Bezpečnost webových aplikací Web Inkognito VŠE 05/2013
Bezpečnost na mobilních zařízeních
1. Ne příliš technická přednáška o HTTPS a VPN s několika doporučeními pro uživatele
mobilních zařízení i pro tvůrce appek a webů. Původní slajdy tyto poznámky neobsahují.
Raniel Diaz https://www.flickr.com/photos/ranieldiaz/5851301372/
Bezpečnost na mobilních zařízeních
Michal Špaček www.michalspacek.cz @spazef0rze
2. WiFi PineappleWiFi Pineapplewww.wifipineapple.com
Tohle zařízení za $99.99 umí pomocí útoku nazvaného Karma přesvědčit vaše počítače
a telefony, aby se připojily na útočníkem ovládanou Wi-Fi. Tato krabička odpoví kladně
na dotaz, jestli náhodou nevysílá síť, kterou má váš počítač uloženou. A to i přesto, že
takovou síť vlastně nezná. Pokud se na podobnou krabičku připojíte, tak mizera může
číst a měnit veškerý nezašifrovaný provoz. Tedy data, která vaše appka stahuje a
odesílá. Týká se to samozřejmě také e-mailu i prohlížeče a webů, které prohlížíte.
3. Toto je příklad jedné takové další sítě. Když jsem na ni byl připojen, tak do každé stránky
načtené po HTTP byl vložen banner. Všimněte si té reklamy na auto dole uprostřed. Ta na
původní stránce není, nacpal ji tam provozovatel Wi-Fi, aby její provoz nemusel platit ze
svého. A to byla normální Wi-Fi na benzínce, nic pochybného.
4. Ale vkládání reklam není to nejhorší, pamatuje si na HackingTeam? To je ta firma, co dělá
špehovací software, který si koupila mj. česká policie. Ten software do stránek na HTTP
vkládá exploity, které pak umožní odposlouchávat třeba vaše telefonní hovory apod.
5. Jak to funguje, jak je to vůbec možné? Za normálních podmínek vaše appka nebo
prohlížeč posílá na web nebo stahuje data ze serveru přes nějakou Wi-Fi, nějak takhle.
6. Jen často nevíte, komu ta Wi-Fi patří a jaký má její majitel úmysly. Může to být klidně Wi-Fi
moje, nebo nějakého (jiného) mizery. A ten zloduch může odposlouchávat nebo měnit data
nebo do webu třeba vkládat vlastní reklamu, viz příklad dříve.
7. HTTPS
Pokud aplikace nebo web budou načítat stránky nebo obecně jakákoliv data po šifrovaném
protokolu HTTPS, tak má mizera smůlu. Data sice uvidí, ale budou šifrovaná a protože
nezná šifrovací klíče, tak je nemůže rozšifrovat.
8. 1 2
Může ale komunikaci „rozčísnout“. Místo toho, aby appka komunikovala s nějakým webem,
tak ji přesvědčí, že má komunikovat s ním, zkrátka se za ten web bude vydávat. Appka mu
pošle data šifrovaná klíčem 1, mizera ho zná, data rozšifruje, přečte a zašifruje klíčem 2
a pošle na původní server. To samé udělá, když server bude odpovídat. Win-win-win situace.
9. HTTPS
Everywhere
Jedna z možností, jak se tomu bránit, je použít HTTPS naprosto všude, aby někdo nemohl
odposlouchávat a vkládat do stránek reklamu nebo viry. Ale to jako uživatelé na spoustě
webů neovlivníte. Weby zavedou HTTPS až ho zavedou, ale ani o minutu dříve. Pro appky
je HTTPS a obecně šifrování dat během přenosu naprostá nutnost. U appky naštěstí
ovládáte obě strany, jak appku, tak server, takže v poho.
10. 1 2
Jen HTTPS všude nemusí stačit, pamatujete na tento slajd? Spojení do appky přijde po
HTTPS, jenže appka netuší odkud.
11. 1 2
Takže ta appka takové spojení nesmí přijmout. Pozná ho podle toho, že certifikát nejspíš
nevystavila žádná důvěryhodná certifikační autorita. Do detailů nebudeme zabíhat.
12. Certificate
(Public Key)
Pinning
Ještě lepší zabezpečení by bylo, kdyby appka komunikovala s webem jen tehdy, když bude
k dispozici správný certifikát. Appka si pamatuje, že může přijmout odpověď jen tehdy, když
přijde po HTTPS spojení s certifikátem XYZ, ale ne jiným. Certifikát má připíchnutý, podobně
jako když máte na nástěnce nákupní seznam. Někdy se tomu říká public key pinning, což je
v podstatě to samé.
13. A jak se můžete bránit jako uživatelé různých webů nebo appek, které na HTTPS prdí nebo
ho mají udělané blbě? Česká televize začátkem roku odvysílala reportáž o hackování Wi-Fi,
ale ona to byla reportáž spíš o hackování lidí, ani nebyla moc dobrá, spousta věcí byla
nafejkovaných, ale tak aspoň něco. Doporučovali v ní, ať se nepřipojujete k
nezabezpečeným Wi-Fi sítím, to jsou ty, co nechtějí žádné heslo pro připojení.
http://www.ceskatelevize.cz/ivysilani/1097181328-udalosti/215411000100117
14. U soudku WiFi
↓
U soudku WiFi FREE HIGH SPEED
Jenže mizera může v klidu přijít do hospody U soudku, obsluhy se zeptat na heslo k jejich
Wi-Fi a poté udělat vlastní Wi-Fi s lákavým názvem a nastavit tam stejné heslo. Návštěvníci
se raději připojí k síti, která se jmenuje U soudku WiFi FREE HIGH SPEED, protože FREE
a HIGH SPEED. To je to hackování lidí. Dobře udělaný útok na uživatele Wi-Fi v podstatě
nemáte šanci poznat.
15. VPNVirtual private network
Nejlepším řešením je VPN. Tu zkratku už možná znáte, pokud pracujete pro nějakou větší
firmu. Jen to pro vás asi bude synonymum k „práce z domova“.
16. VPN funguje tak, že vytvoří jakýsi tunel mezi vaším zařízením a VPN serverem, ten tunel je
šifrovaný a všechno je uděláno správně a další spojení pak jdou až z toho VPN serveru. Takže
útočník na Wi-Fi v hospodě má smůlu. Mohl by sice útočit na spojení mezi VPN serverem
a cílovým webem, ale na to většinou nemá možnosti. Při používání VPN pro práci z domova je
VPN server u vás ve firmě ve vnitřní síti a má přístup k ostatním službám na firemní síti.
SERVER
17. Já používám F-Secure Freedome od renomované a důvěryhodné finské firmy F-Secure.
Služba stojí cca €50/rok pro 5 zařízení. Pro 3 zařízení je to €40/rok a pro jedno jen €30.
Mimochodem, nákup z té jejich appky je o 20 % levnější než přímo z webu. Freedome je
pro Mac, iOS i Android a ovládání je velmi jednoduché: vypnout a zapnout. Doporučuji to
mít zapnuté pokaždé, když nejste doma nebo v kanceláři a na telefonu klidně pořád.
18. VPN server může být v kterékoliv jiné zemi a pak to pro cílový web vypadá, že spojení jde z
té jiné země. Takže pokud budete chtít obejít omezení třeba na YouTube, ale nechcete nic
platit, tak zkuste TunnelBear VPN. Nabízí 500MB měsíčně zdarma, další 1GB za tweetnutí.
VPN službu nabízí také třeba český Avast, pod příznačným názvem SecureLine.
19. Používejte VPN,
HTTPS a ověřujte certifikáty
Michal ŠpačekMichal Špaček
www.michalspacek.czwww.michalspacek.cz @spazef0rze@spazef0rze
VPN používejte nejen při práci z domova a pokud děláte nějakou appku nebo web, tak
jen na HTTPS a v appkách nezapomínejte ověřovat certifikáty.
Stay safe!