Heise: Vorsicht im Zug: WIFIonICE manipuliert PayPal (Allgemeines Forum)

br752 @, Freitag, 19. Mai 2017, 16:06 (vor 92 Tagen)

Heise schreibt: Vorsicht beim Shoppen im Zug: WIFIonICE manipuliert PayPal

Das kostenlose Funknetz der Bahn verhindert eine gesicherte Verbindung zum Bezahldienstleister PayPal und liefert dabei ein dubioses Zertifikat. Andere HTTPS-Verbindungen sind anscheinend nicht betroffen
...
Eher schon könnte es sein, dass etwa auf Grund einer Fehlkonfiguration im DNS die Verbindung zu einem falschen Server umgeleitet wird (was ich dummerweise nicht mehr getestet habe). Wir werden dem jedoch weiter nachgehen und haben bei der Deutschen Bahn bereits nachgefragt, was da passiert. Bis die das Rätsel auflöst, sollten Sie lieber keine Bezahlvorgänge oder andere wirklich wichtige Dinge im WIFIonICE der Bahn tätigen. (ju)


Vielleicht kann ja einer der BC100 Besitzer oder anderen Vielfahrer aus dem Forum hier unterstuetzen und sich mal beim c´t Redakteur melden.

Heise Impressum
Redaktion c't: Tel.: +49 [0]511/5352-300


BR752

Heise: Vorsicht im Zug: WIFIonICE manipuliert PayPal

arne, Freitag, 19. Mai 2017, 18:32 (vor 92 Tagen) @ br752

Heise schreibt: Vorsicht beim Shoppen im Zug: WIFIonICE manipuliert PayPal

Das kostenlose Funknetz der Bahn verhindert eine gesicherte Verbindung zum Bezahldienstleister PayPal und liefert dabei ein dubioses Zertifikat. Andere HTTPS-Verbindungen sind anscheinend nicht betroffen

Interessant. Ich hatte gestern etwas kaufen wollen und die paypal-Seite wollte nicht laden. Ich dachte dann ehrlich gesagt, dass das WLAN mal wieder schwächelt (und habe es dann später über Handynetz nachgeholt).

Heise: Vorsicht im Zug: WIFIonICE manipuliert PayPal

moonglum ⌂ @, Hagen, Freitag, 19. Mai 2017, 20:17 (vor 92 Tagen) @ arne

Das ist ja der Hammer....
Was macht das Zertifikat dort im Netz. Wer hinter der besagten IP steckt, kann man ja experimentell abfragen; auf alle Fälle Jemand, der dort mit Sicherheit nicht hingehört :-(

--
Schöne Grüße,
bevorzugt aus den EC 6/7/8/9, ICE 102, 103 und 515
Web: www.bio12code-institut.eu
Foto: EC9 in Wuppertal Hbf
(Gewitterumleitung 15.6.14)
[img]http://abload.de/img/img_4408g6yu6.jpg[/

Heise: Vorsicht im Zug: WIFIonICE manipuliert PayPal

ICE-TD, Freitag, 19. Mai 2017, 19:15 (vor 92 Tagen) @ br752

Ich bin kein Computer- oder Internetexperte, aber ich würde über ein offenes WLAN nie irgendwelchen Zahlungsverkehr, Onlinebanking o.ä. machen.

Heise: Vorsicht im Zug: WIFIonICE manipuliert PayPal

Reservierungszettel @, KDU, Freitag, 19. Mai 2017, 19:28 (vor 92 Tagen) @ ICE-TD

Ich bin kein Computer- oder Internetexperte, aber ich würde über ein offenes WLAN nie irgendwelchen Zahlungsverkehr, Onlinebanking o.ä. machen.

Sehe ich auch so.

Heise: Vorsicht im Zug: WIFIonICE manipuliert PayPal

ICETreffErfurt ⌂ @, Eisenach, Freitag, 19. Mai 2017, 19:39 (vor 92 Tagen) @ ICE-TD

Ich auch nicht. Überhaupt mache ich Online-Banking nur zu Hause und meistens am Desktop, welcher mit klassischem Ethernet-Kabel am Router angeschlossen ist.

Heise: Vorsicht im Zug: WIFIonICE manipuliert PayPal

ICE1223-Limburg ⌂ @, FNS/FLIS/KHIS, Freitag, 19. Mai 2017, 20:02 (vor 92 Tagen) @ ICE-TD

Ich bin kein Computer- oder Internetexperte, aber ich würde über ein offenes WLAN nie irgendwelchen Zahlungsverkehr, Onlinebanking o.ä. machen.

Da muss man auch kein Experte für sein, um zu erkennen, dass das nicht zu empfehlen ist.

Ich erledige Online-Zahlungen nur an meinem PC übers Heimnetzwerk. Am Smartphone würd ich sowas nie machen.

--
ICE-TD - Erinnerung an die Baureihe 605

Abschied n-Wagen Schwarzwaldbahn

[image]

Wer Paypal auf einem ungesicherten Netzwerk nutzt...

J-C @, Da, wo ich grad gedanklich nicht bin., Freitag, 19. Mai 2017, 19:43 (vor 92 Tagen) @ br752
bearbeitet von J-C, Freitag, 19. Mai 2017, 19:44

...ist selber Schuld.

Sagt der, der grad über ein ungesichertes Netzwerk hier postet :-P

--
Wer das liest, ist...

Heise: Vorsicht im Zug: WIFIonICE manipuliert PayPal

tommie, Freitag, 19. Mai 2017, 22:54 (vor 92 Tagen) @ br752

So, die Kommentare laufen hier ja in ähnliche Richtungen wie im Heise-Forum, daher möchte ich die Gelegenheit nutzen, einige Missverständnisse aufzuräumen. Gerade beim Thema "WLAN" sprudelt immer einiges an Halbwissen und Cargo-Cult-Know-How nach oben.

* "Ein WLAN ist immer unsicher, Kabelnetze sind viel besser."

Das ist falsch, denn ein privates WLAN ist in der Regel verschlüsselt und damit nur einer geschlossenen Benutzergruppe zugänglich - in ein Kabelnetz kann sich jeder einklinken und alle übertragenen Daten belauschen und/oder manipulieren. Das ist aber kein Problem, wie wir gleich sehen werden...

* "In einem öffentlichen WLAN macht man ja auch kein Online-Banking, das sollte man zu Hause am eigenen Router machen."

Auch das ist offensichtlich Unfug, wenn man bedenkt, dass die Kommunikation zwischen dem eigenen Rechner und der Bank über zahlreiche Stationen weitergeleitet wird. Jede davon kann die Pakete nach belieben mitlesen, umleiten, unterdrücken oder sonstwie manipulieren - und natürlich auch jeder, der Zugriff auf die Leitungswege dazwischen hat. Die Luftstrecke vom Notebook zum WLAN-AP ist daher zu vernachlässigen, wenn an die Kommunikation wirklich sichern will. Der eigene Internet-Zugang zu Hause bietet da global gesehen kein bisschen Sicherheit mehr, das ist ein absoluter Trugschluss.

Daher gibt es ja Verschlüsselung, die ja in diesem Fall auch erkannt hat, dass die Daten eben nicht bei Paypal, sondern bei Maersk landen (dazu später mehr).


Was ist jetzt also genau im ICE passiert? Als ich die Heise-Meldung heute Mittag gelesen habe, habe ich sofort überprüft, wo www.paypal.com und die in der Meldung genannte Reederei-Seite genau gehostet werden:

stefan@handoergli:~$ host www.paypal.com
www.paypal.com is an alias for www.paypal.com.akadns.net.
www.paypal.com.akadns.net is an alias for pprussia.www.paypal.com.akadns.net.
pprussia.www.paypal.com.akadns.net is an alias for ppdirect.paypal.com.akadns.net.
ppdirect.paypal.com.akadns.net is an alias for wlb.paypal.com.akadns.net.
wlb.paypal.com.akadns.net is an alias for www.paypal.com.edgekey.net.
www.paypal.com.edgekey.net is an alias for e3694.a.akamaiedge.net.
e3694.a.akamaiedge.net has address 2.19.69.23

Über fünf Umwege teilt das Telefonbuch des Internets uns also mit, dass Paypal seine Webpräsenz über das Content-Delivery-Netzwerk des weltweiten Hosters Akamai verteilt. Wo hat wohl Maersk seine Daten liegen?

stefan@handoergli:~$ host apid.maerskline.com
apid.maerskline.com is an alias for apid.maerskline.com.edgekey.net.
apid.maerskline.com.edgekey.net is an alias for e2742.a.akamaiedge.net.
e2742.a.akamaiedge.net has address 2.20.17.149

Tada, das gleiche Inhaltsverteiler-Netzwerk.

Das wäre alles kein Problem. Ohne im ICE gesessen zu haben, kann ich nur Vermutungen anstellen. Ich vermute, dass das ICE-WLAN bestimmte Optimierungen bei den Verbindungen vornimmt, um den Datendurchsatz zu steigern; dazu gehören zum Beispiel, dass die oben genannten DNS-Anfragen im Zug oder der Bodenstation zwischengespeichert (gecachet) werden, um sie bei Bedarf schnell wieder an andere Clients im Zug zustellen zu können. Da spricht nichts gegen, das ganze Internet funktioniert so. Gerade im Mobilfunkbereich werden jedoch durch die Provider gerne Abkürzungen genommen, um noch ein bisschen mehr Leistung herauszukitzeln, da werden Verbindungsanfragen zum Beispiel direkt von einer Zwischenstation des Providers angenommen, der dann im Hintergrund die echte Verbindung zum eigentlichen Ziel aufbaut und anschließend zwischen diesen vermittelt. Die Nebenwirkungen der Latenzen im Mobilfunkbereich (die ja auch im ICE-WLAN existieren) kann man so vermeiden. Vermutlich läuft hier irgendetwas schief, so dass die Verbindungen, die eigentlich zu Paypal gehen sollten, an die Maersk-Gegenstelle gesendet werden. Die Browser erkennen das und würgen die Verbindung ab: bestellt wurde www.paypal.com, geliefert wurde apid.maerskline.com, also Annahme verweigert.

Achja, damit können wir auch direkt das nächste Argument entwerten

* "Ich mache sowas nur über das Mobilfunknetz, da kann sowas nicht passieren!"

Die Mobilfunk-ISPs haben diese Optimierungen erst eingeführt, ebenso gelten auch hier die Argumente bezüglich des Internetzugangs von zu Hause: das Internet ist offen für viele, die Daten laufen sichtbar über viele Drähte - und wenn die Verschlüsselung nicht von Anfang (Notebook) bis Ende (Bankserver) reicht, ist eh alles für die Katz. Weder euer Mobilfunk- noch euer Heimnetz verfügt über irgendwelche Superkräfte, die ein Abhören eurer Daten verhindern, dafür gibt es Kryptographie - die hier auch hervorragend und genau wie geplant funktioniert hat.

Klasse beschrieben! Danke! :)

sflori @, Samstag, 20. Mai 2017, 00:10 (vor 92 Tagen) @ tommie

- kein Text -

Dem kann ich mich nur anschließen.

heinz11 @, Samstag, 20. Mai 2017, 09:48 (vor 91 Tagen) @ sflori

- kein Text -

Heise: Vorsicht im Zug: WIFIonICE manipuliert PayPal

Aphex Twin, Samstag, 20. Mai 2017, 01:10 (vor 91 Tagen) @ tommie

* "In einem öffentlichen WLAN macht man ja auch kein Online-Banking, das sollte man zu Hause am eigenen Router machen."

Auch das ist offensichtlich Unfug, wenn man bedenkt, dass die Kommunikation zwischen dem eigenen Rechner und der Bank über zahlreiche Stationen weitergeleitet wird. Jede davon kann die Pakete nach belieben mitlesen, umleiten, unterdrücken oder sonstwie manipulieren - und natürlich auch jeder, der Zugriff auf die Leitungswege dazwischen hat. Die Luftstrecke vom Notebook zum WLAN-AP ist daher zu vernachlässigen, wenn an die Kommunikation wirklich sichern will. Der eigene Internet-Zugang zu Hause bietet da global gesehen kein bisschen Sicherheit mehr, das ist ein absoluter Trugschluss.

Einen nicht-technischen Grund in der Öffentlichkeit Online-Banking zu vermeiden, ist das Loginnamen, Kontonummern und für geübte Leute, denen dir mir über Schulter schauen relativ zugänglich sind. One-Time Tokens verhindern zwar beim Online-Banking normalerweise vollkommenen Zugang, aber auch ein Teilverlust von Zugangsdaten schwächt das System.

Heise: Vorsicht im Zug: WIFIonICE manipuliert PayPal

tommie, Samstag, 20. Mai 2017, 17:45 (vor 91 Tagen) @ Aphex Twin
bearbeitet von tommie, Samstag, 20. Mai 2017, 17:45

Einen nicht-technischen Grund in der Öffentlichkeit Online-Banking zu vermeiden, ist das Loginnamen, Kontonummern und für geübte Leute, denen dir mir über Schulter schauen relativ zugänglich sind. One-Time Tokens verhindern zwar beim Online-Banking normalerweise vollkommenen Zugang, aber auch ein Teilverlust von Zugangsdaten schwächt das System.

"Öffentliches WLAN" heißt ja nicht zwingend "öffentlich einsehbar". Stichworte: Hotelzimmer, leeres DB-Abteil (um on-topic zu bleiben). Sichtschutzfolien helfen auch, bei der Verwendung eines Passwortsafes wird nicht einmal ein Kennwort sichtbar eingegeben.

Heise: Vorsicht im Zug: WIFIonICE manipuliert PayPal

SPFVG, Samstag, 20. Mai 2017, 01:45 (vor 91 Tagen) @ tommie

Das wäre alles kein Problem. Ohne im ICE gesessen zu haben, kann ich nur Vermutungen anstellen. Ich vermute, dass das ICE-WLAN bestimmte Optimierungen bei den Verbindungen vornimmt, um den Datendurchsatz zu steigern; dazu gehören zum Beispiel, dass die oben genannten DNS-Anfragen im Zug oder der Bodenstation zwischengespeichert (gecachet) werden, um sie bei Bedarf schnell wieder an andere Clients im Zug zustellen zu können. Da spricht nichts gegen, das ganze Internet funktioniert so. Gerade im Mobilfunkbereich werden jedoch durch die Provider gerne Abkürzungen genommen, um noch ein bisschen mehr Leistung herauszukitzeln, da werden Verbindungsanfragen zum Beispiel direkt von einer Zwischenstation des Providers angenommen, der dann im Hintergrund die echte Verbindung zum eigentlichen Ziel aufbaut und anschließend zwischen diesen vermittelt.

Im Falle DB ist das mittlerweile noch komplizierter, das neueste Feature des ICE-WLans ist ja das, dass unterschiedliche Provider gleichzeitig benutzt werden, um die erreichbare Bandbreite zu maximieren. Schlimmstenfalls wird der gesamte Datenstrom über unterschiedliche Providernetze erst mal zu einer Sammelstelle übertragen und dort wieder zusammengebastelt, bzw. aufgesplittet. Aber keine Ahnung, wie das genau implementiert ist.

Heise: Vorsicht im Zug: WIFIonICE manipuliert PayPal

ICE 79 @, im Büro, Samstag, 20. Mai 2017, 07:18 (vor 91 Tagen) @ tommie

Moin,

Also ich sehe es wieder tommie - jedoch kann sich jeder zusätzlich gegen "lokales" schnüffeln wehren indem er eine VPN Verbindung wählt. Damit wird der Datenverkehr gekapselt und auch die Gegenstelle bekommt nicht mit, dass man im ICE unterwegs ist ;-)

--
Spontanfahrer...

Anti-Schnorrer-FAQ (Danke Oscar!)

Heise: Vorsicht im Zug: WIFIonICE manipuliert PayPal

JoergBS, Samstag, 20. Mai 2017, 08:37 (vor 91 Tagen) @ tommie

Danke tommie für die verständliche und nachvollziehbare Darstellung.

Ich sehe es genauso, die https Verschlüsselung hat gewarnt.

Im ICE WLAN löst www.paypal.com zu e3694.a.akamaiedge.net 2.19.36.146 auf, im heimischen Netz auch zu e3694.a.akamaiedge.net aber zu einer anderen IP Adresse. Das Problem ist hier nicht mehr nachvollziehbar.

Viele Grüße Jörg

Heise: Vorsicht im Zug: WIFIonICE manipuliert PayPal

tommie, Samstag, 20. Mai 2017, 17:43 (vor 91 Tagen) @ JoergBS

Im ICE WLAN löst www.paypal.com zu e3694.a.akamaiedge.net 2.19.36.146 auf, im heimischen Netz auch zu e3694.a.akamaiedge.net aber zu einer anderen IP Adresse. Das Problem ist hier nicht mehr nachvollziehbar.

Das kann sich jederzeit ändern:

e3694.a.akamaiedge.net. 20 IN A 2.19.69.23

Die zweite Spalte ist die sogenannte TTL, also die Lebenszeit, die ein Cache dem Eintrag gönnen soll - spätestens nach 20 Sekunden sollen DNS-Clients und -Server also wieder erneut nachfragen, welche IP-Adresse sich hinter dem Namen e3694 verbirgt. Entsprechend oft kann Akamai den Eintrag ändern, um Last zu verteilen.
Vermutlich hat der Bahn-DNS-Cache etwas Schluckauf bekommen mit diesen extrem niedrigen Werten und veraltete Zahlen ausgegeben.

und die Tagesschau ist noch dichter dran

br752 @, Samstag, 20. Mai 2017, 12:51 (vor 91 Tagen) @ tommie

# host www.tagesschau.de
www.tagesschau.de is an alias for san.tagesschau.de.edgekey.net.
san.tagesschau.de.edgekey.net is an alias for e8178.g.akamaiedge.net.
e8178.g.akamaiedge.net has address 2.19.64.147

Wenn man jetzt nicht aufpasst, dann bezahlt man statt seiner P*ypal Rechnung versehentlich die "GEZ". ;-)

Das (die Naehe der Zahlen) passiert aber nur, wenn man in der Schweiz ist. Du weisst wofuer ein CDN Network ist? Solltest du mal nach Deutschland kommen so wirst du ganz andere IP Adressen fuer P*ypal, Maersk und Tagesschau bekommen, die wiederum nicht nahe beieinander liegen. Jede IP Adresse hat einen anderen "Inhalt" weder die Naehe der der Zahlen noch dass sie bei der gleichen Firma gehostet werden machen da einen Unterschied.

---------

"Millionen" von Firmen gehen ueber ein CDN. Ich denke das Problem liegt bei einem Proxyserver der sich "verschluckt" hatte, bzw. bei einen hardcodierte Eintrag eines Gateways. (Fehler bei der Softwareuebernahme)

Das die Mobilfunknetze (D1/D2/E3) etwas damit zu tun scheint wohl nicht zu sein, denn wenn ich Icomera richtig verstanden habe, gehen alle Daten per VPN nach Aachen und werden dort erst wieder zusammengebaut und ins Internet geschickt. Der Mobilfunk hat nix damit zu tun.

teltarif: WLAN im ICE: Und plötzlich bist du in Aachen

Die Deutsche Bahn entschied sich für den schwedischen Dienstleister Icomera. Der Unterschied zur Telekom: Die Außenanbindung erfolgt nicht nur über ein, sondern alle drei Mobilfunknetze...

Ich denke das war ein Admin Fehler, genauso wie ein Chirug schon mal eine Schere im Bauch des Patienten vergessen hat. :-(


BR752

und die Tagesschau ist noch dichter dran

tommie, Samstag, 20. Mai 2017, 17:34 (vor 91 Tagen) @ br752
bearbeitet von tommie, Samstag, 20. Mai 2017, 17:35

Wenn man jetzt nicht aufpasst, dann bezahlt man statt seiner P*ypal Rechnung versehentlich die "GEZ". ;-)

Das (die Naehe der Zahlen) passiert aber nur, wenn man in der Schweiz ist.

Schön, dass du anhand meines Rechnernamens darauf geschlossen hast, dass ich in der Schweiz lebe und mir dann netterweise per Link erläutern möchtest, was die GEZ ist - aber ich habe lange genug im Nordkanton zugebracht, um damit vertraut zu sein, und meine Tastatur hat sowohl große als auch kleine Umlaute - sogar ein 'ß', wie du gerade gesehen hast. ;-)

Du weisst wofuer ein CDN Network ist? Solltest du mal nach Deutschland kommen so wirst du ganz andere IP Adressen fuer P*ypal, Maersk und Tagesschau bekommen, die wiederum nicht nahe beieinander liegen. Jede IP Adresse hat einen anderen "Inhalt" weder die Naehe der der Zahlen noch dass sie bei der gleichen Firma gehostet werden machen da einen Unterschied.

Ich vermute, dass du mir am wenigsten "Internet" und CDNs erklären musst. Mir ist schon klar, dass die großen CDNs abhängig von vielen Faktoren die Last auf zahlreiche Server verteilen und je nach geographischer Position des Anfragers (bzw. dessen DNS-Resolvers) andere IP-Adressen rausrücken. Das kann ich sogar direkt nachvollziehen:

(Deutschland)
stefan@zirkel:~$ host www.tagesschau.de
www.tagesschau.de is an alias for san.tagesschau.de.edgekey.net.
san.tagesschau.de.edgekey.net is an alias for e8178.g.akamaiedge.net.
e8178.g.akamaiedge.net has address 95.100.184.164

(Deutschland, anderer Provider)
www.tagesschau.de is an alias for san.tagesschau.de.edgekey.net.
san.tagesschau.de.edgekey.net is an alias for e8178.g.akamaiedge.net.
e8178.g.akamaiedge.net has address 104.84.221.204

Wie bei Paypal zeigt die Second-Level.Domain übrigens _nicht_ auf das CDN:

paypal.com has address 64.4.250.32
paypal.com has address 64.4.250.33

tagesschau.de has address 88.215.213.26

Ob die Ziffern nun eng beieinander stehen, ist absolut unerheblich; der rauchende Colt ist für mich nur die Tatsache, dass beide involvierten Seiten (Maersk und Paypal) ihre Webpräsenz über das gleiche CDN abwickeln - da liegt der Verdacht nahe, dass die Fehlvermittlung da im Zusammenspiel mit zu breitem Caching im Zug-WLAN zu verorten ist.

Das kann auch ein Grund sein, aus dem im Heise-Artikel manche Verbindungen funktionierten, evtl. hatte der Browser noch eine Weiterleitung im Cache.

Wer übrigens mit 'dig' genauer hinschaut, sieht die extrem niedrigen TTL-Werte für die Einträge bei Akamai; das ist die Zeit, die DNS-Server (z.B. beim Provider) die empfangenen Werte zwischenspeichern, bevor sie erneut den eigentlichen, maßgeblichen Server befragen. Üblich sind Werte im Bereich von Stunden und Tagen (da sich normale DNS-Einträge eher selten ändern), bei Paypal sehe ich da Werte im Bereich von 90 Sekunden - d.h. alle 90 Sekunden sollte das System prüfen, ob sich die Werte nicht zwischenzeitlich geändert haben. Wenn nun ein Zwischencache das ignoriert und Akamai sein Netz umorganisiert, landet man mit den alten (und abgelaufenen!) Werten halt beim falschen System.

"Millionen" von Firmen gehen ueber ein CDN.

Warum die Anführungszeichen?

Ich denke das Problem liegt bei einem Proxyserver der sich "verschluckt" hatte, bzw. bei einen hardcodierte Eintrag eines Gateways. (Fehler bei der Softwareuebernahme)

Das ist doch genau das, was ich in meinem Posting gesagt habe? Es gibt halt in der Informatik nur zwei schwere Probleme: Namensgebung, Cache-Invalidierung und Off-By-One-Fehler.

Das die Mobilfunknetze (D1/D2/E3) etwas damit zu tun scheint wohl nicht zu sein, denn wenn ich Icomera richtig verstanden habe, gehen alle Daten per VPN nach Aachen und werden dort erst wieder zusammengebaut und ins Internet geschickt. Der Mobilfunk hat nix damit zu tun.

Das Argument habe ich nur eingebracht, weil sich viele mit ihrem Mobilfunkzugang so wahnsinnig überlegen und immunn solchen Effekten gegenüber wähnen - dabei sind die Mobilfunkprovider die ersten gewesen, die derartige Manipulationen an TCP/IP haben einfließen lassen. Ich gehe auch davon aus, dass die Anbindung der Zugnetze ähnliche Tricks beinhaltet.

Heise: Vorsicht im Zug: WIFIonICE manipuliert PayPal

Colaholiker @, Frankfurt / Hildesheim, Montag, 22. Mai 2017, 07:33 (vor 89 Tagen) @ tommie

* "Ein WLAN ist immer unsicher, Kabelnetze sind viel besser."

Das ist falsch, denn ein privates WLAN ist in der Regel verschlüsselt und damit nur einer geschlossenen Benutzergruppe zugänglich - in ein Kabelnetz kann sich jeder einklinken und alle übertragenen Daten belauschen und/oder manipulieren. Das ist aber kein Problem, wie wir gleich sehen werden...

Nun ja. Mein WLAN daheim hat einen 64-steligen alphanumerischen WPA2-Key. Das sollte hinreichend sicher sein. Mein Kabelnetzwerk besteht aus der Fritzbox unterm Schreibtisch, daran angeschlossen Drucker (neben demselben), je 1 PC unter und auf dem Schreibtisch und ein NAS. Wenn da irgendwoher ein Netzwerkkabel käme (vom bösen Nachbarn durch die Wand, quer durch den Raum und dann in den Router, würde das vermutlich auffallen. ;-) Ab dem Router ist der Weg der Daten dann gleich, und somit gleich sicher oder unsicher.

* "In einem öffentlichen WLAN macht man ja auch kein Online-Banking, das sollte man zu Hause am eigenen Router machen."

Auch das ist offensichtlich Unfug, wenn man bedenkt, dass die Kommunikation zwischen dem eigenen Rechner und der Bank über zahlreiche Stationen weitergeleitet wird. Jede davon kann die Pakete nach belieben mitlesen, umleiten, unterdrücken oder sonstwie manipulieren - und natürlich auch jeder, der Zugriff auf die Leitungswege dazwischen hat. Die Luftstrecke vom Notebook zum WLAN-AP ist daher zu vernachlässigen, wenn an die Kommunikation wirklich sichern will. Der eigene Internet-Zugang zu Hause bietet da global gesehen kein bisschen Sicherheit mehr, das ist ein absoluter Trugschluss.

Sofern die Kommunikation mit hinreichend sicherem Schlüssel Ende-zu-Ende verschlüsselt ist, zumindest. Das sollte sie aber bei seriösen Zahlungsdienstleistern/Banken sein. Die Möglichkeiten für "Man in the Middle"-Attacken bleiben gegeben, egal wie der Netzzugang erfolgt. Lediglich unverschlüsselte Kommunikation in einem offenen WLAN läßt sich von jedem in Funkreichweite im Klartext mitlesen. Also beispielsweise ein Login hier.

Daher gibt es ja Verschlüsselung, die ja in diesem Fall auch erkannt hat, dass die Daten eben nicht bei Paypal, sondern bei Maersk landen (dazu später mehr).

Richtig, die Zertifikate zum Schlüssel sollen ja die Identität des Verbindungspartners bestätigen.

stefan@handoergli:~$ host www.paypal.com

Niedlicher Hostname. :)

Danke für die Erklärung, Du hast mir gerade viel Arbeit gespart.
Unabhängig davon habe ich mir angewöhnt, sobald die Verbindung zu Wifionice steht und ich den Zugang bestätigt habe, den VPN-Tunnel nach Hause zu öffnen. Es gibt so viele Dienste, die auf dem Handy im Hintergrund Daten austauschen, und anders als beim Browser, wo es in der Adresszeile sichtbar ist, oder beim Mailprogramm, wo man den verschlüsselten Zugang direkt einrichtet, weiß man nie, was ist verschlüsselt und was nicht. Mit dem VPN-Tunnel ist es zwar "ab zu Hause" auch im Klartext im Netz unterwegs und kann mitgelesen werden, aber zumindest die Personen um mich herum können damit, so sie denn wollten, nichts anfangen.
Das schöne ist, man braucht heute nicht mal mehr besondere Hardware für so ein VPN. Die Fritzboxen können das heute alle ab Werk, Android in halbwegs aktueller Version, die meisten Linuxe und ich meine sogar iOS haben die passenden Clients auch dabei.

Lustig ist dabei auch festzustellen, wie manchmal Werbung aufgrund des Aufenthaltsortes "personalisiert" wird. Unlängst im italienischen Hotel-WLAN mal ausprobiert. Die Werbung in einem Spiel (Spracheinstellung Deutsch) auf meinem Tablet hat mir ohne VPN italienische Videoclips geliefert, über den VPN-Tunnel befand ich mich plötzlich in Frankfurt und bekam deutschsprachige Werbung.

Vergangenes Wochenende ein halbwegs stabiles wifionice erlebt habende Grüße,
der Colaholiker

--
[image]

WifiOnICE nicht ohne VPN

john.lennon, Sonntag, 21. Mai 2017, 10:08 (vor 90 Tagen) @ br752

Ich verstehe nicht, wieso heise.de das thematisiert. Offene WLAN wie das der Bahn gehören heutezutage nicht ohne VPN genutzt. Damit sind Geschichten wie die mit PayPal ad acta gelegt.

WifiOnICE nicht ohne VPN

tommie, Sonntag, 21. Mai 2017, 18:28 (vor 90 Tagen) @ john.lennon
bearbeitet von tommie, Sonntag, 21. Mai 2017, 18:32

Ich verstehe nicht, wieso heise.de das thematisiert. Offene WLAN wie das der Bahn gehören heutezutage nicht ohne VPN genutzt. Damit sind Geschichten wie die mit PayPal ad acta gelegt.

Das gehört halt genau in die Schublade für Halbwissen: Sofern du nicht zufällig für Paypal arbeitest und dein VPN genau dort endet, ist das eben keine Sicherung gegen irgendwas, was HTTPS nicht ebenso gut abwehrt.

Verschlüsselung soll(te) von Ende-Zu-Ende gehen, also von deinem Rechner bis zum Rechner der angesprochenen Partei. Mit einem VPN hört deine tolle Sicherung halt irgendwo in der Mitte auf, ab da sind deine Daten wieder vogelfrei - und du wähnst dich vielleicht dabei sogar noch in falscher Sicherheit.

WifiOnICE nicht ohne VPN

mrhuss ⌂ @, ICE 275, Sonntag, 21. Mai 2017, 19:57 (vor 90 Tagen) @ tommie

Ich verstehe nicht, wieso heise.de das thematisiert. Offene WLAN wie das der Bahn gehören heutezutage nicht ohne VPN genutzt. Damit sind Geschichten wie die mit PayPal ad acta gelegt.


Das gehört halt genau in die Schublade für Halbwissen: Sofern du nicht zufällig für Paypal arbeitest und dein VPN genau dort endet, ist das eben keine Sicherung gegen irgendwas, was HTTPS nicht ebenso gut abwehrt.

Verschlüsselung soll(te) von Ende-Zu-Ende gehen, also von deinem Rechner bis zum Rechner der angesprochenen Partei. Mit einem VPN hört deine tolle Sicherung halt irgendwo in der Mitte auf, ab da sind deine Daten wieder vogelfrei - und du wähnst dich vielleicht dabei sogar noch in falscher Sicherheit.

Sehr richtig. Erschwerend kommt noch hinzu, dass man dem Betreiber des VPN-Endpunkts vertrauen muss, denn dem liefert man ja die Daten frei Haus.

Gefährlich wird's eigentlich nur, wenn man sich beim ICE-Treff (oder irgendeiner anderen Seite ohne HTTPS) einloggt und dort ein Passwort vergeben hat, dass anderswo auch genutzt wird.

--
Viele Grüße!
[image]
Mein Blog "Spontan, wild und Kuchen" - Kategorie Bahn

WifiOnICE nicht ohne VPN

agw @, NRW, Sonntag, 21. Mai 2017, 21:42 (vor 90 Tagen) @ john.lennon

Ich verstehe nicht, wieso heise.de das thematisiert. Offene WLAN wie das der Bahn gehören heutezutage nicht ohne VPN genutzt. Damit sind Geschichten wie die mit PayPal ad acta gelegt.

Woher weisst du denn, dass dein VPN auch wirklich nach hause zu deinem VPN geht?

WifiOnICE nicht ohne VPN

ICE 79 @, im Büro, Sonntag, 21. Mai 2017, 21:54 (vor 90 Tagen) @ agw

Moin,

weil mein VPN bei mir im RZ terminiert und ich dort alleinigen Zugang habe und dort die Gewalt über die Zertifikate habe. Was natürlich nach dem RZ passiert kann ich nicht kontrollieren, aber in einem ICE, Flughafen, Hotel kann ich lustige Sachen von anderen in der Luft in offenen WLANs mithören. Bei einem Carrier sich aufschalten ist schon deutlich "komplizierter".

(mein RZ steht bei mir im Büro)

--
Spontanfahrer...

Anti-Schnorrer-FAQ (Danke Oscar!)

WifiOnICE nicht ohne VPN

tommie, Sonntag, 21. Mai 2017, 22:23 (vor 90 Tagen) @ ICE 79

weil mein VPN bei mir im RZ terminiert und ich dort alleinigen Zugang habe und dort die Gewalt über die Zertifikate habe. Was natürlich nach dem RZ passiert kann ich nicht kontrollieren, [...]

Und da kann man den Satz beenden. Du sicherst einen Teil der Transitroute durch dein VPN ab, aber von dort fließen die Daten direkt wieder aus deinem Einflussbereich hinaus und über die Leitungen unbekannter. Ergo muss man sie sowieso verschlüsseln und kann sich den Umweg über das VPN auch sparen.

aber in einem ICE, Flughafen, Hotel kann ich lustige Sachen von anderen in der Luft in offenen WLANs mithören. Bei einem Carrier sich aufschalten ist schon deutlich "komplizierter".

Die Anführungszeichen hast du vermutlich unbewusst korrekt gesetzt. Es gab schon genug Fälle, wo DNS-Einträge übernommen, Routing-Tabellen verbogen wurden oder CDNs zu seltsamen Fehlschaltungen neigten. Da hilft dein VPN nix.

Das Mitlesen im WLAN ist immer nett zur Demonstration, aber mit der steigenden Prävalenz von HTTPS erledigt sich das momentan, gerade durch breit akzeptierte und kostenneutrale Zertifikate. Verschlüsselung, die nicht von Ende zu Ende reicht, ist halt nur eine halbe Sache, auf die man sich nicht verlassen kann.

WifiOnICE nicht ohne VPN

Colaholiker @, Frankfurt / Hildesheim, Montag, 22. Mai 2017, 07:39 (vor 89 Tagen) @ tommie

Und da kann man den Satz beenden. Du sicherst einen Teil der Transitroute durch dein VPN ab, aber von dort fließen die Daten direkt wieder aus deinem Einflussbereich hinaus und über die Leitungen unbekannter. Ergo muss man sie sowieso verschlüsseln und kann sich den Umweg über das VPN auch sparen.

Man kann sich halt nicht immer aussuchen, ob Verschlüsselung verfgbar ist. Siehe dieses Forum hier. Und dann kann man es zumindest den Leuten, die direkt um einen herum sitzen, schwer machen. Den Transfer irgendwoanders anzuzapfen ist schon machbar, aber deutlich schwerer. Der 16-jährige Möchtegernhacker Kevin kommt halt doch wesentlich leichter dazu, in einem offenen WLAN Pakete zu sniffen, als sich am De-DIX irgendwo an einen Core-Switch anzudrahten. ;-) Im Falle eines offenen McDonald's-WLANs kostet ersteres eine Cola pro Stunde, letzteres mächtig Ärger mit dem Onkel vom Sicherheitsdienst. :o)

Das Mitlesen im WLAN ist immer nett zur Demonstration, aber mit der steigenden Prävalenz von HTTPS erledigt sich das momentan, gerade durch breit akzeptierte und kostenneutrale Zertifikate. Verschlüsselung, die nicht von Ende zu Ende reicht, ist halt nur eine halbe Sache, auf die man sich nicht verlassen kann.

Aber auch eine halbe Sache ist besser als gar keine, oder? Man muß sich halt bewußt sein, daß es kein hundertprozentiger Schutz ist.

Im Falle von Hotel-WLANs hat so ein VPN noch einen Vorteil. Mit ebendiesem kann das Hotel eben nicht feststellen, daß der Gast von Zimmer 253 statt den teuren PayTV-Kanal im Fernsehen zu nutzen eine günstigere Onlinealternative anschaut... O-:-)

Das VPN nicht als Allheimlittel aber als praktisches Werkzeug sehende Grüße,
der Colaholiker

--
[image]

WifiOnICE nicht ohne VPN

agw @, NRW, Montag, 22. Mai 2017, 00:13 (vor 89 Tagen) @ ICE 79

Moin,

weil mein VPN bei mir im RZ terminiert und ich dort alleinigen Zugang habe und dort die Gewalt über die Zertifikate habe.

D.h. wo ist jetzt der Unterschied, wenn du Paypal direkt aufrufst und einen Zertifikatsfehler bekommst oder dein VPN aufrufst und einen Zertifikatsfehler bekommst?
Keiner, oder? Du stellst einfach fest, dass die Gegenseite nicht deinen Erwartungen entspricht und brichst ab.

Und wie tommie schon schrieb, sobald du im RZ gelandet bist, bist du ja wieder im freien Internet, dann ist auch wieder kein Unterschied, ob darüber https://www.paypal.com aufrufst oder direkt aus dem Zug. Stimmt das Zertifikat nicht, brichst du ab. Hoffentlich jedenfalls, oder machst du dann auch bei Zertifikatsfehlern weiter, wenn du über den VPN surfst?

Ich glaube, du hast das ganze noch nicht zu Ende gedacht.

WifiOnICE nicht ohne VPN

ICE 79 @, im Büro, Montag, 22. Mai 2017, 00:19 (vor 89 Tagen) @ agw

Moin,

doch sicher habe ich das zu Ende gedacht: es wird lokal kein Datenverkehr (auch nicht zu ICE-Treff und Co) über ein unverschlüsseltes Netzwerk gesendet. Und ja, wenn die Zertifikate nicht passen, dann baut sich der Tunnel auch nicht auf. Für diesen Fall (wie meist immer, denn das WiFi funktioniert sowieso eher schlecht) baue ich über das Mobulfunknetz die Verbindung auf. Seit es WiFi in den Zügen gratis gibt, ist hier deutlich weniger los und die Verbindung läuft wenigstens (wenn auch nicht superschnell, aber es geht)

--
Spontanfahrer...

Anti-Schnorrer-FAQ (Danke Oscar!)

WifiOnICE nicht ohne VPN

agw @, NRW, Montag, 22. Mai 2017, 15:25 (vor 89 Tagen) @ ICE 79

doch sicher habe ich das zu Ende gedacht: es wird lokal kein Datenverkehr (auch nicht zu ICE-Treff und Co) über ein unverschlüsseltes Netzwerk gesendet. Und ja, wenn die Zertifikate nicht passen, dann baut sich der Tunnel auch nicht auf. Für diesen Fall (wie meist immer, denn das WiFi funktioniert sowieso eher schlecht) baue ich über das Mobulfunknetz die Verbindung auf. Seit es WiFi in den Zügen gratis gibt, ist hier deutlich weniger los und die Verbindung läuft wenigstens (wenn auch nicht superschnell, aber es geht)

Das hat aber alles nichts mit dem aktuellen Fall von Paypal zu tun, das ist dir klar, oder?
Da ändert sich für dich nämlich nichts.

WifiOnICE nicht ohne VPN

tommie, Dienstag, 23. Mai 2017, 00:05 (vor 89 Tagen) @ ICE 79
bearbeitet von tommie, Dienstag, 23. Mai 2017, 00:05

doch sicher habe ich das zu Ende gedacht: es wird lokal kein Datenverkehr (auch nicht zu ICE-Treff und Co) über ein unverschlüsseltes Netzwerk gesendet.

Das ist ja offensichtlicher Quatsch. Vielleicht hast du zu Ende gedacht, aber am richtigen Ort bist du dabei leider nicht angekommen.

Für diesen Fall (wie meist immer, denn das WiFi funktioniert sowieso eher schlecht) baue ich über das Mobulfunknetz die Verbindung auf. Seit es WiFi in den Zügen gratis gibt, ist hier deutlich weniger los und die Verbindung läuft wenigstens (wenn auch nicht superschnell, aber es geht)

Und über Mobilfunk verzichtest du dann auf VPN? Interessant.

WifiOnICE nicht ohne VPN

ICE 79 @, im Büro, Dienstag, 23. Mai 2017, 05:10 (vor 88 Tagen) @ tommie

Moin,

ich war lange Zeit hier ein Schreiber und habe das gerne getan. Aber hier scheint es ja aeinige zu geben, die es _immer_ sehr viel besser wissen - das ist auch der Grund für meine eher sporadischen Einlagen hier

So nun zum Thema: über Mobilfunk gibt es bei mir 2 Möglichkeiten:

WWAN mit privatem APN
WWAN mit Provider APN

Bei mir baut sich immer eine VPN-Verbindung auf, egal welche Methode ich wähle. Ich kenne die Möglichkeiten der Infiltration des Mobilfunknetzes auf 2G/3G

--
Spontanfahrer...

Anti-Schnorrer-FAQ (Danke Oscar!)

WifiOnICE nicht ohne VPN

tommie, Dienstag, 23. Mai 2017, 08:00 (vor 88 Tagen) @ ICE 79

So nun zum Thema: über Mobilfunk gibt es bei mir 2 Möglichkeiten:

WWAN mit privatem APN
WWAN mit Provider APN

Bei mir baut sich immer eine VPN-Verbindung auf, egal welche Methode ich wähle.

Und wo endet dein VPN? Sicher nicht bei Paypal. Also laufen deine Daten wohl doch unverschlüsselt über öffentliche Netze. qed.

Ich kenne die Möglichkeiten der Infiltration des Mobilfunknetzes auf 2G/3G

Das mag sein, aber lässt sich ändern, z.B. hier: https://evilsocket.net/2016/03/31/how-to-build-your-own-rogue-gsm-bts-for-fun-and-profit/

VPN

ICE4711, Dienstag, 23. Mai 2017, 08:15 (vor 88 Tagen) @ tommie
bearbeitet von ICE4711, Dienstag, 23. Mai 2017, 08:16

Und wo endet dein VPN? Sicher nicht bei Paypal. Also laufen deine Daten wohl doch unverschlüsselt über öffentliche Netze. qed.

Aber es macht halt schon einen Unterschied, ob wir von
- Telekommunikationsnetzen der großen Player, in die kaum jemand Unberechtigtes rein kommt oder nur mit sehr viel Aufwand, oder von
- einem öffentlichen WLAN von Hinz&Kunz, in das sich jeder frei einwählen kann,
reden.

Es mag vielleicht an der Paypal-Problematik vorbeigehen, aber ich halte VPN im öffentlichen WLAN für absolut berechtigt.

VPN

Colaholiker @, Frankfurt / Hildesheim, Dienstag, 23. Mai 2017, 08:40 (vor 88 Tagen) @ ICE4711

Aber es macht halt schon einen Unterschied, ob wir von
- Telekommunikationsnetzen der großen Player, in die kaum jemand Unberechtigtes rein kommt oder nur mit sehr viel Aufwand, oder von
- einem öffentlichen WLAN von Hinz&Kunz, in das sich jeder frei einwählen kann,
reden.

Ich zitiere mich mal selbst von weiter oben:

"Man kann sich halt nicht immer aussuchen, ob Verschlüsselung verfügbar ist. Siehe dieses Forum hier. Und dann kann man es zumindest den Leuten, die direkt um einen herum sitzen, schwer machen. Den Transfer irgendwoanders anzuzapfen ist schon machbar, aber deutlich schwerer. Der 16-jährige Möchtegernhacker Kevin kommt halt doch wesentlich leichter dazu, in einem offenen WLAN Pakete zu sniffen, als sich am De-DIX irgendwo an einen Core-Switch anzudrahten. ;-) Im Falle eines offenen McDonald's-WLANs kostet ersteres eine Cola pro Stunde, letzteres mächtig Ärger mit dem Onkel vom Sicherheitsdienst. :o)"

Es mag vielleicht an der Paypal-Problematik vorbeigehen, aber ich halte VPN im öffentlichen WLAN für absolut berechtigt.

Es ist kein Allheilmittel, es gibt nicht die perfekte Sicherheit, aber es ist zumindest ein Baustein, den "bösen Buben" (und Bubinnen, wir wollen ja gleichberechtigen) das Leben schwerer zu machen. Gegen NSA und Co. hilft es so oder so nichts. Eine Ende-zu-Ende-Verschlüsselung ist selbstredend besser, aber wo sie nicht verfügbar ist, kann man zumindest dem Sitznachbarn das Hacker-Leben schwer machen.

Kryptische Grüße,
der Colaholiker

--
[image]

RSS-Feed dieser Diskussion
powered by my little forum