GMAIL im Hotel WLAN

[World_Citizen]

Hallo Zusammen,

ich wollte nur mal fragen ob es sicher ist in einem „halb-offenen“ WLAN Gmail abzurufen?
GMAIL verschlüsselt ja die komplette Verbindung via SSL, eigentlich dürfte dann auch ohne VPN usw. nichts passieren, oder?

Grüße

 

[Rollensatz]

Ein Restrisiko besteht immer. "Hotel-WLan" gehört aber zumindest theoretisch nicht zu den sicheren Verbindungen.

 

[Pattik0]

Alles was über SSL läuft ist auch in einem offenen WLAN soweit sicher. Also wenn es rein um GMAIL geht, brauchst du wohl kein VPN zu nutzen.

 

[ChristianSL]

Dazu solltest du die TLS Zertifikate mit entsprechenden Fingerprints anschauen, am besten mit einem Tool sichern (zb CertificatePatrol).

Falls du über einen Proxy o.ä. geleitet wirst, der die Verbindungen öffnet, dann merkst du im Zweifel nicht, wenn der dir eine neue TLS Verbindung unterschiebt, da diese ganzen WLAN Anbieter natürlich auch signierte Zertifikate benutzen (Man-in-the-Middle).

 

[Pattik0]

@Christian: Willst du damit sagen, dass es WLAN Anbieter oder Proxies gibt, die valide SSL-Zertifikat für z.B. google.com besitzen?

 

[Sephe]

@Christian: Willst du damit sagen, dass es WLAN Anbieter oder Proxies gibt, die valide SSL-Zertifikat für z.B. google.com besitzen?

Ich glaube das will er

Im Grunde ist es recht simpel:

In jedem Client sind sog. "Stammzertifikate" installiert.
Das sind Zertifizierungsstellen, die die Zertifikate ausstellen. (Ähnlich der Bundesdruckerei).

Wenn du z.B. das Stammzertifikat von VeriSign installiert hast, sind alle Zertifikate, die von Verisign ausgestellt wurden, automatisch vertrauenswürdig.
Somit vertraust du VeriSign, dass sie nur Zertifikate an echte Betreiber, und nicht an Betrüger ausstellen.
(Du vertraust der Bundesdruckerei, somit sind alle Banknoten, die dort gedruckt werden ebenfalls "echt" oder vertrauenswürdig).

Weder das Stammzertifikat, noch sonstige Zertifikate können ohne den PrivateKey kopiert/gefälscht werden.


Bei einer MAN-IN-THE-MIDDLE-Attacke, stellt der Angreifer eine verschlüsselte Verbindung zu GMAIL her, und bietet dir als "opfer" ebenfalls eine verschlüsselte Verbindung an. Diese kann er aber NICHT mit einem offiziellen (vertrauenswürdigen) Zertifikat absichern, da Verisign ihm kein Zertifikate für "google.com" ausstellt.
(Vergleich: Betrüger handelt mit GMAIL mit echtem Geld, will dir aber Geld von der "Hackerdruckerei" anstatt der Bundesdruckerei anbieten. - Es heißt ebenfalls "EURO und CENT", aber hat ne andere Farbe)

Somit würdest du eine Meldung erhalten, dass die Verbindung zu GMAIL nicht vertrauenswürdig ist, und du müsstest explizit zustimmen, damit die verbindung hergestellt wird.

 

[Pattik0]

@Sephe: Gute Erklärung! Es gab schon mal Fälle wo tatsächlich mal fälschlicherweise Zertifikate für google.com ausgestellt wurden: Quelle.
Aber prizipiell gehen wir mal davon aus, dass niemand außer google selbst valide Zertifakte besitzt. Und dann ist SSL soweit wie möglich sicher.

 

[ChristianSL]

@Pattik0
Bei der Masse an vorinstallierten Zertifikaten kann man das nicht ausschließen. Es wäre auch nicht das erste mal, dass eine RootCA kompromittiert wird.

Auch Antivirenhersteller und manche OEM installieren eigene Zertifikate um in den verschlüsselten Verbindungen nach zB "Malware" zu suchen (Bsp).
Ganz zu schweigen von Schadsoftware, die dir einfach ein neues Zertifikat unterschiebt.

Die Frage war auch nicht wie wahrscheinlich das Ganze ist.

EDIT:
Ein Angreifer kann dich auch im ersten Moment umleiten auf eine Domain für die er ein valides Zertifikat hat und dir Google dann zB eingebettet präsentieren.

Die Sicherheit von SSL / TLS steht und fällt mit der Kontrolle der Zertifikate.

 

[Pattik0]

@Christian: Ja das ist soweit korrekt. Aber diese beschriebenen Probleme hat man ja eig. immer und nicht nur im HOTEL-WLAN.
Deswegen ist dein Tipp:

Dazu solltest du die TLS Zertifikate mit entsprechenden Fingerprints anschauen, am besten mit einem Tool sichern (zb CertificatePatrol).

generell keine schlechte Idee.

 

[Sephe]

@Christian: Ja das ist soweit korrekt. Aber diese beschriebenen Probleme hat man ja eig. immer und nicht nur im HOTEL-WLAN.
Deswegen ist dein Tipp:

generell keine schlechte Idee.

Jedoch wird die Aufmerksamkeit darunter leiden.

Google hat ETLICHE Server, die per Lastenausgleich angesprochen werden.

Und wenn du das eine mal Mails abholst von:

vserver1.server1.newyork.google.com

und beim nächsten mal von:
vserver2.server1.newyork.google.com

(BEISPIEL-Hostnamen)

Dann erhältst du von jedem Server ein anderes Zertifikat mit einem anderen Fingerprint.

Mein Ansatz wäre dann eher: Prüfen, dass keine neuen Stammzertifikate installiert werden.

@Pattik0
Ein Angreifer kann dich auch im ersten Moment umleiten auf eine Domain für die er ein valides Zertifikat hat und dir Google dann zB eingebettet präsentieren.

Leider falsch. Wenn du fremde Webseiten einbettest (das ist nur per IFRAME-möglich), dann ist zwar eine Webseite IN einer anderen zu sehen, die Verbindung zu dem Webserver im IFRAME wird aber separat hergestellt, und läuft nicht über den Webserver, auf dem die Webseite mit dem IFRAME gespeichert ist.

Die Sicherheit von SSL / TLS steht und fällt mit der Kontrolle der Zertifikate.

Das ist wiederum korrekt. Jedoch werden kompromittierte Stammzertifikate mittlerweile rasend schnell per Windows Update oder z.B. durch Google Chrome gesperrt.

Siehe hier:
https://www.chromium.org/Home/chromium-security/root-ca-policy
https://support.microsoft.com/de-de/kb/3004394

Jetzt mal mit der "privaten Mütze":
Ich würde persönlich keiner Schutzsoftware erlauben, Stammzertifikate zu installieren, um verschlüsselte Verbindungen zu überprüfen.
Zudem würde ich es persönlich auch nicht zulassen, dass Add-Ons installiert werden.
Jede weitere Software, die zu einem "sicheren" Browser führen soll, kann weitere Sicherheitslücken haben, die alle anderen Schutzmechanismen wieder aushebeln.

Weil sowas:
http://www.com-magazin.de/news/sich...ehrdet-9-millionen-chrome-nutzer-1067882.html

Geht gar nicht! Der Beste Virenscanner ist immer noch: brain.exe

 

[ChristianSL]

Leider falsch. Wenn du fremde Webseiten einbettest (das ist nur per IFRAME-möglich), dann ist zwar eine Webseite IN einer anderen zu sehen, die Verbindung zu dem Webserver im IFRAME wird aber separat hergestellt, und läuft nicht über den Webserver, auf dem die Webseite mit dem IFRAME gespeichert ist.

Auf Iframes wollte ich gar nicht hinaus. Es gibt genug kreative Möglichkeiten eine legitime Seite vorzutäuschen. Über welche genau müssen wir hier nicht streiten.
Ich wollte lediglich darauf aufmerksam machen, dass es zwar unwahrscheinlich aber nicht unmöglich ist.
Und leider hat uns die Vergangenheit gezeigt, dass es all zu oft auch passiert.

 

[Sephe]

Auf Iframes wollte ich gar nicht hinaus. Es gibt genug kreative Möglichkeiten eine legitime Seite vorzutäuschen. Über welche genau müssen wir hier nicht streiten.
Ich wollte lediglich darauf aufmerksam machen, dass es zwar unwahrscheinlich aber nicht unmöglich ist.
Und leider hat uns die Vergangenheit gezeigt, dass es all zu oft auch passiert.

Deswegen ja auch der Hinweis:
Bester Schutz ist "Brain.exe"

Wenn ich auf eine Seite draufgehe, die aussieht wie GMAIL, dann gucke ich oben in die Adresszeile ob dort WIRKLICH https://mail.google.com steht, grünes Schloss, und wenn ich immer noch skeptisch bin, gucke ich mir die Stammzertifikats-Stelle an.

 

[tombauer991]

Hallo Zusammen,

ich wollte nur mal fragen ob es sicher ist in einem „halb-offenen“ WLAN Gmail abzurufen?
GMAIL verschlüsselt ja die komplette Verbindung via SSL, eigentlich dürfte dann auch ohne VPN usw. nichts passieren, oder?

Grüße

Hast du die 2-Step Verification für GMail/Google aktiviert? Selbst wenn jemand dein Passwort auslesen würde hättest du damit noch immer einen gewissen Schutz (da er für ein Login auch Zugriff auf dein Handy benötigen würde).

 

[.point]

Jedes offene WLAN ist unsicher. Da könnt ihr noch so viel auf HTTPS-Seiten aurufen. MITM und ihr habt verloren.

 

[Togijak]

in ein öffentliches WLAN sollte man nie ohne VPN gehen.