SlideShare ist ein Scribd-Unternehmen logo
1 von 19
Downloaden Sie, um offline zu lesen
Ne příliš technická přednáška o HTTPS a VPN s několika doporučeními pro uživatele
mobilních zařízení i pro tvůrce appek a webů. Původní slajdy tyto poznámky neobsahují.
Raniel Diaz https://www.flickr.com/photos/ranieldiaz/5851301372/
Bezpečnost na mobilních zařízeních
Michal Špaček www.michalspacek.cz @spazef0rze
WiFi PineappleWiFi Pineapplewww.wifipineapple.com
Tohle zařízení za $99.99 umí pomocí útoku nazvaného Karma přesvědčit vaše počítače
a telefony, aby se připojily na útočníkem ovládanou Wi-Fi. Tato krabička odpoví kladně
na dotaz, jestli náhodou nevysílá síť, kterou má váš počítač uloženou. A to i přesto, že
takovou síť vlastně nezná. Pokud se na podobnou krabičku připojíte, tak mizera může
číst a měnit veškerý nezašifrovaný provoz. Tedy data, která vaše appka stahuje a
odesílá. Týká se to samozřejmě také e-mailu i prohlížeče a webů, které prohlížíte.
Toto je příklad jedné takové další sítě. Když jsem na ni byl připojen, tak do každé stránky
načtené po HTTP byl vložen banner. Všimněte si té reklamy na auto dole uprostřed. Ta na
původní stránce není, nacpal ji tam provozovatel Wi-Fi, aby její provoz nemusel platit ze
svého. A to byla normální Wi-Fi na benzínce, nic pochybného.
Ale vkládání reklam není to nejhorší, pamatuje si na HackingTeam? To je ta firma, co dělá
špehovací software, který si koupila mj. česká policie. Ten software do stránek na HTTP
vkládá exploity, které pak umožní odposlouchávat třeba vaše telefonní hovory apod.
Jak to funguje, jak je to vůbec možné? Za normálních podmínek vaše appka nebo
prohlížeč posílá na web nebo stahuje data ze serveru přes nějakou Wi-Fi, nějak takhle.
Jen často nevíte, komu ta Wi-Fi patří a jaký má její majitel úmysly. Může to být klidně Wi-Fi
moje, nebo nějakého (jiného) mizery. A ten zloduch může odposlouchávat nebo měnit data
nebo do webu třeba vkládat vlastní reklamu, viz příklad dříve.
HTTPS
Pokud aplikace nebo web budou načítat stránky nebo obecně jakákoliv data po šifrovaném
protokolu HTTPS, tak má mizera smůlu. Data sice uvidí, ale budou šifrovaná a protože
nezná šifrovací klíče, tak je nemůže rozšifrovat.
1 2
Může ale komunikaci „rozčísnout“. Místo toho, aby appka komunikovala s nějakým webem,
tak ji přesvědčí, že má komunikovat s ním, zkrátka se za ten web bude vydávat. Appka mu
pošle data šifrovaná klíčem 1, mizera ho zná, data rozšifruje, přečte a zašifruje klíčem 2
a pošle na původní server. To samé udělá, když server bude odpovídat. Win-win-win situace.
HTTPS
Everywhere
Jedna z možností, jak se tomu bránit, je použít HTTPS naprosto všude, aby někdo nemohl
odposlouchávat a vkládat do stránek reklamu nebo viry. Ale to jako uživatelé na spoustě
webů neovlivníte. Weby zavedou HTTPS až ho zavedou, ale ani o minutu dříve. Pro appky
je HTTPS a obecně šifrování dat během přenosu naprostá nutnost. U appky naštěstí
ovládáte obě strany, jak appku, tak server, takže v poho.
1 2
Jen HTTPS všude nemusí stačit, pamatujete na tento slajd? Spojení do appky přijde po
HTTPS, jenže appka netuší odkud.
1 2
Takže ta appka takové spojení nesmí přijmout. Pozná ho podle toho, že certifikát nejspíš
nevystavila žádná důvěryhodná certifikační autorita. Do detailů nebudeme zabíhat.
Certificate
(Public Key)
Pinning
Ještě lepší zabezpečení by bylo, kdyby appka komunikovala s webem jen tehdy, když bude
k dispozici správný certifikát. Appka si pamatuje, že může přijmout odpověď jen tehdy, když
přijde po HTTPS spojení s certifikátem XYZ, ale ne jiným. Certifikát má připíchnutý, podobně
jako když máte na nástěnce nákupní seznam. Někdy se tomu říká public key pinning, což je
v podstatě to samé.
A jak se můžete bránit jako uživatelé různých webů nebo appek, které na HTTPS prdí nebo
ho mají udělané blbě? Česká televize začátkem roku odvysílala reportáž o hackování Wi-Fi,
ale ona to byla reportáž spíš o hackování lidí, ani nebyla moc dobrá, spousta věcí byla
nafejkovaných, ale tak aspoň něco. Doporučovali v ní, ať se nepřipojujete k
nezabezpečeným Wi-Fi sítím, to jsou ty, co nechtějí žádné heslo pro připojení.
http://www.ceskatelevize.cz/ivysilani/1097181328-udalosti/215411000100117
U soudku WiFi
↓
U soudku WiFi FREE HIGH SPEED
Jenže mizera může v klidu přijít do hospody U soudku, obsluhy se zeptat na heslo k jejich
Wi-Fi a poté udělat vlastní Wi-Fi s lákavým názvem a nastavit tam stejné heslo. Návštěvníci
se raději připojí k síti, která se jmenuje U soudku WiFi FREE HIGH SPEED, protože FREE
a HIGH SPEED. To je to hackování lidí. Dobře udělaný útok na uživatele Wi-Fi v podstatě
nemáte šanci poznat.
VPNVirtual private network
Nejlepším řešením je VPN. Tu zkratku už možná znáte, pokud pracujete pro nějakou větší
firmu. Jen to pro vás asi bude synonymum k „práce z domova“.
VPN funguje tak, že vytvoří jakýsi tunel mezi vaším zařízením a VPN serverem, ten tunel je
šifrovaný a všechno je uděláno správně a další spojení pak jdou až z toho VPN serveru. Takže
útočník na Wi-Fi v hospodě má smůlu. Mohl by sice útočit na spojení mezi VPN serverem
a cílovým webem, ale na to většinou nemá možnosti. Při používání VPN pro práci z domova je
VPN server u vás ve firmě ve vnitřní síti a má přístup k ostatním službám na firemní síti.
SERVER
Já používám F-Secure Freedome od renomované a důvěryhodné finské firmy F-Secure.
Služba stojí cca €50/rok pro 5 zařízení. Pro 3 zařízení je to €40/rok a pro jedno jen €30.
Mimochodem, nákup z té jejich appky je o 20 % levnější než přímo z webu. Freedome je
pro Mac, iOS i Android a ovládání je velmi jednoduché: vypnout a zapnout. Doporučuji to
mít zapnuté pokaždé, když nejste doma nebo v kanceláři a na telefonu klidně pořád.
VPN server může být v kterékoliv jiné zemi a pak to pro cílový web vypadá, že spojení jde z
té jiné země. Takže pokud budete chtít obejít omezení třeba na YouTube, ale nechcete nic
platit, tak zkuste TunnelBear VPN. Nabízí 500MB měsíčně zdarma, další 1GB za tweetnutí.
VPN službu nabízí také třeba český Avast, pod příznačným názvem SecureLine.
Používejte VPN,
HTTPS a ověřujte certifikáty
Michal ŠpačekMichal Špaček
www.michalspacek.czwww.michalspacek.cz @spazef0rze@spazef0rze
VPN používejte nejen při práci z domova a pokud děláte nějakou appku nebo web, tak
jen na HTTPS a v appkách nezapomínejte ověřovat certifikáty.
Stay safe!

Weitere ähnliche Inhalte

Was ist angesagt?

XSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQXSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQMichal Špaček
 
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdíleníPassword manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdíleníMichal Špaček
 
Základy webové bezpečnosti pro PR a marketing
Základy webové bezpečnosti pro PR a marketingZáklady webové bezpečnosti pro PR a marketing
Základy webové bezpečnosti pro PR a marketingMichal Špaček
 
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)Michal Špaček
 
Jak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuJak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuMichal Špaček
 
WebTop100 Technické chyby, výkon a bezpečnost
WebTop100 Technické chyby, výkon a bezpečnostWebTop100 Technické chyby, výkon a bezpečnost
WebTop100 Technické chyby, výkon a bezpečnostMichal Špaček
 
Lámání a ukládání hesel
Lámání a ukládání heselLámání a ukládání hesel
Lámání a ukládání heselMichal Špaček
 
HTTPS zdarma a pro všechny - LinuxDays 2015
HTTPS zdarma a pro všechny - LinuxDays 2015HTTPS zdarma a pro všechny - LinuxDays 2015
HTTPS zdarma a pro všechny - LinuxDays 2015tomashala
 
Víceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguVíceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguMichal Špaček
 
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)Michal Špaček
 
Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)wcsk
 
WordCamp Prague 2014 - Website security cz
WordCamp Prague 2014 - Website security czWordCamp Prague 2014 - Website security cz
WordCamp Prague 2014 - Website security czpeter_sucuri
 
Bezpečnostní útoky na webové aplikace
Bezpečnostní útoky na webové aplikaceBezpečnostní útoky na webové aplikace
Bezpečnostní útoky na webové aplikaceMichal Špaček
 
Kolik webových útoků znáš...
Kolik webových útoků znáš...Kolik webových útoků znáš...
Kolik webových útoků znáš...Michal Špaček
 
NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...
NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...
NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...New Media Inspiration
 
Bezpečnost na webu
Bezpečnost na webuBezpečnost na webu
Bezpečnost na webuMiloš Janda
 

Was ist angesagt? (20)

XSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQXSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQ
 
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdíleníPassword manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
 
Hashování hesel
Hashování heselHashování hesel
Hashování hesel
 
Základy webové bezpečnosti pro PR a marketing
Základy webové bezpečnosti pro PR a marketingZáklady webové bezpečnosti pro PR a marketing
Základy webové bezpečnosti pro PR a marketing
 
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
 
Medvědí služba
Medvědí službaMedvědí služba
Medvědí služba
 
Hlava není na hesla
Hlava není na heslaHlava není na hesla
Hlava není na hesla
 
Jak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuJak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webu
 
WebTop100 Technické chyby, výkon a bezpečnost
WebTop100 Technické chyby, výkon a bezpečnostWebTop100 Technické chyby, výkon a bezpečnost
WebTop100 Technické chyby, výkon a bezpečnost
 
Zapomeňte vaše hesla
Zapomeňte vaše heslaZapomeňte vaše hesla
Zapomeňte vaše hesla
 
Lámání a ukládání hesel
Lámání a ukládání heselLámání a ukládání hesel
Lámání a ukládání hesel
 
HTTPS zdarma a pro všechny - LinuxDays 2015
HTTPS zdarma a pro všechny - LinuxDays 2015HTTPS zdarma a pro všechny - LinuxDays 2015
HTTPS zdarma a pro všechny - LinuxDays 2015
 
Víceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguVíceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site Scriptingu
 
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
 
Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)
 
WordCamp Prague 2014 - Website security cz
WordCamp Prague 2014 - Website security czWordCamp Prague 2014 - Website security cz
WordCamp Prague 2014 - Website security cz
 
Bezpečnostní útoky na webové aplikace
Bezpečnostní útoky na webové aplikaceBezpečnostní útoky na webové aplikace
Bezpečnostní útoky na webové aplikace
 
Kolik webových útoků znáš...
Kolik webových útoků znáš...Kolik webových útoků znáš...
Kolik webových útoků znáš...
 
NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...
NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...
NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...
 
Bezpečnost na webu
Bezpečnost na webuBezpečnost na webu
Bezpečnost na webu
 

Ähnlich wie Bezpečnost na mobilních zařízeních

Anonymni komunikace na webu
Anonymni komunikace na webuAnonymni komunikace na webu
Anonymni komunikace na webuDavid Němec
 
Smart Cards & Devices Forum 2013 - Babel
Smart Cards & Devices Forum 2013 - BabelSmart Cards & Devices Forum 2013 - Babel
Smart Cards & Devices Forum 2013 - BabelOKsystem
 
Bezpecnost na socialnich sitich verze pro profesionaly
Bezpecnost na socialnich sitich verze pro profesionalyBezpecnost na socialnich sitich verze pro profesionaly
Bezpecnost na socialnich sitich verze pro profesionalyJulia Szymańska
 
Fantom Opery, "VPN" a Secure Proxy v Opeře
Fantom Opery, "VPN" a Secure Proxy v OpeřeFantom Opery, "VPN" a Secure Proxy v Opeře
Fantom Opery, "VPN" a Secure Proxy v OpeřeMichal Špaček
 
Trendy v internetové bezpečnosti
Trendy v internetové bezpečnostiTrendy v internetové bezpečnosti
Trendy v internetové bezpečnostiDaniel Dočekal
 
Smart Cards & Devices Forum 2013 - Komerční prezentace aplikace cryptocult
Smart Cards & Devices Forum 2013 - Komerční prezentace aplikace cryptocultSmart Cards & Devices Forum 2013 - Komerční prezentace aplikace cryptocult
Smart Cards & Devices Forum 2013 - Komerční prezentace aplikace cryptocultOKsystem
 
Prezentace o IoT pro iCollege
Prezentace o IoT pro iCollegePrezentace o IoT pro iCollege
Prezentace o IoT pro iCollegeMartin Maly
 

Ähnlich wie Bezpečnost na mobilních zařízeních (8)

Anonymni komunikace na webu
Anonymni komunikace na webuAnonymni komunikace na webu
Anonymni komunikace na webu
 
Smart Cards & Devices Forum 2013 - Babel
Smart Cards & Devices Forum 2013 - BabelSmart Cards & Devices Forum 2013 - Babel
Smart Cards & Devices Forum 2013 - Babel
 
Bezpecnost na socialnich sitich verze pro profesionaly
Bezpecnost na socialnich sitich verze pro profesionalyBezpecnost na socialnich sitich verze pro profesionaly
Bezpecnost na socialnich sitich verze pro profesionaly
 
Special-E15-2705
Special-E15-2705Special-E15-2705
Special-E15-2705
 
Fantom Opery, "VPN" a Secure Proxy v Opeře
Fantom Opery, "VPN" a Secure Proxy v OpeřeFantom Opery, "VPN" a Secure Proxy v Opeře
Fantom Opery, "VPN" a Secure Proxy v Opeře
 
Trendy v internetové bezpečnosti
Trendy v internetové bezpečnostiTrendy v internetové bezpečnosti
Trendy v internetové bezpečnosti
 
Smart Cards & Devices Forum 2013 - Komerční prezentace aplikace cryptocult
Smart Cards & Devices Forum 2013 - Komerční prezentace aplikace cryptocultSmart Cards & Devices Forum 2013 - Komerční prezentace aplikace cryptocult
Smart Cards & Devices Forum 2013 - Komerční prezentace aplikace cryptocult
 
Prezentace o IoT pro iCollege
Prezentace o IoT pro iCollegePrezentace o IoT pro iCollege
Prezentace o IoT pro iCollege
 

Mehr von Michal Špaček

Quality of Life, Multiple Lines of Defense
Quality of Life, Multiple Lines of DefenseQuality of Life, Multiple Lines of Defense
Quality of Life, Multiple Lines of DefenseMichal Špaček
 
Disclosing password hashing policies
Disclosing password hashing policiesDisclosing password hashing policies
Disclosing password hashing policiesMichal Špaček
 
Operations security (OPSEC) in IT
Operations security (OPSEC) in ITOperations security (OPSEC) in IT
Operations security (OPSEC) in ITMichal Špaček
 
HTTP Strict Transport Security (HSTS), English version
HTTP Strict Transport Security (HSTS), English versionHTTP Strict Transport Security (HSTS), English version
HTTP Strict Transport Security (HSTS), English versionMichal Špaček
 
I forgot my password – what a secure password reset needs to have and why
I forgot my password – what a secure password reset needs to have and whyI forgot my password – what a secure password reset needs to have and why
I forgot my password – what a secure password reset needs to have and whyMichal Špaček
 
The problem with the real world
The problem with the real worldThe problem with the real world
The problem with the real worldMichal Špaček
 
Defense in Depth Web Inkognito 12/2013
Defense in Depth Web Inkognito 12/2013Defense in Depth Web Inkognito 12/2013
Defense in Depth Web Inkognito 12/2013Michal Špaček
 
Bezpečnost webových aplikací Web Inkognito VŠE 05/2013
Bezpečnost webových aplikací Web Inkognito VŠE 05/2013Bezpečnost webových aplikací Web Inkognito VŠE 05/2013
Bezpečnost webových aplikací Web Inkognito VŠE 05/2013Michal Špaček
 

Mehr von Michal Špaček (9)

Quality of Life, Multiple Lines of Defense
Quality of Life, Multiple Lines of DefenseQuality of Life, Multiple Lines of Defense
Quality of Life, Multiple Lines of Defense
 
Disclosing password hashing policies
Disclosing password hashing policiesDisclosing password hashing policies
Disclosing password hashing policies
 
Operations security (OPSEC) in IT
Operations security (OPSEC) in ITOperations security (OPSEC) in IT
Operations security (OPSEC) in IT
 
HTTP Strict Transport Security (HSTS), English version
HTTP Strict Transport Security (HSTS), English versionHTTP Strict Transport Security (HSTS), English version
HTTP Strict Transport Security (HSTS), English version
 
I forgot my password – what a secure password reset needs to have and why
I forgot my password – what a secure password reset needs to have and whyI forgot my password – what a secure password reset needs to have and why
I forgot my password – what a secure password reset needs to have and why
 
HTTP/2
HTTP/2HTTP/2
HTTP/2
 
The problem with the real world
The problem with the real worldThe problem with the real world
The problem with the real world
 
Defense in Depth Web Inkognito 12/2013
Defense in Depth Web Inkognito 12/2013Defense in Depth Web Inkognito 12/2013
Defense in Depth Web Inkognito 12/2013
 
Bezpečnost webových aplikací Web Inkognito VŠE 05/2013
Bezpečnost webových aplikací Web Inkognito VŠE 05/2013Bezpečnost webových aplikací Web Inkognito VŠE 05/2013
Bezpečnost webových aplikací Web Inkognito VŠE 05/2013
 

Bezpečnost na mobilních zařízeních

  • 1. Ne příliš technická přednáška o HTTPS a VPN s několika doporučeními pro uživatele mobilních zařízení i pro tvůrce appek a webů. Původní slajdy tyto poznámky neobsahují. Raniel Diaz https://www.flickr.com/photos/ranieldiaz/5851301372/ Bezpečnost na mobilních zařízeních Michal Špaček www.michalspacek.cz @spazef0rze
  • 2. WiFi PineappleWiFi Pineapplewww.wifipineapple.com Tohle zařízení za $99.99 umí pomocí útoku nazvaného Karma přesvědčit vaše počítače a telefony, aby se připojily na útočníkem ovládanou Wi-Fi. Tato krabička odpoví kladně na dotaz, jestli náhodou nevysílá síť, kterou má váš počítač uloženou. A to i přesto, že takovou síť vlastně nezná. Pokud se na podobnou krabičku připojíte, tak mizera může číst a měnit veškerý nezašifrovaný provoz. Tedy data, která vaše appka stahuje a odesílá. Týká se to samozřejmě také e-mailu i prohlížeče a webů, které prohlížíte.
  • 3. Toto je příklad jedné takové další sítě. Když jsem na ni byl připojen, tak do každé stránky načtené po HTTP byl vložen banner. Všimněte si té reklamy na auto dole uprostřed. Ta na původní stránce není, nacpal ji tam provozovatel Wi-Fi, aby její provoz nemusel platit ze svého. A to byla normální Wi-Fi na benzínce, nic pochybného.
  • 4. Ale vkládání reklam není to nejhorší, pamatuje si na HackingTeam? To je ta firma, co dělá špehovací software, který si koupila mj. česká policie. Ten software do stránek na HTTP vkládá exploity, které pak umožní odposlouchávat třeba vaše telefonní hovory apod.
  • 5. Jak to funguje, jak je to vůbec možné? Za normálních podmínek vaše appka nebo prohlížeč posílá na web nebo stahuje data ze serveru přes nějakou Wi-Fi, nějak takhle.
  • 6. Jen často nevíte, komu ta Wi-Fi patří a jaký má její majitel úmysly. Může to být klidně Wi-Fi moje, nebo nějakého (jiného) mizery. A ten zloduch může odposlouchávat nebo měnit data nebo do webu třeba vkládat vlastní reklamu, viz příklad dříve.
  • 7. HTTPS Pokud aplikace nebo web budou načítat stránky nebo obecně jakákoliv data po šifrovaném protokolu HTTPS, tak má mizera smůlu. Data sice uvidí, ale budou šifrovaná a protože nezná šifrovací klíče, tak je nemůže rozšifrovat.
  • 8. 1 2 Může ale komunikaci „rozčísnout“. Místo toho, aby appka komunikovala s nějakým webem, tak ji přesvědčí, že má komunikovat s ním, zkrátka se za ten web bude vydávat. Appka mu pošle data šifrovaná klíčem 1, mizera ho zná, data rozšifruje, přečte a zašifruje klíčem 2 a pošle na původní server. To samé udělá, když server bude odpovídat. Win-win-win situace.
  • 9. HTTPS Everywhere Jedna z možností, jak se tomu bránit, je použít HTTPS naprosto všude, aby někdo nemohl odposlouchávat a vkládat do stránek reklamu nebo viry. Ale to jako uživatelé na spoustě webů neovlivníte. Weby zavedou HTTPS až ho zavedou, ale ani o minutu dříve. Pro appky je HTTPS a obecně šifrování dat během přenosu naprostá nutnost. U appky naštěstí ovládáte obě strany, jak appku, tak server, takže v poho.
  • 10. 1 2 Jen HTTPS všude nemusí stačit, pamatujete na tento slajd? Spojení do appky přijde po HTTPS, jenže appka netuší odkud.
  • 11. 1 2 Takže ta appka takové spojení nesmí přijmout. Pozná ho podle toho, že certifikát nejspíš nevystavila žádná důvěryhodná certifikační autorita. Do detailů nebudeme zabíhat.
  • 12. Certificate (Public Key) Pinning Ještě lepší zabezpečení by bylo, kdyby appka komunikovala s webem jen tehdy, když bude k dispozici správný certifikát. Appka si pamatuje, že může přijmout odpověď jen tehdy, když přijde po HTTPS spojení s certifikátem XYZ, ale ne jiným. Certifikát má připíchnutý, podobně jako když máte na nástěnce nákupní seznam. Někdy se tomu říká public key pinning, což je v podstatě to samé.
  • 13. A jak se můžete bránit jako uživatelé různých webů nebo appek, které na HTTPS prdí nebo ho mají udělané blbě? Česká televize začátkem roku odvysílala reportáž o hackování Wi-Fi, ale ona to byla reportáž spíš o hackování lidí, ani nebyla moc dobrá, spousta věcí byla nafejkovaných, ale tak aspoň něco. Doporučovali v ní, ať se nepřipojujete k nezabezpečeným Wi-Fi sítím, to jsou ty, co nechtějí žádné heslo pro připojení. http://www.ceskatelevize.cz/ivysilani/1097181328-udalosti/215411000100117
  • 14. U soudku WiFi ↓ U soudku WiFi FREE HIGH SPEED Jenže mizera může v klidu přijít do hospody U soudku, obsluhy se zeptat na heslo k jejich Wi-Fi a poté udělat vlastní Wi-Fi s lákavým názvem a nastavit tam stejné heslo. Návštěvníci se raději připojí k síti, která se jmenuje U soudku WiFi FREE HIGH SPEED, protože FREE a HIGH SPEED. To je to hackování lidí. Dobře udělaný útok na uživatele Wi-Fi v podstatě nemáte šanci poznat.
  • 15. VPNVirtual private network Nejlepším řešením je VPN. Tu zkratku už možná znáte, pokud pracujete pro nějakou větší firmu. Jen to pro vás asi bude synonymum k „práce z domova“.
  • 16. VPN funguje tak, že vytvoří jakýsi tunel mezi vaším zařízením a VPN serverem, ten tunel je šifrovaný a všechno je uděláno správně a další spojení pak jdou až z toho VPN serveru. Takže útočník na Wi-Fi v hospodě má smůlu. Mohl by sice útočit na spojení mezi VPN serverem a cílovým webem, ale na to většinou nemá možnosti. Při používání VPN pro práci z domova je VPN server u vás ve firmě ve vnitřní síti a má přístup k ostatním službám na firemní síti. SERVER
  • 17. Já používám F-Secure Freedome od renomované a důvěryhodné finské firmy F-Secure. Služba stojí cca €50/rok pro 5 zařízení. Pro 3 zařízení je to €40/rok a pro jedno jen €30. Mimochodem, nákup z té jejich appky je o 20 % levnější než přímo z webu. Freedome je pro Mac, iOS i Android a ovládání je velmi jednoduché: vypnout a zapnout. Doporučuji to mít zapnuté pokaždé, když nejste doma nebo v kanceláři a na telefonu klidně pořád.
  • 18. VPN server může být v kterékoliv jiné zemi a pak to pro cílový web vypadá, že spojení jde z té jiné země. Takže pokud budete chtít obejít omezení třeba na YouTube, ale nechcete nic platit, tak zkuste TunnelBear VPN. Nabízí 500MB měsíčně zdarma, další 1GB za tweetnutí. VPN službu nabízí také třeba český Avast, pod příznačným názvem SecureLine.
  • 19. Používejte VPN, HTTPS a ověřujte certifikáty Michal ŠpačekMichal Špaček www.michalspacek.czwww.michalspacek.cz @spazef0rze@spazef0rze VPN používejte nejen při práci z domova a pokud děláte nějakou appku nebo web, tak jen na HTTPS a v appkách nezapomínejte ověřovat certifikáty. Stay safe!