Dokázali byste spravit počítač?

@Zumpa píše:
Já si tu ego nehoním, nemám tu potřebu. Píšu to sem proto, že bezpečnost řeším v rámci své činnosti a nemám rád, když se lidem lže a oni pak zbytečně přicházejí o peníze - kolikrát o celoživotní úspory.
Z principu máš pravdu v tom, že mezi neveřejnou a veřejnou sítí je technicky nulový rozdíl. Jako poskytovatel mohu odposlouchávat komunikaci - a to i šifrovanou - to zase odmítáš uznat ty. Proto ti doporučuji nějaký hacking či security kurz. Nicméně slušný poskytovatel sítě bude jen provoz logovat dle povinnosti dané ze zákona. Kdežto nějaký pochybný poskytovatel veřejné sítě může unášet celý provoz a dělat si s ním, co uzná za vhodné. A v tom je to riziko. Kdybys opravdu lektoroval bezpečnost, tak bys tohle měl vědět. Mnohem větší riziko je chování, než technická nedostatečnost. Za mě je prostě každá veřejná wifi - v obchodním středisku, v hotelu, na letišti apod. riziková záležitost. Doufám, že ostatní, co to tady čtou, si to vezmou k srdci a budou se podle toho chovat.
Pokud lektoruješ - tak jsme se možná i viděli v reálu, tak přece snad všem říkáš, že se mají na neznámých wifi sítích chovat bezpečně, tzn. ideálně používat vpn či directaccess. A když už si tu hrajeme na bezpečnost, tak tím nemyslím vpn nějakých veřejných poskytovatelů, ale vlastní firemní.

Uveď mi reálný příklad z dejme tomu posledních tří let (kdy už tě žádný současný prohlížeč nikam nepustí bez platného certifikátu) kdy byl u nás někdo okraden s využitím odposlechu/úpravy dat na veřejně dostupných sítích. Denně to využívá obrovské množství lidí. Podle tebe tedy musí být velké množství takových případů. A to se stále bavíme jen o internetových protokolech využívaných laiky. V „profesionálním“ IT světě udělala bezpečnost za poslední léta pokrok o celý vesmír. Oproti tomu zde máme desítky případů, kdy byl někdo okraden sociálním inženýrstvím, na což byl cílen ten test a co mělo být předmětem diskuse.

Dále se vyhýbáš otázce, kolik MIT únosů jsi provedl. My jsme je dělali (samozřejmě v rámci studie na předem schválených provozech) a troufnu si tvrdit, že je v praxi nebude úspěšně schopen provést skoro žádný IT pracovník a rozhodně ne kdy si vzpomene, musí tomu nahrát velká souhra různých chyb a okolností. Rozhodně ne běžní správci sítí u internetových poskytovatelů. S vhodností využívat VPN ve firemním prostředí s tebou naprosto souhlasím, protože bezpečnosti není nikdy dost a především se skryje kompletní provoz na daném spoji, ze kterého (byť šifrovaného), by šlo alespoň něco odvodit, i když by nedošlo u únosu konkrétních dat. Ale to neznamená, že bez toho si kdo chce po cestě poslechne cizí data, jako když jsme si s tím hráli v době telnetových komunikací a neexistence protokolů s doplněným písmenkem „s“.

Tvoje opětovné doporučení na doplnění znalostí nějakým kurzem opět pobavilo. Nijak to nezamaskuje, že působíš jako někdo, kdo má teoreticky nastudováno, ale prakticky nemá věci ověřené. Protože jak už to bývá, teorie a praxe se vždy neshodují. A já také sleduji kampaně firem jako surfshark vpn a dalších, které ve velkém sponzorují youtubery, aby jim dělali reklamu, sponzorují „odborné“ články a celkově cpou peníze na vytvoření dojmu, že bez zakoupení jejich VPN nelze používat internet. Jen se tím na základě svých znalostí a zkušeností nenechávám vyplašit.

A opet dodávám - celý ten elaborát píšu jen kvůli tomu, aby se laická veřejnost z tvých názorů neplašila a nezískala pocit, že když si nekoupí VPN produkt za xx dolarů měsíčně, tak jim někdo vybílí bankovní konto. A že připojení se na wifi v MCDonaldu je stejně rizikové, jako vlézt v zoo do výběhu s medvědy.

@Zumpa píše:
@rmot No vidíš, já to vše zase píšu proto, abych laickou veřejnost chránil. Neznámé wifi jsou bezpečnostní riziko, proto všem doporučuji určitou obezřetnost a pokud to není nutné, tak tyto sítě nevyužívat.

S tebou je diskuse jak s Babišem. Na otázky zásadně neodpovídáš, překrucuješ a jen slepě a hluše jedeš to své. To nemá cenu. Myslím, že si z té „diskuse“ každý případný čtenář vezme své.

@rmot píše:
S tebou je diskuse jak s Babišem. Na otázky zásadně neodpovídáš, překrucuješ a jen slepě a hluše jedeš to své. To nemá cenu. Myslím, že si z té „diskuse“ každý případný čtenář vezme své.

Ale vždyť ty jsi na tom úplně stejně Jen s tím rozdílem, že tě z ničeho nezkouším, mně je celkem jedno, co umíš, čím se živíš a co máš za sebou. A taky uznám, že co se týká bezpečnosti, tak jsem extrémně tvrdohlavý. Možná jako Andrej Kdybys byl z mého okolí, tak bych ti rád nabídnul spolupráci, schopného člověka z oboru potřebuji, ale trošku mě děsí tvá sveřepost v tom, že je https v ovládané síti neprůstřelný.

Příspěvek upraven 10.01.23 v 11:11

@Zumpa píše:
Hele, upřímně, aby se ti někdo dostal do bankovnictví včetně ověřování přes SMS, tak to v ČR dá doslova pár lidí, navíc s vybavením, které není běžně dostupné, tak pachatel by byl předem známý. Pokud tě budu chtít obrat o peníze z účtu, použiju jiné, levnější a efektivnější procesy.
Když už jsi tu zmínil například zobrazení odkazu, to jde lehce upravit javascriptem, takže i našeptávač zobrazující adresu může být podvržen. Naštěstí je phishing zatím od hlupáků, ale nikdy nevíš, co přijde časem.
Ten test je dobrej v tom, že je alespoň nějakej, líbí se mi tam myšlenka s tím, že při chybě ztrácíš peníze, to plno lidí ťukne, že to není legrace. Jen by to chtělo dotáhnout. Já například když vidím, že někdo použije diakritiku v názvu SSID, tak je mi jasné, že tahle síť se nikdy nepotkala s network administrátorem a bůhví, co moje zařízení čeká, až se tam připojím.

Přesně tak. Pointa toho testu je skvělá, ale troufám si tvrdit, že ty tisíce poškozených ročně v globálu nic neznamená, i když mi jich líto je. Sice je můžeme ošklivě odsoudit, protože ty i já víš, na co si dávat majzla, ale když běžní uživatelé o těchto nástrahách nic neví, jak se mohli bránit?

Je to jako heroin. Jak víme, že heroin fuj? No protože ho někdo zkusil. Stejně tak ti poškození - jejich příběh je poučení pro ostatní.

Dám příklad: před sedmi lety má nejlepší kamarádka, vysokoškolačka, velmi inteligentní, žádné rizikové chování na internetu, žádné porno ani cracky. A volali ji z banky, že ji zablokovali internetové bankovnictví, protože tam byl neoprávněný přístup třetí strany. O žádné peníze nepřišla, ale musela si znova vylítat údaje do bankovnictví. Jak se to stalo, netuším, já jsem z Vysočiny a na vozíku, kamarádka z Prahy. Tehdy jsem to po konzultaci s jedním klukem vyřešil tak, že si kámoška stáhla linuxovou distribuci, hodila si ji na flešku a při každé platbě nastartovala ten linux z flešky a platila v něm. Antivir používala.

@Divná Bára píše:
Jakÿ používáte antivir? Jaký je nejlepší?

Antivir máš už přímo ve win, pokud nejsi chronický stahovač všeho možného tak úplně stačí.
Eset by nějak viditelně neměl zpomalovat pc, bud máš něco špatně nastavený, nebo muzejní pc 

@Ploskutáček píše:
No, rmote i Žumpo, vaše znalosti bezpečnosti daleko převyšují ty moje, přesto mi nikdo nikdy účet nevybílil, a to jsem až do května 2019 používal Windows XP, včetně internetového bankovnictví.

Mě by zajímala praxe, ne to, co dokáže jeden z vás hacknout, ale jaká je pravděpodobnost toho, že by mi někdo vybílil účet, třeba přes tu nezabezpečenou wifinu. Protože nepoužívám dotykáč, ale hloupý tlačítkový telefon a už při při přihlášení to chce autorizaci SMS. Upozorňuji, že do bezpečnosti nedělám, ale jak mě kdysi upozornil někdo na fóru o penězích, i SMS se dají odchytávat a údajně je to velmi nezabezpečené, daleko lepší je prý token nebo otisk prstu na smartfounu. Stále píšu o hloupých telefonech. Kolik chyb by se muselo sejít, aby vám někdo hacknul účet? Do bankovnictví lezu pouze přes stolní počítač.

Připravit někoho o peníze přece vždycky vyžaduje součinnost uživatele a sebelepší ochrana vás neochrání, takže na tohle je ten test dobrej, ale většina lidí by si na něm vylámala zuby. Kolik lidí z běžný populace třeba ví, že když ukážou v prohlížeči na odkaz (bez kliknutí), ukáže se jim dole cesta, kam ten odkaz skutečně vede?

Podle mě má relevanci to, kolik lidí používá internetové bankovnictví/smartbanking v ČR celkově a kolik z nich přijde měsíčně/ročně o peníze? Já se domnívám, že to bude pod 1 % ročně. Jenže když pak narazíte na takovéhle články:

https://www.idnes.cz/…c-zpravy_the

https://www.policie.cz/…podvody.aspx

https://www.jcted.cz/…upove-udaje/

A tohle, když si přečtou senioři, tak často můžou nabýt dojmu, jak jsou ta internetová bankovnictví k ničemu, bojí se toho, zlatá pošta a složenky, ale nedojde jim, že IB je pouze nástroj, cokoliv dobré se dá přece zneužít. Je nůž špatný pro to, že se jim můžete říznout? Za mě ne. Je špatné IB jen proto, že ho mnohdy lidé neumějí používat s rozvahou? Možná proto vznikl ten test, a kdyby o něm poškození věděli dříve, zkusili si ho, možná by vůbec o peníze nepřišli, nebo alespoň ne o tolik. Ale pohybujeme se v extrémech typu poškozených z odkazů (jeden extrém) a těmi, kteří si IB radši vůbec nepořídí, protože se bojí o peníze. Já mám IB teprve od 2016 a super. A pokud je někomu 70-90 a nechce se učit/neumí s PC, tak snad má potomky, kteří by určité platby či jejich zrušení mohli/měli zařídit za něj.

Takže ten test je fajn, střelci vašeho typu ho strhají, ale myšlenka je dobrá. Prostě aby lidi nevyplňovali bankovní údaje kamkoliv, slepě. Pak je ale tady druhý extrém, že někoho ten test vyděsí, a začne trpět paranoiou, protože uvidí nebezpečí všude.

Za chvíli se budeme muset autorizovat desetkrát kvůli jedné platbě. Já třeba velmi těžce nesl, když zavedli i přihlašování přes SMS.

P. S. Ta Ruslanka je kus

Příspěvek upraven 10.01.23 v 11:01

Přesně jak píšeš, největší přínos toho testu je, že to dalších pár lidí naťukne zajímat se o to, co v tom internetovém prohlížeči vlastně všechno vidí za informace, když někam lezou a dozví se pár dalších věcí, na co koukat a co si hlídat.
V praxi s tím hacknutím komunikace se to má tak, že kdo by to dokázal reálně udělat, jak píše Žumpa, tak se tím neskutečně proslaví a budou ho znát všichni. V praxi toho dosahneš za předem daných laboratorních podmínek, jako jsme si tím hráli my. Jde o to, že nikdo není kouzelník a když něco hackneš, tak v podstatě jen využiješ nějaké chyby, kterou někde programátor udělal a něco nedomyslel. Ale zdrojový kód kriticky důležitých aplikací kontrolují tisíce až miliony dalších programátorů a veškeré chyby se hned hlásí, protože najít důležitou chybu tě také v IT světě neskutečně proslaví, stoupneš na žebříčku žádaných programátorů a tak To samé se týká komunikačních protokolů, kde v posledních letech proběhlo obrovské zlepšení bezpečnosti. A co je podstatné - kdyby se někde objevil případ, že někdo někoho okradl pomocí takového hackingu, tak o tom čteme ještě za rok ve všech novinách po celém světě, jaká by to byla výjimečná událost. Zatímco vše, co se objevuje ve zprávách, jsou právě ty případy, které nemají s hackingem sítí nic společného. Jde jen o to klasické oblbnutí laického uživatele, aby sám udělal něco, čím se o ty peníze připraví. Nebezpečnost veřejně dostupných sítí před lety skutečně spočívala v tom, že byly veřejné. Klasika byla třeba Olympia v Plzni. Měli obrovský dosah veřejně dostupných wifin a všichni uživatelé byli napojeni ve stejném segmentu. Takže když jsem si sedl a u jídla zapl notebook, kde jsem uvedl sǐťovou kartu do promiscuit režimu (a změnil MAC adresu, což je pro počítač v síti něco jako SPZ u auta), který ji umožnil vidět na data, která tekla z/do zařízeních ostatních lidí, co se v té Olympii také připojili na wifi, mohl jsem si z tenkrát nešifrované komunikace odposlechnout třeba přihlašovací údaje lidí do jejich e-mailů, na různé webové stránky a podobně. Jenže to je minulost. Dnes jak nějaká stránka nepoužívá šifrování (to je ten zamčený zámeček nahoře před adresou a začátek adresy https, misto dříve používaného http), tak na tebe bude internetový prohlížeč řvát jak vzteklý, když by ses přes takovou stránku třeba pokusil přihlásit na jejich služby a budeš muset odklikat milion výjimek s varováním, že to tak skutečně chceš. Různé internetové služby dnes už ani neumožňují připojení jinak, než šifrovaně. A v takovém případě já při tom odposlechu uvidím jen nic neříkající shluk dat. Onen MIM útok, kterým se neustále zaklíná Žumpa znamená, že se dostaneš mezi komunikaci dvou zařízení a co odešle jeden, tak odchytíš, dešifruješ, pozměníš, opět zašifruješ a pošleš do cíle. Jenže kvůli tomu existují certifikáty pro šifrování, které vystavují certifikační autority a jakmile by v nich cokoliv nesouhlasilo, tak na tebe opět bude řvát prohlížeč, který toto během komunikace kontroluje. Napsal jsem to velmi zjednodušeně a pro pochopení principu to myslím stačí. A právě provést toto, aby se nepřišlo na změnu komunikace pběhem přenosu, fakt není sranda typu pořádně to nastuju, stahnu si na to pár nástrojů a provedu to Je to asi tak na úrovni toho, že si vytiskneš falešné peníze, zajdeš s nimi do centrální národní banky a oni ti je po důkladné kontrole uznají za pravé Ta šance tam samozřejmě je, ale… 

MIM (man in the middle) útok pro běžného uživatele nemá vůbec smysl řešit - viz dtto.
Ani jiné útoky typu únos DNS, DDoS, ZeroDayBug, povinné ukládání metadat, nebo ukradení nějaké databáze - to taky nevyřešíte.
VPN má smysl, když přistupujete na nějakou adresu, o které fakt nechcete aby někdo věděl, že se tam připojujete zrovna vy, nebo při vzdáleném přístupu někam. Může to být poskytovatel (můžete být někde v pronájmu, nebo v zahraničí), nebo stát (a nemusí to být vůbec ten náš). Uvědomte si ale, že tohle zas bude moct vědět poskytovatel VPN. V případě, že to ovládá nějaký nesvobodný stát, je to z bláta do louže.
Daleko nebezpečnější je ale sociální inženýrství, o kterém ten test dost je.
Prostě neklikejte nikam, kam si nejste 100% jistí a mimo ověření platby v bance nikam nedávejte pin ani heslo (ne, ani obchod ho nepotřebuje, od toho je právě platební brána vaší banky).
To je na co míří banky, protože je to pak stojí peníze (samozřejmě, že vás taky).
Linky (adresy) si vždycky pečlivě přečtěte, občas někdo zneužije překlep, nebo přesmyčku.
Na Windows máte základní ochranu, většinou stačí. Antiviry přidávají nadstavby, jako je kontrola posledních verzí vašich programů (windows se aktualizují samy, nebraňte jim v tom), nebo omezují sledování, nebo zajistí mazání nepotřebných dat, případně mají i jiné vychytávky.
Poslední poznámka: Mažte data ze zařízení, která prodáváte. Pokud máte citlivá data, měla by být zašifrovaná, zvlášť se to týká flashdisků, které se rády ztrácí. Přiznávat pak zaměstnavateli, nebo tetičce, co jste vlastně ztratili, může být sakra nemilé. Volně dostupný program VeraCrypt to zvládne skvěle a bez dalších nákladů. Chce to jen pamatovat si nějakou krátkou větu - jako heslo.