Bezpečnost přihlašování na veřejných wifinách

Vše ostatní o bezpečnosti…

Moderátoři: memphisto, Mods_senior, Security team

Willy411
nováček
Příspěvky: 30
Registrován: květen 13
Pohlaví: Muž
Stav:
Offline

Bezpečnost přihlašování na veřejných wifinách

Příspěvekod Willy411 » 05 dub 2019 16:44

Pokud se přihlašuju tedy datlím své heslo na neznámé wifině v kavárně je to předpokládám problém (nebo jde to nějak šifrovat)?
Jak je to ale s tím, když mám na dané webovce heslo uložené (tedy ho fyzicky neťukám)?

Reklama
Uživatelský avatar
ITCrowd
Tvůrce článků
Guru Level 13.5
Guru Level 13.5
Příspěvky: 23591
Registrován: březen 10
Pohlaví: Muž
Stav:
Offline

Re: Bezpečnost přihlašování na veřejných wifinách

Příspěvekod ITCrowd » 05 dub 2019 16:56

Zkusili jste to vypnout a zapnout? Problémy řeším pouze v tématech. Do SZ mi proto píšete zbytečně.
Základní diagnostika WiFi Jak na diagnostiku sítě Router jako switch Proč je nesmysl chtít router s velkým dosahem Vybíráme router

Uživatelský avatar
Microsheep
Level 4.5
Level 4.5
Příspěvky: 1656
Registrován: leden 10
Pohlaví: Muž
Stav:
Offline

Re: Bezpečnost přihlašování na veřejných wifinách

Příspěvekod Microsheep » 09 dub 2019 16:34

Sice při použití https si relativně v bezpečí a MITM by musel importovat vlastní certifikát, kdyby chtěl někdo provést phishing, každopádně jsou i jiné formy a spoléhej si na to :-) Zdali ho fyzicky ťukáš nebo neťukáš na tom nezáleží. Navíc autofill určitě taky není jedna z bezpečných věcí :-) Samozřejmě s tím nakonfigurovaný správně FW a to je další písnička.

Řešení je vytáčet šifrovaný VPN tunel. (samozřejmě ve full tunel, veškerý traffic by měl jet přes vpn)

Uživatelský avatar
faraon
Master Level 8.5
Master Level 8.5
Příspěvky: 7356
Registrován: prosinec 10
Pohlaví: Muž
Stav:
Offline

Re: Bezpečnost přihlašování na veřejných wifinách

Příspěvekod faraon » 09 dub 2019 20:05

Byl jsem před pár lety na jedné předváděčce, kde přednášející nejdřív několik minut něco chystal na svém otlučeném postarším notebooku, načež vyzval přítomné, aby se zkusili přihlásit do svých bankovních účtů. Samozřejmě vymyšlenými přihlašovacími údaji, předem varoval že nikdo nemá použít ty skutečné!

Když skončili, tak opět několik minut ťukal do klávesnice, načež promítl téměř kompletní seznam "jmen a hesel" asi třiceti účastníků, kteří všichni potvrdili že jsou to ty co zadali. Pouze u dvou lidí prohlásil že tam by to dešifrování trvalo déle, kolem půl hodiny.

Takže na jakoukoliv bezpečnost u veřejných WiFi rovnou zapomeň, tohle byl vyučený pekař a všechno co uměl se naučil úplně sám z Internetu během půl roku!!!
"Král Lávra má dlouhé oslí uši, král je ušatec!

(pravil K. H. Borovský o cenzuře internetu)

h00ki
nováček
Příspěvky: 33
Registrován: duben 19
Pohlaví: Muž
Stav:
Offline

Re: Bezpečnost přihlašování na veřejných wifinách

Příspěvekod h00ki » 09 dub 2019 23:36

Jedna věc je bezpečnost šifrování mezi AP a klientem a věc druhá je bezpečnost šifrování mezi klientem a serverem (třeba bankou). Pokud by existovala taková slabina, která by na veřejné WiFi způsobila, že útočnk dokáže číst komunikaci, která je zašifrovaná na úrovni, která vůbec nesouvisí s WiFi, tak by to byl trochu větší problém :-) to bychom se ani nemohli tím pádem přihlašovat na VPN server, protože by útočník nějakým záhadným způsobem mohl rozšifrovat a ukrást přihlašovací údaje na VPN server. Jsem dosti skeptický a rád bych viděl důkaz místo "Jedna paní povídala.."

Vesele se připojuji na veřejné WiFi, zadávám hesla a strach nemám, protože vím, jak funguje šifrované spojení. Pokud by opravdu existoval způsob, jak číst zašifrovanou E2E HTTPS komunikaci, tak by se ten problém týkal celého internetu, ne jen veřejných WiFi. To by potom mohl útočník číst komunikaci na kterémkoliv nodu.

PS: Pokud je komunikace šifrovaná odzačátku, tak nelze provést MITM. Navíc by útočník musel umět filtrovatpakety, které by šly k oběti a potom posílat oběti svoje. Pokud by se oběť připojila přímo na útočníka, tak stále platí to, co jsem psal o šifrování výše :-)
Podpis nikdo nečte

Uživatelský avatar
Microsheep
Level 4.5
Level 4.5
Příspěvky: 1656
Registrován: leden 10
Pohlaví: Muž
Stav:
Offline

Re: Bezpečnost přihlašování na veřejných wifinách

Příspěvekod Microsheep » 10 dub 2019 06:58

Je rozdíl, když se se ptá někdo, kdo tomu rozumí třeba ty a někdo, kdo se ptá na ťukání na klávensici. Podle toho jsou i poskytovány rady. Neznalý uživatel kliká na co přijde, potvrdí cokoliv jen, aby se mohl dostat na internet (co takhle mu nainstalovat vlastní certifikát?), určitě si nehlídá správný certifikát, jestli na něj někdo nezkouší SSL Strip a zjistí, že je vlastně jen na HTTP, používá aktuální prohlížeč nebo se přihlašuje na podobnou doménu ověřenou apod. Myslím, že by nebyl problém ho donutit připojit se, kam nechce. A kdyby někdo poslouchal komunikaci, chtěl bych vidět, jak dlouho by louskal VPN, hash z např. SHA1 a potom by zjistil, že za další 3 vteřiny už mu je k ničemu. Slabiny se můžou objevit kdekoliv a právě proto je lepší tomu předcházet, čím více bezpečnosti tím lépe, určitě se nepřihlašovat na banku, která nebude mít 2FA.

h00ki
nováček
Příspěvky: 33
Registrován: duben 19
Pohlaví: Muž
Stav:
Offline

Re: Bezpečnost přihlašování na veřejných wifinách

Příspěvekod h00ki » 10 dub 2019 12:32

Já jsem reagoval na ten příspěvek nademnou od faraona. Uváděl tam, že získal přihlašovací údaje lidí, kteří se přihlašovali na své bankovní účty. Já říkal, že jsem skeptický a rád bych viděl nějakou slabinu, která by to umožnovala. Pokud se jednalo o nějakou IT předváděčku, tak tam asi nebyli uživatelé, kteří se ptají na "ťukání na klávesnici".
Podpis nikdo nečte

Uživatelský avatar
ITCrowd
Tvůrce článků
Guru Level 13.5
Guru Level 13.5
Příspěvky: 23591
Registrován: březen 10
Pohlaví: Muž
Stav:
Offline

Re: Bezpečnost přihlašování na veřejných wifinách

Příspěvekod ITCrowd » 10 dub 2019 13:17

No a? Dlouho se tvrdilo, že ssl je ochrana, než přišel heartbleed. Přišly spectre, meltdown atd... Do té doby byly procesory bezpečné. Přišlo i prolomení dosud bezpečného WPA2.
Nikdo ti není povinen skládat účty a předkládat důkazy. Článků na netu na toto téma je ažaž.
Nicméně - už jsem potkal veřejné wifi sítě, které zablokují přihlášení, a to z důvodu nemožnosti odposlechu přihlašovacích údajů.
Nikdo tě nenutí chovat se bezpečně, ale doporučovat použití veřejné sítě pro bankovnictví atd, to je napřesdržku.
Základní problém je totiž ten, že ty vůbec nevíš k jaké wifi se vlatně připojuješ. Klidně se můžeš připojit na nějakého prostředníka. https://www.lupa.cz/clanky/k-falesnym-w ... sice-lidi/
Zkusili jste to vypnout a zapnout? Problémy řeším pouze v tématech. Do SZ mi proto píšete zbytečně.
Základní diagnostika WiFi Jak na diagnostiku sítě Router jako switch Proč je nesmysl chtít router s velkým dosahem Vybíráme router

h00ki
nováček
Příspěvky: 33
Registrován: duben 19
Pohlaví: Muž
Stav:
Offline

Re: Bezpečnost přihlašování na veřejných wifinách

Příspěvekod h00ki » 10 dub 2019 15:04

ITCrowd píše:Nikdo ti není povinen skládat účty a předkládat důkazy. Článků na netu na toto téma je ažaž.

Pokud ti řeknu, že vakcinace u dětí způsobuje autismus a ty se mě zeptáš, kde k tomu mám důkazy, načež ti odpovim, abys si to šel vyhledat na internetu, že "tam toho na toto téma je ažaž", tak mě asi budeš mít za blázna, že? :-)
ITCrowd píše:Nicméně - už jsem potkal veřejné wifi sítě, které zablokují přihlášení

A na jakém principu to funguje? Router se nějak dokáže nabourat do HTTPS komunikace, aby z ní mohl přečíst, že tahle stránka obsahuje input "username" a "password"? Nebo to funguje pouze pro protokoly HTTP? Pak je to zcela zcestné, protože jsem se tu celou dobu bavil o zašifrované komunikaci (HTTPS).
ITCrowd píše:Nikdo tě nenutí chovat se bezpečně, ale doporučovat použití veřejné sítě pro bankovnictví atd, to je napřesdržku.

Mohl bys tady prosím odcitovat, kde jsem nějakým způsobem doporučil, aby se lidé nebáli a vesele se připojovali do bankovnictví na veřejných WiFi sítích? Já to tak dělám, protože "strach nemám, protože vím, jak funguje šifrované spojení"
ITCrowd píše:Základní problém je totiž ten, že ty vůbec nevíš k jaké wifi se vlatně připojuješ. Klidně se můžeš připojit na nějakého prostředníka.

Jako reakci na tohle si dovolím odcitovat sebe - "Pokud by se oběť připojila přímo na útočníka, tak stále platí to, co jsem psal o šifrování výše" + "Pak je to zcela zcestné, protože jsem se tu celou dobu bavil o zašifrované komunikaci (HTTPS)"
A pak ještě článek, na který jsi odkazoval - "V zachycených datech je slušná sbírka toho, jaké weby lidé navštívili, jaké aplikace používali na telefonech a také volně dostupná data, která probíhala po nešifrované komunikaci."
To, že DNS komunikace není šifrovaná, není žádná novinka, ale z toho se opravdu žádná osobní data vyčíst nedají...

Jako reakci na
ITCrowd píše:No a? Dlouho se tvrdilo, že ssl je ochrana, než přišel heartbleed. Přišly spectre, meltdown atd... Do té doby byly procesory bezpečné. Přišlo i prolomení dosud bezpečného WPA2.


Si opět dovolím odcitovat článek, který jsi posílal
Avast připomíná, že připojení k neznámým (a navíc hesly nechráněným) WiFi sítím je bezpečnostní problém, který lze částečně řešit důsledným používáním VPN (což je samozřejmě i služba, kterou ve studii Avast nabízí).


Když se našly chyby v ssl, procesorech a dokonce i WPA2, tak o kolik bezpečnější bude VPN? :-D

Dodatečně přidáno po 29 minutách 1 vteřině:
Jo a mimochodem.. pokud bychom se bavili o Heartbleed, tak se nejedná o chybu SSL, ale o chybu implementace SSL v aplikaci OpenSSL.
Podpis nikdo nečte

Uživatelský avatar
faraon
Master Level 8.5
Master Level 8.5
Příspěvky: 7356
Registrován: prosinec 10
Pohlaví: Muž
Stav:
Offline

Re: Bezpečnost přihlašování na veřejných wifinách

Příspěvekod faraon » 10 dub 2019 17:11

h00ki píše:Pokud se jednalo o nějakou IT předváděčku...
Ano, byl to linuxácký mejdan a rozhodně nešlo o install párty pro BFU.

Tedy, představa že HTTPS tě před něčím chrání, je - mírně řečeno - úsměvná (ale nebudu se smát, poprskal bych si monitor oříšky, které právě chroupu). Sice víš že používáš šifrovanou komunikaci, ale nevíš nic o bezpečnosti použitých šifer a možnostech jejich louskání na počkání... WiFi tvému zařízení prostě sdělí: "Používám SSL téhle verze," a ty vzápětí nic netuše vesele sdílíš svoje přihlašovací údaje s celým okolím. Nejenom se samotnou WiFi, ale i s každým, kdo se s ní spojil dřív než ty (jako to udělal ten pekař):

https://www.root.cz/clanky/ssl-v-ohrozeni-komunikaci-je-mozne-desifrovat/
https://www.fg.cz/cs/deje-se/prolomeni-sifrovaneho-protokolu-https-10930
https://www.root.cz/clanky/sifrovani-wpa2-bylo-prolomeno-wi-fi-site-je-mozne-odposlouchavat/
https://www.nic.cz/files/nic/doc/Securityworld_bezpecnost_062015.pdf

V podstatě ta WiFi může jet na Caesarově šifře s heslem "5", a ty se buď přizpůsobíš nebo se nikam nepřipojíš. A přesně takhle velká je bezpečnost HTTPS.

Ale nerad bych někoho připravoval o iluze a spaní, vždyť Němci také až do konce války věřili že Enigma je bezpečná, akorát Marian Rejewski na to měl už v roce 1930 docela jiný názor ;-)
https://www.youtube.com/watch?v=A9k3rPGaloc

Jen bych podotknul ke zmíněným chybám v procesorech (Spectre/Meltdown a mnoho dalších), že o jejich existenci se veřejně spekulovalo asi patnáct let před jejich zveřejněním, zatímco odborníci zarytě tvrdili že nic takového není možné. A dnes nikdo neví, jestli jakési tajné služby nebo jiná kriminální uskupení tyhle věci dávno nepoužívaly ke svým nekalým rejdům.

Takže já tvrdím že žádné šifrování, používané ke komunikaci s WiFi není dostatečně bezpečné, protože je matematicky dokázané že jediná neprolomitelná šifra je Vernam/OTP. U všech ostatních zůstává pouze víra, že ještě nikdo nenašel správný způsob, jak je rychle prolomit. Pomalé způsoby existují u všech.
Jestliže ty tvrdíš opak, dokaž to, a přitom můžeš také izolovat flogiston a sestrojit perpetuum mobile, držím ti palce :bigups:

P.S. Autismus nezpůsobuje vakcinace, ale rtuť obsažená v očkovacích sérech. A správně se píše Hawkeye. Zkus to vyvrátit :lol:
"Král Lávra má dlouhé oslí uši, král je ušatec!

(pravil K. H. Borovský o cenzuře internetu)

Uživatelský avatar
ITCrowd
Tvůrce článků
Guru Level 13.5
Guru Level 13.5
Příspěvky: 23591
Registrován: březen 10
Pohlaví: Muž
Stav:
Offline

Re: Bezpečnost přihlašování na veřejných wifinách

Příspěvekod ITCrowd » 10 dub 2019 18:27

faraon: :clap: :clap: :clap: :clap: :clap:
Líp bych to nenapsal. :-)
Zkusili jste to vypnout a zapnout? Problémy řeším pouze v tématech. Do SZ mi proto píšete zbytečně.
Základní diagnostika WiFi Jak na diagnostiku sítě Router jako switch Proč je nesmysl chtít router s velkým dosahem Vybíráme router

h00ki
nováček
Příspěvky: 33
Registrován: duben 19
Pohlaví: Muž
Stav:
Offline

Re: Bezpečnost přihlašování na veřejných wifinách

Příspěvekod h00ki » 10 dub 2019 19:11

Snažil jsem se to přečíst asi 10x, ale furt nechápu, co jsi se snažil říct.

Z toho co jsem pochopil (nebo alespoň si to myslím).

1) Určitě bych nerad, aby si kvůli mně někdo musel utírat monitor.
2) Vím, které verze protokolů používám - https://www.ssllabs.com/ssltest/viewMyClient.html
Jiné používat nemohu, protože je můj browser nepodporuje. Což je jeden z důvodů, proč pravidelně updatovat.
2) WiFi mi žádné verze SSL nesděluje. Zaprvé SSL je již zastaralé a zadruhé mezi WiFi a klientem se pouze vyměňují již enkryptvaná data ze serveru, případně klienta.
3) Jak mohu sdílet svoje přihlašovací údaje s celým okolím? A ikdyby tahle šílenost byla pravda, proč by to sdělovalo pouze uživatelům, kteří se připojili předemnou? Proč bych to nesděloval uživatelům co se připojili po mně?
4) První odkaz.. z roku 2011.. navíc je potřebné injectnout JS a do šifrované komunikace to půjde asi dost těžko :-D
Druhý odkaz je taky perlička. Spoléhá to na to samé - injectnout JS do šifrované komunikace. Navíc "The BREACH attack can be exploited with just a few thousand requests".... píší tam, že dokáží tento útok provést během pár minut a získat tím několik bytů, ale pouze s tím JS :-D
Třetí odkaz.. tam se autor zmiňuje o úplně jiné vrstvě šifrování, která nesouvisí s HTTPS
No a dostáváme se k poslednímu odkazu - tam jsem se dočetl, že - "se tento „muž“ pokusit ovlivnit dojednání použité kryptografie až na tak nízkou úroveň, kterou dokáže se svým výpočetním výkonem prolomit". Jak nízká úroveň? Entopicita použitých certifikátů se změnit nemůže a jiné symetrické šifrování než AES 128bit se snad nepoužívá, ne?
5) "V podstatě ta WiFi může jet na Caesarově šifře s heslem "5" Nechápu... použité šifrování musí podporovat i klient.
Navíc opět - jedná se úplně jinou vrstvu šifrování než mezi bankou a klientem.
6) Děkuji za příspěvek o Enigmě. Bohužel jsem tento příběh již znal.
7) Ano, ano už rozumím. Zrovna včera jsem koštětem vyháněl NSA ze stromu naproti.
8) O Vernam/OTP jsem neslyšel, vyhledám si to..
Logicky nelze dokázat, že nějaká šifra je neprolomitelná. Možná se ale mýlím. Každopádně se tu nebavíme o šifrách, ale o protokolech. Šifru jste zmínil až vy - Enigmu a Vernam/OTP (předpokládám, že to je šifra) a teď ještě já (AES). Musíme vůbec začínat debatu o prolomitelnost AES 128?

Poznámce o autismu si velice cením. Píšu si do svého deníčku nových poznatků.

PS: tak hlavně že si rozumíte vy dva
Podpis nikdo nečte


  • Mohlo by vás zajímat
    Odpovědi
    Zobrazení
    Poslední příspěvek
  • 5 pevných, veřejných IP adres
    od pcmaker » 08 dub 2023 11:32 » v Sítě - hardware
    0
    953
    od pcmaker Zobrazit poslední příspěvek
    08 dub 2023 11:32
  • Bezpečnost s kvantovými počítači.
    od atari » 07 črc 2023 22:06 » v Vše ostatní (bezp)
    2
    4436
    od faraon Zobrazit poslední příspěvek
    08 črc 2023 17:23

Zpět na “Vše ostatní (bezp)”

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 2 hosti