Pytanie:
Czy publiczne Wi-Fi są obecnie zagrożeniem?
Ay0
2017-12-04 21:15:55 UTC
view on stackexchange narkive permalink

Moim zdaniem argumenty, których używamy od lat, aby powiedzieć, że publiczne punkty dostępu Wi-Fi są niezabezpieczone, nie są już ważne, podobnie jak zalecane środki zaradcze (np. używaj VPN).

Obecnie , większość witryn używa HTTPS i ustawia nagłówki HSTS, więc prawdopodobieństwo, że ktoś może podsłuchać połączenie innej osoby, jest bardzo niskie, do tego stopnia, że ​​oczekuje luki zero-day w TLS.

A więc jakie inne zagrożenia mogą ktoś stoi teraz w publicznej sieci?

Nie wiem, czy nazwałbym to tak samo zagrożeniem, jak luką.Nawet jeśli „większość” witryn korzysta z protokołu HTTPS i ustawia HSTS, „większość” to nie „wszystko”.
@yzT Nie przychodzi mi do głowy żaden argument z ostatnich 10 lat, który był używany przez facetów z głównego nurtu bezpieczeństwa, który jest już nieaktualny.Tak, używany jest protokół HTTPS.ale to nie usuwa wszystkich zagrożeń, podobnie jak nagłówki HTST (które nie są w pełni obsługiwane przez wszystkie przeglądarki).
* „większość witryn używa protokołu HTTPS i ustawia nagłówki HSTS” * - to twierdzenie bez dowodu.Według builtwith.com [tylko 12% z 10 tys. Najpopularniejszych witryn korzysta z HSTS] (https://trends.builtwith.com/docinfo/HSTS).
nie są obsługiwane przez wszystkie przeglądarki?https://caniuse.com/#feat=stricttransportsecurity kogo obchodzi netscape?
Publiczne WiFi przestaje być zagrożeniem w momencie, gdy podłączenie kabla sieciowego hakerów do laptopa przestaje być zagrożeniem.
@dandavis, all android pre 4.4 (nadal powszechny na rynkach używanych iw niektórych częściach świata) jest pre 11 (więc wygraj między innymi 7).2 grupy w aktywnym użyciu.
Punkty dostępu Wi-Fi, którymi nie zarządzasz, są niezabezpieczone, to nadal obowiązuje.(To, co z tego wyciągniesz, to zupełnie inne pytanie.)
@PlasmaHH To dobry komentarz, chociaż chciałbym tylko zauważyć, że pod pewnymi względami publiczne Wi-Fi może być mniej bezpieczne niż posiadanie kabla bezpośrednio łączącego cię z hakerami.Możesz zignorować ruch na tym kablu i zablokować wysyłanie danych przez ten kabel, ale nie możesz nikomu uniemożliwić dostępu do transmisji sieci bezprzewodowej ani nie możesz uniemożliwić im dostarczania danych wejściowych.
Czy sugerujesz, aby użytkownicy ograniczyli się wyłącznie do witryn, które już odwiedzili, korzystając z publicznej sieci Wi-Fi?
Takie stanowisko, jak stwierdzono, oznacza stwierdzenie: „Cały ruch sieciowy jest teraz bezpieczny, ponieważ jeden protokół do anonimowej publikacji został zhakowany, aby nieco trudniej było manipulować ruchem”.Co jest oczywiście absurdalnym pomysłem.Internet jest znacznie szerszy niż sieć, a cały ruch może być przerażający (a HTTPS i HSTS to niekompletne rozwiązania z poważnego punktu widzenia bezpieczeństwa - i to jest hojne).Sieci nigdy nie będą bezpieczne (za NAT, VPN, cokolwiek), tylko Twój system może być dalej lub za horyzontem crackerów.Publiczne Wi-Fi po prostu ujawnia * więcej *.
Hakerzy mogą podszywać się pod HTTPS, jeśli mają kontrolę nad hotspotem Wi-Fi.Tak działa zatrucie pamięci podręcznej.Gdzie pliki JS są zastępowane w pamięci podręcznej przeglądarki własnymi plikami JS hakera.
@Aaron Jak „ignorować ruch na tym kablu”?
@zxq9 Nie jestem pewien, co masz na myśli: „Sieci nigdy nie będą bezpieczne”
@jpmc26 Przeskakiwanie do adresu URL HTTPS otrzymanego z bezpiecznego kanału do sieci WWW innego adresu URL HTTPS powinno być bezpieczne
-1
@curiousguy Żadna sieć połączona z Internetem nigdy nie będzie bezpieczna.Całkowicie izolowana sieć * może * istnieć (ale zwykle nie jest).Zawsze jest * jakiś * sposób, aby się dostać, chociaż profil zagrożenia, przed którym stoi większość użytkowników, nie obejmuje zdeterminowanych atakujących korzystających z mostów typu burza lub sneakernet.Ogólnie mówiąc, „sieci nigdy nie będą bezpieczne” jest trafne.Zakładanie, że złośliwe bity nie mogą trafić do systemu, ponieważ „sieć jest zabezpieczona” to błędne myślenie - szeroko wykazane w całej historii.
@curiousguy Pomijając wszystkie zawarte w nim dane.Gdybym miał dodatkowy port sieciowy bezpośrednio podłączony do znanego złośliwego hosta, gdyby był w środowisku podobnym do Uniksa, zwłaszcza w systemie operacyjnym typu open source, prawdopodobnie byłoby wiele sposobów: odmów wszystkim dostępu do zapisu do pliku tego urządzeniaużytkowników, blokuj przez zaporę lub edytuj system operacyjny, aby całkowicie zignorować to urządzenie lub wszystkie powyższe i cokolwiek innego, co możesz wymyślić.W takiej sytuacji ktoś przesunąłby górę, aby to się stało.Jednak nic z tego nie umniejsza znaczenia PlasmaHH;Po prostu zbierałem gnidy.
@curiousguy Z drugiej strony, pomimo mojego poprzedniego komentarza, to pytanie jest z punktu widzenia jakiejś przypadkowej osoby, która jest na tyle kompetentna, aby przejmować się ważnymi kwestiami bezpieczeństwa (tj.: Bardziej kompetentna niż przeciętny użytkownik), ale prawdopodobnie mniejsza niż kompetencja informatyka,kto właśnie łączy się z przypadkową siecią Wi-Fi.Na Twoją obronę taka przypadkowa osoba może mieć trudności z robieniem tego, co sugerowałem.
** HTTPS nie jest już rozwiązaniem zabezpieczającym **.Serwery proxy przechwytujące TLS są powszechne: uniwersytety, firmy, szkoły, biura, dostawcy usług internetowych, kawiarnie itp. HTTPS nie może być uważany za _bezpieczny_, gdy jest rutynowo penetrowany bez Twojej wiedzy lub zgody.
Dwanaście odpowiedzi:
Anders
2017-12-04 21:31:36 UTC
view on stackexchange narkive permalink

Publiczne Wi-Fi nadal nie jest bezpieczne i zawsze będzie, jeśli nie będzie używane razem z czymś takim jak VPN.

  • Wiele witryn korzysta z protokołu HTTPS, ale nie wszystkie. W rzeczywistości ponad 30 procent tego nie robi.
  • Tylko około 5 procent witryn korzysta z HSTS. I nadal jest zaufany przy pierwszym użyciu. Jeśli maksymalny wiek jest krótki, pierwsze użycie może być dość częste. Spójrzmy prawdzie w oczy, nawet jeśli jesteś profesjonalistą w dziedzinie bezpieczeństwa, są szanse, że i tak zakochasz się w pasku SSL. Wiem, że tak.
  • To, że używasz protokołu HTTPS, nie oznacza, że ​​robisz to dobrze. Wciąż jest tam wiele mieszanych treści. Wielu klientów nadal obsługuje stare wersje ze znanymi lukami w zabezpieczeniach, więc atak nie musi być dniem zerowym, aby się udać.
  • Nawet jeśli używasz protokołu HTTPS, i tak wyciekasz wiele informacji, takich jak odwiedzana domena, cały ruch DNS itp.
  • Komputer lub telefon wykorzystuje internet nie tylko do przeglądania:
    • Wystarczy jedna aplikacja, która ma zły (lub nie ) krypto dla funkcji aktualizacji i jesteś własnością.
    • Wszystkie te aplikacje, którym zezwoliłeś na dostęp do wszelkiego rodzaju danych osobowych ... Ciągle dzwonią do domu i prawdopodobnie nie masz pojęcia, jakie dane wysyłają a co z kryptowalutą, której używają.
    • Dancrumb ma więcej przykładów w swojej świetnej odpowiedzi.
  • Obrona dogłębnych.

VPN jest tani i nadal jest mało ważnym owocem, jeśli chodzi o bezpieczeństwo.

VPN tak naprawdę nie naprawia tych rzeczy.Po prostu popycha ekspozycję z lokalnego dostawcy usług internetowych / punktu dostępu do dostawcy VPN, a wielu dzisiejszych dostawców VPN nie jest zbyt godnych zaufania w tych sprawach, jeśli chodzi o to.
@JoelCoehoorn Tak, jasne.Ale bycie MITM w publicznej sieci Wi-Fi jest proste.Bycie MITM na wyjściu z tunelu VPN ... cóż, to wymaga trochę pracy.Nie pozwól, by doskonałość była wrogiem dobra.
@JoelCoehoorn Możesz uruchomić własną sieć VPN, jeśli obawiasz się innych dostawców VPN.A jeśli nie możesz zaufać własnemu dostawcy usług internetowych, to publiczne Wi-Fi nie jest tak naprawdę Twoim głównym problemem.
@JoelCoehoorn w zasadzie dlatego masz zamki w drzwiach, które możesz otworzyć w 10 sekund.Nadal chcesz, aby ten facet spędził 10 sekund wysiłku i robił dużo hałasu, zamiast po prostu wchodzić do twojego domu, jakby był jego właścicielem.
Firefox blokuje teraz mieszaną zawartość, co jest tutaj dobrym krokiem.
Rozwiązaniem tego wszystkiego jest oczywiście Tor, ale ma to swoje własne problemy.Nie problemy techniczne, ale problemy z użytecznością wynikające z ogólnej ignorancji administratorów sieci, co do praktycznych zastosowań.Chociaż nawet w przypadku Tora zachowanie całkowitej anonimowości może być trudne, po prostu nie jest tak trudne.
Większość z tych „problemów” nie będzie przeszkadzać większości ludzi.Nawet jeśli robię bankowość internetową w publicznym Wi-Fi, nie obchodzi mnie, czy ludzie wiedzą, że korzystam z bankowości, z którego banku korzystam, widzą niezaszyfrowane obrazy itp. O ile nikt nie może się zalogowaćpieniądze, nie obchodzi mnie.To samo dotyczy zakupów w amazon itp. Nie obchodzi mnie, czy ludzie widzą, co kupuję, tak samo jak nie ukrywam tego, co kupiłem, kiedy zabieram do domu pociągiem.Dobrze byłoby opisać rzeczywiste problemy zwykłych ludzi, a nie „możesz przeciekać wyszukiwania DNS”.
@DrEval Myślę, że większość punktów odnosi się bezpośrednio do zwykłych użytkowników.Zwykli użytkownicy odwiedzają witryny, które nie używają HTTPS ani HSTS.Zwykli użytkownicy mają aplikacje, które nie odszyfrowują poprawnie ich aktualizacji.Przekazywanie hasła w postaci zwykłego tekstu z powodu usunięcia SSL lub złośliwego oprogramowania na telefonie to bardzo poważny problem dla zwykłych użytkowników.
Prawie każde pytanie dotyczące bezpieczeństwa VPN można rozwiązać za pomocą „Korzystanie z VPN oznacza, że masz 2 dostawców usług internetowych zamiast tylko jednego”.Kiedy ktoś jest wyjątkowo niezaufany (publiczne WiFi), to oczywista wygrana.
@WilliamTFroggard Tor to narzędzie zaciemniające - nie weryfikuje, czy strona, na którą patrzysz, jest rzeczywiście tym, za kogo się podaje.Możesz myśleć o tym jako o rozległej sieci serwerów proxy.FBI [z powodzeniem wykorzystało Tor] (https://arstechnica.com/tech-policy/2016/06/fbis-use-of-tor-exploit-is-like-peering-through-broken-blinds/) ima [wiele znanych słabych punktów] (https://en.wikipedia.org/wiki/Tor_ (anonymity_network) #Weakness), więc nie ufałbym jej w zaciemnianiu ruchu przed zdeterminowanym i dobrze finansowanym napastnikiem.
Upewnij się, że korzystasz z bezpiecznej sieci VPN, która nie nagrywa.
Mam w domu router z wbudowanym VPN i DynDNS - oba łatwe w konfiguracji dla użytkowników domowych.Domena jest bardzo tania, więc ... zysk.(wystarczy wspomnieć, że zazwyczaj można łatwo uniknąć usług VPN innych firm).
Nawet witryny wymagające protokołu HTTPS zwykle będą przekierowywać z HTTP, co oznacza, że osoba atakująca MITM może zamiast tego przekierować na podobną witrynę ...
@DrEval Problem z twoją logiką polega na tym, że każda niezabezpieczona zawartość strony może zostać zastąpiona dosłownie czymkolwiek innym przez osobę atakującą MITM.Osoba atakująca może zamienić niezabezpieczone treści na JavaScript, który może wykonywać różne czynności przy użyciu Twojej uwierzytelnionej sesji ... na przykład klikać przyciski w serwisie Amazon lub w portalu konta bankowego ...
Dancrumb
2017-12-05 04:22:40 UTC
view on stackexchange narkive permalink

Jestem trochę zaskoczony, że nikt nie zauważył, że Internet to coś więcej niż HTTP.

Nawet jeśli Twoje twierdzenia dotyczące HTTP (S) i HSTS były prawidłowe (i inne odpowiedzi o tym mówią) zapominasz o POP, SMTP, IMAP, FTP, DNS itp. Żaden z tych protokołów nie jest z natury bezpieczny.

Twój punkt widzenia jest bardzo ważny, a poniższe tak naprawdę tego nie zmieniają, ale wszystkie POP, SMTP, IMAP i FTP mają wbudowane TLS teraz albo tunelowane (POPS, IMAPS itp.), Albo wbudowane w protokół (STARTTLS itp.), a DNS ma rozszerzenia DNSSEC, które nie ukrywają komunikacji, ale mogą chronić ją przed manipulacją. VPN nadal jest odpowiednim rozwiązaniem problemu publicznego Wi-Fi.
Atak DNS MITM może być szczególnie nieprzyjemny w publicznym ustawieniu Wi-Fi.Możesz przekierowywać całe grupy ludzi do fałszywych witryn (lub wysyłać cały ruch przez proxy)
@fjw Czy główne systemy operacyjne wykonują teraz weryfikację DNSSEC po wyjęciu z pudełka?To byłaby duża wygrana, ale nie mogę sobie wyobrazić, że tak się dzieje, biorąc pod uwagę, jak niestabilny jest nadal w moim Linuksie.Poza tym nie ufałbym klientom poczty, że naprawdę nie dadzą się nabrać na striptiz STARTTLS.
Chociaż obecnie większość ludzi nie czyta poczty e-mail za pośrednictwem klienta internetowego?
@Shadur Nie, jeśli użytkownik poczty PGP nie chce ujawnić swojego klucza prywatnego operatorowi silosu poczty internetowej.
@Shadur najwyraźniej nie: https://emailclientmarketshare.com/
W zależności od systemu operacyjnego i różnych programów działających w tle (sterowników itp.), Twój komputer może narazić się na ogromne zagrożenie bez Twojej wiedzy w momencie łączenia się z dowolnym punktem dostępu.Dawno, dawno temu nasze laptopy robocze (bezpieczne połączenie sieciowe chronione kluczem RSA itp.) MSN Messenger z radością działałby doskonale, zanim nawet zacząłbyś bezpieczny proces logowania do sieci, ponieważ jego protokół nie był przechwytywany / filtrowany / itp.przez rzekomo bardzo bezpieczne połączenie.
entrop-x
2017-12-04 21:49:35 UTC
view on stackexchange narkive permalink

Inną trudnością związaną z publicznym dostępem do sieci Wi-Fi jest to, że jesteś w tej samej sieci lokalnej , co inni nieznani aktorzy. Każda błędna konfiguracja uprawnień do sieci lokalnej może prowadzić do włamania do urządzenia. Może w domu skonfigurowałeś udostępnione dane w sieci lokalnej. Teraz wszyscy w tym samym punkcie dostępu Wi-Fi mogą mieć dostęp do tych udostępnionych danych. Najczęściej taką ochronę zapewnia zapora ogniowa (czy to w biurze, czy w domu), a uważasz, że sieć lokalna jest bezpieczniejsza niż nagi Internet. Ale tym razem możesz być w tej samej sieci lokalnej co atakujący.

Problem z tym poglądem polega na tym, że Wi-Fi jest generalnie niepewne i regularnie, że prawdopodobnie dobrze jest założyć, że każdy, kto ma więcej niż minimalną motywację, ma dostęp do Twojej domowej sieci Wi-Fi.To zmienia pytanie na „jaki jest koszt napastnika w przypadku ścigania przypadkowych użytkowników na jednym laptopie w publicznych sieciach Wi-Fi w porównaniu z atakowaniem sieci domowych”.
@Curt: dobrze skonfigurowane domowe Wi-Fi jest zwykle całkiem bezpieczne.Oczywiście, jeśli mówisz o dniach zerowych, mogą istnieć sposoby, ale wtedy nie rozumiem, dlaczego wyróżniasz wifi.Zero dni w routerach przewodowych zapewnia również dostęp, a przynajmniej możesz z nich korzystać z całego świata.Dzięki publicznemu Wi-Fi są już w sieci.Aby osiągnąć to samo, potrzebujesz zerowego dnia w routerze lub domowej sieci Wi-Fi.
Nie mówię o zerowych dniach.Zakładając, że sieci WiFi są generalnie dobrze skonfigurowane od samego początku: dobre bezpieczeństwo bierze pod uwagę użytkowników i ich umiejętności;większość domowych sieci Wi-Fi nie jest konfigurowanych przez inżynierów sieci.Co więcej, nawet dobrze skonfigurowana sieć Wi-Fi regularnie zawierała luki, w tym wielokrotnie problemy z samymi protokołami Wi-Fi.(Ostatni, zaledwie dwa miesiące temu, to KRAK). Nie ma tu miejsca na dalsze analizy, ale podtrzymuję moje stwierdzenie, że dobrze jest pracować z założeniem, że atakujący mają dostęp do Twojej sieci WiFi.
(Nawiasem mówiąc, sugerowałbym również, abyś założył, że atakujący mają łatwy dostęp do Twojej sieci przewodowej, chyba że zastosujesz specjalne środki ostrożności w tym obszarze.
Gartral
2017-12-05 01:41:29 UTC
view on stackexchange narkive permalink

Twierdzę, że za każdym razem, gdy łączysz się z publicznie dostępną siecią, narażasz się na ryzyko, VPN są świetne, ale nie rób nic, aby zabezpieczyć swoją maszynę przed zagrożeniami w sieci lokalnej, jeśli Ty, użytkownik, schrzanisz i otwórz powiedz: Twój prywatny folder do udostępnienia innym.

Jedną ze strategii, z których korzystałem i grałem w przeszłości w sieci publicznej, jest staromodny honeypot, udostępnij folder z plikiem i obserwuj, czy nie ma dostępu do tego pliku, natychmiast rozłączaj się, gdy zostanie uzyskany i wiesz, że nie masz do niego dostępu.

Nie jestem pewien, co zyskała procedura z twojego ostatniego akapitu ....
@GnP Zasadniczo zakłada, że napastnik w sieci najpierw wybierze łatwe rzeczy (publiczny folder współdzielony), a kiedy (Gartral) zobaczy, że plik został uzyskany, rozłącza się z tym WiFi, wiedząc, że jest na nim atakujący.
Myślę, że jest to duże założenie, że pierwszą rzeczą, jaką zamierza zrobić atakujący, jest węszenie za pomocą SMB / CIFS, a nawet jeśli tak jest, to pójdą i zażądają wszelkich plików, które zobaczą w udziale sieciowym.
Jesteś pewien, że atakujący nie zacznie od wykorzystania kolejnego 0-dniowego błędu w SMB / CIFS?
Powiedziałem: „zastosowałem”. Nie używam już tej techniki, miała ona służyć jako podstawa do przemyślenia analizy zagrożeń i samodzielnego rozpoczęcia badań w celu wykrywania i ograniczania włamań.@user1643723, za każdym razem, gdy ustawiasz garnek z miodem, w zasadzie zapraszasz napastnika do wbicia pazurów w twój system za pomocą dużego neonu z napisem „Patrz! Shiny Data! No get it get it!”
bobstro
2017-12-04 22:17:24 UTC
view on stackexchange narkive permalink

Część obaw wiąże się z atakami MiTM i tendencją konfigurowania laptopów do ślepego łączenia się z otwartymi sieciami na podstawie identyfikatora SSID po pierwszym połączeniu. Nic nie stoi na przeszkodzie, aby nieznany podmiot uruchomił punkt dostępu o tym samym identyfikatorze SSID, który jest używany w innych lokalizacjach. Tak więc, chociaż część Twojego ruchu może być chroniona, spora część nie będzie, a atakujący będzie miał ścieżkę, po której może próbować złamać zabezpieczenia Twojego laptopa.

W praktyce „odpalenie punktu dostępu przez nieznaną stronę” może być stosunkowo kosztownym exploitem / ryzykownym przestępstwem, z którego można by czerpać zyski.Powinniśmy zauważyć, że ataki MiTM mimo wszystko rozprzestrzeniły się, przynajmniej w niektórych obszarach: ponieważ punkty dostępu W-Fi bez aktualizacji zabezpieczeń (np. Które są stare lub nie aktualizują się automatycznie) są ogromnym słabym punktem.https://arstechnica.com/information-technology/2019/07/website-driveby-attacks-on-routers-are-alive-and-well-heres-what-to-do/
Rui F Ribeiro
2017-12-05 20:27:19 UTC
view on stackexchange narkive permalink

Jeśli chodzi o korzystanie z publicznych usług Wi-Fi, Tor i VPN nadal mogą wyciekać informacje.

Poza konsekwencjami dla bezpieczeństwa Tora i VPN, nadal musisz mieć przynajmniej usługi DHCP z publicznego Wi-Fi.

W zależności od ustawień Wi-Fi, usługa oferowania może nadal otwierać (ograniczone) okno przeglądarki bezpośrednio na Twoim urządzeniu, nawet podczas korzystania z VPN, jeśli korzystasz z technologii sieciowych, a Twoje urządzenie będzie narażone i rozmawiać VPN do pewnego stopnia, dopóki nie uwierzytelnisz się w portalu sieci przechwytującej.

IMO to obecnie większy słoń w pokoju, o którym ludzie nie myślą - napisałem we FreeBSD dowód słuszności koncepcji, który otwiera zdjęcie czaszki w kliencie, zanim pójdziesz na trasę VPN, moi koledzy z pracy nie bylibyśmy aż tak rozbawieni.

Radziłbym, aby w zależności od urządzenia, oprócz Tora lub / i VPN, trzeba było przynajmniej mieć wykonane najnowsze aktualizacje systemu operacyjnego i dobrze dostrojoną zaporę ogniową działającą na urządzeniu

Więc właściwie nie, HTTPS i powiązane technologie są tylko (małą) częścią równania w ustawieniach bezpieczeństwa i oferują fałszywe poczucie bezpieczeństwa tylko wtedy, gdy są używane jako takie .

Większość tej odpowiedzi, aż do ostatniego zdania, skupia się na ograniczeniach korzystania z VPN, podczas gdy tak naprawdę pytanie dotyczy ograniczeń korzystania z HTTPS.Chociaż wszystko, co mówisz, brzmi poprawnie, nie jestem pewien, czy ma to związek z pytaniem.
@Anders W porządku.Jednak pytanie dotyczy innych zagrożeń oprócz korzystania z protokołu HTTPS
rackandboneman
2017-12-05 16:16:55 UTC
view on stackexchange narkive permalink

To jest dokładnie scenariusz, w którym pół- „oportunistyczne” szyfrowanie (takie jak mieszany tekst jawny / zaszyfrowany ekosystem HTTP / HTTPS) może Cię zawieść - przynajmniej musisz polegać na przeglądarce, która nie otworzy nieoczekiwanie jakiegoś zasobu osadzonego w strona internetowa za pośrednictwem niezabezpieczonego protokołu (nawet jeśli mężczyzna w środku obniża jej ocenę za Ciebie), a także podejrzane certyfikaty, które nie zostały zaakceptowane. Dla każdej strony i dla wszystkiego, co ładuje się każda strona.

VPN, jak wspomniano, nadal może tunelować wszelkiego rodzaju złośliwy ruch do wrażliwego punktu końcowego - iz powrotem.

W przypadku braku naprawdę problematycznego złośliwego oprogramowania, takiego jak keyloggery i nielegalne oprogramowanie do zdalnego sterowania, najbezpieczniejszą konfiguracją byłoby kontrolowanie zaufanego zdalnego komputera za pomocą czegoś takiego jak zdalny pulpit lub ssh (z lub bez przekazywania X11), powodując, że cały odpowiedni ruch będzie odbywał się jednym szyfrowanym kanałem. Ustanowienie tego kanału nadal wymagałoby dodatkowej staranności (np. Ręczna weryfikacja śladów certyfikatu), aby uniknąć pozostającego ryzyka ataków MITM (które w najgorszym przypadku mogłyby uzyskać dane logowania osoby atakującej).

Emanuel Pirovano
2017-12-05 17:27:54 UTC
view on stackexchange narkive permalink

Jak mówi Norton, firma zajmująca się bezpieczeństwem:

Jakie są zagrożenia?

Problem z publicznym Wi-Fi polega na tym, że istnieje ogromna liczba zagrożeń, które towarzyszą tym sieciom. Chociaż właściciele firm mogą wierzyć, że świadczą wartościowe usługi swoim klientom, istnieje prawdopodobieństwo, że zabezpieczenia w tych sieciach są słabe lub nie istnieją.

Ataki typu Man in the Middle

Jeden z najpoważniejszych powszechne zagrożenia w sieciach to atak typu Man in the Middle (MitM). Zasadniczo atak aMitM jest formą podsłuchiwania. Gdy komputer łączy się z Internetem, dane są wysyłane z punktu A (komputer) do punktu B (usługa / witryna internetowa), a luki w zabezpieczeniach mogą pozwolić atakującemu na wejście między te transmisje i „odczytanie” ich. Więc to, co młodzi ludzie uważali za prywatne, już nie jest.

Sieci nieszyfrowane

Szyfrowanie oznacza, że ​​wiadomości przesyłane między komputerem a routerem bezprzewodowym mają postać „tajnego kodu”, aby nie mogły być odczytane przez nikogo, kto nie ma klucza do rozszyfrowania kodu. Większość routerów jest wysyłanych z fabryki z domyślnie wyłączonym szyfrowaniem, które należy włączyć podczas konfigurowania sieci. Jeśli informatyk skonfiguruje sieć, istnieje duże prawdopodobieństwo, że szyfrowanie zostało włączone, jednak nie ma niezawodnego sposobu, aby stwierdzić, czy tak się stało.

Dystrybucja złośliwego oprogramowania

Dzięki luki w zabezpieczeniach oprogramowania, istnieją również sposoby, dzięki którym osoby atakujące mogą wrzucić złośliwe oprogramowanie na komputer bez Twojej wiedzy. Luki w oprogramowaniu to luka w zabezpieczeniach lub słabość znaleziona w systemie operacyjnym lub programie. Hakerzy próbują wykorzystać tę słabość, pisząc kod w celu namierzenia określonej luki w zabezpieczeniach, a następnie wstrzykując złośliwe oprogramowanie na Twoje urządzenie.

Snooping i węsząc

Wi-Fi szpiegowanie i węszenie jest tym, na co wygląda. Cyberprzestępcy mogą kupować specjalne zestawy oprogramowania, a nawet urządzenia pomagające im w podsłuchiwaniu sygnałów Wi-Fi. Ta technika może umożliwić atakującym dostęp do wszystkiego, co robisz online - od przeglądania całych odwiedzonych przez Ciebie stron internetowych (w tym wszelkich informacji podanych przez Ciebie podczas odwiedzania tej strony), przechwytywania danych logowania, a nawet przechwytywania Twoich kont.

Złośliwe punkty dostępu

Te „nieuczciwe punkty dostępu” oszukują ofiary, łącząc się z siecią, która ich zdaniem jest legalna, ponieważ nazwa jest wiarygodna. Załóżmy, że zatrzymujesz się w Goodnyght Inn i chcesz połączyć się z hotelowym Wi-Fi. Możesz pomyśleć, że wybierasz właściwy po kliknięciu „GoodNyte Inn”, ale tak się nie stało. Zamiast tego właśnie połączyłeś się z nieuczciwym hotspotem, który skonfigurował bycyberprzestępców, którzy mogą teraz przeglądać Twoje poufne informacje.

Kiedy wszyscy znają te zagrożenia, minimalną rzeczą, jaką można zrobić, jest zmniejszenie ryzyka.

O tym możesz przeczytać kilka artykułów:

Chociaż cytat z Nortona jest interesujący, nie koncentruje się bezpośrednio na pytaniu.Pytanie brzmi, czy HTTPS i HSTS nie rozwiązują tych problemów.Cytat tak naprawdę o tym nie wspomina.
Nie na tym się skupiamy, ale pierwsze pytanie tego posta nie dotyczy tego protokołu, prawda?
Pytanie można przeformułować jako „Jakie problemy występują z publicznym Wi-Fi, których HTTPS nie rozwiązuje?”Mam wrażenie, że odpowiadasz na pytanie „Jakie są problemy z publicznym Wi-Fi?”
Więc to pytanie jest powtórzeniem: https://security.stackexchange.com/questions/1525/is-visiting-https-websites-on-a-public-hotspot-secure
Osobiście powiedziałbym, że jest blisko spokrewniony, ale nie powielony.„Korzystanie z publicznego Wi-Fi” to czynność, która obejmuje znacznie więcej niż „odwiedzanie witryn HTTPS w publicznej sieci Wi-Fi”.Jeśli się nie zgadzasz, możesz oznaczyć pytanie jako duplikat.
Zgadzam się, prosiłem tylko o zrozumienie punktu.Dzięki
Damon
2017-12-07 17:35:07 UTC
view on stackexchange narkive permalink

Nie jestem w 100% pewien, o co ci chodzi.

Publiczne hotspoty Wi-Fi nie są godne zaufania, to prawda. Ale internet nie jest godny zaufania. Odwiedzane witryny nie są godne zaufania. Witryny, których używasz do przeszukiwania sieci, są szczególnie niegodne zaufania.

Ktoś w publicznym hotspocie Wi-Fi może podsłuchiwać Twoje połączenia. Ktoś bez wątpienia podsłuchuje całą twoją komunikację. Dzieje się to rutynowo w ramach infrastruktury dostawcy, w CIX, na granicach krajów oraz w kablach transoceanicznych (a czasem międzykontynentalnych). Twój zaufany dostawca może mieć pozwolenie i być wymagane przez prawo (są tutaj!) Do rejestrowania i przechowywania szczegółowych statystyk dotyczących każdego nawiązanego połączenia, wszystkich zapytań DNS, cokolwiek, oraz udostępniania tych informacji niektórym umiarkowanie godnym zaufania, a innym zdecydowanie nie godne zaufania partie, w tym organizacje z wrogich krajów.
Wszystkie główne stany branżowe (nie tylko USA) mają organizacje podsłuchujące, z których każda składa się z dziesięciu do setek tysięcy osób. z kim się komunikujesz, kiedy się komunikujesz, jakie nazwy DNS rozwiązujesz itd.

Czy to dla Ciebie problem? Cóż, jeśli tak, naprawdę nie korzystaj z Internetu.

Ktoś w publicznym hotspocie Wi-Fi może próbować wykorzystać Twój komputer. Zgadnij co, ktoś może to zrobić również przez twoje domowe połączenie internetowe. Na pewno nie jest to tak łatwe, jak bycie w tej samej sieci lokalnej, ale prawie niemożliwe.
Mój czcigodny stary system Windows 7 już uważał, że zaufanie do hotspotów nie jest dobrym pomysłem i uważa, że ​​wszystkie hosty są niezaufane w tym ustawieniu (chyba że wyraźnie powiesz mu coś innego). Nie dzieje się to bez powodu. Jednak biorąc pod uwagę rozsądne ustawienia, pozostanie w całkowicie wrogiej sieci lokalnej nadal byłoby w miarę bezpieczne. Żadna z usług, które były wykorzystywane w ciągu ostatnich kilku lat, nawet nie działa na moim komputerze (niezależnie od tego, czy zapora sieciowa i tak przerywa ruch). Po prostu nie biegaj gównem, którego nie potrzebujesz. Im mniej usług dostępnych w sieci, tym mniej exploitów (więcej dostępnej pamięci RAM i szybsze uruchamianie jako darmowy bonus).

I tak nie ma zbyt wielu powodów, aby korzystać z publicznego hotspotu Wi-Fi (nie przypominam sobie, żebym kiedykolwiek miał używany). Jednym z powodów może być to, że jesteś w trasie i musisz pilnie zrobić coś naprawdę ważnego w Internecie. OK, przyznaję, w tym kontekście publiczne Wi-Fi może powodować złe uczucie w żołądku, ale jak często to się zdarza. Ponadto Twój bank mam nadzieję używa https: i możesz trywialnie zweryfikować, czy tak jest, zanim podasz informacje o koncie.

Chociaż ludzie obecnie postrzegają to muszą być dostępne online i dostępne przez cały dzień (szczerze mówiąc, kiedy ostatnio wyłączyłeś telefon?), co w rzeczywistości nie jest prawdą. Możesz bardzo dobrze prowadzić bankowość z domu i tak naprawdę nie musisz być online 24 godziny na dobę, 7 dni w tygodniu, gdy jesteś w drodze. Zwykle przynajmniej.
Nie, bycie w Starbucks nie oznacza, że ​​ musisz napisać o tym na Twitterze i zamieścić zdjęcie swojej kawy na Facebooku. Kogo to obchodzi? Ale jeśli uważasz, że jest to absolutnie konieczne, a publiczne WiFi jest zbyt przerażające, cóż, użyj połączenia LTE smartfona (które jest marginalnie bezpieczniejsze). To nie tak, że musisz korzystać z publicznej sieci Wi-Fi.

Innym powodem korzystania z publicznej sieci Wi-Fi może być to, że planujesz zrobić coś nielegalnego i nie chcesz, aby Twoja tożsamość została zbyt łatwo zidentyfikowana. Jasne, nie chciałbyś robić potężnych nielegalnych rzeczy (sprzedawać broń, narkotyki, filmy tabakierskie? Terroryzm?) Z domu. Ale hej, w takim razie jaki jest problem z tym, że hotspot nie jest godny zaufania? To znaczy poważnie? Nastolatek węszący w Twoim ruchu w hotspocie to najmniejszy z Twoich problemów w tym kontekście.

Słuszna uwaga, że „Internet nie jest godny zaufania”.Ale żeby było jasne, tylko dlatego, że Twój bank może używać `` https: '', nie sprawia, że połączenie jest bezpieczniejsze, nie dzięki rozpowszechnianiu ** serwerów proxy przechwytujących TLS **, które posiadamy, i nastawieniu, że penetrowanie bezpiecznych połączeń jest w porządkudowolnie.
@Mac: To prawda, ale przechwytywanie TLS odbywa się za pośrednictwem złośliwego oprogramowania, które _wybierasz_ do zainstalowania na swoim komputerze (i za które zwykle płacisz nawet pieniądze).Certyfikaty główne zainstalowane na większości komputerów firmowych są podobne, jest to zamierzone.Zasadniczo mówisz, że nie przeszkadza Ci, gdy Kaspersky / Avast / Norton (lub inny) odczytuje Twój ruch, tak jak nie przeszkadza Ci ich złośliwe oprogramowanie, które sprawia, że Twój komputer jest bezużyteczny.Nie ma to jednak nic wspólnego z Wi-Fi ani z internetem jako takim.To osobisty wybór, którego możesz dokonać lub nie.TLS jako taki jest dla zwykłego użytkownika całkiem bezpieczny.
Chodzi o to, ale miałem na myśli przechwytywanie HTTPS, które występuje za pośrednictwem _ urządzeń sprzętowych_, takich jak serwer proxy Blue Coat firmy Symantec.
@Mac: No tak, będąc głównym urzędem certyfikacji, Symantec, podobnie jak większość rządów, może zobaczyć prawie wszystko.Oznacza to, że niestety część „Internet nie jest godny zaufania”, ponieważ całe zaufanie, jakie mamy, jest tak naprawdę tylko przypadkowym przypadkiem stwierdzającym, że są godni zaufania, i wszyscy na tym opierają się.Nie znałbym jednak dużo lepszego systemu do rozwiązywania problemów dystrybucji kluczy.To, co wymyśliło PGP w latach 90., nie było praktyczne, a wymiana kopert między szpiegiem a szpiegiem w ciemnym zaułku jest jeszcze mniej praktyczna.Musisz tylko mieć nadzieję, że firma Symantec nie okradnie Twojego konta bankowego.
Blue Coat to w zasadzie to samo, co „zainstaluj niestandardowy certyfikat główny”, jak to się robi na firmowych laptopach lub w oprogramowaniu antywirusowym, ale nie musisz już tego robić, ponieważ przeciwnik jest już urzędem certyfikacji (lub kupuje tę usługę od tego urzędu certyfikacji) idzięki temu jest w stanie wygenerować dowolny odpowiedni certyfikat.Więc tak, to pech.Mimo to, użycie `https: // 'zapewnia rozsądną ochronę przed _normalnymi_ przestępcami.Poza tym rząd i tak kradnie twoje pieniądze (wywłaszczenie na zimno), nawet jeśli nigdy nie logujesz się do swojego banku.Więc nie ma się czego bać.
Mac
2017-12-06 10:20:53 UTC
view on stackexchange narkive permalink

Obecnie większość witryn korzysta z protokołu HTTPS i ustawia nagłówki HSTS, więc prawdopodobieństwo, że ktoś może podsłuchać połączenie innej osoby, jest bardzo niskie.

To założenie jest przerażające. Nie ma znaczenia, ile witryn ustawia nagłówki HSTS, jeśli nie można polegać na protokole HTTPS w celu zapewnienia bezpieczeństwa punktu końcowego. I nie może. Niestety.

Czy słyszałeś o serwerze proxy przechwytywania TLS? Są powszechne. Wdrożone w szkołach, uniwersytetach i bibliotekach i używane zarówno przez pracodawców, jak i kawiarnie, te sprzętowe serwery proxy (takie jak WebTitan Gateway lub Cisco ironPort WSA) powodują, że HTTPS jest nieważny, ponieważ podczas „bezpiecznego” połączenia wprowadzają dynamiczny certyfikat udający oficjalny certyfikat witryny docelowej. Moja przeglądarka nie zna różnicy, a gdybym nie wiedział lepiej, ufałbym każdemu połączeniu HTTPS na jego twarzy.

Początkowo HTTPS został zaprojektowany, aby zapobiegać atakom MiTM. Dzisiaj TLS Proxy JEST atakiem MiTM! Niezależnie od tego, czy czytasz e-maile, czy sprawdzasz saldo konta bankowego, nie powinieneś mieć złudzeń, że HTTPS faktycznie robi to, co spodziewasz się, że tak się stanie, to znaczy zabezpieczy połączenie przed podsłuchem. I jeśli nie łączysz się przez domowy router WIFI & lub nie korzystasz z przyzwoitej sieci VPN, przyzwyczaj się do faktu, że Twoje połączenie jest prawdopodobnie odszyfrowywane i ponownie szyfrowane w locie, bez Twojej wiedzy lub zgody.

Nie ma potrzeby rozważania „innych zagrożeń” sugerowanych przez OP, dopóki połączenia szyfrowane w dobrej wierze nie staną się normą. Obecnie tak nie jest, a HTTPS to farsa. (Aby zapobiec podsłuchiwaniu, użyj niezawodnej sieci VPN obsługiwanej przez firmę, która nie przechowuje ani nie udostępnia danych. Użyj TOR, aby połączenie było jeszcze lepsze).

Dlaczego zapewniam, że HTTPS / HSTS nie jest tak naprawdę zabezpieczeniem przeglądarki internetowej? Ponieważ 3 lata przed OP zadał pytanie, został już wykorzystany i pokonany. A zaledwie 2 lata wcześniej został obalony. Co więcej, niektóre popularne implementacje SSL zostały zepsute już w 1998 roku. Nawet urzędom certyfikacji (CA) nie można ufać. Krótki harmonogram:

  • 1998 - Daniel Bleichenbacher opisuje udany atak na PKCS # 1 v1.5, (wówczas) RSA Encryption Standard (w CRYPTO 98); napad, który prawdopodobnie wymaga miliona wiadomości ataku.
  • 2009 - Moxie Marlinspike tworzy SSLStrip, aby zaatakować HTTPS ( demo w Black Hat DC 2009)
  • 2012 - IETF przekazuje nam RFC 6797, który implementuje HSTS, zaprojektowany w celu udaremnienia usuwania SSL
  • 2012 - Graham Steel publikuje artykuł (na CRYPTO 2012) pokazujący, że atak Bleichenbacher wypełniający wyrocznię wymaga mniej niż 15 000 wiadomości - nie milion, jak pierwotnie przypuszczano.
  • 2014 - Leonardo Nve tworzy SSLStrip + aby uniknąć HSTS ( demo na Black Hat Asia 2014)
  • 2015 - Sam Greenhalgh demonstruje HSTS Super Cookies, pokazując, jak łatwo można obalić mechanizm bezpieczeństwa HSTS być naruszeniem prywatności
  • 2015 - Google zdaje sobie sprawę, że firma Symantec i jej podmioty zależne w sposób oszukańczy wydały ponad 30 000 certyfikatów bezpieczeństwa bez odpowiednich audytów i ujawnień
  • 2016 - Google wprowadza opublikowaną czarną listę niewiarygodnych certyfikatów te autorytety, nazwane Submariner
  • 2017 - Ars Technica poinformował, że główne witryny, takie jak Facebook i PayPal, uzyskały pozytywny wynik testu na krytyczne, 19-letnie luka umożliwiająca atakującym odszyfrowanie zaszyfrowanych danych i podpisanie komunikacji przy użyciu własnego tajnego klucza szyfrowania stron
  • 2018 - Google aktualizuje Chrome do wersji 70 w celu wycofania zaufania z Symantec CA (w tym marek należących do Symantec, takich jak Thawte, VeriSign, Equifax, GeoTrust & RapidSSL); i Mozilla podąża za tym przykładem
  • 2018 - Adi Shamir publikuje artykuł, w którym szczegółowo opisuje, że nowoczesne implementacje PKCS # 1 v1.5 są równie niepewne w stosunku do wypełniania wyroczni ataki; wpływające na protokoły Usługi &, takie jak AWS, WolfSSL i najnowsza wersja TLS 1.3 wydana w sierpniu 2018 r.

Obecnie w celu zwalczania problemów, takich jak „zaufanie przechodnie”, subCAs i oszustwa wydające je CA, np GeoTrust itp., Mamy protokół DANE, zaprojektowany w celu „zabezpieczenia” certyfikatu bezpieczeństwa - ironii nie można tutaj pominąć - poprzez DNSSEC, umożliwiając administratorom domeny utworzenie TLSA rekord DNS.

Gdyby DANE był szeroko stosowany, mógłbym być bardziej skłonny zgodzić się z oceną niskiego zagrożenia OP, ale użycie DANE oznacza, że ​​witryna musi podpisać DNSSEC swojej strefy, a od W 2016 r. Podpisano tylko około 0,5% stref w domenie .com.

Jako alternatywę dla źle przyjętego DANE, istnieją zapisy CAA, zaprojektowane zrobić to samo, ale ten drugi mechanizm nie jest bardziej zakorzeniony niż pierwszy.

Jest koniec 2017 roku i szanse są bardzo duże ktoś może podsłuchać Połączenie chronione HTTPS / HSTS.

AKTUALIZACJA GRUDNIA 2018: Czy są to niezabezpieczone protokoły, źle zaimplementowane bezpieczne protokoły poza kompetencjami użytkownika, bezpieczna technologia oczekująca na powszechne przyjęcie, oszukańcze organy wystawiające niezweryfikowane certyfikaty, lub goo d staromodne podsłuchiwanie wspomagane sprzętowo, jest koniec 2018 roku i nadal utrzymuję, że szanse są bardzo dobre Twoje połączenie HTTPS Cię nie chroni.

Certyfikat wprowadzony przez serwer proxy przechwytujący rzadko jest podpisywany przez globalnie zaufany urząd certyfikacji.Gdyby tak było, to CA robi coś nie tak i nie powinien być zaufany.W przypadku użycia HPKP lub jakiejkolwiek innej metody przypinania klucza / certyfikatu wraz z HSTS, proxy i tak nie zadziała.
Dla anonimowych wyborców odrzucających, po prostu odrzucam podstawę twierdzenia OP, że użycie HTTPS i HSTS sprawia, że podsłuchiwanie jest „bardzo niskie”.
Zaraz ** co? ** Szanse są * niezwykle * dobre?Jeśli nie możesz ufać urzędom certyfikacji zainstalowanym na twoim komputerze, odinstaluj je i przypnij sobie klucz do tych, które są niezbędne.Oddaj * nie * anonimowy głos przeciw.
jonna_983
2017-12-05 13:31:51 UTC
view on stackexchange narkive permalink

Twój argument byłby słuszny, gdyby wszyscy użytkownicy sieci bezprzewodowej byli świadomi konsekwencji dla bezpieczeństwa związanych z przeglądaniem stron internetowych i publicznym, a tym samym niezaufanymi sieciami Wi-Fi. WiFi nie jest zagrożeniem, tak samo jak inżynieria społeczna.

Krótko mówiąc, WiFi&HTTPS nie ma luk w zabezpieczeniach , ale to nie znaczy, że nie stanowią zagrożenia .

wydaje się, że nie zrozumiałeś pytania - postawiony problem nie dotyczy samego Wi-Fi, ale złośliwych użytkowników udostępniających sieć innym - i pytanie dotyczy zagrożenia - mówisz, że może być, ale o nich nie rozmawiasz
również Wi-Fi i https niosą ze sobą luki
Pozwolę sobie być innego zdania. OP twierdzi, że protokoły są bezpieczne, więc publiczne WiFi jest bezpieczne. Protokoły są rzeczywiście bezpieczne (brak niezałatanych luk w zabezpieczeniach dla ATM 802.11 lub HTTPS - nawet KRACK jest prawie załatwiony), więc wszystkie problemy pochodzą od użytkowników, którzy nieświadomie lub nieostrożnie ignorują błędy bezpieczeństwa lub wiadomości, które twórcy bardzo ostrożnie umieścili w przeglądarkach lub systemach operacyjnych.
@jonna_983 krack nigdzie nie jest „załatwiony”.Wielu producentów telefonów lub routerów po prostu nie wydaje aktualizacji, wiele osób nie aktualizuje, wiele osób używa starych systemów operacyjnych.Krack będzie prawdopodobnie bliski „załatwienia” dopiero za mniej więcej dekadę.
@Avery, Uważam, że pańska odpowiedź mieści się w moim punkcie.Użytkownicy zostali poinformowani o konsekwencjach bezpieczeństwa związanych z używaniem niezałatanych (według KRACK) urządzeń, ale nadal decydują się na korzystanie z bezpiecznych środków. W każdym razie, moim ogólnym celem jest to, że użytkownicy otrzymują różnego rodzaju powiadomienia bezpieczeństwa podczas przeglądania, których nie chcą brać pod uwagę.
@jonna_983 1) zakładasz, że użytkownicy są wystarczająco obeznani z technologią, aby zrozumieć i załatać wszystkie urządzenia 2) ignorujesz mój punkt widzenia, że „niektóre, jeśli nie większość urządzeń, nie otrzymują łatek bezpieczeństwa, zwłaszcza routerów”.3) Nigdy nie widziałem takiego powiadomienia.Aktualizuję swój system, ale nadal go nie widziałem, nawet na urządzeniach osób, które nie aktualizują swoich systemów.
@jonna_983 Nic nie stoi na przeszkodzie, aby ktoś nadużywał UTF-8 (obsługa kodu punycode) w celu przekierowania na [identycznie wyglądającą witrynę] (https://www.xudongz.com/blog/2017/idn-phishing/), która ma własny certyfikat.Ta witryna Apple z PoC ma ważny podpis, ale na pewno nie jest nią Apple!Porównaj https: //www.аррӏе.com z https://www.apple.com i powiedz mi, czy potrafisz odróżnić adresy URL.
@forest Dzięki, byłem tego całkowicie nieświadomy.Być może brakuje mi czegoś, ale wydaje się dziwne, że główne urzędy certyfikacji nie zapobiegają tego typu atakom, ponieważ wydaje się to trywialne.
Jak mogliby zapobiec tego rodzaju atakom?Przeglądarkom byłoby łatwiej to złagodzić, wyświetlając punycode (tj. Https: //www.аррӏе.com vs https://www.xn--80ak6aa92e.com, mimo że oba są identyczne) dla przeglądarek z językiemktóry nie wymaga Unicode.
@forest OK, proszę. Ktoś próbuje wydać nazwę domeny punycode: Jeśli decode (punycode)! = Znana nazwa domeny, dla której istnieje ważny certyfikat, zarejestruj domenę.
Nie dekodują do tej samej domeny, po prostu _wyglądają_ tak samo.Takich postaci jest sporo.Być może uda się zachować tabelę identycznie wyglądających znaków i oznacz domeny, które w przeciwnym razie wyglądałyby identycznie, ale nie jest to zadaniem urzędów certyfikacji.Posiadanie takiej policji w Kalifornii prosi o kłopoty.Poza tym, jeśli już, będzie to zadanie serwera nazw, a nie urzędu certyfikacji.
Stilez
2017-12-05 12:15:30 UTC
view on stackexchange narkive permalink

Protokół taki jak https może być tak bezpieczny, jak pozwala na to medium, na którym jest transmitowany.

Oznacza to, że nawet jeśli wszystko, co robisz, korzysta z HTTPS (prawdopodobnie nie jest to dla większości ludzi) , a nawet jeśli nic po twojej stronie nie jest niezabezpieczone (prawdopodobnie tak jest), to atakujący może skierować twoje połączenie do WiFi, twój login, przeskanować twoje urządzenie w poszukiwaniu otwartych portów i zrobić wiele, aby uzyskać kontrolę nad komunikacją lub urządzeniem, https tak skuteczny jak zamek w drzwiach z otwartymi drzwiami obok.

Nie rozumiem o co chodzi.Jeśli nic po mojej stronie nie jest niebezpieczne, dlaczego skanowanie portów jest zagrożeniem?A co oznacza „kieruj na swój login”?
Myślę, że masz na myśli to, że samo korzystanie z Wi-Fi stanowi zagrożenie dla bezpieczeństwa, a VPN i HTTP są drugorzędne w stosunku do innych lokalnych zagrożeń.Ale jest objęty innymi odpowiedziami.
Co dokładnie może zrobić atakujący, jeśli używany jest tylko protokół HTTPS?
Fałszowanie / zatruwanie DNS po pierwsze.Udawanie portu dla niewoli.Modyfikowanie nagłówków w celu wymuszenia słabszej formy szyfrowania przed pełnym ustanowieniem protokołu HTTPS.Zastosowania, które opierają się wyłącznie na metadanych, takie jak prześladowanie (jeśli chcesz śledzić osobę lub sprawdzić, czy jest w pokoju, nie musisz przerywać https, chociaż ściśle jest to problem z Wi-Fi, a nie z AP).DoS na ich VPN lub innym bezpiecznym dostępie, który może wrócić do mniej bezpiecznej trasy.Nieograniczone próby wykrywania luk w zabezpieczeniach (urządzenie końcowe nie jest za oddzielną zaporą).


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...