Názory k článku Michal Špaček: Před připojováním na veřejné Wi-Fi sítě už nevaruju

Zatím to spíš vypadá, že až na osvícené výjimky buzzword 2FA (MFA) v praxi znamená výběr mezi SMS a proprietární smartphone aplikací (která v lepším případě jen posté reimplementuje TOTP). Tedy záminka, jak z uživatele buď vymámit telefonní číslo nebo mu vnutit "naši cool apku".

Aneb co kdyz uzivatel stale stahuje postu pres POP3/IMAP (bez TLS)?

Tak je to z bezpečnostního hlediska špatně a je úplně jedno, jestli je na "veřejné wifi", na "neveřejné wifi" nebo třeba doma.

nepozorny uzivatel spechajici za vyrizenim sve potreby odmackne varovani o problematickem certifikatu

Opět je chyba v tom, že to udělal, ne v tom, že je na "veřejné wifi", protože i s "bezpečným připojením" je to úplně stejný problém.

Dokud si do počítače nenainstalujete certifikát certifikační autority, který by vám podstrčil provozovatel té proxy, pak vám HTTPS pomůže – je to přesně ten případ, před kterým vás HTTPS chrání. Vy v prohlížeči zadáte webovou adresu (ideálně bude rovnou s HTTPS, protože to tam doplní samotný prohlížeč), prohlížeč dostane certifikát podepsaný neznámou autoritou (provozovatele té proxy) a zobrazí vám chybovou stránku. Z té chybové stránky není snadná cesta, jak ten certifikát přijmout – takže pokud nebudete dělat hlouposti a neproklikáte se až k povolení toho certifikátu, jste před tím útokem chráněn.

Samozřejmě to znamená, že se nedostanete ani na tu správnou stránku. Ale s tím je potřeba počítat – když používáte cizí síť, vždycky vám dotyčný může někam přístup zablokovat.

Chyba je typicky ajtacky pohled na svet, ze obycejny uzivatel bude nad podobnymi vecmi premyslet. A kdyz jim do toho reknete, ze pripojovat se na otevrene cizi wifi prece neni zadny problem, tak riziko nasledneho zneuziti se akorat zbytecne zvysuje.

Mezi "MitM proxy" a "MitM útokem" není v principu žádný rozdíl. Pokud budete na síti, která HTTPS neumožní jinak než přes tu "proxy", tak prostě nemůžete bezpečně přes HTTPS komunikovat - a neměl byste tedy cokoli citlivého dělat vůbec. HTTPS vám pomůže v tom, že vám umožní takovou situaci rozeznat. Tedy s výjimkou situace, že nemáte pod kontrolou počítač, který používáte, a admin vám tam přidal certifikát té "proxy" coby "důvěryhodný". Ale já si třeba nedokážu představit, že bych se k něčemu jako Internet banking přihlašoval z cizího (nebo někým jiným spravovaného) počítače. Ani z počítače v práci, který si spravuji sám a nikdo jiný ho nepoužívá, to nedělám.

Takže budete lidem vykládat, že musí rozlišovat, k jaké síti se připojí, což stejně nepoznají, takže... Takže co? Takže nemají internet používat vůbec?

Chyba je typicky ajtacky pohled na svet, ze obycejny uzivatel bude nad podobnymi vecmi premyslet.
Ano, chyba je myslet si, že obyčejný uživatel dokáže rozlišit, k jaké síti se připojuje. Pro běžného uživatele je každá síť stejně nebezpečná jako veřejná WiFi.

Chybna je samotna uvaha, ze veskera komunikace se odehrava pouze po HTTPS a tudiz verejne wifi site dnes uz zadnou hrozbu neznamenaji. Pouzivaji se i dalsi protokoly, jejichz zabezpeceni se uz takova pozornost casto nevenuje. Aneb co kdyz uzivatel stale stahuje postu pres POP3/IMAP (bez TLS)? A takhle jde pokracovat treba ruznymi IM protokoly.... ale zatimco u webu se i pomoci ruznych testovacich nastroju da jakz-takz otestovat, ze transport je skutecne zabezpeceny (tzn. pouzivaji se moderni sifrovaci algoritmy, ani u HTTPS nestaci jen to, ze se "nejak" sifruje - podstatne je take "cim"), u dalsich sluzeb tomu tak rozhodne neni... a v praxi casto tyto dalsi sluzby vetsi pozornosti unikaji.

A porad tu jsou utoky, ktere na otevrene verejne wifi hrozi.... pocinaje treba realnym rizikem podvrzeni DNS a presmerovani provozu - nepozorny uzivatel spechajici za vyrizenim sve potreby odmackne varovani o problematickem certifikatu... a problem je na svete. DNS over HTTPS? Opet resi spise jen prohlizec, ale uz ne aplikace okolo (ktere vyuzivaji spise resolver z operacniho systemu). Treba u Androidu je DoH horka novinka verze 13... kolik telefonu s tak novym OS se u lidi realne najde? :-) O dalsich systemech radsi nemluve...

Když někdo nechce přemýšlet nad tím, co dělá, tak na to holt někdy doplatí. Ale to není nic specifického pro IT, ono je totiž nakonec jedno, jestli se to projevuje bezmyšlenkovitým odkliknutím varování prohlížeče nebo vyhozením varování PČR do koše. Princip je pořád stejný.

Pokud někdo používá nezabezpečené protokoly (POP3/IMAP bez TLS), je problém v tom – a má ten problém na každé síti (ve výjimečných případech problém mít nemusí, ale běžný uživatel nedokáže poznat, kdy je to ten případ).

„Odmáčknout varování o problematickém certifikátu“ v prohlížeči naštěstí už nejde – když chce uživatel „odmáčknout“ neplatný certifikát, musí se docela dost snažit, a spousta běžných uživatelů to (doufám) už nezvládne. V jiných programech je to možná snazší, ale to je zase problém těch programů.

stejně jak ty netušíš jak poznat pančovaný benzín do auta, uživatel netuší jak poznat bezpečně nastavené připojení na email. K tomu se váže, že ani dnes velká část emailových klientů nekontroluje správně TLS certifikát u emailu.

Představa, že kdokoliv má plnou znalost a kontrolu nad svým počítačem a tím, kam komunikuje je dost naivní. Uživatel je bude vždy uživatel, ne správce, ne administrátor, ne odborník.

Provozuji si sám IDS/IPS, detailně sleduji a řeším jak která aplikace kam komunikuje a mohu ti říct, že se roztrhl pytel s UDP komunikací (nikoliv QUIC), vlastními protokoly nad nějakým grpc, protobuf, avro s vlastním šifrováním, hashování a kontrolovali. To je minové pole bezpečnostních problémů (zdravím MS Teams).

rozhodně pomůže. HTTPS tě aspoň na takovou věc upozorní (stačí se podívat kým a jak je podepsaný TLS certifikát). Aby to ale aspoň částečně fungovalo, je potřeba mít u sebe jejich CA, ZScaler to podepisuje svým certifikátem, takže na cizí wifi tahle podmínka splněna nebude.

Google a jiné služby pak používají pinning certifikátů, kdy ti prohlížeče nedovolí navštívit stránku, která je podepsané jinou autoritou.

ale tim z principu zvysuju riziko mozneho prusvihu.

Ne. Tedy aspoň pokud nebudete dělat věci, které by byly nebezpečné i na těch drahých mobilních datech. Já na vaše mlžení nedám a klidně budu ty "první wifi zadarmo, co chytím" používat dál.

Ale zrovnatak muzu riziko natankovani pancovenho benzinu omezit tim, ze si vybiram kde tankuju... a nebudu brat benzin na levne, nejkepe "jezedacke" vesnicke pseudobenzince, ze?
A to same plati u toho, k jake siti sva zarizeni pripojuju. Jisteze, je lakave se pripojit - zvlast pri cenach mobilnich dat u nas - k prvni wifi zadarmo, co chytim... ale tim z principu zvysuju riziko mozneho prusvihu.

Jenže ambice nestačí. Proxy nemůže vidět dovnitř šifrované HTPS komunikace, pokud jí to jedna ze stran (klient nebo server) neumožní.

Dotaz: když se připojím na wi-fi třeba někde, kde používají SSL MITM proxy, třeba něco jako ZScaler
https://www.zscaler.com/resources/security-terms-glossary/what-is-ssl-decryption

Pomůže mi pak HTTPS k něčemu vůbec?

"Tak je to z bezpečnostního hlediska špatně a je úplně jedno, jestli je na "veřejné wifi", na "neveřejné wifi" nebo třeba doma"

tyhle bezpecnostni dogmata.... :-/

Řekl bych, že se změnilo dost, konkrétně rozmach passwordless přihlašování, resp. WebAuthn. Snad i významné české služby jej brzo implementují.

Tim spis jim nebudu vykladat, ze je naprosto jedno k cemu se pripoji. Protoze to jedno proste neni.

Snad krom, Microsoftu, Seznamu (kvůli tomu jsem odešel z jich služeb) a bank (tam to beru, že jejich aplikace je autorizák) jsem nenarazil na služby, které by neměli standart TOTP takže na ně používám 1password nebo keepass.

Se ZScalerem zkušenost nemám, ale z principu věci, pokud je mezi vaším web browserem a dotazovaným web serverem nějaká proxy, která má ambice vidět do obsahu přenášených dat, tak už v té komunikaci nejste jen vy dva.

A tedy ten vlastník proxy může vidět vaše hesla v plaintextu a klidně vám podvrhovat obsah stránky, dle libosti, jako za starých "dobrých" časů HTTP://

Pochopil jsem dotaz
https://www.lupa.cz/clanky/michal-spacek-pred-pripojovanim-na-verejne-wi-fi-site-uz-nevaruju/nazory/1174149/

tak, že to mají někde v někde v práci.

Tam bude mít takové firemní řešení asi dost silné "ambice", takříkajíc přímo "dostačující", pokud ten komp instaloval firemní admin.

Ale platí i to co říkáte Vy. Pokud to bud můj počítač a nepustím tam nějaký "magický" script, kterým si to všechno nastaví, tak pak taková proxy bude vyžadovat povolení.