
http://www.mozilla-x86-64.com/

[Andrus Luht]

ibndaud, tean, need on mingid entusiastide kokku lastud asjad. Ametlikku firefox'i x64 pole enne versioon 4'ja oodata, kui siiski...

[laurx]

MSE kukub kilkama, et tegemist on hacktooliga. sidebar i ei tekkinud.

[Mario.]

Ei midagi uut.
Paar nädalat tagasi proovides 3.6.3-e peal joosta ei soovinud. Lisaks sellele on veel ekstra plugin twitteri jaoks.. idiocy... vm.


https

[R A T]

Sheisse, arvasin kohe, et 64bit issue...
A mida te üldse 64bit firefoxi taga nutate? Ma kasutan 80% progedest 32bitisena...
64 bitine brauser tahab ka 64bit plugine (flash, java etc) ja nendega on nussi oioi kuipalju...

[Speedee]

Tehke heategu. Kui kuskil pubis või sööklas olete, kus avalik WiFi olemas, siis demoge seda oma sõbraga koha juhatajale. Üks on näoraamatus, kui teine hijack'ib Tulilambaga teise FBi seansi.
Kui juhataja vähegi hoolib, laseb ta oma avaliku WiFi ühenduse turvaliseks muuta. Et külastajad saaks lihtsalt sisse logida, ilma, et peaks kuskilt parooli otsima/küsima, lisada SSIDle parool: Kohanimi (parool on: pass).

[Mario.]

Speedee, sinu idee ei klapi probleemi olemusega.
Konks on selles, et paljud keskkonnad kasutavad krüpteeritud ühendust VAID sisselogimisel ja edasine tegevus toimub ühe küpsise baasil. Kui peale kasutajate sisselogimist samas wifi võrgus olles (sama ip peab olema) küpsis pätsa panna, oled varastanud sessiooni. Siin ei ole mingit seost, kas wifi omab parooli või mitte.
Teine probleem on see, et mitmed veebisaidid ei kasuta sisse logimiseks turvalist ühendust, vaid tavalist http protokolli, üle mille info liigub samuti krüpteerimata kujul - siin ei tule pädeva kiibi olemasolul võrkugi ühenduda, vaid pakette võib korjata kõrvaliselt ning kasutajanimi/parool ongi olemas.

Niiet võrkudes, mis ei asu kodus ja kus on oht ebapädeva veebiteenuse korral tavaühendus saada http kujul, kasutage vpn'i, proxy't või https://www.eff.org/files/https-everywhere-latest.xpi . Viimane on endal kasutusel, mis sunnib serverit looma https ühenduse. (vt. https://www.eff.org/https-everywhere/rulesets )

[Speedee]

MarioA., kui WiFi ühendus on klientide ja AP vahel krüpteeritud, siis mis moodi sa saad kätte teise kasutaja küpsise/andmed?
See, mis sa kirjutasid on õige. Aga mina kirjutasin sellest, kuidas välitda lihtsalt seansside kaaperdamist.

[Mario.]

Õigus. Oli tunne, et midagi jäi puudulikuks. Olles aga võrku (wpa/wpa2) ühendunud, võtad kasutusele wireshark`i, püüad ühendava kliendi "4-way handshake'id" ning dekrüpteerid. Kui handshake'id jäid saamata, saadad võltsi deautenteerimispaketi (selleks siis võltsid AP MAC aadressi), mis sunnib kliendi automaatselt uuesti handshake'ima ja saad võtmed dekrüpteerimiseks kätte.
WEP korral on kõik krüpteeritud võtmega, mida kasutasid võrku ühendamiseks ja see-eest veel lihtsam.

https kaaperdamine pole ka eriline keemia.. paar aastat tagasi oli sellest defconi'l juttu.. küpsis saadeti ikkagi üle http, mille sai siis vahelt ära napsata.

[tahanteada]

Selline kohviku-WiFi on nagunii ajalukku kaduv nähtus . Nii, et kohvikupidaja ei kaota midagi, kui Wifi välja lülitab, kuna kõigil läpatsite omanikel on tänapäeval nagunii olemas Mobiilinterneti vahendid, kas siis USB-modemite või 3G telefonide näol jne.
Lisaks sellele säästetakse hoopis raha kõikvõimalikelt Wifi-seadmetelt ja pole vaja õiendamis, et kes häkerdab ja kes mitte...

Ja kellel juhuslikult pole mobiilinternetti, see saab raha eest osta interneti-aega kohviku enda interneti-arvuti taga.
--------------------------------------------
Ma külastasin ise viimati interneti-kohvikut a 3,5 aastat tagasi ja siis oli samuti, et aeg maksis ja siis sai kohviku enda arvutit kasutada.
Ja kui mul pole läpparit kaasas, siis saab kõik asjad ka üle telefoni / WAP-i ära teha.

[inc]

Tohoh, polnudki sellest teadlik.
Kas WPA-PSK ja WPA2-PSK krüptitud võrgud on selle eest täielikult kaitstud?

[piraat262]

inc, ükski asi pole kaitstud. Kui sa juba võrgus sees oled, ei ole midagi rasket kas või teise arvuti pakettide läbi enda arvuti WiFi-purgini transportimises ja tagasi.

[Mario.]

[tahanteada]

Kõik tegelevad juba paaniliselt kaitselahenduse leidmisega.

http://blog.kahvel.ee/2010/10/kuidas-surfata-avalikus-vorgus-turvalisemalt/

[Andykas]

WPA handshakega ei saa küll keegi pakette lihtsalt lugema hakata, ainus mida deauthiga saab teha on ddos. Sai isegi seda deauth floodi kunagi ühe presentatsiooni ajal tehtud, nalja kui palju...
Handshake abil on muidu võimalik directory attacki teha. Alles siis kui AP parool on käes võid hakata pakette lugema. Kui AP-l juhtub olema vähegi mõistlik (abstraktne ja/või pikk) parool siis kuluks sellise murdmiseks paarsada aastat.

Kui avalikule võrgule pannakse parool peale ja seda levitatakse näiteks SSID (võrgunime) kaudu siis pole mingi probleem MITM meetodit kasutada ja ikkagi andmed varastada ilma füüsiliselt pakette lugemata. St - senikaua kuni on sisevõrgule ligipääs, siis senikaua saab ka mitm kasutada.

Avalikus võrgus on üldse kahjuks nii, et seal ei saagi kunagi enda turvalisuses kindel olla, vähemalt senikaua kuni ei kasutata vpn/ssl vms lahendusi. Kes tahab lihtsat ja lollikindlat lahendust (see on tõesti väga robustne) - andke kodusele masinale remote desktop ligipääs (vnc/win/tviewer jne).

Ma ise tavaliselt avalikes võrkudes kusagile sisse ei logi, kui siis ainult https toetavatele lehtedele. Küpsiste varastamist eriti ei karda, ma login alati välja, st php sessioon lõpetatakse ja küpsised lihtsalt ei kehti enam.

[Mario.]

WPA võrgu PSK'd teades ja handshake'i püüdes on võimalik kogu info dekrüpteerida. Hetkel me ei räägi WPA võrgu enda kräkkimisest, vaid kuidas kliendi ja ruuteri vahelist andmevoogu kolmanda osapoolena ka krüpteeritud võrgus mõista.

Ainuke turvaline viis ükskõik mis võrgus võimalikult kaitstud ühendust luua on ikka end-to-end tunnelid.

[Ra*]

[tahanteada]

Ra*: Muide - paljudes moodsates arvutites on sul juba 3G-kaart sisse ehitatud. Paned aga SIM-kaardi pessa ja muudkui surfad.

Ja mis kohvikutesse puutub, siis olen ma viimael ajal järjest rohkem näinud, kuidas käib "USB-modem" USB-pessa ja siis käib muudkui surfamine.
-----------------------------------------
Ma ise pole kunagi veel pidanud läpparit kaasas lohistama ja siis mingit tasuta WiFi-t taga otsima. USB-modem töötab igal pool, kaasa arvatult seal, kus pole mingeid WiFi-võrke olemas. Mul on praegugi läpparis USB-modem küljes - surfab nii, et vähe pole...

[Andykas]

[Mario.]

WPA/WPA2 kasutavad liikluse krüpteerimiseks võtmeid EAPOL handshake'ist.

[2Fast4You]

Nüüd mingi aeg tagasi tuli ka sellele asjale vasturohi välja: FireShepherd (googeldades leiate kindlasti) kuigi kahjuks see hetkel windows only.

[Ra*]

[tahanteada]

OT: Tiirutasin täna üksjagu Tallinnas ringi ja õnnestus näha ainult ühte kodanikku, kes kohvikus, paar minutit läpparis midagi tegi. Ülejäänud igal pool olid kohvitajad, kes ei tassinud mingeid läppareid endaga kaasas.
- Ja selles valguses on küll kohvikuomanikul mõttetu teha tuhandeid või kümneid tuhandeid kroone kulutavaid üritusi - nagu interneti kuumaksud, kõikvõimalike ruuterite ostmised ja administraatori kulutused, et see süsteem pidevalt töötav oleks.

Ning veel lisaks see, et kui kõrgeks kujuneb sel juhul see tassi kohvi / või prae hind, kui sellele "otsa keevitatakse" ka "näiliselt tasuta jagatava interneti" kulutused.

[Miki-Hiir]

[tahanteada]

Miki-Hiir: No ükski kohvikuomanik pole nii loll, et oma firma võrku hakkab kokku ühendama oma avaliku võrguga, kuna selle võrgu kaudu saab häkkida ka firma enda võrku.

Ja siis on omanikul kaks varianti:
- kas võtab ISP-lt kaks iseseisvat võrku
-või ostab keeruka ruuteri koos keeruka administreerimisteenusega - et mõlemad võrgud töötavad ja vastastikku teineteist ei segaks või et Wifi kaudu firmavõrku kokku lasta või häkkida ei saaks.
-----------------------------------
Ja nüüd väike arvutus:
Internet avaliku võrgu tarbeks: a 500 krooni kuus = 6000 krooni aastas
Ruuter - korralik ja kallis, mis töötab veavabalt 24h ööpäevas: = a 2000 krooni
Igakuuline, tellitud hooldus = a 1000 kuus = 12 000 krooni aastas
---------------------------------
Kokku aastas: 20 000 krooni.

Ja et mitte olla kahjumis, siis tuleb see summa 20 000 krooni "väänata" otsa kohvile, saiakeste ja praadide hindadele.

Nii, et see utoopiline "tasuta internet" pole kunagi tasuta olnud. On kaks võimalust - et kohvikupidaja taob selle raha omast rahakotist kinni või väänab hindadele otsa.
--------------------------------
Mina tahan küll osta kohvi ilma selle "müütilise tasuta interneti-hinnalisandita", kuna ma saan kõik vajaliku üle oma mobiiltelefoni ära teha ja mul pole vaja mingit teenust, mida nagunii tasuta ei saa....

[Miki-Hiir]

Tänapäeval pole ka ükski ruuter nii loll, et ei suudaks wifit ja lani eraldatuna hoida. Enamus wifi ruutereid suudavad isegi iga wifi kliendi eraldi võrgus hoida. Ei ole vaja keerukat ruuterit keeruka administreerimisega. Loomulikult kui panna mingi PC ruuterina tiksuma, siis võib sinna ruuterisse raketi ehitada ja administreerida nõrkemiseni.
Lisaks ei pea ruuter töötama 24h ning wifi klientidele ei pea olema garanteeritud teenus vaid lihtsalt boonus, mis on kvaliteedilt "as is".

Hindadest ka. Mida on tänapäevase ruuteri puhul administreerida 1000 kr eest kuus? Sätid üks kord üles ja töötab kuni katki läheb. Korralik ruuter ei maksa tänapäeval enam 2000 kr, vaid pigem 1000 kr ringis (Netgear näiteks). Samuti ei pea kulutama internetiühenduse alla 500 kr/kuus. Võib aga ei pea. Kohviku netikoormus ei ole nii suur - seal ei käida filme tõmbamas vaid pigem niisama surfamas ning samaaegseid kasutajaid on heal juhul 10.

Kohvi hinnalisandina 20 tuhat aastas on kõige pisem lisand. Oluliselt rohkem maksad sa kohvi lisandina kasvõi võimaluse eest kaardiga maksta. Rääkimata sellest, et kohvi müük on kohviku kõige kasumlikum teenus üldse

Kokkuvõttes ... oleme selle kohviku teemal jahumisega vist teemast väga mööda läinud. Aga ... iga võrk on täpselt nii turvaline kui turvaliseks see ehitatakse. On küllalt hotellide wifi võrke ilma igasuguse paroolita ja kõik kasutajad oma sensitiivsetest andmetest kubisevate sülearvutitega tundide viisi ühises võrgus. Eks iga kasutaja vaatab ikka ise kuidas oma andmeid hoiab või kui vabalt ja kus jagab.

[tahanteada]

Eelpooltoodule lisaks veel see, et müüt "tasuta internetist" juba oma 10-15 aastat vana ja kõik usinasti loevad-kuulevad seda müüti ja siis loodavad, et see nii on.

Samas tulemata selle peale, et "tädikesed kohvikus" oma tassi kohviga ja paari saiaksesega maksavad kohvi ja saiakeste eest lisasummad, millega seda "utoopilit tasuta internetti" üleval peetakse.
------------------------------------------
Ja on olemas veel üks probleem, miks paljud kõikvõimalikud kohvikupidajad ja tasuta võrkude jagajad on oma võrgus "kinni keeranud", on see, et lähmate majade elanikud riputavad enda aknatagused täis WiFi-vastuvõtu antenne, et sedasama kohviku signaali kinni püüda ja siis seda tasuta tarbida.

[Ra*]

BlackSheep - A Tool to Detect Firesheep
http://research.zscaler.com/2010/11/blacksheep-tool-to-detect-firesheep.html?