Podívejte se raději na online verzi přednášky, slajdy mohly být aktualizovány nebo doplněny.

Detail přednášky

Moje přednáška bude o tom, jak není radno podceňovat HTTPS. Také se dozvíte o bezpečnosti veřejných Wi-Fi sítí. Dostanete tipy, jak bránit váš web i mobilní aplikaci a co pro to mohou udělat vývojáři.

Detail přednášky na webu akce

Datum a akce

8. října 2015, Mobile Internet Forum 2015

Slajdy

SlideShare

Přepis poznámek

  1. Bezpečnostní mobilní zařízení

    Ne příliš technická přednáška o HTTPS a VPN s několika doporučeními pro uživatele mobilních zařízení i pro tvůrce appek a webů. Původní slajdy tyto poznámky neobsahují.

  2. WiFi Pineapple

    Tohle zařízení za $99.99 umí pomocí útoku nazvaného Karma přesvědčit vaše počítače a telefony, aby se připojily na útočníkem ovládanou Wi-Fi. Tato krabička odpoví kladně na dotaz, jestli náhodou nevysílá síť, kterou má váš počítač uloženou. A to i přesto, že takovou síť vlastně nezná. Pokud se na podobnou krabičku připojíte, tak mizera může číst a měnit veškerý nezašifrovaný provoz. Tedy data, která vaše appka stahuje a odesílá. Týká se to samozřejmě také e-mailu i prohlížeče a webů, které prohlížíte.

  3. Kasa

    Toto je příklad jedné takové další sítě. Když jsem na ni byl připojen, tak do každé stránky načtené po HTTP byl vložen banner. Všimněte si té reklamy na auto dole uprostřed. Ta na původní stránce není, nacpal ji tam provozovatel Wi-Fi, aby její provoz nemusel platit ze svého. A to byla normální Wi-Fi na benzínce, nic pochybného.

  4. How?

    Ale vkládání reklam není to nejhorší, pamatuje si na HackingTeam? To je ta firma, co dělá špehovací software, který si koupila mj. česká policie. Ten software do stránek na HTTP vkládá exploity, které pak umožní odposlouchávat třeba vaše telefonní hovory apod.

  5. App ↔ Wi-Fi ↔ web

    Jak to funguje, jak je to vůbec možné? Za normálních podmínek vaše appka nebo prohlížeč posílá na web nebo stahuje data ze serveru přes nějakou Wi-Fi, nějak takhle.

  6. App ↔ mizera ↔ web

    Jen často nevíte, komu ta Wi-Fi patří a jaký má její majitel úmysly. Může to být klidně Wi-Fi moje, nebo nějakého (jiného) mizery. A ten zloduch může odposlouchávat nebo měnit data nebo do webu třeba vkládat vlastní reklamu, viz příklad dříve.

  7. App ↔ HTTPS ↔ web

    Pokud aplikace nebo web budou načítat stránky nebo obecně jakákoliv data po šifrovaném protokolu HTTPS, tak má mizera smůlu. Data sice uvidí, ale budou šifrovaná a protože nezná šifrovací klíče, tak je nemůže rozšifrovat.

  8. App ↔ HTTPS ↔ mizera ↔ HTTPS ↔ web

    Může ale komunikaci „rozčísnout“. Místo toho, aby appka komunikovala s nějakým webem, tak ji přesvědčí, že má komunikovat s ním, zkrátka se za ten web bude vydávat. Appka mu pošle data šifrovaná klíčem 1, mizera ho zná, data rozšifruje, přečte a zašifruje klíčem 2 a pošle na původní server. To samé udělá, když server bude odpovídat. Win-win-win situace.

  9. HTTPS Everywhere

    Jedna z možností, jak se tomu bránit, je použít HTTPS naprosto všude, aby někdo nemohl odposlouchávat a vkládat do stránek reklamu nebo viry. Ale to jako uživatelé na spoustě webů neovlivníte. Weby zavedou HTTPS až ho zavedou, ale ani o minutu dříve. Pro appky je HTTPS a obecně šifrování dat během přenosu naprostá nutnost. U appky naštěstí ovládáte obě strany, jak appku, tak server, takže v poho.

  10. App ↔ HTTPS ↔ mizera ↔ HTTPS ↔ web

    Jen HTTPS všude nemusí stačit, pamatujete na tento slajd? Spojení do appky přijde po HTTPS, jenže appka netuší odkud.

  11. Nope ↔ HTTPS ↔ mizera ↔ HTTPS ↔ web

    Takže ta appka takové spojení nesmí přijmout. Pozná ho podle toho, že certifikát nejspíš nevystavila žádná důvěryhodná certifikační autorita. Do detailů nebudeme zabíhat.

  12. Certificate (Public Key) Pinning

    Ještě lepší zabezpečení by bylo, kdyby appka komunikovala s webem jen tehdy, když bude k dispozici správný certifikát. Appka si pamatuje, že může přijmout odpověď jen tehdy, když přijde po HTTPS spojení s certifikátem XYZ, ale ne jiným. Certifikát má připíchnutý, podobně jako když máte na nástěnce nákupní seznam. Někdy se tomu říká public key pinning, což je v podstatě to samé.

  13. „Vidím jeho e-mail a heslo.“

    A jak se můžete bránit jako uživatelé různých webů nebo appek, které na HTTPS prdí nebo ho mají udělané blbě? Česká televize začátkem roku odvysílala reportážhackování Wi-Fi, ale ona to byla reportáž spíš o hackování lidí, ani nebyla moc dobrá, spousta věcí byla nafejkovaných, ale tak aspoň něco. Doporučovali v ní, ať se nepřipojujete k nezabezpečeným Wi-Fi sítím, to jsou ty, co nechtějí žádné heslo pro připojení.

  14. U soudku WiFi → U soudku WiFi FREE HIGH SPEED

    Jenže mizera může v klidu přijít do hospody U soudku, obsluhy se zeptat na heslo k jejich Wi-Fi a poté udělat vlastní Wi-Fi s lákavým názvem a nastavit tam stejné heslo. Návštěvníci se raději připojí k síti, která se jmenuje U soudku WiFi FREE HIGH SPEED, protože FREE a HIGH SPEED. To je to hackování lidí. Dobře udělaný útok na uživatele Wi-Fi v podstatě nemáte šanci poznat.

  15. VPN – Virtual private network

    Nejlepším řešením je VPN. Tu zkratku už možná znáte, pokud pracujete pro nějakou větší firmu. Jen to pro vás asi bude synonymum k „práce z domova“.

  16. App ↔ tunel ↔ VPN server ↔ web

    VPN funguje tak, že vytvoří jakýsi tunel mezi vaším zařízením a VPN serverem, ten tunel je šifrovaný a všechno je uděláno správně a další spojení pak jdou až z toho VPN serveru. Takže útočník na Wi-Fi v hospodě má smůlu. Mohl by sice útočit na spojení mezi VPN serverem a cílovým webem, ale na to většinou nemá možnosti. Při používání VPN pro práci z domova je VPN server u vás ve firmě ve vnitřní síti a má přístup k ostatním službám na firemní síti.

  17. F-Secure Freedome

    Já používám F-Secure Freedome od renomované a důvěryhodné finské firmy F-Secure. Služba stojí cca €50/rok pro 5 zařízení. Pro 3 zařízení je to €40/rok a pro jedno jen €30. Mimochodem, nákup z té jejich appky je o 20 % levnější než přímo z webu. Freedome je pro Mac, iOS i Android a ovládání je velmi jednoduché: vypnout a zapnout. Doporučuji to mít zapnuté pokaždé, když nejste doma nebo v kanceláři a na telefonu klidně pořád.

  18. TunnelBear

    VPN server může být v kterékoliv jiné zemi a pak to pro cílový web vypadá, že spojení jde z té jiné země. Takže pokud budete chtít obejít omezení třeba na YouTube, ale nechcete nic platit, tak zkuste TunnelBear VPN. Nabízí 500MB měsíčně zdarma, další 1GB za tweetnutí. VPN službu nabízí také třeba český Avast, pod příznačným názvem SecureLine.

  19. Používejte VPN, HTTPS a ověřujte certifikáty

    VPN používejte nejen při práci z domova a pokud děláte nějakou appku nebo web, tak jen na HTTPS a v appkách nezapomínejte ověřovat certifikáty. Stay safe!

Michal Špaček

Michal Špaček

Vyvíjím webové aplikace, zajímá mě jejich bezpečnost. Nebojím se o tom mluvit veřejně, hledám hranice tak, že je posouvám. Chci naučit webové vývojáře stavět bezpečnější a výkonnější weby a aplikace.

Veřejná školení

Zvu vás na následující školení, která pořádám a vedu: