Bezpečnost a soukromí v domácí síti

[FKoudelka]

Zatím všechny příspěvky řeší soukromí, ale dle mne je pravděpodobnější, že by si hacker přidal vaše zařízení do botnetu. A ano, preferují “low hanging fruits”
Co se týče kamer tzv na chodbě, zkuste shodan. Některé vám i garáž rády otevřou. :-]
Ohledně bezpečnosti a update IoT krabiček a koncových zařízení ve správě některých providerů nemám iluze.

[Reklama]

[altrok]

Já netvrdím že po mě jdou . Ale reálně když si vezmete kolik se objevilo 0day exploitů, kolik se už hacklo firem... Myslím že zabezpečení vlastní sítě je dnes nutnost, obzláště když třeba děláte programátora a na počítači máte zdrojáky, VPNku do firemní sítě, jako jeden z mála přístup na PRODukční servery... Už vidím jak by se můj zaměstnavatel tvářil kdyby mě leakly. A reálně vidím jak by vytahoval tu část smlouvy kde mám 100k za každý případ leaku nějakých interních informací.

Přesně takhle byl v roce 2012 hacknut LinkedIn https://darknetdiaries.com/transcript/86/

[veskotskujehnusne]

Aha, praktik, co hackl banku, aby to někomu ukázal.

Kdysi jsem známému ukázal, jak se nabourat do banky, kde zrovna dělal audit, nevěřil mi to, dokud to neviděl, jak jsem to jednoduše udělal.

[luvar]

Osobne sa mi pristup cznarg s vlanmi paci. Rad by som to vyriesil podobne u seba, ale brani mi v tom povolanie. Som programator (ako on), ale mam minimalne znalosti zo sietariny (ano, sw router som si na skole naprogramoval aj s peknou arp tabulkou, ale to je davno a vzdialene dnesnej realite).

Rad by som sa pridal k povodnej otazke a doplnil konkretnejsiu otazku:
Je niekde pekny tutorial, ako na openwrt (pripadne touris) nastavit vlany, ako funguju a co to robi? Nejaky (dnes nazyvany) "deep dive"?

Osobne som na proxmox-e skusal raz vlany pouzit s kolegom (tiez "adminom") a dopadlo to na odpilenie si konaru pod sebou a vymknutie sa zo siete...

[Marek Staněk]

Aha, praktik, co hackl banku, aby to někomu ukázal.

Kdysi jsem známému ukázal, jak se nabourat do banky, kde zrovna dělal audit, nevěřil mi to, dokud to neviděl, jak jsem to jednoduše udělal.

TOS asi úplně nepochopil kontext. Nejde o to z ty banky ukrást miliardy; potenciálně velmi nebezpečným incidentem je už to,že se ti do sítě klidně i jen administrativy dostane zařízení, který tam nemá co dělat.
Už to samo o sobě je bezpečnostní incident,který máš povinnost hlásit,a může mít personální důsledky. Dál je to GDPR incident, který v případě,že se prokáže nějaká nedbalost na straně firmy,může mít za následek mnohamilionový flastr.
A co by se dělo, kdyby se útočník dostal k něčemu cennějšímu, např osobním údajům a přes ně se povedl nějaký spearfishing útok,si radši ani nepředstavuj.

[Reklama]

[greenlinuxguru]

Aha, praktik, co hackl banku, aby to někomu ukázal.

Kdysi jsem známému ukázal, jak se nabourat do banky, kde zrovna dělal audit, nevěřil mi to, dokud to neviděl, jak jsem to jednoduše udělal.

TOS asi úplně nepochopil kontext. Nejde o to z ty banky ukrást miliardy; potenciálně velmi nebezpečným incidentem je už to,že se ti do sítě klidně i jen administrativy dostane zařízení, který tam nemá co dělat.
Už to samo o sobě je bezpečnostní incident,který máš povinnost hlásit,a může mít personální důsledky. Dál je to GDPR incident, který v případě,že se prokáže nějaká nedbalost na straně firmy,může mít za následek mnohamilionový flastr.
A co by se dělo, kdyby se útočník dostal k něčemu cennějšímu, např osobním údajům a přes ně se povedl nějaký spearfishing útok,si radši ani nepředstavuj.

To je to o čem píšu, nicméně síťová bezpečnost je přeceňována, můj "hack banky" byl na aplikační úrovni. Pokud chci narušit bezpečnost, tak si síťovou vrstvu skoro nikdy nevybírám, všichni se na ní strašně soustředí a bývá to většinou nejsilnější článek řetězu, na aplikační úrovni je mnohem více možností a je to často jednoduší.

Kdysi jsem přišel na pohovor bezpečáka do CCS (dělají platební karty k tankování) a ukázal jim chyby v bezpečnosti, kterým taky nevěřili, a nakonec mě nevzali, protože personalista byl silně proti právě kvůli tomu, že jsem jim to naboural i ukázal.

Dneska už se tím nezabývám, jako ne že by to nešlo, jako spíš že číst někomu maily s milenkou pro mě opravdu není věc, co by mě naplňovala.

V dnešní době hackuji čistě bankovní systém legálně, prostě zabývám se financemi, a pak dělám finanční operace, co mi vynesou peníze, něco mezi spekulantem a investorem. Když začal Covid, tak jsem obešel pár bank, napůjčoval si peníze a v krizi investoval. To je to o čem mluvím, proč někomu vykrádat kreditku, když to jde o tolik snadněji a legálněji ve větším množství?

Proč bych nabourával lidem účty, když oni vyděšení ze zpráv mi všechno sami prodají pod cenou a pak vyděšení z inflace to ode mě koupí o miliony dráž? Nemusím ty lidi ani vidět, oni je obslouží na pobočkách bank.

To je ten můj praktický úhel pohledu. Možná proto měl se mnou ten personalista problém mě přijmout. Já totiž nekradu ne kvůli morálce, ale jednoduše řečeno proto, že je to hodně práce s malým ziskem a fungovat legálně je snadnější a finančně výhodnější.

A tady představa týpka, jak mu někdo nabourává domácí kamery, aby mu vykradl barák je více než úsměvná, žije úplně mimo realitu. Člověk co by to zvládl mu nepůjde asi ukrást televizi, půlka těch zlodějů jsou lidi na perníku co prokopnou dveře, jen aby měli na další dávku, toď všední realita.

[greenlinuxguru]

asi takhle 

[luvar]

Aha, praktik, co hackl banku, aby to někomu ukázal.

Kdysi jsem známému ukázal, jak se nabourat do banky, kde zrovna dělal audit, nevěřil mi to, dokud to neviděl, jak jsem to jednoduše udělal.

TOS asi úplně nepochopil kontext. Nejde o to z ty banky ukrást miliardy; potenciálně velmi nebezpečným incidentem je už to,že se ti do sítě klidně i jen administrativy dostane zařízení, který tam nemá co dělat.
Už to samo o sobě je bezpečnostní incident,který máš povinnost hlásit,a může mít personální důsledky. Dál je to GDPR incident, který v případě,že se prokáže nějaká nedbalost na straně firmy,může mít za následek mnohamilionový flastr.
A co by se dělo, kdyby se útočník dostal k něčemu cennějšímu, např osobním údajům a přes ně se povedl nějaký spearfishing útok,si radši ani nepředstavuj.

To je to o čem píšu, nicméně síťová bezpečnost je přeceňována, můj "hack banky" byl na aplikační úrovni. Pokud chci narušit bezpečnost, tak si síťovou vrstvu skoro nikdy nevybírám, všichni se na ní strašně soustředí a bývá to většinou nejsilnější článek řetězu, na aplikační úrovni je mnohem více možností a je to často jednoduší.

By ma zaujimalo, co to konkretne bolo. Mozete sa podelit? Ja som v primabanke nasiel peknu vec, ze ked platbu musi potvrdit druha osoba (dvaja majitelia spolocnosti s pravon nakladat s majetkom spolocne), tak pri trvalych platbach sa potvrdenie druhou osobou nepozadovalo... Fixli to asi do mesiaca. A tiez nieco podobne mali vo fiobanke. Teda kategoria aplikacna chyba.

[greenlinuxguru]

By ma zaujimalo, co to konkretne bolo. Mozete sa podelit? Ja som v primabanke nasiel peknu vec, ze ked platbu musi potvrdit druha osoba (dvaja majitelia spolocnosti s pravon nakladat s majetkom spolocne), tak pri trvalych platbach sa potvrdenie druhou osobou nepozadovalo... Fixli to asi do mesiaca. A tiez nieco podobne mali vo fiobanke. Teda kategoria aplikacna chyba.

Bylo to u České Spořitelny, tehdy nebylo HTTPS vynucováno, takže když člověk šel na www.servis24.cz, tak ho to z HTTP přesměrovalo na HTTPS. Ovšem pokud si člověk otevřel jiný web HTTPS a vzal si session id, tak ho mohl aplikaci podstrčit při HTTP a jak se to přesměrovalo na HTTPS tak se pak použilo to samé session id, které bylo získáno přes HTTP. Člověk tak mohl nadhárně dělat MITM. Prostě na HTTP podstrčil session id a pak na jiném počítači v pohodě mohl chodit internetovým bankovnictvím. Přičemž taková blbost, u Cookie byl špatně nastavený flag.

A na takových věcí jsem přišel i u jiných velkých firem.

[Marek Staněk]

A tady představa týpka, jak mu někdo nabourává domácí kamery, aby mu vykradl barák je více než úsměvná, žije úplně mimo realitu. Člověk co by to zvládl mu nepůjde asi ukrást televizi, půlka těch zlodějů jsou lidi na perníku co prokopnou dveře, jen aby měli na další dávku, toď všední realita.

Přesně. O soukromý data jako takový ve skutečnosti nikdo nestojí; hodnotu mají jen pro jejich majitele, kterej o ně nechce přijít. Koukat, jestli nenajdu nějaký kompro k vydírání, je utopie. Automat to nezvládne a živá síla na tom ztratí tolik času, že to nemá smysl, pokud přesně nevím, koho jsem cíleně naboural.
Takže v úvahu přichází jen
a) začlenění zranitelných zařízení do botnetu
b) zašifrování přístupných dat ransomwarem
Kvůli 20 let starý televizi nikdo přes půl světa nepoletí, navíc by musel znát geografickou adresu.

[Lukas1500]

Koukat, jestli nenajdu nějaký kompro k vydírání, je utopie.

Podle mne to záleží na tom, kým daný člověk je. Moje data mohou zajímat akorát marketingové společnosti a ty se k nim dostanou jinak.

Takže v úvahu přichází jen
a) začlenění zranitelných zařízení do botnetu
b) zašifrování přístupných dat ransomwarem

A jaká je tedy odpověď na zabezpečení proti a) a b)?

[greenlinuxguru]

Podle mne to záleží na tom, kým daný člověk je. Moje data mohou zajímat akorát marketingové společnosti a ty se k nim dostanou jinak.

Tak jasně, pokud jsi Babiš nebo Putin, volil bych jiný přístup. Stejně tak jako Putin se bojí otravy a prověřuje si jídlo, tak ty se asi toho, že tě někdo otráví bát nemusíš.

A jaká je tedy odpověď na zabezpečení proti a) a b)?

Tohle je stejné jako zdravá výživa, od doby co se z toho stal stejně jak bezpečnost IT výnosný byznys, se z toho dělá složitost typu Keto dieta, hrášková dieta, hrníčková dieta a já nevím co, přičemž princip je jednoduchý a vysvětlíš ho ve 2 větách, míň cukru, míň soli, míň zpracovaných jídel, víc ovoce, víc zeleniny a víc pohybu

Stejné je to s IT bezpečností, v zásadě používat alespoň trochu rozumná hesla (nejlíp mít i správce hesel), používat antivir, a neotvírat každou blbou přílohu a neklikat na každý odkaz v emailu, a používat selský rozum (tj. nepřeposílat autorizační sms do internetbanky někomu cizímu). Pak je člověk na 99,99% v cajku, není to zase taková věda.

Stejně jako s tou dietou, ač to může vypadat velmi jednoduše, na to 80% lidí kašle. A pak mají nějaký blbý den a hledají složitá řešení na jednoduché problémy.

Stejně jako u té diety kdy lidé hledají zázračnou pilulku a kupují UltraHyperSuperShake vypij to, kup si McDonalds každý den a budeš hubený a diví se, že to nefunguje, tak stejně v IT bezpečnosti lidé klikají na odkaz "Staň se miliardářem za 30 vteřin, stačí jen kliknout na tento odkaz a Bill Gates s Elonem Muskem ti darují každý po miliardě" případně ještě líp "namakaný, pěkný a bohatý americký voják hledá starou tlustou ženskou, ke které si může uložit 5 mil. Kč" no a takto vzniká většina problémů

[Lukas1500]

Stejné je to s IT bezpečností, v zásadě používat alespoň trochu rozumná hesla (nejlíp mít i správce hesel), používat antivir, a neotvírat každou blbou přílohu a neklikat na každý odkaz v emailu, a používat selský rozum (tj. nepřeposílat autorizační sms do internetbanky někomu cizímu). Pak je člověk na 99,99% v cajku, není to zase taková věda.

A pomůže to, aby se IoT nedostaly do botnetu?
Jaký antivir používat pod Linuxem?

[FKoudelka]

Ad: greenlinuxguru To je to o čem píšu, nicméně síťová bezpečnost je přeceňována, můj "hack banky" byl na aplikační úrovni. Pokud chci narušit bezpečnost, tak si síťovou vrstvu skoro nikdy nevybírám, všichni se na ní strašně soustředí a bývá to většinou nejsilnější článek řetězu, na aplikační úrovni je mnohem více možností a je to často jednoduší.

OP nechce dělat veřejný web, který lze hackovat, on chce zabezpečit síť a oddělit hosty kvůli soukromí.
Tudíž potřebuje síťovou bezpečnost ne aplikační a toho bychom se měli držet.
Tedy zabezpečení zvenku a segmentaci sítě.
Soudě podle sebe, lidé zde nečekají na (jakkoli zajímavé) eseje, ale dychtivě vyhlíží nové příspěvky, zda v nich nebude nějaká rada. Když ne, klikají zbytečně
@palocx:
Bez urážky, zatím tomu asi nerozumíš, tudíž bych navrhoval minimalistický přístup:
- Nakonfigurovat router od providera tak, aby neměl admin přístup zvenku, změnit defaultní heslo a když to jde tak nastavit automatické update. Pomohlo by, kdybys uvedl, co máš za router
- na tomhle routeru nastavit aspoň VLAN pro guesta, pokud nejde víc.
- rezignovat na IoT
- trochu do toho proniknout, než přikročíš k dalším krokům, to není hanba, žádný učený z nebe nespadl.

[greenlinuxguru]

Soudě podle sebe, lidé zde nečekají na (jakkoli zajímavé) eseje, ale dychtivě vyhlíží nové příspěvky, zda v nich nebude nějaká rada. Když ne, klikají zbytečně

Mě ty rady být praktický přijdou zajímavé, protože většina lidí se tu drží teorie a pojišťování se proti příletu mimozemšťanů, je to hezká teorie pojistit se proti pádu mimozemské lodi na barák, ale je fajn si občas říci, že je to nesmysl, ačkoliv laická veřejnost z toho může mít strach, protože Soros spolupracuje s mimozemšťany a psali to na FB a Novinkách.

- rezignovat na IoT

Bezpečnost typu "na lyžích se nezraníš, když na nich nebudeš jezdit" to zní jako zajímavá rada, nebo "pádu letadla se nemusíš bát, když nepoletíš"

A pomůže to, aby se IoT nedostaly do botnetu?
Jaký antivir používat pod Linuxem?

Především většina IoT se do botnetu nikdy nedostane, protože ani nejsou přístupné z venku, to by je musel hacknout nějaký počítač uvnitř, a to se dostáváme k tomu, nebýt debil a neotvírat každou přílohu.

Antivir na linuxu je asi zbytečnost, viry pro linux jsou okrajovou záležitostí.