Vulnerabilidades do ponto de acesso sem fio no BBC Watchdog

1

Eu assisti a um programa na BBC ontem à noite que destacou os riscos de usar qualquer hotspot público sem fio.

link

Eles tinham exemplos de sequestrar algumas pessoas na sessão do Gmail e obter alguns nomes de usuário e senhas de e-mail. Eu diria que eles estão falando sobre um intruso sentado na zona sem fio e usando um sniffer de pacotes para monitorar o tráfego não criptografado, e alguns nomes de usuário e senhas de e-mail e tráfego da web são transportados sem criptografia. A maneira como eles estavam falando era como se eles também pudessem sequestrar a sessão de alguém, eu presumo lendo os cookies sendo transmitidos e então usando-os para pular em sua sessão.

No entanto, fiquei muito confuso com isso, pois os sites mais importantes usam SSL e o gmail definitivamente funciona em HTTPS. Portanto, todo o tráfego entre o navegador e o servidor da Web (incluindo qualquer coisa sendo transmitida pela rede pública local) seria criptografado e ilegível.

Estou correto em pensar que você está correndo um risco apenas se estiver usando algo que não esteja usando HTTPS & SSL? Se for esse o caso e parece provável que seja, então esse material é bastante óbvio, e o programa provavelmente foi voltado para pessoas menos experientes em tecnologia do que eu.

Eu ficaria muito interessado em saber como eles entraram no Gmail de alguém, já que, no meu entender, isso é totalmente seguro!

Felicidades,

Mike

    
por Michael Waterfall 30.10.2009 / 16:49

3 respostas

1

O SSL do Gmail pode ser desativado. Isto tem vantagens e desvantagens. Segurança sendo a principal preocupação.

Além disso, o SSL não é infalível . É seguro o suficiente por enquanto, mas não é mais a fortaleza inquebrável da criptografia que uma vez pareceu.

    
por 30.10.2009 / 16:52
1

Muitas pessoas usam a mesma senha para várias contas / sites. Pegue um que não seja criptografado e tente como a senha de um site criptografado. As chances são bem altas, é a certa.

    
por 30.10.2009 / 16:55
1

Eu estava ouvindo o cão de guarda pela metade ontem à noite, não posso dizer que me lembrei de ter visto alguma coisa para sugerir que eles tentaram o seguinte, mas poderia ser possível:

Alguém pode se sentar em um HotSpot com o equipamento para criar um ponto de acesso sem fio "falso" em um back pack (lendo Scott Blog do Hanselman sugere que você pode precisar apenas de um Laptop Windows 7 configurado corretamente), este ponto de acesso sem fio pode ser usado para executar um ataque Man-In-The-Middle apresentando uma versão falsa do G-Mail ou qualquer outro serviço. Isso deve ser frustrado pelo SSL, no entanto, se o usuário não atender aos avisos ou estiver usando um navegador mais antigo que usasse uma terminologia confusa, eles podem não perceber que o certificado era inválido.

    
por 30.10.2009 / 20:00