# Hotel Wlan-Sicherheit



## Firebird08 (15. März 2013)

Hey Leute,

bin gerade in nem Hotel und die nutzen dieses System:  Klick

Man wählt quasi erstmal das "ungesicherte Wlannetzwerk" aus und gibt dann im Browser einen Benutzernamen und ein Passwort ein, wobei das Passwort dem Benutzernamen entspricht 

Jetzt hab ich mich gefragt inwiefern man da mitsniffen könnte (besuchte Seiten, Benutzernamen+Passwort vom Emailacc etc...)

Wenn man in der PDF nach unten scrollt, steht da "Packetsniffing"... Klingt für mich nicht vertrauenswürdig...

Hab mich jetzt schon desöfteren in meinen Emailaccount eingeloggt und wollte mal wissen ob man das lieber lassen sollte bzw. wie man sich schützen könnte...

THX


----------



## Timsu (15. März 2013)

Bei HTTPS bist du ziemlich sicher, sonst kann wie bei jedem anderen Netzwerk mit gelesen werden, es sei denn du nutzt VPN.


----------



## Firebird08 (15. März 2013)

Timsu schrieb:


> Bei HTTPS bist du ziemlich sicher, sonst kann wie bei jedem anderen Netzwerk mit gelesen werden, es sei denn du nutzt VPN.



Wie meinst du das? Also wenn mein Emailacc oder ne andere Seite verschlüsselt ist, dann ist es egal, ob ich mich in dem oben genannten Netzwerk aufhalte?


----------



## Danger23 (15. März 2013)

HTTPS Seiten sind verschlüsselte Seiten. Daher sind sie relativ sicher da sämtliche Signale verschlüsselt sind. Ich schreibe ralativ sicher da es keine unknackbare Verschlüsselung gibt. Allerdings ist hier der Aufwand schon recht hoch und der nutzen doch sehr klein.


----------



## Firebird08 (15. März 2013)

Danger23 schrieb:


> HTTPS Seiten sind verschlüsselte Seiten. Daher sind sie relativ sicher da sämtliche Signale verschlüsselt sind. Ich schreibe ralativ sicher da es keine unknackbare Verschlüsselung gibt. Allerdings ist hier der Aufwand schon recht hoch und der nutzen doch sehr klein.


 
Wieso sind dann ungesicherte Wlans (bei mir ist es ja eins mit Webinterface zur Anmeldung) gefährlich? Hört man ja immer wieder....


----------



## keinnick (15. März 2013)

Weil nicht jeder Traffic automatisch verschlüsselt wird. Meldest Du Dich auf einer Webseite an die kein https unterstützt, könnte man den Datentransfer in einem ungesicherten WLAN mitlesen und hätte Deine Anmeldedaten im Klartext (da nicht verschlüsselt). Es gibt da noch zahlreiche weitere Beispiele, weshalb man ungesicherte oder unbekannte WLANs nur im Notfall nutzen sollte.


----------



## Firebird08 (15. März 2013)

Wie sehe ich ob die Seite https unterstützt bzw. kann man irgendwie prüfen ob meine Daten verschlüsselt werden?


----------



## DarkScorpion (15. März 2013)

das erkennst wu venn vor der adresse https:// steht anstelle von http://


----------



## K3n$! (15. März 2013)

Beim Firefox gibt es dafür zwei sehr gute Addons:

HTTPS Everywhere

und 

HTTPS Finder (als Erweiterung für HTTPS Everywhere)


Wird bei HTTPS eigentlich immer alles verschlüsselt oder gibt es da auch verschiedene Modi, 
wo nur ein Teil, z.B. die Authentifizierung, verschlüsselt wird ?


----------



## keinnick (15. März 2013)

K3n$! schrieb:


> Wird bei HTTPS eigentlich immer alles verschlüsselt oder gibt es da auch verschiedene Modi,
> wo nur ein Teil, z.B. die Authentifizierung, verschlüsselt wird ?


 
Das kommt auf die Webseite an. Gmail hatte es am Anfang mal so, dass nur der Login verschlüsselt war. Der Rest im Webmail war unverschlüsselt was irgendwie doof ist (aber in gewissem Maß Rechenleistung spart): Google Mail kann jetzt konsequent verschlüsseln | heise online


----------



## DrBenzo (15. März 2013)

Wahrscheinlich hast ein WLAN mit ner Zertifikatslösung (man kann z. B. mit OpenVPN sein WLAN absichern) erwischt.
Zum HTTPS: das ist mittlerweile auch nicht mehr komplett sicher, da gibts ein kleines Programm, welches HTTPS einfach "entfernt". Des Einzige was dagegen hilft ist HSTS.
Mitsniffen ist eigentlich auch ganz leicht, man muss einfach A**-S******* drauf haben...

Erwarte aber jetzt keine Anleitung von mir, die kriegst nicht.


----------



## Timsu (15. März 2013)

DrBenzo schrieb:


> Wahrscheinlich hast ein WLAN mit ner Zertifikatslösung P


Ich würde eher auf einen transparenten Proxy tippen.
Ein VPN mit aktueller Verschlüsselung ist (quasi) unknackbar.


----------



## Firebird08 (15. März 2013)

Was heißt das jetzt für mich im Klartext? ^^


----------



## Timsu (15. März 2013)

Wenn du abhörsicher surfen willst brauchst du VPN oder ein SSH Tunnel.
Wenn dir dies zu kompliziert ist, kannst du deine Sicherheit ein bisschen steigern, indem du nur auf HTTPS Seiten unterwegs bist.


----------



## K3n$! (15. März 2013)

Ich würde sagen: Nutze das Internet dort nur so wenig wie möglich und 
möglichst mit HTTPS. Wenn du zufällig einen VPN zur Hand hast, dann nimm den. 
Auf Bankgeschäfte würde ich verzichten.


----------



## Firebird08 (15. März 2013)

Hab ich das jetzt richtig verstanden?

Ich kann rein theoretisch auf sämtlichen Seiten surfen, auf denen ich keinen Log-in durchführen muss (wie Email, Facebook etc. pp)... Z.B. Spiegelonline, Youtube... Oder könnte man dann trotzdem Daten ausspähen?

Und wenn ich Log-ins durchführe, dann sollten es https-Seiten sein, richtig?


----------



## Tuneup (15. März 2013)

Auch auf Seiten ohne Login werden die Daten unverschlüsselt übertragen (ohne https) und können genauso von anderen mitgelesen werden. Nur auf Seiten ohne Login gibst du eben deinen Login nirgends ein, dementsprechend kann dieser auch von niemandem mitgelesen werden.


----------



## Firebird08 (15. März 2013)

Tuneup schrieb:


> Auch auf Seiten ohne Login werden die Daten unverschlüsselt übertragen (ohne https) und können genauso von anderen mitgelesen werden. Nur auf Seiten ohne Login gibst du eben deinen Login nirgends ein, dementsprechend kann dieser auch von niemandem mitgelesen werden.



Verstehe, aber auf Seiten ohne https, bei denen ich keinen Login habe, ist es ja relativ egal was man da sniffen kann oder? Was könnte man da rein theoretisch mitlesen? Die gelesenen Artikel z.B.?


----------



## Superwip (15. März 2013)

> da es keine unknackbare Verschlüsselung gibt


 
Oh doch... die gibt es schon 



> Ich kann rein theoretisch auf sämtlichen Seiten surfen, auf denen ich keinen Log-in durchführen muss (wie Email, Facebook etc. pp)... Z.B. Spiegelonline, Youtube... Oder könnte man dann trotzdem Daten ausspähen?


 
Man ("Man" heißt in dem Fall: jeder andere Teilnehmer in dem W-LAN, nicht nur der Betreiber!) könnte ausspähen das du diese Seiten ansurfst und was du dort machst. Nicht mehr und nicht weniger.

Der beste Schutz ist ein VPN Tunnel- allerdings brauchst du dafür auch einen VPN Server.

Log-in kannst du schon durchführen- du solltest aber vorsichtig sein und dich nur dort einloggen wo SSH verwendet wird- (auch) bei PCGH werden Passwörter übrigens normalerweise im Klartext übertragen 

Auch wenn das Passwort verschlüsselt übertragen wird verhindert das alleine aber natürlich noch nicht das man alles andere mitlesen kann.

In Onlinespielen sollte das Passwort im Allgemeinen verschlüsselt übertragen werden- garantieren kann ich dir das aber freilich nicht.

Du kannst dich natürlich auch auf Seiten, die von weniger großer Bedeutung sind einloggen und das Passwort einfach später ändern- du solltest aber nicht das selbe Passwort auch für andere Seiten nutzen.

Wenn du mal ausprobieren willst wie und was man alles "mitlesen" kann: Wireshark ist die wohl beste Software dafür- aber Achtung: in öffentlichen Netzwerken ist die Nutzung ohne weiteres unter Umständen nicht ganz legal (es ist aber auch praktisch unmöglich eine Nutzung nachzuweisen...)


----------



## Firebird08 (15. März 2013)

Hmm wisst ihr, wie das bei Hotmail und Facebook ist? Wie haben die verschlüsselt?


----------



## keinnick (15. März 2013)

DrBenzo schrieb:


> Wahrscheinlich hast ein WLAN mit ner Zertifikatslösung (man kann z. B. mit OpenVPN sein WLAN absichern) erwischt.
> Zum HTTPS: das ist mittlerweile auch nicht mehr komplett sicher, da gibts ein kleines Programm, welches HTTPS einfach "entfernt". Des Einzige was dagegen hilft ist HSTS.
> Mitsniffen ist eigentlich auch ganz leicht, man muss einfach A**-S******* drauf haben...
> 
> Erwarte aber jetzt keine Anleitung von mir, die kriegst nicht.


 
Inwiefern HSTS "hilft" bzw. in der Praxis nutzbar ist, würde mich dennoch interessieren.


----------



## Superwip (15. März 2013)

Wenn du wissen willst ob eine (Login-) Seite verschlüsselt ist surf sie an... in der Adressleiste nicht http:// sondern https:// steht ist die Seite verschlüsselt.


----------



## joasas (16. März 2013)

Aufgrund des Umstandes dass du diese ungesicherte Internetanbindung bereits genutzt hast ist eine nachträgliche Absicherung nahezu unmöglich. Wieso? Ganz einfach: Es könnte bereits Schadcode eingeschleust worden sein, zudem könnten sämtliche Passwörter bereits mitgeschnitten worden sein, diese kannst du aber natürlich von einem anderen (sauberen) System selbstverständlich ändern. Achte hier jedoch darauf dass keine Einstellungen für die Passwortwiederherstellung verändert wurden. Die Mailkonten von Microsoft bieten genau aus diesem Grund die Möglichkeit des Single Sign On an.

Sprich willst du sicher surfen darfst du bereits jetzt schon dein Laptop neu aufsetzen. Und du darfst selbstständlich nahezu keine Dateien mehr die auf dem Laptop gespeichert waren von diesem kopieren, nur aus Backups die nicht in Kontakt mit dem System waren. 

Das klingt natürlich paranoid, aber wenn der TS dies bereits in Erwägung zieht muss es Anhaltspunkte gegeben haben und dies ist nunmal eine der wenigen Möglichkeiten. 

Das nächste Mal solltest du eine VPN Verbindung, am besten auf OpenVPN basierend nutzen.

PS: Es gibt keine unknackbare Verschlüsselung. Mittels Brute Force kann alles theoretisch gesehen geknackt werden, nur reicht dafür heutzutage die Rechenleistung (noch) nicht aus um dies in einem zeitlich interessantem Rahmen durchführen zu können. Wenn man den Brute Force Vorgang jedoch unendlich lange laufen lässt kann man jedes Passwort knacken. Genauso  kann man jedes Buch das je geschrieben wurde oder geschrieben wird dadurch schreiben dass man zufällig Zeichen unendlich lang ausgibt.


----------



## keinnick (16. März 2013)

joasas schrieb:


> Sprich willst du sicher surfen darfst du bereits jetzt schon dein Laptop neu aufsetzen. Und du darfst selbstständlich nahezu keine Dateien mehr die auf dem Laptop gespeichert waren von diesem kopieren, nur aus Backups die nicht in Kontakt mit dem System waren.
> 
> Das klingt natürlich paranoid, aber wenn der TS dies bereits in Erwägung zieht muss es Anhaltspunkte gegeben haben und dies ist nunmal eine der wenigen Möglichkeiten.


 
Wieso sollte denn Schadcode auf seinen Rechner eingeschleust worden sein weil er in einem ungesicherten WLAN surft?! Beim eventuellen sniffen von Passworten gebe ich Dir ja noch Recht aber eine WLAN-Verschlüsselung (ob vorhanden oder nicht) hat nichts damit zu tun ob Du Dir Schadcode einfängst. Von daher halte ich das Neuaufsetzen des Rechners ohne konkrete Anhaltspunkte für überflüssig bzw. wie Du es formulierst: für paranoid


----------



## Timsu (16. März 2013)

Er kann theoretisch auf andere Websites umgelenkt werden und der Datenstrom kann manipuliert sein.


----------



## keinnick (16. März 2013)

Timsu schrieb:


> Er kann theoretisch auf andere Websites umgelenkt werden und der Datenstrom kann manipuliert sein.



Das hat aber nichts mit der Verschlüsselung zu tun sondern ist generell ein Risiko wenn man über WLAN-APs surft die man nicht selbst administriert.


----------



## joasas (16. März 2013)

Ich hab nie behauptet dass Schadsoftware aufgrund des unverschlüsselten drahtlosen Netzwerkes eingespielt werden konnte - es ist nur eine logische Konsequenz wenn du bereits so etwas befürchtest, denn man kann solche Access Points auch problemlos "übernehmen". Da gibt es ein paar nette Tricks.


----------



## Superwip (16. März 2013)

> Aufgrund des Umstandes dass du diese ungesicherte Internetanbindung bereits genutzt hast ist eine nachträgliche Absicherung nahezu unmöglich. Wieso? Ganz einfach: Es könnte bereits Schadcode eingeschleust worden sein, zudem könnten sämtliche Passwörter bereits mitgeschnitten worden sein, diese kannst du aber natürlich von einem anderen (sauberen) System selbstverständlich ändern. Achte hier jedoch darauf dass keine Einstellungen für die Passwortwiederherstellung verändert wurden. Die Mailkonten von Microsoft bieten genau aus diesem Grund die Möglichkeit des Single Sign On an.
> 
> Sprich willst du sicher surfen darfst du bereits jetzt schon dein Laptop neu aufsetzen. Und du darfst selbstständlich nahezu keine Dateien mehr die auf dem Laptop gespeichert waren von diesem kopieren, nur aus Backups die nicht in Kontakt mit dem System waren.
> 
> ...


 
Es ist technisch sehr anspruchsvoll jemanden, der in einem ungesicherten W-LAN surfed auf irgendwelche anderen Seiten umzuleiten oder sonstwie Schadcode einzupflanzen. Oder gehst du davon aus das sich der TE von Anfang an in das "falsche" W-LAN eingelogged hat?



> PS: Es gibt keine unknackbare Verschlüsselung. Mittels Brute Force kann alles theoretisch gesehen geknackt werden, nur reicht dafür heutzutage die Rechenleistung (noch) nicht aus um dies in einem zeitlich interessantem Rahmen durchführen zu können. Wenn man den Brute Force Vorgang jedoch unendlich lange laufen lässt kann man jedes Passwort knacken. Genauso kann man jedes Buch das je geschrieben wurde oder geschrieben wird dadurch schreiben dass man zufällig Zeichen unendlich lang ausgibt.


 
Die "Einmalverschlüsselung" (One-Tim-Pad) ist unknackbar. Allerdings ist sie auch sehr aufwendig.


----------



## Timsu (16. März 2013)

Superwip schrieb:


> Es ist technisch sehr anspruchsvoll jemanden, der in einem ungesicherten W-LAN surfed auf irgendwelche anderen Seiten umzuleiten oder sonstwie Schadcode einzupflanzen. Oder gehst du davon aus das sich der TE von Anfang an in das "falsche" W-LAN eingelogged hat?


 Für den Netzbetreiber ist es recht einfach.
Für Dritte allerdings nicht. Es kann sich allerdings jemand mit einem Accespoint und gleicher SSID in die Nähe des TEs stellen, das stärkere Signal wird automatisch genutzt.


----------



## Superwip (16. März 2013)

Warum sollte ihn das Hotel hacken wollen? 

Auf einen stärkeren AP mit gleicher SSID wird normalerweise auch nicht einfach so geswitched wenn der "originale" noch gut genug ist.


----------



## Timsu (16. März 2013)

Superwip schrieb:


> Auf einen stärkeren AP mit gleicher SSID wird normalerweise auch nicht einfach so geswitched wenn der "originale" noch gut genug ist.


Bist du dir da wirklich sicher?


----------

