Surfa säker på Hotell

Hej,

Jag bor i en lägenhetshotell och undrar om det finns ett säkert sätt att använda internet från hotellet förutom än använda en VPN.

Skulle det finnas ett billigare sätt om jag skulle konfigurera en egen router kopplat via internetuttag? Jag kan låna en router från en kompis.

(jag är pank och har inte råd med en VPN för två mobil telefoner och två laptop för mig själv och min son)

Kör du en router via internetuttaget så kommer det inte bli någon skillnad. Du måste antingen skaffa en egen uppkoppling via t ex 4g/5g eller gå via en vpn.

Kan ju ett sånt läge vara lockande med en billig vpn men så måste man ju ställa sig frågan vem man litar mest på någon halvskum vpn eller lägenhetshotellet.

Är ju inte helt ohjälpligt, en egen router ger ju en brandvägg som skydd från det delade nätverket, och möjlighet att blockera för sonen lite beroende på hans ålder
Många router, framförallt Asus, har bra stöd för att köra VPN på routern i sig, så alla enheter där bakom är skyddade

vad är det för något?

Tell me more please!!!!!

Medans jag explicit inte säger att du har helt fel så skulle jag säga att det är lite väl mycket:

Över det hela

Att sätta upp detta på 5 minuter är gravt, gravt överskattat och inte för att glömma att det behöver vara planerat i förväg, du behöver ha ett target att utföra mitm attacken på, du måste veta vilken sida personen skall besöka, du måste ha sidorna genererade i förväg, du måste ha lyckats få över användarens enhet på din wifi. Du måste ha korrekt timing för att initiera mitm attacken för om jag inte har helt fel så finns det väl inga direkt sätt att kapa din bankid session?

Som en proof of concept, sure, scary stuff. Men att TS skulle vara målet känner jag som smått orealistiskt.

Nej, det behöver inte vara riktat mot en specifik användare. Och de behöver inte sitta på ditt nätverk.
DNS poisoning mot routern exempelvis. Jag tror du du tänker på MAC-spoofing eller liknande som är riktat mot en användare.
Några sidor behöver man inte heller ha genererade i förväg.

Ponera att en offret går in på www.randomsidamedinloggning.se (Sida A) .
1. Offret blir redirectad till Fulsida B som kopierar Sida A och för offret ser allt ut som vanligt.
2. Offret loggar in på Sida A (Sida A tror att Fulsida B är den som loggar in) och skickar sessionstoken för inloggningen till Fulsida B.
3. Fulsida B loggar in på Sida A och visar detta för offret, som inte har någon anleding att ana ugglor i mossen.
4. Det plingar till hos Hackerman om att någon loggat in, och han har tillgång till sessionstoken som är giltig i X minuter/timmar och kan själv logga in med detta och härja runt.

Givetvis är det enklaste att slänga upp ett eget WiFi. Men som i det här fallet på ett hotell, säg Scandic.
Så kan man bara sätta upp en Raspberry pi/NUC eller liknande med ett par antenner och döpa det till "Scandic Hotell WiFi" som kör 24/7.
Smocka upp en lista med 500-sidor som skall redirectas så kommer du nog få ett par träffar.

Nu skall det inte bli någon pajkastning, men att säga att det är säkert bara för att man surfar via HTTPS på ett öppet WiFI är att sprida osanning.
Sannolikheten att råka ut för det här är låg, men det är inte alls svårt att göra som en angripare.

Nu har jag inte testat det här för just Banker och mobilt BankID, men från bankens perspektiv skulle det vara agenten från Fulsida B som loggar in och allt ser korrekt ut och de skulle med största sannolikhet skicka över sessionstoken. Banker kanske har någon extra säkerhet mot det här som jag inte vet om.
Som tur är behöver man ju även signera eventuella överföringar från just banker.

Nej, det behöver inte vara riktat mot en specifik användare. Och de behöver inte sitta på ditt nätverk.
DNS poisoning mot routern exempelvis. Jag tror du du tänker på MAC-spoofing eller liknande som är riktat mot en användare.
Några sidor behöver man inte heller ha genererade i förväg.

Ponera att en offret går in på www.randomsidamedinloggning.se (Sida A) .
1. Offret blir redirectad till Fulsida B som kopierar Sida A och för offret ser allt ut som vanligt.
2. Offret loggar in på Sida A (Sida A tror att Fulsida B är den som loggar in) och skickar sessionstoken för inloggningen till Fulsida B.
3. Fulsida B loggar in på Sida A och visar detta för offret, som inte har någon anleding att ana ugglor i mossen.
4. Det plingar till hos Hackerman om att någon loggat in, och han har tillgång till sessionstoken som är giltig i X minuter/timmar och kan själv logga in med detta och härja runt.

Givetvis är det enklaste att slänga upp ett eget WiFi. Men som i det här fallet på ett hotell, säg Scandic.
Så kan man bara sätta upp en Raspberry pi/NUC eller liknande med ett par antenner och döpa det till "Scandic Hotell WiFi" som kör 24/7.
Smocka upp en lista med 500-sidor som skall redirectas så kommer du nog få ett par träffar.

Nu skall det inte bli någon pajkastning, men att säga att det är säkert bara för att man surfar via HTTPS på ett öppet WiFI är att sprida osanning.
Sannolikheten att råka ut för det här är låg, men det är inte alls svårt att göra som en angripare.

Nu har jag inte testat det här för just Banker och mobilt BankID, men från bankens perspektiv skulle det vara agenten från Fulsida B som loggar in och allt ser korrekt ut och de skulle med största sannolikhet skicka över sessionstoken. Banker kanske har någon extra säkerhet mot det här som jag inte vet om.
Som tur är behöver man ju även signera eventuella överföringar från just banker.

Om Fulsida B ser ut som Sida A, samma adress, så måste du komma åt certifikatet från Sida A eller hur tänker du där? Jag tror inte din enkla förklaring funkar speciellt bra

Vet inte om jag helt förstår dig, men säg att man skriver in www.icabanken.se i browserns adress-fält. Om man verifierar att det verkligen står www.icabanken.se i browsern när man loggar in och man ser hänglåset ska det inte vara några problem.

Men om hänglåset inte är där, eller man hamnat på någon annan skum sida med hänglås (t ex www.icabanken.login.com) håller man antagligen på att bli lurad. Och det är ju lätt hänt att missa det!

Om man har besökt samma host tidigare i samma browser och de som driver servern tar säkerhet seriöst (vilket t ex Icabanken gör) är man även skyddad mot att bli redirectad till en HTTP-variant (dvs utan "S") eller en alternativ sida. Det genom HSTS ( https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security ).

Första delen håller jag med om.
Men någon skulle kunna redirecta till exempelvis "Icabanken.es eller lcabankeen.se" eller liknande och trycka dit ett eget cert.
Poängen jag ville få fram, är att bara för att man ser hänglåset så är man inte säker även fast man skrev in "Icabanken.se"
Webbläsaren vet ju inte vilket IP varje domän "skall" resolva till. I och med att fulsidan har ett giltigt cert, så dyker det inte eller upp några varningar. HSTS hjälper ju bara när man faktiskt är på rätt sida.

Så länge man är uppmärksam och kollar varenda sida så kan man sitta rätt lugnt. Det kan ju dock vara rätt svårt om man skriver in Icabanken.se och bara slänger en snabb blick och ser fulsidan.

Första delen håller jag med om.
Men någon skulle kunna redirecta till exempelvis "Icabanken.es eller lcabankeen.se" eller liknande och trycka dit ett eget cert.
Poängen jag ville få fram, är att bara för att man ser hänglåset så är man inte säker även fast man skrev in "Icabanken.se"
Webbläsaren vet ju inte vilket IP varje domän "skall" resolva till. I och med att fulsidan har ett giltigt cert, så dyker det inte eller upp några varningar. HSTS hjälper ju bara när man faktiskt är på rätt sida.

Så länge man är uppmärksam och kollar varenda sida så kan man sitta rätt lugnt. Det kan ju dock vara rätt svårt om man skriver in Icabanken.se och bara slänger en snabb blick och ser fulsidan.

Men att fixa ett cert, giltigt cert, som användarens dator godkänner och är utfärdat av en giltig certifikatutfärdare, dessutom till en adress som icabankeen.se tror jag inte är så enkelt som det låter. Ganska mycket säkerhetskontroller för att få ett cert. Jag tror det stoppas ganska kvickt, men du kan ju prova

Det tar i alla fall mer än 5 minuter

HSTS gör det omöjligt att redirecta dig någon annanstans om du skriver in www.icabanken.se och du besökt den sidan innan. Någon kan naturligtvis sitta och vänta på att du skriver fel, men det kan ju dröja (särskilt som man kanske utnyttjar browserns auto-complete eller bokmärken som kommer leda till www.icabanken.se).

Och om man söker på saker på Google kommer den nästan alltid ge en https-länk, och när man klickar på dem är man även då skyddad från redirects.

Det känns lite som att du tror man kan redirecta hur som helst, men för att kunna göra en redirect från en https-sida måste certifikat osv stämma. Dvs man-in-the-middle-attacker är omöjliga i det här fallet också.

Jag är ingen expert, men så här förstår jag det iaf.

HSTS hänger bara med så länge den finns i webbläsarens cache.
Vad har redirects från en https-sida att göra med något om man trafiken omdirigeras innan?
Såvida du inte skriver https://www.icabanken.se och istället skriver Icabanken.se så går requesten via http.

Återigen, poängen jag ville få fram är att man är nödvändigtvis inte säker för att en sida man ämnar besöka använder HTTPS när man sitter på ett öppet WiFi.
Det finns som du nämner säkerhetsfunktioner implementerade, men det är inte bombsäkert.