Heise: Vorsicht im Zug: WIFIonICE manipuliert PayPal (Allgemeines Forum)

Colaholiker, Frankfurt / Hildesheim, Montag, 22.05.2017, 07:33 (vor 3249 Tagen) @ tommie

* "Ein WLAN ist immer unsicher, Kabelnetze sind viel besser."

Das ist falsch, denn ein privates WLAN ist in der Regel verschlüsselt und damit nur einer geschlossenen Benutzergruppe zugänglich - in ein Kabelnetz kann sich jeder einklinken und alle übertragenen Daten belauschen und/oder manipulieren. Das ist aber kein Problem, wie wir gleich sehen werden...

Nun ja. Mein WLAN daheim hat einen 64-steligen alphanumerischen WPA2-Key. Das sollte hinreichend sicher sein. Mein Kabelnetzwerk besteht aus der Fritzbox unterm Schreibtisch, daran angeschlossen Drucker (neben demselben), je 1 PC unter und auf dem Schreibtisch und ein NAS. Wenn da irgendwoher ein Netzwerkkabel käme (vom bösen Nachbarn durch die Wand, quer durch den Raum und dann in den Router, würde das vermutlich auffallen. ;-) Ab dem Router ist der Weg der Daten dann gleich, und somit gleich sicher oder unsicher.

* "In einem öffentlichen WLAN macht man ja auch kein Online-Banking, das sollte man zu Hause am eigenen Router machen."

Auch das ist offensichtlich Unfug, wenn man bedenkt, dass die Kommunikation zwischen dem eigenen Rechner und der Bank über zahlreiche Stationen weitergeleitet wird. Jede davon kann die Pakete nach belieben mitlesen, umleiten, unterdrücken oder sonstwie manipulieren - und natürlich auch jeder, der Zugriff auf die Leitungswege dazwischen hat. Die Luftstrecke vom Notebook zum WLAN-AP ist daher zu vernachlässigen, wenn an die Kommunikation wirklich sichern will. Der eigene Internet-Zugang zu Hause bietet da global gesehen kein bisschen Sicherheit mehr, das ist ein absoluter Trugschluss.

Sofern die Kommunikation mit hinreichend sicherem Schlüssel Ende-zu-Ende verschlüsselt ist, zumindest. Das sollte sie aber bei seriösen Zahlungsdienstleistern/Banken sein. Die Möglichkeiten für "Man in the Middle"-Attacken bleiben gegeben, egal wie der Netzzugang erfolgt. Lediglich unverschlüsselte Kommunikation in einem offenen WLAN läßt sich von jedem in Funkreichweite im Klartext mitlesen. Also beispielsweise ein Login hier.

Daher gibt es ja Verschlüsselung, die ja in diesem Fall auch erkannt hat, dass die Daten eben nicht bei Paypal, sondern bei Maersk landen (dazu später mehr).

Richtig, die Zertifikate zum Schlüssel sollen ja die Identität des Verbindungspartners bestätigen.

stefan@handoergli:~$ host www.paypal.com

Niedlicher Hostname. :)

Danke für die Erklärung, Du hast mir gerade viel Arbeit gespart.
Unabhängig davon habe ich mir angewöhnt, sobald die Verbindung zu Wifionice steht und ich den Zugang bestätigt habe, den VPN-Tunnel nach Hause zu öffnen. Es gibt so viele Dienste, die auf dem Handy im Hintergrund Daten austauschen, und anders als beim Browser, wo es in der Adresszeile sichtbar ist, oder beim Mailprogramm, wo man den verschlüsselten Zugang direkt einrichtet, weiß man nie, was ist verschlüsselt und was nicht. Mit dem VPN-Tunnel ist es zwar "ab zu Hause" auch im Klartext im Netz unterwegs und kann mitgelesen werden, aber zumindest die Personen um mich herum können damit, so sie denn wollten, nichts anfangen.
Das schöne ist, man braucht heute nicht mal mehr besondere Hardware für so ein VPN. Die Fritzboxen können das heute alle ab Werk, Android in halbwegs aktueller Version, die meisten Linuxe und ich meine sogar iOS haben die passenden Clients auch dabei.

Lustig ist dabei auch festzustellen, wie manchmal Werbung aufgrund des Aufenthaltsortes "personalisiert" wird. Unlängst im italienischen Hotel-WLAN mal ausprobiert. Die Werbung in einem Spiel (Spracheinstellung Deutsch) auf meinem Tablet hat mir ohne VPN italienische Videoclips geliefert, über den VPN-Tunnel befand ich mich plötzlich in Frankfurt und bekam deutschsprachige Werbung.

Vergangenes Wochenende ein halbwegs stabiles wifionice erlebt habende Grüße,
der Colaholiker

--