Názory k článku Bezpečnost WiFi sítí stále (mírně) pokulhává za evropským průměrem
-
bredy.vyletnici.net (neregistrovaný)> změní ho a zakáže majitelovu MAC adresu...).
Dobrá zábava. Jediným efektem je, že majitel musí vylézt na střechu a zmačknout tlačítko reset. Většinou totiž tito lidé nic jiného nastavený nemají. A protože APčka jsou poruchové a často se zasekávají, leze na tu střechu často, takže mu to ani nepřijde (nechytejte mne za slovo, prostě podrží reset 10s) -
anonymníRekl bych, ze podobne vyzkumy si asi zkusil provest kdekdo, dokonce i mne cca pred 5 lety posedl podobny napad, pro zmenu v Brne (a nebyl jsem prvni). Postupoval jsem amatersky, ale v zasade velmi podobne jako v clanku: notebook, PCMCIA (bohuzel jen 802.11b) s externi antenou, GPS a nejaky sofware (myslim, ze CommView). To cele v aute, mereni se odehravalo nekolik dni velmi pomalou jizdou se zastavkami do prace a z prace po ruznych trasach napric mestem (vynechal jsem tudiz stred mesta - pesi zonu). Vysledky jsem sesumoval, vyradil duplicity atd. Nachytal jsem tehdy asi 400 unikatnich AP, z toho zhruba 55 % nejak sifrovalo. Z tech, co sifrovani nepouzivaly, vsak byla dost vyznamna cast takto nastavena nejspise zamerne (CZFree, hotspoty apod.).
-
Yenya (neregistrovaný)Jo, taky se pridam k doporuceni precist tenhle clanek:
http://www.schneier.com/blog/archives/2008/01/my_open_wireles.html
Pokud clovek nema pripojeni s nejakym FUP, kde by kazdy bajt preneseny navic nekym cizim vadil, tak fakt nevidim duvod proc neposkytnout pristup nahodnemu kolemjdoucimu, kdyz zrovna nevyuzivam svoji linku na 100 % (a sam jsem samozrejme taky rad, kdyz si muzu na cestach precist postu nebo podivat se na Google maps, aniz bych musel pouzivat mobil).
-Yenya, http://www.fi.muni.cz/~kas/ -
FOK (neregistrovaný)Já osobně si nemyslím, že nezabezpečené AP je zrovna tím nejlepším, co běžný člověk může udělat. Pokud nechám data proudit vzduchem bez jakéhokoliv zabezpečení, tak je velmi snadné je monitorovat. Zkuste se podívat kolem sebe, kolik webmailů nepoužívá SSL. (Seznam, Gmail, ...) Rozhodně není pravdou, že by Bruce Schneier ve svém článku doporučoval provozování OpenAP. Tedy alespoň ne bezvýhradně a pro každého. I spoke to several lawyers about this, and in their lawyerly way they outlined several other risks with leaving your network open. Následující odstavec nastiňuje množství důvodů proč WiFi zabezpečit.
Pokud se někdo rozhodne provozovad nezabezpečené AP, měl by velmi dobře vědět, jak jinak zabezpečit svoje data. Je celkem úsměvné, když má někdo nainstalovaný WiFi router a na něm poměrně restriktivní firewall a přitom nezapne ani WEP. -
Ach jo. STavet wifi sit ze statnich penez..to uz Praha dela. Bude to k nicemu a se 4 letym provozem nas to bude stat jen 300 milionu. V provozu bude par stovek AP. Kdyby to nemusela stavet konkretni spolecnost(jedna ze dvou ve vyberovem rizeni, druha nabizela asi polovicni cenu, ale mela tzv "formalni nedostatky") na konkretni technologii(cisco), ale udelalo by se to formou malych dotaci, tj. provozovatel restaurace by mohl dostat napr 1500 Kc rocne od magistratu, pokud by provozoval free hotspot(router za 500 a zbytek jako prispevek na konektivitu), za stejne penize by bylo 200.000 hotspotu(spise mene za mene penez, tolik jich ani neni potreba). U nas na P6 se takto resi treba vyzdoba, date si za okno smerem do ulice truhlik s kytkama, vyplnite zadost a dostanete asi 500 Kc prispevek od MC. U nas na Praze 6 mame ale i inteligentni lidi na radnici(nektere)..kdyz chteli stavet internet zdarma, postavila se proti nim hromada lokalnich provideru, starosta nakonec zakazku zrusil..magistrat naproti tomu napred chtel penize od Min informatiky, to reklo ze nebude narusovat hospodarskou soutez, pak zkusili zdimat EU, EK se vyjadrila podobne jako MI a tak to Praha stavi ze svych penez. Navic na tom ani nesmi poskytovat internet ale jen pristup na stranky statnich uradu. -
"Nezabezpečené WiFi, případně používání nezabezpečeného WiFi připojení, je ale rizikové i pro případného jednotlivce, který se připojuje na "nějaké" WiFi, které prostě objevil (třeba na dovolené). Nikdy si nemůže být jist tím, že někdo nezaznamenává komunikaci a nebude se pokoušet využít jména a hesla, která na Internetu případně použije."
Jiste. Naproti tomu kdyz je apcko zabezpecene technologii WPA4++ s 4096bit kryptovanim, muze si byt jednotlivec naprosto jisty, ze provozovatel ap jeho hesla neuklada.. -
TNT (neregistrovaný)Seznam má SSL. Nejsem expert, ale na email lezu https://email.seznam.cz a to potom co sjednotil vstup do emailů seznam.cz-email.cz-post.cz, email.cz měl SSL snad od začátku
-
FOK (neregistrovaný)To máte pravdu, jenže je defaultně vypnutý. Stejně tak u Gmailu, abych byl přesný. Tam je to ještě komplikovanější, protože defaultně jede http:// ale přihlašování jede vždy přes https://. Jenže většina uživatelů tomu vůbec nerozumí, tak se prostě přihlásí, když na ně vyskočí přihlašovací obrazovka a neřeší, jestli to pojede přes SSL, nebo otevřeně. A když si k tomu ještě nechají otevřenou domácí WiFi, tak si vyloženě říkají o to, aby se soused podíval, kdo jim píše maily, atd.
Tím samozřejmě neříkám, že je naprosto bezpečné používat webmail přes http a stačí k tomu nastavit WPA2 na Access Pointu. Jen na té optice se to hůř poslouchá, než na mikrovlnce. Navíc u WiFi ten soused i ví, komu ty data patří a to už je poměrně hodně cenná informace.
Jinak ten příklad webmailů byl jen pro ilustraci. Většina freemailů dnes přístup přes SSL nabízí, ale je tu spousta služeb, kde si to SSL člověk ani zaškrtnout nemůže.
A co takhle SMTP? Kolik uživatelů, co používají mailového klienta používá zabezpečené SMTP? POP3, nebo IMAP si většina lidí nastaví zabezpečeně, ale to SMTP tam pořád straší. Pravda, hesla tam nejsou, ale počtení to nemusí být špatné.
Zkuste si říct někomu, kdo umí spustit kismet, ať Vám poví, co se o Vás dozví za pár minut příposlechu. Možná Vám prozradí i zůstatek na účtu ve Vaší bance :-). -
janforman.com (neregistrovaný)WPA asi bude trošku slabší... je to přece jenom trošku poladěnej WEP. WPA2 (původně plánovaná technologie WPA) tam už bych se nebál... Proč vytvořili ten kočkopes WPA nechápu (prej jednodušší implementace do starých zařízení). WPA i WPA2 lze zatím zlomit pouze "brute force" takže dostatečně složitý key to jistí :-)
-
anonymníTakže když, používám klíče odsud https://www.grc.com/passwords.htm tak i WPA je bezpečné?
-
bredy.vyletnici.net (neregistrovaný)A už jste někdy pracoval ve větší firmě? Na lokálu se dá taky pekně odposlouchávat :)
Jinak samozřejmě platí, že citlivé údaje šifruju a v nezabezpečeném internetu nepoužívám hesla stejná jako do zabezpečeného internetu.
Do banky se stejně nedostane, protože
a)SSL
b)Autorizační klíč. -
z (neregistrovaný)A jakej by byl rozdil, kdyby wifi pouzivala sifrovani ? Zeby zadny ? Nj, ono by v te hospode bylo nejspis nekde napsano jak se k ty siti pripojit coz ? Jen by to pro BFUcka navic znamenalo otravovat obsluhu, protoze by se to nepripojilo samo ze ?
To by ovsem nekdo musel chapat rozdil mezi zabezpecenim fyzicke vrstvy (pristupu k ni, coz je pitomost, pokud provozuje verejny AP) a vrstvy komunikacni ze ?
Ostatne kdyby v te kavarne misto wifi byly ethernetove zasuvky tak by to take bylo totez nemyslite ? -
bork (neregistrovaný)zdravím,
většina těch nezabezpečených sítí, které jsou na skeneru vidět je stejně jako ta moje domácí sít nevyužitelná pro dalšího, protože (a o tom se nikdo nezmínil) vidět nezabezpečenou sít neznamená ještě úspěšnost se do ní připojit. Standartní domácí antény okolo 2dB jsou rády, že pokryjí signálem všechny místnosti v bytě, respektive o patro víš, nebo níže již nelze v paneláku přes více zdí navázat kvalitní spojení (a to ani s velikou přijímací směrovou 20dB anténou, dokonce ani s 10dB vysílací anténou v cihlovém dvougeneračním domku. Lze tedy tvrdit, čím dále jsem s notebookem od vysílací antény tím je rychlost přenosu nižší a nestabilní, což není ojedinělý případ jednoho výrobce, jelikož bezdrátová zařízení montuji. Pokrýt bezdrátově několik pater s kancelářemi v praxi znamená mít v každém patře vysílač kabelově propojený. Takže pokud člověk prochází sídlištěm s měřákem a zachytí desítky nezabezpečených domácích wi-fi sítí (kupříkladu z ADSL, nebo kabelových routrů) tak se připojí stejně jen k těm nejsilnějším, kterých je ale opravdu minimum. -
Měřením bylo zjišťováno šifrování na linkové úrovni, což je jenom jedno z možných bezpečnostních opatření, jehož vhodnost závisí na účelnosti pro dané použití.
Které případy považuji za chybně interpretované:
1) Pokud je (například v kavárně) klíč pro přístup dostupný každému návštěvníkovi, tak je zabezpečení stejné jako kdyby se nešifrovalo (případný útočník si ho od obsluhy vyžádá).
2) U AP určených veřejnému přístupu (např. některé uzly CZfree) nejde vůbec o chybu zabezpečení, ale o úmysl poskytnout zdarma internet kolemjdoucím.
3) Některé sítě jsou sice na linkové úrovni nešifrované, ale přesto je bez dalšího pro přístup kamkoli nevyužijete. Např. do sítě TO2CZ se pro přstup k Internetu musíte nejdříve autentizovat, jiné (IMHO velmi bezpečné) sítě umožní přístup pouze k IPsec tunelu, jehož autentizace i šifrování jsou významně bezpečnější.
4) Některá AP jsou dokonce konfigurována jako kombinace bodů 2 a 3, takže kvalita jejich zabezpečení není snadno odhalitelná.
Celkově považuji metodiku za nevhodnou k posouzení "Bezpečnosti WiFi sítí".
Jako vhodné otázky pro řešení v příštích výzkmech doporučuji:
1) Množství AP a pokrytí území free přístupem k Internetu
(s přihlédnutím k autetizaci obdobné TO2CZ)
2) Množství routerů s defaultními hesly (nezpřístupňovat mapu!)
3) Množství AP, jejichž prostřednictvím bylo možné připojení ke sdíleným diskům jiné síti než v dané přístupové WiFi síti = nechráněný přístup k interní firemní síti
Doufám, že příště bude měření lépe odpovídat zamýšlenému účelu. -
Honza Ebr (neregistrovaný)Rostoucí zapezpeční je špatná zpráva, ne? Bude se o to hůř lovit net na cestách:)
Teď se na mě sesypete, že jsem zloděj a příživník, ale na lovení cizích wifi vidím asi tolik špatného jako na sdílení filmů (tedy nic) - použiju jejich net ke stažení mailů, čehož si ani nevšimnou, takže škoda a nepohodlí jim nevznikne a co mají v jejich síti, mě nezajímá. Zřejmě takový nejsou všichni (znám pošuka, který se jen tak z legrace někomu připojí k wifi, zkusí defaultní heslo na router - většinou uspěje - změní ho a zakáže majitelovu MAC adresu...).
Co mi vadí je, že nemůžeme mít wifi zdarma. Stát staví za naše peníze silnice, proč ne taky internet? -
X (neregistrovaný)Povinna cetba pro kazdeho,kdo chce mit WiFi
http://wndw.net/
Co se tyce zabezpeceni,tak wep a wpa jsou oboje o nicem.Zajimavy clanek byl i na www.schneier.com ,kdy v podstate Bruce klidne doporucoval nezabezpeceny WiFi AP ve smyslu nepouzivani wep nebo wpa,ktere jsou k nicemu,nebo dalsich,ktere jsou o dost odolnejsi.Mit proste AP jako opravdovy pristupovy bod,ale skrze nej komunikovat se serverem nebo ostatnimi PC a uzivateli pomoci IPsec,coz je dobry napad.Z AP se jen stava fyzicka cast infrastruktury,kterou vubec nemusite slozite nastavovat a komunikujici strany pouziji to,co by mne delat i v ramci internetu. -
Martin (neregistrovaný)Příběh ze života: sedím si takhle v kavárně píchnutý na hotspot (neměl ani wep) a co nevidím, když si odběhnu na záchod.... Kousek ode mě sedí uhrovité hovado (lépe se to nazvat nedá), puštěný wifi sniffer a smějící se, jak mu tam ty hesla naskakují, kavárně kromě mě bylo ještě dalších 6 lidí s notebookama... Jak jsem reagoval psát nebudu (přece se nepřiznám), ale od té doby se k nezabezpečené wifi nepřipojím jinak než s použitím VPN s http tunnelem, sice to má občas delší odezvu, ale rozhodně je to lepší, než to uhrovitý hovado....
-
:-) (neregistrovaný)Nezabezpečený přístupový bod navíc může umožnit přístup k Internetu a tím i případnou zodpovědnost firmy za škodlivou či dokonce nelegální činnost páchanou prostřednictvím firemní sítě a firemního připojení. Toto je NAPROSTA KRAVINA!! Nikdo nemá zodpovědnost za chování někoho druhého - připojení k internetu není zbraň a nikdo nemá povinost ho nějakým způsobem zabezpečovat nebo není zakázáno ho jen tak poskytovat ostatním... Pokud přes něj někdo páchá nelegální činnost, např. šíří dětské porno, posílá e-maily typu "Ministr má v kapse bombu!!" atd., tak odpovědnost nese jen on sám... Provozovateli AP pak hrozí nanejvýš, že se stane součástí vyšetřování a zeptá se ho na něco policie, to je ale celé - asi jako když jste svědkem autonehody atd.
ČLÁNKY DO MAILU