Eine Vorortbahn der Metropolregion macht sich zukunftsfit. Am Ende des Jahres kommen neue Züge, schon ab heute gibt es kostenloses Internet: WLAN-Hotspots an allen AKN-Bahnhöfen!
Ab sofort verfügen alle AKN-eigenen Stationen über ein kostenfreies WLAN. Möglich macht diesen modernen Stationsservice eine neue Kooperation mit dem Norderstedter Kommunikationsanbieter wilhelm.tel. AKN-Vorstand Wolfgang Seyb: „Wir sind bundesweit das erste Verkehrsunternehmen, das flächendeckend an all seinen Stationen einen kostenfreien WLAN-Zugang bietet. Mit wilhelm.tel haben wir einen verlässlichen und erfahrenen Partner an unserer Seite, der zudem noch aus der Region stammt und wir freuen uns, dass wir unseren Fahrgästen gemeinsam diesen innovativen Service bieten können.“
Seyb drückte heute gemeinsam mit wilhem.tel-Geschäftsführer Theo Weirich in Kaki symbolisch den WLAN-Startknopf. Weirich in seinem Statement: „Die Kooperation mit der AKN gibt uns die Möglichkeit, unseren Internetzugang „MobyKlick“ auch in Regionen mit einer sonst eher geringen Bandbreite anzubieten.“ Selbst auf den Bahnhöfen der Linie A3 von Ulzburg-Süd nach Elmshorn kann nun schnell gesurft werden, prima für diejenigen die dort auf Züge warten: Sonntags fährt auf der Strecke nur alle zwei Stunden ein Zug. Kein wilhelm.tel-Empfang gibt es nur an zwei AKN-Stationen. Sowohl die Haltestellen Eidelstedt als auch Neumünster sind keine AKN-eigenen Bahnhöfe. Daher ist das neue Angebot dort nicht nutzbar.
Und wie kommt man nun für lau ins Netz?
AKN-Sprecher Jonas Dienst: „Bei Aktivierung des WLAN-Zugangs an einer AKN-Station erscheint auf dem jeweiligen Smartphone, Tablet-PC oder Notebook automatisch das MobyKlick-Netz. Per SMS-Anfrage erhalten Wartende die Zugangsdaten. Einloggen und lossurfen – fertig. Der WLAN-Zugang steht allen Kunden dann für die Dauer von 24 Stunden kostenfrei zur Verfügung.“ Weitere Infos gibt es unter: www.mobyklick.de.“
H-UN
28. Mai 2015
AKN live!
Heute Morgen, HBF-Durchfahrer: Kommt in kurz, so dass in Bönningstedt schon die ersten Fahrgäste kapituliert haben. In Schnelsen blieben dann schon Leute in Gruppenstärke auf dem Bahnsteig zurück.
Am Zug und auf der Leuchtanzeige stand wie gewohnt Hamburg HBF, dennoch ließ der Fahrer in Eidelstedt dann noch einen raus: Wegen Dispositionsfehler keine Weiterfahrt.
Tja, für Onlinebanking ist sicher nicht gedacht.
Es ging mir weniger um Onlinebanking, welches durch seine Zwei-Wege-Authentifizierung eh relativ sicher ist, sondern mehr um alltäglichen Nippes wie Facebook, Twitter, Instagram, E-Mail. All diese Dinger werden häufig auch an öffentlichen WLAN genutzt und es gibt genug potential diese Benutzerdaten dort auszuspähen. Gekaperte Accounts sind heutzutage eine Goldgrube für Betrüger und auf dem Schwarzmarkt durchaus den einen oder anderen Bitcoin wert 😉
Gerade diese Dienste laufen über HTTPS verschlüsselt. Da ist nicht viel mit Nutzernamen abgreifen. Ebenso Bankingwebsites. Theoretisch kann man Ihnen natürlich ein gefälschtes Zertifikat unterschieben, aber das würde man angesichts der dazu nötigen erheblichen Ressourcen eher nicht bei einem öffentlichen WLAN auf einem Dorfbahnhof auffahren.
Erhebliche Ressourcen würde ich einen Laptop und ein USB-WLAN-Stick mit entsprechender Antenne jetzt nicht unbedingt nennen.
Und einem durchschnittlichen Nutzer ein manipuliertes oder eigenes Zertifikat unterzuschieben ist sehr einfach, denn im Regelfall klicken diese Benutzer immer brav „ja, ja, weiter, akzeptieren“ 😉
“ Und einem durchschnittlichen Nutzer ein manipuliertes oder eigenes Zertifikat unterzuschieben ist sehr einfach, denn im Regelfall klicken diese Benutzer immer brav “ja, ja, weiter, akzeptieren” 😉 “
Ja, und eben das ist ja nötig. Mit Firefox muss man da schon etliche Sekunden sein Hirn abstellen, bevor man mit mehreren Klicks neben unmissverständliche Sicherheitswarnungen ins Verderben rennt. Auf jeder Website neu. Das fällt auf.
Ohne Warnungen müssen Sie selbst gültige Zertifikate einer anerkannten CA ausstellen können. Das kriegt die NSA aller Voraussicht nach mit links hin, der hier realistisch zu erwatrende Dorf-Hacker spielt dagegen in einer anderen Liga. Also kein Problem aus meiner Sicht.
Sie stellen sich das zu kompliziert vor.
Und die Antwort zu Ihrer anderen Antwort:
Das ist aber genau das, was eine MITM ausmacht: sie jubelt ein falsches Zertifikat unter. Bei der Superfish geschichte hätte es von der Auswirkung keinen Unterschied gemacht, ob das Zertifikat bereits auf dem fertigen Rechner installiert war, oder ob der Nutzer das im Nachhinein per Hirn-Aus selber installiert hätte.
Hallo Herr Schleevoigt,
setzt ein Dienst voll auf SSL, dann gibt es zwei Möglichkeiten:
1. Ich habe ein Zertifikat einer von den Browser-Herstellern anerkannten CA für eine angegriffene Domain (z.B. facebook.com).
Dann gibt es keine Warnmeldung und ich kann via MITM die Zugangsdaten abgreifen.
Jetzt sage ich Ihnen: Ich glaube, wenn jemand das hinkriegt – und es ist ja durchaus mit viel Zufällen vorgekommen – dann stellt er sich damit nicht an einen Hotspot in der schleswig-holsteinischen Provinz, baut eine MITM-Attacke auf und fängt wahllos Facebook-Zugangsdaten ab, die er danach für vielleicht n Euro pro Stück verhökert.
Mit so einem Zertifikat könnten Sie viel mehr anfangen, das verbrennt man nicht bei „Mobyklick“.
2. Ich habe mir schnell selbst ein Zertifikat für Facebook.com gebastelt. Jetzt habe ich mich für die nächsten Stunden im Kornfeld neben der Bahnstation Ulzburg Süd versteckt und meinen MITM-Hotspot aufgefahren. Jeder, der darüber auf Facebook geht, kriegt von mir meine Fakeversion untergeschoben, die mit meinem Zertifikat „Marke Eigenbau“ unterwegs ist. Der Benutzer muss erst einmal ausdrücklich erklären, dass er meinem Zertifikat vertraut und kriegt dabei noch dick angezeigt, dass er wissen sollte, was er da tut.
3. Sie hängen im Kornfeld und liefern einfach eine pure HTTP-Variante von Facebook aus. Das erkennt man leicht an der fehlenden Verschlüsselung, fällt aber nicht so auf, wenn man es nicht weiß. Würde ich wohl bevorzugen, wenn ich böse wäre und DAUs neppen wollte. Ist aber kein zukunftsträchtiges Modell, denn zumindest Mozilla will absehbar keine unverschlüsselten Verbindungen mehr einfach so anzeigen.
„dann stellt er sich damit nicht an einen Hotspot in der schleswig-holsteinischen Provinz, baut eine MITM-Attacke auf und fängt wahllos Facebook-Zugangsdaten ab, die er danach für vielleicht n Euro pro Stück verhökert.“
Das bestreite ich auch gar nicht. Mein Anliegen ist lediglich, das jeder der mit dem Internet agiert, sich mal Gedanken um digitale Sicherheit macht. Was es bedeuten kann einfach eine offene Verbindung zu nutzen und was für Konsequenzen sowas beherbergt.
Natürlich bin ich ganz bei Ihnen, was die letzte Sicherheitsbarriere (der Nutzer muss dem gefälschten Zertifikat zustimmen) angeht. Aber eben das ist mein Punkt; ich kenne einfach zu viele Fälle in denen Schadsoftware auf Rechner gelandet ist, weil der Benutzer stur „ja, ja, weiter“ geklickt hat. Was glauben Sie, warum Cryptolocker-Malware momentan so erfolgreich ist?
Wie schaut es mit der Sicherheit in diesen WLAN Netzwerken aus?
Gibt es eine Verschlüsselung?
Bei MobyKlick, dem zeitlich begrenzten Zugang, werden Ihre Daten unverschlüsselt, im MobyKlick (S)-Netz verschlüsselt übertragen – das „S“ steht für Sicherheit. Bei der Verschlüsselung wenden wir den derzeit höchsten Sicherheitsstandard für Funknetzwerke an, den so genannten WPA2 (Wi-Fi Protected Access 2).
Quelle: http://www.mobyklick.de/index.php?id=help
Wie können sich Nutzer denn vor einer MITM Attacke über gefälschte Accesspoints schützen?
Meiner Erfahrung nach gibt es zur Zeit keine Möglichkeit dass der Nutzer die Echtheit der Verbindung prüfen kann.
In einem Feldversuch habe ich einen Accesspoint mit selber SSID erstellt und es haben sich tatsächlich Nutzer mit diesem Verbunden. Wäre ich ein Schritt weitergegangen, hätte ich erfolgreich einen MITM Angriff fahren können und Nutzerdaten, soweit unverschlüsselt, abgreifen können.
„Wie können sich Nutzer denn vor einer MITM Attacke über gefälschte Accesspoints schützen?“
Auf höhere Protokollebenen gehen und SSL und/oder VPN-Tunnel nutzen.
Ich behaupte mal, daß das dann wohl eher nichts für den durchschnittlichen Nutzer von öffentlichem WLAN ist. 😉 Also sollte man (oder in dem Fall wilhelm.tel) lieber kommunizieren, daß man im öffentlichen WLAN besser nichts außer Zeitung lesen machen sollte.
Aber vielen Dank für den Hinweis mit VPN, ich merke gerade, daß auch ich mir bislang nicht viel Gedanken über Sicherheit im öffentlichen WLAN gemacht habe.
Wenn Sie mal Lust auf Gedankenaustausch bezüglich Onlinesicherheit haben, hier meine Mailadresse: n4n0@protonmail.ch
PS:
Bei unverschlüsselten WLANs brauchen Sie gar keine Man-in-the-Middle. Es geht eh alles durch die Luft und die meisten WLAN-Chips lassen sich leicht in den Monitormodus schalten. Damit schneiden Sie dann einfach mal alles mit, was so vorbeikommt und werten das anschließend (oder live) entsprechend aus. Verschlüsselte WLANs sind eine Spur härter, aber einige Verfahren wie WEP einfach nur Schrott. Im Zweifel gehen Sie besser davon aus, dass das WLAN nach außen offen ist.
Und dann landen Sie in jedem Fall bei höheren Protokollschichten, die deutlich bessere Verfahren haben. SSL bringt z.B. bereits eine Authentifikation mit, wenngleich das System alles andere als perfekt ist. Ohne größeren Aufwand lässt sich Ihrem Browser aber nicht vormachen, dass ich https://google.com bin, selbst wenn ich vollen Zugriff auf die Leitung habe.
Eigentlich geht es relativ einfach, auch SSL-Traffic auszulesen. Machen sogar Werbefirmen sehr erfolgreich: http://en.wikipedia.org/wiki/Superfish#Lenovo_security_incident
Aber im Übrigen haben Sie natürlich vollkommen recht was offene bzw. WEP Netze angeht.
Das Beispiel aus Ihrem Link funktioniert nur, wenn der User-Rechner schon vorher absichtlich kaputt konfiguriert wurde. Und dann haben Sie auch zu Hause direkt per Kabel am Router ein dickes Security-Problem.
SSL an sich ist ausreichender Schutz gegen WLAN-Mithören.
Wenn nur die Züge und der Fahrplan auch so modern wären 😉
Das ist ja klasse. Wenn dann noch die LINT-Züge WLAN zwischen den Haltestellen haben, kann man endlich mal ruckelfrei surfen,ab HH gibt’s dann ja meist LTE. Im LINT auch mobyklick, vermutlich?