Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: palocx 22. 04. 2022, 10:52:47
-
mám dotaz
jak by měla být alespoň obecně postavena a konfigurována domácí síť tak aby byla
a) bezpečná
b) poskytovala pokud možno maximum soukromí?
#security
#privacy
-
To je tezky rict. Zalezi na okolnostech a co je pozadovano.
Pro zacatek treba oddelit soukrome stroje (pracovni PC) od obecnych (guest wifi, iot sra*ky apod.) pomoci VLAN.
-
To je tezky rict.
Zalezi na okolnostech a co je pozadovano.
Pro zacatek treba oddelit soukrome stroje (pracovni PC) od obecnych (guest wifi, iot sra*ky apod.) pomoci VLAN.
dobrá poznámka!
Napadlo mne akorát vložit hw firewall
třeba MikroTik RB750Gr3 hEX
stačí případně u tohoto typu fw nějaké výchozí nastavení?
ale
třeba nevím zda mohou některá zařízení či sw / app (zneužitelně) číst MAC adresy
POKUD ano
zda je lze třeba nějak maskovat... aby nebyla jednoznačná identifikace až tak jednoduchá
-
pokud mas zarizeni v jedny siti, vzdy jde sit nejak oskenovat a ziskat MAC adresy - je to tak dany, tak funguji site.
Proti tomu je prave treba oddeleni pomoci VLAN - je to jina sit, takze ty MAC jednoduse ziskat nelze
-
mám dotaz
jak by měla být alespoň obecně postavena a konfigurována domácí síť tak aby byla
a) bezpečná
b) poskytovala pokud možno maximum soukromí?
#security
#privacy
a) co si představuješ pod pojmem "bezpečná"?
b) co si představuješ pod pojmem "maximum soukromí"?
-
Myslím, že dnes už je to skoro jedno, většina routerů a providerů blokuje příchozí porty díky NAT, WiFi už běhá na WPA, a pokud člověk nedělá vysloveně blbosti (sdílení C: bez hesla do celé sítě apod.), tak podle mě nebezpečí moc nehrozí. Navíc když si člověk ukládá třeba hesla do prohlížeče, tak Chrome automaticky čekuje databázi uniklých hesel a hlásí taková, která jsou slabá.
Lidi jsou občas až moc paranoidní s tím, že znají případy totálně lehkovážných jedinců, kteří si na warez a porno webech stáhnou EXE soubor a nemají na počítači ani antivirus, pak jo. Ale pokud je člověk normální a nedělá vysloveně rizikové věci, je větší šance, že ho srazí auto na přechodu před barákem.
Znáte ten vtip, kdy dva misionáři zahlédnou lva, a ten jeden si začne obouvat boty a ten druhý na něj: "proč si je obouváš, stejně mu neutečeš?", a on na toho druhého: "to ne, ale mě stačí utíkat jen rychleji než ty".
Pointa je, že na světě je tolik totálně laxních lidí, že hackeři se snadněji zaměří na ně než na mě.
Pamatuji se ještě na dobu, kdy všechny modemy u O2 měli stejné uživatelské jméno a heslo: "admin:admin", a web rozhraní bylo na bráně do internetu blokováno, ale mohli jste se připojit k libovolnému routeru ve svém segmentu a nasdílet si tam třeba C: do internetu, ano toto je fakt laxnost.
-
Myslím, že dnes už je to skoro jedno, většina routerů a providerů blokuje příchozí porty díky NAT, WiFi už běhá na WPA, a pokud člověk nedělá vysloveně blbosti (sdílení C: bez hesla do celé sítě apod.), tak podle mě nebezpečí moc nehrozí. Navíc když si člověk ukládá třeba hesla do prohlížeče, tak Chrome automaticky čekuje databázi uniklých hesel a hlásí taková, která jsou slabá.
NAT jako firewall? :D NAT rozhodně nesupluje funkci firewallu. Navíc zvláště v době kdy spoustu lidí má IPV6 a každé zařízení má public ip mě to přijde poněkud úsměvné. Krom toho si představte, že dneska máme spoustu smart zařízení. Televize, pračky, vypínače, světla, žárovky... Které se připojují do internetu. Každé takovéhle zařízení v případě hacknutí lze použít jako proxy pro další hacky na síti.
WPA: WPA nezaručuje nic víc než že se do Vaší sítě připojí člověk který zná heslo (otázka je kde ho získal) a že provoz na síti je šifrovaný.
Typický use-case: Přijde k vám soused na návštěvu. Chce se připojit k Wifi. Opravdu mu dáte "klíče" od Vaší sítě aby Vám skenoval otevřené porty, ovládal Vám Vaší televizi, rozsvěcel světla (ne smart vypínače nemají hesla a ani https :-)), zkoušel exploity na síťové prvky, NASky atp.? Koukal se kdo k Vám chodí a kdo chodí po dvorku (ani kamery to dneska se zabezpečením nepřehání) ? Já tedy o to nestojím.
K původní otázce (doma to mám takhle):
- untagged + maintanence VLAN (ovládání síťových prvků - switche, ap když to zařízení umí ...)
- VLAN pro kamery (úplně odríznutá od internetu)
- VLAN pro hosty (internet)
- VLAN pro IOT které vyžadují cloud (internet)
- VLAN pro IOT které nevyžadují cloud (bez internetu)
- VLAN pro domácnost (PC, mobily, televize, chromecasty, NAS... - internet)
V brzké době ještě hodlám rozdělit VLAN pro domácnost na tři další (SmartTV a chromecasty mám nový tak jsem se tím ještě neměl čas zabývat):
- VLAN pro PC
- VLAN pro servery - NAS, HomeAssistant
- VLAN pro ostatní prvky (mobily, televize, chromecasty) ... Nevidím jediný důvod proč by mě televize měla šahat na PC. Akorát budu muset zjistit co AndroidTV potřebuje za porty kvůli streamování, mirroru obrazovky...
Všechno dobře ofirewallovat, dovnitř zakázat traffic který není ESTABLISHED, RELATED a traffic potřebný k provozu sítě (speciálně IPV6)
Pointa je, že na světě je tolik totálně laxních lidí, že hackeři se snadněji zaměří na ně než na mě.
To je jako nechávat odemčený dům a klíčky v zapalování auta -- Na světě je spoustu laxních lidí co nechávají klíčky v zapalování od lepších vozů než mám já a i mnohem majetnějších lidí kteří nechávají odemčený dům -- ale když už zloděj najde odemčený dům nebo klíčky v zapalování, je mu to jedno. Prostě ukradne co se dá...
-
Typický use-case: Přijde k vám soused na návštěvu. Chce se připojit k Wifi. Opravdu mu dáte "klíče" od Vaší sítě aby Vám skenoval otevřené porty, ovládal Vám Vaší televizi, rozsvěcel světla (ne smart vypínače nemají hesla a ani https :-)), zkoušel exploity na síťové prvky, NASky atp.? Koukal se kdo k Vám chodí a kdo chodí po dvorku (ani kamery to dneska se zabezpečením nepřehání) ? Já tedy o to nestojím.
Od toho je tzv. "síť pro hosty", která se navíc zapne v routeru (AP) jenom v případě potřeby a není u ni pochopitelně problém ani pravidelně měnit hesla. Takže soused se při návštěvě podívá max. na web a tím to končí.
-
…K původní otázce (doma to mám takhle):
- untagged + maintanence VLAN (ovládání síťových prvků - switche, ap když to zařízení umí ...)
- VLAN pro kamery (úplně odríznutá od internetu)
- VLAN pro hosty (internet)
- VLAN pro IOT které vyžadují cloud (internet)
- VLAN pro IOT které nevyžadují cloud (bez internetu)
- VLAN pro domácnost (PC, mobily, televize, chromecasty, NAS... - internet)
V brzké době ještě hodlám rozdělit VLAN pro domácnost na tři další (SmartTV a chromecasty mám nový tak jsem se tím ještě neměl čas zabývat):
- VLAN pro PC
- VLAN pro servery - NAS, HomeAssistant
- VLAN pro ostatní prvky (mobily, televize, chromecasty) ... Nevidím jediný důvod proč by mě televize měla šahat na PC. Akorát budu muset zjistit co AndroidTV potřebuje za porty kvůli streamování, mirroru obrazovky...
Všechno dobře ofirewallovat, dovnitř zakázat traffic který není ESTABLISHED, RELATED a traffic potřebný k provozu sítě (speciálně IPV6)…
To je konečně pořádná paranoia! :D. Ale jako odpověď na původní otázku naprosto validní.
Kdyby někoho zajímalo, jak to mám já - nijak. Teda - trochu zabezpečení na vnějším rozhraní je, ale vnitřek nijak neřeším. Není proč. To je jako kdybych si zamykal každou skříň zvlášť heslem, co kdyby se mi domu dostal zloděj.
-
První podmínkou bezpečnosti stále zůstává silně pesimistický přístup a toho se v popisu drží. Vlastně to mám velice podobné s rozšířením o lokální přístup skrze dvě maliny, které to řeší vlastním zubatým firmware. Paranoidní by byla čepice vystlaná alobalem :)
To, že na to většina lidí dlabe, mají děravé routery, výchozí hesla ... to už je druhá věc.
-
NAT jako firewall? :D NAT rozhodně nesupluje funkci firewallu. Navíc zvláště v době kdy spoustu lidí má IPV6 a každé zařízení má public ip mě to přijde poněkud úsměvné. Krom toho si představte, že dneska máme spoustu smart zařízení. Televize, pračky, vypínače, světla, žárovky... Které se připojují do internetu. Každé takovéhle zařízení v případě hacknutí lze použít jako proxy pro další hacky na síti.
- VLAN pro kamery (úplně odríznutá od internetu)
- VLAN pro hosty (internet)...
Jj, to jsou ti teoretici, kteří někde mají certifikaci od Cisco, už jsem jim párkrát ukázal, že zabezpečení na síťové vrstvě není ani náhodou všechno.
Kdysi jsem známému ukázal, jak se nabourat do banky, kde zrovna dělal audit, nevěřil mi to, dokud to neviděl, jak jsem to jednoduše udělal.
Systém je, že zabezpečení je tak silné, jako nejslabší článek, to je udělání nějakého totálně silného článku (vlastní VLAN pro kamery), nic nemění na tom, že až pojedete do města do divadla, že si na vás někdo v podchodu nepočká s kudlou.
Takže ano, je to paranoia. Je to stejné jako snažit se vysvětlit preperrům, že jejich plechovky s jídlem ve sklepě jim jsou na nic, když nebudou mít vodu ;D
Možná, kdybyste místo toho ladění VPN strávil čas nad přípravem kvalitní stravy, uděláte pro své přežití a bezpečí víc.
Mimo jiné co bych v té vaší síti dělal, sledoval kamery nebo snížil teplotu o stupeň v ledničce? Nezlobte se na mě, zloději jsou dneska profesionálové, jim nejde o čas, kdy chodíte na zahradu, ale o peníze, které vám vytáhnou s účtu třeba prostřednictvím inflace nebo podvedeného dluhopisu.
Hackerům jde primárně o prachy, u života jde o nějakou vyváženost, rozumě si zabezpečit síť, rozumě pečovat o zdraví, rozumě pečovat o majetek a vztahy.
Ten váš styl super zabezpečení je jak člověk, který se soustředí jen na prachy, skončí milionář, ale nakonec je sám, protože mu ušlo dalších 50 věcí.
-
To, že na to většina lidí dlabe, mají děravé routery, výchozí hesla ... to už je druhá věc.
To jsou z 99% ti lidi, co jsou hacknuti, tihle co na to totálně dlabou, k tomu určitě nenavádím, jen si myslím, že když člověk nastaví rozumná hesla a rozumě záplatuje a nepouští "sr*čky" z pochybných webů, že je v pohodě.
Já za 20 let nemám jediný incident, dokonce skoro všude platím na internetu kartou, a ani jedno zneužití. Prostě nedělám totální ptákoviny, používám základní inteligenci a nemusím být paranoidní, aby mě někdo nehackl.
-
Minimálně polovina zařízení ve světě SOHO žádné bezpečnostní aktualizace prakticky nedostane, protože na to výrobci z vysoka kašlou už v první instanci, tedy děravých routerů. Často je jedinou možností koupit nový a celý cyklus opakovat.
Se schopnostmi a znalostmi zvládnout Mikrotik, Ubqt, Turris ... není problém, ale zase tolik se jich v domácnostech netoulá. IoT už je kapitola sama o sobě, stejně jako domácí elektronika, pračky, televize, ...
-
NAT jako firewall? :D NAT rozhodně nesupluje funkci firewallu. Navíc zvláště v době kdy spoustu lidí má IPV6 a každé zařízení má public ip mě to přijde poněkud úsměvné. Krom toho si představte, že dneska máme spoustu smart zařízení. Televize, pračky, vypínače, světla, žárovky... Které se připojují do internetu. Každé takovéhle zařízení v případě hacknutí lze použít jako proxy pro další hacky na síti.
- VLAN pro kamery (úplně odríznutá od internetu)
- VLAN pro hosty (internet)...
Jj, to jsou ti teoretici, kteří někde mají certifikaci od Cisco, už jsem jim párkrát ukázal, že zabezpečení na síťové vrstvě není ani náhodou všechno.
Cisco certifikaci nemám ani o ni moc nestojím, jde totálně mimo můj obor kterým je programování ;)
Mimo jiné co bych v té vaší síti dělal, sledoval kamery nebo snížil teplotu o stupeň v ledničce? Nezlobte se na mě, zloději jsou dneska profesionálové, jim nejde o čas, kdy chodíte na zahradu
Jak kterým. Máme tu taktéž drobné zloděje. Podle kamer se dá dost dobře vytipovat kdy vůbec nikdo není doma, jaký máte majetek atd. atd. Zárovň jde i o leaky z cloudů kde se data ukládají (a následné otázky drahé polovičky kde se vzali naše fotky na pornhubu? -- ne že bych měl kameru v ložnici ale na přístupové chodbě už ano), pingování domu, exploity na firmware kamery kde zpravidla běží nějaký očesaný linux a stejně jako další věci se to dá využívat k dalšímu útoku. Sám píšete že zabezpečení je tak silné jak nejslabší článek -- a nejslabší článek jsou neaktualizované věci, což jsou prakticky všechny tyhle hračky (kamery, iot)
Hackerům jde primárně o prachy, u života jde o nějakou vyváženost, rozumě si zabezpečit síť, rozumě pečovat o zdraví, rozumě pečovat o majetek a vztahy.
Tohle je podle mě rozumné zabezpečení sítě. Pokud to uděláte jednou a dobře, pak do toho starání se zas tolik času investovat nemusíte. Navíc mě to celkem baví :)
Ten váš styl super zabezpečení je jak člověk, který se soustředí jen na prachy, skončí milionář, ale nakonec je sám, protože mu ušlo dalších 50 věcí.
To nemusí být nutně špatně, každý jsme jiný. Ačkoliv nepreferuji hromadění majetku nad osobním životem, znám lidi kteří ano. A přeji jim to, každý by si měl vybrat styl života který mu sedí. Těch 50 věcí jim určitě došlo, jen vidí svět jinak než Vy.
Takže ano, je to paranoia.
Já netvrdím že po mě jdou :D. Ale reálně když si vezmete kolik se objevilo 0day exploitů, kolik se už hacklo firem... Myslím že zabezpečení vlastní sítě je dnes nutnost, obzláště když třeba děláte programátora a na počítači máte zdrojáky, VPNku do firemní sítě, jako jeden z mála přístup na PRODukční servery... Už vidím jak by se můj zaměstnavatel tvářil kdyby mě leakly. A reálně vidím jak by vytahoval tu část smlouvy kde mám 100k za každý případ leaku nějakých interních informací.
Ono to vlastně je celé o tom co máte na síti a jaký máte přístup k datům na své síti. Já si svého soukromí cením, ovšem chci používat chytré vypínače, kamerový systém a chytrou televizi. Navíc se tak trochu cítím být zodpovědný za data zaměstnavatele a chápu že firma pro kterou pracuji by ráda ochránila data svých zákazníků a uživatelů. Rozhodně nechci být tím slabým článkem přes který se někdo náhodou dostane k produkčním datům a zdrojovým kódům. A rozhodně taktéž nechci řešit že mě soukromá data unikli kvůli chabě zapezpečené kameře nebo vypínači.
Dneska je doba, kdy se na internetu válí spoustů skiptů využívající exploity, takže opravdu když Vás někdo hackne, nemusí to být hacker který tráví čas hledáním 0day exploitů, hackováním NVIDIe atd., může to být třeba sousedovo děcko :)
-
Zatím všechny příspěvky řeší soukromí, ale dle mne je pravděpodobnější, že by si hacker přidal vaše zařízení do botnetu.
-
Zatím všechny příspěvky řeší soukromí, ale dle mne je pravděpodobnější, že by si hacker přidal vaše zařízení do botnetu. A ano, preferují “low hanging fruits”
Co se týče kamer tzv na chodbě, zkuste shodan. Některé vám i garáž rády otevřou. :-]
Ohledně bezpečnosti a update IoT krabiček a koncových zařízení ve správě některých providerů nemám iluze.
-
Já netvrdím že po mě jdou :D . Ale reálně když si vezmete kolik se objevilo 0day exploitů, kolik se už hacklo firem... Myslím že zabezpečení vlastní sítě je dnes nutnost, obzláště když třeba děláte programátora a na počítači máte zdrojáky, VPNku do firemní sítě, jako jeden z mála přístup na PRODukční servery... Už vidím jak by se můj zaměstnavatel tvářil kdyby mě leakly. A reálně vidím jak by vytahoval tu část smlouvy kde mám 100k za každý případ leaku nějakých interních informací.
Přesně takhle byl v roce 2012 hacknut LinkedIn https://darknetdiaries.com/transcript/86/
-
Aha, praktik, co hackl banku, aby to někomu ukázal.
Kdysi jsem známému ukázal, jak se nabourat do banky, kde zrovna dělal audit, nevěřil mi to, dokud to neviděl, jak jsem to jednoduše udělal.
-
Osobne sa mi pristup cznarg s vlanmi paci. Rad by som to vyriesil podobne u seba, ale brani mi v tom povolanie. Som programator (ako on), ale mam minimalne znalosti zo sietariny (ano, sw router som si na skole naprogramoval aj s peknou arp tabulkou, ale to je davno a vzdialene dnesnej realite).
Rad by som sa pridal k povodnej otazke a doplnil konkretnejsiu otazku:
Je niekde pekny tutorial, ako na openwrt (pripadne touris) nastavit vlany, ako funguju a co to robi? Nejaky (dnes nazyvany) "deep dive"?
Osobne som na proxmox-e skusal raz vlany pouzit s kolegom (tiez "adminom") a dopadlo to na odpilenie si konaru pod sebou a vymknutie sa zo siete...
-
Aha, praktik, co hackl banku, aby to někomu ukázal.
Kdysi jsem známému ukázal, jak se nabourat do banky, kde zrovna dělal audit, nevěřil mi to, dokud to neviděl, jak jsem to jednoduše udělal.
TOS asi úplně nepochopil kontext. Nejde o to z ty banky ukrást miliardy; potenciálně velmi nebezpečným incidentem je už to,že se ti do sítě klidně i jen administrativy dostane zařízení, který tam nemá co dělat.
Už to samo o sobě je bezpečnostní incident,který máš povinnost hlásit,a může mít personální důsledky. Dál je to GDPR incident, který v případě,že se prokáže nějaká nedbalost na straně firmy,může mít za následek mnohamilionový flastr.
A co by se dělo, kdyby se útočník dostal k něčemu cennějšímu, např osobním údajům a přes ně se povedl nějaký spearfishing útok,si radši ani nepředstavuj.
-
Aha, praktik, co hackl banku, aby to někomu ukázal.
Kdysi jsem známému ukázal, jak se nabourat do banky, kde zrovna dělal audit, nevěřil mi to, dokud to neviděl, jak jsem to jednoduše udělal.
TOS asi úplně nepochopil kontext. Nejde o to z ty banky ukrást miliardy; potenciálně velmi nebezpečným incidentem je už to,že se ti do sítě klidně i jen administrativy dostane zařízení, který tam nemá co dělat.
Už to samo o sobě je bezpečnostní incident,který máš povinnost hlásit,a může mít personální důsledky. Dál je to GDPR incident, který v případě,že se prokáže nějaká nedbalost na straně firmy,může mít za následek mnohamilionový flastr.
A co by se dělo, kdyby se útočník dostal k něčemu cennějšímu, např osobním údajům a přes ně se povedl nějaký spearfishing útok,si radši ani nepředstavuj.
To je to o čem píšu, nicméně síťová bezpečnost je přeceňována, můj "hack banky" byl na aplikační úrovni. Pokud chci narušit bezpečnost, tak si síťovou vrstvu skoro nikdy nevybírám, všichni se na ní strašně soustředí a bývá to většinou nejsilnější článek řetězu, na aplikační úrovni je mnohem více možností a je to často jednoduší.
Kdysi jsem přišel na pohovor bezpečáka do CCS (dělají platební karty k tankování) a ukázal jim chyby v bezpečnosti, kterým taky nevěřili, a nakonec mě nevzali, protože personalista byl silně proti právě kvůli tomu, že jsem jim to naboural i ukázal.
Dneska už se tím nezabývám, jako ne že by to nešlo, jako spíš že číst někomu maily s milenkou pro mě opravdu není věc, co by mě naplňovala.
V dnešní době hackuji čistě bankovní systém legálně, prostě zabývám se financemi, a pak dělám finanční operace, co mi vynesou peníze, něco mezi spekulantem a investorem. Když začal Covid, tak jsem obešel pár bank, napůjčoval si peníze a v krizi investoval. To je to o čem mluvím, proč někomu vykrádat kreditku, když to jde o tolik snadněji a legálněji ve větším množství?
Proč bych nabourával lidem účty, když oni vyděšení ze zpráv mi všechno sami prodají pod cenou a pak vyděšení z inflace to ode mě koupí o miliony dráž? Nemusím ty lidi ani vidět, oni je obslouží na pobočkách bank.
To je ten můj praktický úhel pohledu. Možná proto měl se mnou ten personalista problém mě přijmout. Já totiž nekradu ne kvůli morálce, ale jednoduše řečeno proto, že je to hodně práce s malým ziskem a fungovat legálně je snadnější a finančně výhodnější.
A tady představa týpka, jak mu někdo nabourává domácí kamery, aby mu vykradl barák je více než úsměvná, žije úplně mimo realitu. Člověk co by to zvládl mu nepůjde asi ukrást televizi, půlka těch zlodějů jsou lidi na perníku co prokopnou dveře, jen aby měli na další dávku, toď všední realita.
-
(https://www.explainxkcd.com/wiki/images/3/34/security.png)
asi takhle 8)
-
Aha, praktik, co hackl banku, aby to někomu ukázal.
Kdysi jsem známému ukázal, jak se nabourat do banky, kde zrovna dělal audit, nevěřil mi to, dokud to neviděl, jak jsem to jednoduše udělal.
TOS asi úplně nepochopil kontext. Nejde o to z ty banky ukrást miliardy; potenciálně velmi nebezpečným incidentem je už to,že se ti do sítě klidně i jen administrativy dostane zařízení, který tam nemá co dělat.
Už to samo o sobě je bezpečnostní incident,který máš povinnost hlásit,a může mít personální důsledky. Dál je to GDPR incident, který v případě,že se prokáže nějaká nedbalost na straně firmy,může mít za následek mnohamilionový flastr.
A co by se dělo, kdyby se útočník dostal k něčemu cennějšímu, např osobním údajům a přes ně se povedl nějaký spearfishing útok,si radši ani nepředstavuj.
To je to o čem píšu, nicméně síťová bezpečnost je přeceňována, můj "hack banky" byl na aplikační úrovni. Pokud chci narušit bezpečnost, tak si síťovou vrstvu skoro nikdy nevybírám, všichni se na ní strašně soustředí a bývá to většinou nejsilnější článek řetězu, na aplikační úrovni je mnohem více možností a je to často jednoduší.
By ma zaujimalo, co to konkretne bolo. Mozete sa podelit? Ja som v primabanke nasiel peknu vec, ze ked platbu musi potvrdit druha osoba (dvaja majitelia spolocnosti s pravon nakladat s majetkom spolocne), tak pri trvalych platbach sa potvrdenie druhou osobou nepozadovalo... Fixli to asi do mesiaca. A tiez nieco podobne mali vo fiobanke. Teda kategoria aplikacna chyba.
-
By ma zaujimalo, co to konkretne bolo. Mozete sa podelit? Ja som v primabanke nasiel peknu vec, ze ked platbu musi potvrdit druha osoba (dvaja majitelia spolocnosti s pravon nakladat s majetkom spolocne), tak pri trvalych platbach sa potvrdenie druhou osobou nepozadovalo... Fixli to asi do mesiaca. A tiez nieco podobne mali vo fiobanke. Teda kategoria aplikacna chyba.
Bylo to u České Spořitelny, tehdy nebylo HTTPS vynucováno, takže když člověk šel na www.servis24.cz, tak ho to z HTTP přesměrovalo na HTTPS. Ovšem pokud si člověk otevřel jiný web HTTPS a vzal si session id, tak ho mohl aplikaci podstrčit při HTTP a jak se to přesměrovalo na HTTPS tak se pak použilo to samé session id, které bylo získáno přes HTTP. Člověk tak mohl nadhárně dělat MITM. Prostě na HTTP podstrčil session id a pak na jiném počítači v pohodě mohl chodit internetovým bankovnictvím. Přičemž taková blbost, u Cookie byl špatně nastavený flag.
A na takových věcí jsem přišel i u jiných velkých firem.
-
A tady představa týpka, jak mu někdo nabourává domácí kamery, aby mu vykradl barák je více než úsměvná, žije úplně mimo realitu. Člověk co by to zvládl mu nepůjde asi ukrást televizi, půlka těch zlodějů jsou lidi na perníku co prokopnou dveře, jen aby měli na další dávku, toď všední realita.
Přesně. O soukromý data jako takový ve skutečnosti nikdo nestojí; hodnotu mají jen pro jejich majitele, kterej o ně nechce přijít. Koukat, jestli nenajdu nějaký kompro k vydírání, je utopie. Automat to nezvládne a živá síla na tom ztratí tolik času, že to nemá smysl, pokud přesně nevím, koho jsem cíleně naboural.
Takže v úvahu přichází jen
a) začlenění zranitelných zařízení do botnetu
b) zašifrování přístupných dat ransomwarem
Kvůli 20 let starý televizi nikdo přes půl světa nepoletí, navíc by musel znát geografickou adresu.
-
Koukat, jestli nenajdu nějaký kompro k vydírání, je utopie.
Podle mne to záleží na tom, kým daný člověk je. Moje data mohou zajímat akorát marketingové společnosti a ty se k nim dostanou jinak.
Takže v úvahu přichází jen
a) začlenění zranitelných zařízení do botnetu
b) zašifrování přístupných dat ransomwarem
A jaká je tedy odpověď na zabezpečení proti a) a b)?
-
Podle mne to záleží na tom, kým daný člověk je. Moje data mohou zajímat akorát marketingové společnosti a ty se k nim dostanou jinak.
Tak jasně, pokud jsi Babiš nebo Putin, volil bych jiný přístup. Stejně tak jako Putin se bojí otravy a prověřuje si jídlo, tak ty se asi toho, že tě někdo otráví bát nemusíš.
A jaká je tedy odpověď na zabezpečení proti a) a b)?
Tohle je stejné jako zdravá výživa, od doby co se z toho stal stejně jak bezpečnost IT výnosný byznys, se z toho dělá složitost typu Keto dieta, hrášková dieta, hrníčková dieta a já nevím co, přičemž princip je jednoduchý a vysvětlíš ho ve 2 větách, míň cukru, míň soli, míň zpracovaných jídel, víc ovoce, víc zeleniny a víc pohybu ;D
Stejné je to s IT bezpečností, v zásadě používat alespoň trochu rozumná hesla (nejlíp mít i správce hesel), používat antivir, a neotvírat každou blbou přílohu a neklikat na každý odkaz v emailu, a používat selský rozum (tj. nepřeposílat autorizační sms do internetbanky někomu cizímu). Pak je člověk na 99,99% v cajku, není to zase taková věda.
Stejně jako s tou dietou, ač to může vypadat velmi jednoduše, na to 80% lidí kašle. A pak mají nějaký blbý den a hledají složitá řešení na jednoduché problémy.
Stejně jako u té diety kdy lidé hledají zázračnou pilulku a kupují UltraHyperSuperShake vypij to, kup si McDonalds každý den a budeš hubený a diví se, že to nefunguje, tak stejně v IT bezpečnosti lidé klikají na odkaz "Staň se miliardářem za 30 vteřin, stačí jen kliknout na tento odkaz a Bill Gates s Elonem Muskem ti darují každý po miliardě" případně ještě líp "namakaný, pěkný a bohatý americký voják hledá starou tlustou ženskou, ke které si může uložit 5 mil. Kč" no a takto vzniká většina problémů ;D
-
Stejné je to s IT bezpečností, v zásadě používat alespoň trochu rozumná hesla (nejlíp mít i správce hesel), používat antivir, a neotvírat každou blbou přílohu a neklikat na každý odkaz v emailu, a používat selský rozum (tj. nepřeposílat autorizační sms do internetbanky někomu cizímu). Pak je člověk na 99,99% v cajku, není to zase taková věda.
A pomůže to, aby se IoT nedostaly do botnetu?
Jaký antivir používat pod Linuxem?
-
Ad: greenlinuxguru To je to o čem píšu, nicméně síťová bezpečnost je přeceňována, můj "hack banky" byl na aplikační úrovni. Pokud chci narušit bezpečnost, tak si síťovou vrstvu skoro nikdy nevybírám, všichni se na ní strašně soustředí a bývá to většinou nejsilnější článek řetězu, na aplikační úrovni je mnohem více možností a je to často jednoduší.
OP nechce dělat veřejný web, který lze hackovat, on chce zabezpečit síť a oddělit hosty kvůli soukromí.
Tudíž potřebuje síťovou bezpečnost ne aplikační a toho bychom se měli držet.
Tedy zabezpečení zvenku a segmentaci sítě.
Soudě podle sebe, lidé zde nečekají na (jakkoli zajímavé) eseje, ale dychtivě vyhlíží nové příspěvky, zda v nich nebude nějaká rada. Když ne, klikají zbytečně
@palocx:
Bez urážky, zatím tomu asi nerozumíš, tudíž bych navrhoval minimalistický přístup:
- Nakonfigurovat router od providera tak, aby neměl admin přístup zvenku, změnit defaultní heslo a když to jde tak nastavit automatické update. Pomohlo by, kdybys uvedl, co máš za router
- na tomhle routeru nastavit aspoň VLAN pro guesta, pokud nejde víc.
- rezignovat na IoT
- trochu do toho proniknout, než přikročíš k dalším krokům, to není hanba, žádný učený z nebe nespadl.
-
Soudě podle sebe, lidé zde nečekají na (jakkoli zajímavé) eseje, ale dychtivě vyhlíží nové příspěvky, zda v nich nebude nějaká rada. Když ne, klikají zbytečně
Mě ty rady být praktický přijdou zajímavé, protože většina lidí se tu drží teorie a pojišťování se proti příletu mimozemšťanů, je to hezká teorie pojistit se proti pádu mimozemské lodi na barák, ale je fajn si občas říci, že je to nesmysl, ačkoliv laická veřejnost z toho může mít strach, protože Soros spolupracuje s mimozemšťany a psali to na FB a Novinkách.
- rezignovat na IoT
Bezpečnost typu "na lyžích se nezraníš, když na nich nebudeš jezdit" to zní jako zajímavá rada, nebo "pádu letadla se nemusíš bát, když nepoletíš" ;D
A pomůže to, aby se IoT nedostaly do botnetu?
Jaký antivir používat pod Linuxem?
Především většina IoT se do botnetu nikdy nedostane, protože ani nejsou přístupné z venku, to by je musel hacknout nějaký počítač uvnitř, a to se dostáváme k tomu, nebýt debil a neotvírat každou přílohu.
Antivir na linuxu je asi zbytečnost, viry pro linux jsou okrajovou záležitostí.
-
- rezignovat na IoT
Především většina IoT se do botnetu nikdy nedostane, protože ani nejsou přístupné z venku, to by je musel hacknout nějaký počítač uvnitř, a to se dostáváme k tomu, nebýt debil a neotvírat každou přílohu.
Že ne?
https://www.shodan.io/search?query=alwon
https://en-shop.sysaway.com/products/e20gd
https://imgur.com/a/XNyoaL8
Kruci, jak se tady správně postujou fotky ? :-(
-
Že ne?
Hele zastavuješ se u toho co přesně říkám, nebýt úplně laxní, nepoužívat defaultní hesla, nepoužívat všude stejná hesla, neodepisovat americkým vojákům, prostě totální blbosti.
To ale neznamená, že musíš mít 10 VLANů v síti, povolovat každý port a mít 40 znakové heslo se speciálním znakem doplněné autorizací krví z jednorožce ;D
Stejně tak v bytě ti stačí bezpečnostní dveře 3 třídy co nejdou prokopnout když za tím neschováváš diamanty, a nepotřebuješ tam pancéřové dveře se mříží a pokoj pro hlídače, pokud tam máš televizi, hadry a myčku na nádobí. Tím ale netvrdím, že stačí papírové dveře před 40 lety instalované do paneláku, do kterých jednou kopneš a jsi v bytě.