Vlákno názorů k článku Odposlouchávání a prolamování Wi-Fi sítí zabezpečených pomocí WPA2 od peci1 - Hmm, takze me podezreni ohledne "bezpecnosti" verejnych hotspotu...
-
peci1Stříbrný podporovatelHmm, takze me podezreni ohledne "bezpecnosti" verejnych hotspotu s heslem bylo spravne.
Pak tedy vyvstava otazka, proc tu jeste nemame Open WiFi sifrovanou klicem vytvorenym pres Diffie-Hellman vymenu... Uroven bezpecnosti by byla stejna jako u WPA2-PSK, pokud utocnik zna heslo (coz v pripade kavaren atd. neni problem).
S pouzivanim VPN souhlasim a pouzivam, ale stale mi prijde extremne nebezpecne, ze v zadnem znamem OS neni mozne nastavit, aby se pripojil a IHNED pote se spojil pres VPN a do te doby neposilal nikam jinam zadne pakety. Ony jsou ty OS totiz velmi cile v posilani vsemozneho sajrajtu hned, jak zjisti, ze jsou online...
-
s (neregistrovaný)
IMO se to s tou VPN trochu prehani. Vsechny ty gmaily, facebooky, iCloudy jsou na HTTPS. Co konkretne se mi muze stat, kdyz pouziju WiFi v MC Donalds bez VPN? HTTPS nikdo neodposlechne a ty kokotiny na idnes.cz kam obcas kliknu, koho to tankuje? Snad tam nekdo muze podstrcit nejakej malware, ale s notebookem s linuxem se z nejakeho duvodu citim docela bezpecne.
Ostatne VPN jen presouva problem o kousek jinam. Vdycky se ty tvoje pakety nakonec dostanou na nejake draty, kde si je nekdo muze prohlednout. Snad v tom mekaci bude trochu vetsi audience. Ale implementovat novy standard s DH je IMO k nicemu. Zabezpeceni domaci wifi heslem je uplne dostacujici.
-
peci1Stříbrný podporovatel
Ta DH vymena nebyla myslena jako zvyseni zabezpeceni (i kdyz by prakticky asi byla), ale spis jako moznost uplne nekricet do sveta vsechno, co delas, i kdyz se nepouzije sdilene heslo (ktere, jak bylo v clanku ukazano, je prakticky k nicemu).
A k VPN - ty jsi jeste nikde necetl o verejnych hotspotech, ktere ti do webovych stranek pridavaji reklamu? A co kdyz to neni jenom reklama? Nactes si hloupy idnes, a pri trose "stesti" ti muze provozovatel AP ukradnout lecjaka zajimava data z prohlizece...
-
s (neregistrovaný)
Tak ono uz z pouheho faktu, ze WPA2 nepouziva asymetricke sifrovani je jasne, ze kdyz znas heslo, muzes i poslouchat.
Z prohlizece ukradne jen to, co slo po HTTP a to mi je celkem jedno. Ze mi tam ukaze reklamu... hmm... to preziju a dokonce si myslim, ze injectovat reklamu do stranek typu idnes tak, aby to nebylo na prvni pohled podezrele, je docela obtizna zalezitost. A kdyz pojmu podezreni, ze se neco takoveho deje, tak si tu VPN pro jistotu fakt zapnu.
Co mne tak napada, tak utocnik muze jiste zjistit IP kam se pripojuju, na HTTPS snad nekdy i domenu, ale jinak toho zas tak moc nezjisti.
No a taky je nutne dodat, ze ta VPN musi nekam vest. Takze VPN akorat meni audienci, ktera muze poslouchat.
Btw, mam ted v browseru otevreno asi 15 tabu. Vsechny jsou HTTPS a vsechny zelene zamecky. Tam nikdo nic nepodvrhne ani neodposlechne.
-
NULL (neregistrovaný)
"Vsechny jsou HTTPS a vsechny zelene zamecky. Tam nikdo nic nepodvrhne ani neodposlechne."
IMHO zelený rámeček je hezký, ale signalizuje pouze to, že certifikát je podepsán důvěryhodnou autoritou. To že není pro daný web, podvržený, neukáže. Viz. útok na bankovnictví České spořitelny přes výměnu certifikátů v uložišti browseru
-
s (neregistrovaný)
s tim nesouhlasim. Kdyz url sviti zelene, znamena to, ze ten kdo dany www server provozuje, mel moznost menit DNS, poslouchat na portu < 1024, nebo prijimat email na abuse@domena a to v dobe platnosti certifikatu. Proste to, co na seznam.cz nikdo neudela.
To, ze si nekdo poplete URL a misto ceskasporitelna.cz napise abcdwtf.cz, to je problem mezi zidli a klavesnici a nejaka VPN ti nepomuze.
-
NULL (neregistrovaný)
Když ti v browseru někdo vymění cert (třeba té spořitelny) za svůj a unese ti relaci (třeba na tu spořitelnu) MITM, tak ti to bude svítit zeleně. Stačí na to, aby ten jeho byl podepsaný nějakou autoritou kterou uznává tvůj browser - to je to proč je to zelené - jinými slovy, když použiješ LE nebo vlastní cert a nesvítí ti to zeleně, tak je podvrhnutý? Asi ne
-
j (neregistrovaný)
2s: Tudiz nemas ani paru o tom, jak certifikaty fungujou. Tvu browser bude spokojene zelenit pro zcela LIBOVOLNEJ certifikat LIBOVOLNY CA, ze seznamu, kterej ti importuje tvuj browser pripadne system. Takze kdyz budu provozovat CA, ktera bude ve tvym browseru, muzu si vydat cert pro zcela libovolnou domenu zcela kdykoli. Coz je treba zcela bezna vec u firemnich stroju - mas tam firemni CA, a admin si muze vydat cert klidne pro seznam.cz a tvuj browser bude spokojene ukazovat zelenej zamek.
Takze nezvan o veceh o kterych vis naprosto kulovy.
VPN ti pomuze v tom, ze znemoznis provozovateli ty wifi pristup ke svy komunikaci, takze ji dost tezko muze presmerovat na nejakou proxy.
-
NULL (neregistrovaný)
Ano ano, je to tak. Každopádně i VPN login se dá podvrhnout, ale to už je pak úplně jiný vektor a spíše konkrétně cíle ná záležitost. Nejsem si teď akorát jistý tím, že nejprve se musíš přihlásit k AP a pak teprve na VPN, tudíž v podstatě nebezpečný bod - přihlášení k VPN i tak přetrvává. Nehledě na to, že útočník by mohl být i unvitř VPN - třeba VPN vyskoké školy/nějaké větší organizace -> počet uživatelů . . . .
-
peci1Stříbrný podporovatel
Jenze browser bohuzel neni jediny software, ktery v pocitaci bezi. Co kdyz vam AP podvrhne systemovy cas fake timeserverem a pouzije ukradeny a revokovany klic k podvrzeni vaseho slavneho https... AP taky muze zkusit z paketu jinych protokolu (NetBIOS, Avahi...) rozpoznat vas OS a cilene na pocitac zautocit (nikdo totiz netvrdi, ze AP s SSID McDonald je opravdu to, ktere ma McDonald na strope, ale muze si ho vesele provozovat chlapik u vedlejsiho stolu). Takovych moznosti a problemu jsou mraky.
Kdyz se clovek spoji pres VPN, tak i "osklivemu" AP da minimum informaci, ktere muze jakkoli vyuzit (tady by silne pomohlo, co pisu - kdyby systemy umoznovaly VPN vyzadovat od prvniho paketu uspesneho spojeni).
Co se tyce preneseni duvery na "jiny konec dratu" - s tim nemam problem. Svemu domacimu poskytovateli (at uz je to Vodafone, O2, UPC nebo kdokoli jiny) proste musim bezmezne duverovat. A kdyz se pres VPN spojim domu, tak jsem na tom s duverou uplne stejne.
-
peci1Stříbrný podporovatel
Nicmene hostitelsky system bude nadale vesele otevrene komunikovat skrz AP.
-
Bob5 (neregistrovaný)
s- Souhlas.
Ja myslim, ze idealne je mit fyzicky zabezpecene wifi WPA2 silnym heslem doma, u nas asi idelane vyskladanym trochu vic cesky. Specialni znak schovany nekde uprostred prida extra vypocetni cas nutny k prolomeni (si myslim ;-)) proti vsem beznym slovnikum, ktere jsou vetsinou anglicky oriented.
Nejake (vetsinou placene) VPN uz resi bezpecnost na vyssi urovni, kdy clovek nekde na letisti v Syrii muze malicko obejit lokalni pravidla a konecne napsat kamaradovi v UK, ze uz je na ceste, ze. -
arote (neregistrovaný)
HTTPS je tutovka? Za WW2 britové používali rybaření. Zaminovali určitý čtverec a německé minolovky pak posílali zprávy, které britové dokázali mnohem snadněji dešifrovat díky znalosti čtverců, jinými slovy předem známý text. Pokud se připojíte na internetové bankovnictví (a těch tady nejsou milióny), pak pokud útočník má také účet u stejné banky, tak si může nahrát celou svou komunikaci. Ta posléze funguje jako předem známý text pro snadnější určení klíče - záleží na implementaci co, kde a čím se šifruje. Polopatě z předem známé zprávy a metody lze snadno určit šifrovací klíč. Pak asi budete doufat, že vás zachrání sms na mobil, ale v okamžiku, kdy znají pozici vašeho mobilu, jsou schopni odposlechnout i zprávu sms a pak aleluja.
ČLÁNKY DO MAILU