Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.
Ne příliš technická přednáška o HTTPS a VPN s několika doporučeními pro uživatele
mobilních zařízení i pro tvůrce appek a ...
WiFi PineappleWiFi Pineapplewww.wifipineapple.com
Tohle zařízení za $99.99 umí pomocí útoku nazvaného Karma přesvědčit vaš...
Toto je příklad jedné takové další sítě. Když jsem na ni byl připojen, tak do každé stránky
načtené po HTTP byl vložen ban...
Ale vkládání reklam není to nejhorší, pamatuje si na HackingTeam? To je ta firma, co dělá
špehovací software, který si kou...
Jak to funguje, jak je to vůbec možné? Za normálních podmínek vaše appka nebo
prohlížeč posílá na web nebo stahuje data ze...
Jen často nevíte, komu ta Wi-Fi patří a jaký má její majitel úmysly. Může to být klidně Wi-Fi
moje, nebo nějakého (jiného)...
HTTPS
Pokud aplikace nebo web budou načítat stránky nebo obecně jakákoliv data po šifrovaném
protokolu HTTPS, tak má mizer...
1 2
Může ale komunikaci „rozčísnout“. Místo toho, aby appka komunikovala s nějakým webem,
tak ji přesvědčí, že má komuniko...
HTTPS
Everywhere
Jedna z možností, jak se tomu bránit, je použít HTTPS naprosto všude, aby někdo nemohl
odposlouchávat a v...
1 2
Jen HTTPS všude nemusí stačit, pamatujete na tento slajd? Spojení do appky přijde po
HTTPS, jenže appka netuší odkud.
1 2
Takže ta appka takové spojení nesmí přijmout. Pozná ho podle toho, že certifikát nejspíš
nevystavila žádná důvěryhodná...
Certificate
(Public Key)
Pinning
Ještě lepší zabezpečení by bylo, kdyby appka komunikovala s webem jen tehdy, když bude
k ...
A jak se můžete bránit jako uživatelé různých webů nebo appek, které na HTTPS prdí nebo
ho mají udělané blbě? Česká televi...
U soudku WiFi
↓
U soudku WiFi FREE HIGH SPEED
Jenže mizera může v klidu přijít do hospody U soudku, obsluhy se zeptat na h...
VPNVirtual private network
Nejlepším řešením je VPN. Tu zkratku už možná znáte, pokud pracujete pro nějakou větší
firmu. J...
VPN funguje tak, že vytvoří jakýsi tunel mezi vaším zařízením a VPN serverem, ten tunel je
šifrovaný a všechno je uděláno ...
Já používám F-Secure Freedome od renomované a důvěryhodné finské firmy F-Secure.
Služba stojí cca €50/rok pro 5 zařízení. ...
VPN server může být v kterékoliv jiné zemi a pak to pro cílový web vypadá, že spojení jde z
té jiné země. Takže pokud bude...
Používejte VPN,
HTTPS a ověřujte certifikáty
Michal ŠpačekMichal Špaček
www.michalspacek.czwww.michalspacek.cz @spazef0rze...
Próxima SlideShare
Cargando en…5
×

Bezpečnost na mobilních zařízeních

2.082 visualizaciones

Publicado el

Ne příliš technická přednáška o HTTPS a VPN s několika doporučeními pro uživatele mobilních zařízení i pro tvůrce appek a webů.

Publicado en: Internet
  • Sé el primero en comentar

Bezpečnost na mobilních zařízeních

  1. 1. Ne příliš technická přednáška o HTTPS a VPN s několika doporučeními pro uživatele mobilních zařízení i pro tvůrce appek a webů. Původní slajdy tyto poznámky neobsahují. Raniel Diaz https://www.flickr.com/photos/ranieldiaz/5851301372/ Bezpečnost na mobilních zařízeních Michal Špaček www.michalspacek.cz @spazef0rze
  2. 2. WiFi PineappleWiFi Pineapplewww.wifipineapple.com Tohle zařízení za $99.99 umí pomocí útoku nazvaného Karma přesvědčit vaše počítače a telefony, aby se připojily na útočníkem ovládanou Wi-Fi. Tato krabička odpoví kladně na dotaz, jestli náhodou nevysílá síť, kterou má váš počítač uloženou. A to i přesto, že takovou síť vlastně nezná. Pokud se na podobnou krabičku připojíte, tak mizera může číst a měnit veškerý nezašifrovaný provoz. Tedy data, která vaše appka stahuje a odesílá. Týká se to samozřejmě také e-mailu i prohlížeče a webů, které prohlížíte.
  3. 3. Toto je příklad jedné takové další sítě. Když jsem na ni byl připojen, tak do každé stránky načtené po HTTP byl vložen banner. Všimněte si té reklamy na auto dole uprostřed. Ta na původní stránce není, nacpal ji tam provozovatel Wi-Fi, aby její provoz nemusel platit ze svého. A to byla normální Wi-Fi na benzínce, nic pochybného.
  4. 4. Ale vkládání reklam není to nejhorší, pamatuje si na HackingTeam? To je ta firma, co dělá špehovací software, který si koupila mj. česká policie. Ten software do stránek na HTTP vkládá exploity, které pak umožní odposlouchávat třeba vaše telefonní hovory apod.
  5. 5. Jak to funguje, jak je to vůbec možné? Za normálních podmínek vaše appka nebo prohlížeč posílá na web nebo stahuje data ze serveru přes nějakou Wi-Fi, nějak takhle.
  6. 6. Jen často nevíte, komu ta Wi-Fi patří a jaký má její majitel úmysly. Může to být klidně Wi-Fi moje, nebo nějakého (jiného) mizery. A ten zloduch může odposlouchávat nebo měnit data nebo do webu třeba vkládat vlastní reklamu, viz příklad dříve.
  7. 7. HTTPS Pokud aplikace nebo web budou načítat stránky nebo obecně jakákoliv data po šifrovaném protokolu HTTPS, tak má mizera smůlu. Data sice uvidí, ale budou šifrovaná a protože nezná šifrovací klíče, tak je nemůže rozšifrovat.
  8. 8. 1 2 Může ale komunikaci „rozčísnout“. Místo toho, aby appka komunikovala s nějakým webem, tak ji přesvědčí, že má komunikovat s ním, zkrátka se za ten web bude vydávat. Appka mu pošle data šifrovaná klíčem 1, mizera ho zná, data rozšifruje, přečte a zašifruje klíčem 2 a pošle na původní server. To samé udělá, když server bude odpovídat. Win-win-win situace.
  9. 9. HTTPS Everywhere Jedna z možností, jak se tomu bránit, je použít HTTPS naprosto všude, aby někdo nemohl odposlouchávat a vkládat do stránek reklamu nebo viry. Ale to jako uživatelé na spoustě webů neovlivníte. Weby zavedou HTTPS až ho zavedou, ale ani o minutu dříve. Pro appky je HTTPS a obecně šifrování dat během přenosu naprostá nutnost. U appky naštěstí ovládáte obě strany, jak appku, tak server, takže v poho.
  10. 10. 1 2 Jen HTTPS všude nemusí stačit, pamatujete na tento slajd? Spojení do appky přijde po HTTPS, jenže appka netuší odkud.
  11. 11. 1 2 Takže ta appka takové spojení nesmí přijmout. Pozná ho podle toho, že certifikát nejspíš nevystavila žádná důvěryhodná certifikační autorita. Do detailů nebudeme zabíhat.
  12. 12. Certificate (Public Key) Pinning Ještě lepší zabezpečení by bylo, kdyby appka komunikovala s webem jen tehdy, když bude k dispozici správný certifikát. Appka si pamatuje, že může přijmout odpověď jen tehdy, když přijde po HTTPS spojení s certifikátem XYZ, ale ne jiným. Certifikát má připíchnutý, podobně jako když máte na nástěnce nákupní seznam. Někdy se tomu říká public key pinning, což je v podstatě to samé.
  13. 13. A jak se můžete bránit jako uživatelé různých webů nebo appek, které na HTTPS prdí nebo ho mají udělané blbě? Česká televize začátkem roku odvysílala reportáž o hackování Wi-Fi, ale ona to byla reportáž spíš o hackování lidí, ani nebyla moc dobrá, spousta věcí byla nafejkovaných, ale tak aspoň něco. Doporučovali v ní, ať se nepřipojujete k nezabezpečeným Wi-Fi sítím, to jsou ty, co nechtějí žádné heslo pro připojení. http://www.ceskatelevize.cz/ivysilani/1097181328-udalosti/215411000100117
  14. 14. U soudku WiFi ↓ U soudku WiFi FREE HIGH SPEED Jenže mizera může v klidu přijít do hospody U soudku, obsluhy se zeptat na heslo k jejich Wi-Fi a poté udělat vlastní Wi-Fi s lákavým názvem a nastavit tam stejné heslo. Návštěvníci se raději připojí k síti, která se jmenuje U soudku WiFi FREE HIGH SPEED, protože FREE a HIGH SPEED. To je to hackování lidí. Dobře udělaný útok na uživatele Wi-Fi v podstatě nemáte šanci poznat.
  15. 15. VPNVirtual private network Nejlepším řešením je VPN. Tu zkratku už možná znáte, pokud pracujete pro nějakou větší firmu. Jen to pro vás asi bude synonymum k „práce z domova“.
  16. 16. VPN funguje tak, že vytvoří jakýsi tunel mezi vaším zařízením a VPN serverem, ten tunel je šifrovaný a všechno je uděláno správně a další spojení pak jdou až z toho VPN serveru. Takže útočník na Wi-Fi v hospodě má smůlu. Mohl by sice útočit na spojení mezi VPN serverem a cílovým webem, ale na to většinou nemá možnosti. Při používání VPN pro práci z domova je VPN server u vás ve firmě ve vnitřní síti a má přístup k ostatním službám na firemní síti. SERVER
  17. 17. Já používám F-Secure Freedome od renomované a důvěryhodné finské firmy F-Secure. Služba stojí cca €50/rok pro 5 zařízení. Pro 3 zařízení je to €40/rok a pro jedno jen €30. Mimochodem, nákup z té jejich appky je o 20 % levnější než přímo z webu. Freedome je pro Mac, iOS i Android a ovládání je velmi jednoduché: vypnout a zapnout. Doporučuji to mít zapnuté pokaždé, když nejste doma nebo v kanceláři a na telefonu klidně pořád.
  18. 18. VPN server může být v kterékoliv jiné zemi a pak to pro cílový web vypadá, že spojení jde z té jiné země. Takže pokud budete chtít obejít omezení třeba na YouTube, ale nechcete nic platit, tak zkuste TunnelBear VPN. Nabízí 500MB měsíčně zdarma, další 1GB za tweetnutí. VPN službu nabízí také třeba český Avast, pod příznačným názvem SecureLine.
  19. 19. Používejte VPN, HTTPS a ověřujte certifikáty Michal ŠpačekMichal Špaček www.michalspacek.czwww.michalspacek.cz @spazef0rze@spazef0rze VPN používejte nejen při práci z domova a pokud děláte nějakou appku nebo web, tak jen na HTTPS a v appkách nezapomínejte ověřovat certifikáty. Stay safe!

×