O2 zřejmě porušila zákon
§ 182 trestního zákoník - Porušení tajemství dopravovaných zpráv
(5) Zaměstnanec provozovatele poštovních služeb, telekomunikační služby nebo počítačového systému anebo kdokoli jiný vykonávající komunikační činnosti, který
a) spáchá čin uvedený v odstavci 1 nebo 2,
b) jinému úmyslně umožní spáchat takový čin, nebo
c) pozmění nebo potlačí písemnost obsaženou v poštovní zásilce nebo dopravovanou dopravním zařízením anebo zprávu podanou neveřejným přenosem počítačových dat, telefonicky, telegraficky nebo jiným podobným způsobem,
bude potrestán odnětím svobody na jeden rok až pět let, peněžitým trestem nebo zákazem činnosti.
zarážející i zjištění, že vůbec má v síti nasazené zařízení, které takovéto zásahy umožňuje. Všechny doposud hypotetické úvahy o možnosti monitorování ...
takhle nejsem uplne paraniodni, ale tohle nekdo povazoval v roce 2017 za hypoteticke? Neni to naopak tak, ze takova zarizeni jednoduse schovaji pod sve zakonne povinnosti? at uz logovani provozu, hazardni hry atd. nemluvim o te jedne akci, mluvim o infrastrukture a technice. k tomu pridejte(nevim jestli prosazeny) navrh ohledne blackboxů od kontrášů
Pochybuju, že to bylo řešené přes DNS, to by nejspíš napáchalo spoustu škod a bylo by obtížné uživatele vrátit na původní adresu. Předpokládám, že to byl prostě únos HTTP spojení (přes DNAT). Někde jsem četl, že kontrolovali hlavičku User-Agent a pokud spojení nevypadalo, že pochází od webového prohlížeče, nechali ho být.
Něco podobného jsme resili u menšího poskytovatele pro neplatici zákazníky (zduraznuji neplatíce co by jinak byli od site odpojeni) způsobem že jsme jim dali IP adresy ze speciálního rozsahu a ten jsme na firewallu natovaly na interní stránku kde byla výzva k platbě. Co vypadalo jako člověk dostalo http redirect. Co vypadalo jako stroj dostalo http intetrnal error.
Počítám že v O2 to udělali podobne s tim že natovali všechno na gigantickou http proxy a kdo už to viděl tomu odebirali postupne ip adresu z natovaciho pravidla na routeru.
Kazdopadne dělat to platicim zákazníkům je hnus a O2 si nejspíš chtělo vyzkoušet jak moc tento novy bussines negativní reakce to vyvolá.
Mluvíme o firmě, která za připojení k internetu vydává připojení do vlastní sítě, veřejnou IPv4 za příplatek, IPv6 si nechají těžce zaplatit a dají max. /64? Ta firma, co nemá problém poslat fakturu na 6000 při paušálu za 700 vyčerpaným na 75%? Tak tam je to snad i normální...
Depak ... sedi tam banda pipin a prepisujou to rucne. A nedelam si prdel ani trochu. Reseno opakovane na firemnich smlouvach, na tech se to teda proste nezaplati, dokud to nevyresej, ale znamena to mesic co mesic se snima znova dohadovat. Coz vedlo k tomu, ze sou na pristich 10 000let vyrazeny z jakykoli moznosti dodavat libovolny sluzby.
K AndroidPay by som dodal, ze ho pouzivam s mBank-ou tak ta by mohla byt v zozname tiez. Ja teda neviem, ale horsie zabezpecenie nez platobna karta snad ani neexistuje - ked ju mam tak do 500 platim + je mala a vecne neviem kde je :) Takze mobil s AndroidPay je pre mna velky krok vpred. To s platenim bez odomknutia mobilu skusim ale nech je to ako chce, je to stale krok vpred.
U platební karty při platbě nad 500 Kč zadáváte PIN. Ten zas tak často nezadáváte a pro útočníka, který vám kartu ukradne je celkem obtížné ho zjistit. Oproti tomu telefon odemykáte každou chvíli a často i před očima cizích osob, takže pokud zrovna nemáte zařízení se čtečkou otisku prstu, je dost dobře možné, že útočník na odemykací kód přijde. Navíc to může zkoušet offline a přijít do obchodu až s odemčeným telefonem.
Jenze zadani nezni : chceme rychly a bezpecny zpusob platby. Zadani zni : chceme co nejednodussi zpusob platby abychom mohli zrusit hotovost a tim prevzit totalne kontrolu nad osobnimi financemi a na kazde platbe si sahnout na poplatek. To je ten duvod, proc se ty podivujes nad vysledkem ale jim to pripada dobre.
Ovšem při online nákupu to nejde. Já vím, to ty neděláš.
Každopádně jsem si v průběhu dneška ještě vzpoměl, že existuje nějaká americká studie, někdo o tom mluvil na nějaké prezentaci kdysi, že existuje korelace mezi zvýšením prodeje a možnosti zákazníka platit malé položky bez zadání pinu (jako bodu, kdy má možnost se zapřemýšlet zda to skutečně chce). Platí to pro malé částky, typicky nákup v bufetu, cukrovinky apod. A taky tam údajně hraje roli i to že nemusí tahat kartu, protože to taky obvykle znamená nové zhodnocení nákupu (protože karta v ruce automaticky pro většinu znamená alert ...), tedy možnost že to nakonec nekoupí ....
kluci sází na to, že se řídí podle jiného zákona, uvidíme, vím o jednom TO, výsledek mě zajímá.
Stejně se chová mimochodem i svého pevného internetu, cpe tam svůj portál s informace, reklamou na dokoupení dalších služeb a obecně dělá dost velké prasárny. Původní url je součástí get parametru takovéhoto portálu, s největší pravděpodobností dochází k zalogování v access logu jejich webu, což je opět dost velký problém.
Může mi někdo osvětlit jak by mi používání HTTPS pomohlo k tomu aby provider / kdokoli přes koho tečou data mohl analyzovat na který server a jeho stránky se snažím přistoupit? Nerozumím titulku článku, jak by mi s tímto mohlo šifrování pomoci, když je šifrován obsah komunikace a nikoli informace o tom kam přistupuji.
Titulek netvrdí nic o tom, že byl používání HTTPS pomohlo k tomu* aby provider / kdokoli přes koho tečou data mohl analyzovat na který server a jeho stránky se snažíte přistoupit.
*) Předpokládám, že bylo myšleno proti tomu
Rozhodně ale pomůže proti tomu, aby kdokoli po cestě měnil obsah předávaných zpráv, což se tady přesně stalo – HTTP spojení nedošlo do svého cíle, ale obsah byl nahrazen falešným obsahem někde po cestě.
A k původnímu tvrzení: HTTPS pomůže proti tomu, aby kdokoli na cestě mohl analyzovat na které stránky daného serveru se snažíte přistupovat.
Důvody pro HTTPS všude jsou tři:
Ta analýza je jen omezená, ISP vidí, na který server (hostname) přistupujete, ale už nevidí, které stránky z toho serveru to jsou a co vám server posílá. Tohle byl důvod, proč HTTPS zavedla Wikipedie, nejde selektivně blokovat stránky s „vadným“ obsahem a blokující státy tak byly postaveny před volbu blokovat vše nebo nic, což ve výsledku výrazně snížilo počet států blokujících Wikipedii.
Ten důvod, který pomůže tady, je, že nikdo nemůže obsah měnit a ani se za ten server vydávat. To, co váš prohlížeč dostane, je to, co vám poslal server, se kterým jste chtěli komunikovat (pozn. neznamená to nutně, že za tím serverem je stále ten, s kým jste chtěli komunikovat).
A ten třetí důvod je, že čím víc provozu je HTTPS, tím víc šumu to generuje pro někoho, kdo chce ten provoz analyzovat. Pokud by HTTPS bylo jen na webech, kde je nezbytně nutné, stačí vám analyzovat HTTPS provoz, abyste dostal zajímavé informace, a třeba pomocí časové korelace odhadnout, s kým tam sledovaný asi komunikuje. Pokud je HTTPS všude, naprostá většina komunikace bude nezajímavý šum, ve kterém se ty zajímavé korelace ztrácí.
> ISP vidí, na který server (hostname) přistupujete,
Opravdu vidi hostname? Podle meho v teto vete je potreba nahradit slovo ISP tvarem DNS server nebo hotname nahradit IP. Mozna se pletu, ale v https komunikaci prostrednici krome DNS neznaji domenova jmena. Tedy pokud na jednom serveru bezi x webu tak nedokazi blokovat jen jeden nybrz vse nebo nic.
Kvůli nedostatku IPv4 adres se na jedné IPv4 adrese běžně provozují weby pro různé domény, takže bylo do HTTPS zavedeno rozšíření SNI, ve kterém prohlížeč posílá DNS název požadovaného webu v nešifrované formě, aby server na jeho základě mohl vybrat správný certifikát, který pošle klientovi. Takže tohle jméno může vidět každý po cestě. Klient nemusí SNI posílat, ale dnes už se s takovou variantou u spousty webů nepočítá, protože už to podporují všechny významné webové prohlížeče.
Ano, za to, že se na jedné IPv4 adrese provozuje více domén, může nedostatek IPv4 adres. Protokol HTTP/1.0 původně neměl hlavičku Host
a platilo, že jedno hostname rovná se jedna IPv4 adresa – tak, jak byl původně DNS systém navržen. Kdyby bylo dost IPv4 adres. tak by to tak i zůstalo a nikdo by neměl potřebu přidávat do protokolu hlavičku Host
.
Když máte v certifikátu desítky jmen, nepoznáte, které z nich klient požadoval.
A teď se bavme o reálném provozu na internetu a ne o hypotetické situaci viditelné maximálně v labu. To znamená běžný uživatel (běžný browser, běžný resolver v OS, žádná VPN, žádné experimentální šifrování DNS trafficu) a porovnejme současnost s hypotetickým "všude ipv6"
1.jako provider vidím DNS, takže díky vlastnosti co host to jiná adresa, je moje tabulka ip->host jednoznačná. Takže v tuhle chvíli spíš drobná nevýhoda ipv6
2.obsah certifikátů: nejhorší co se může stát (z pohledu mě coby čmuchala) je že to bude hostované na nějakém freehostingu s certem *.example.org. Pak toho ofc moc neuvidím. Jinak realističtěji třeba nepoznám root.cz od wiki.root.cz, ale poznám root od vitality, takže kategorizace funguje vesele dál. (a ztracené info z SNI mi bohatě nahradí 1:1 mapování z DNS, takže jsme tam kde jsme byli - vím naprosto stejně jako dříve kam uživatel leze)
Ta chyba opravdu není ve svaté válce ipv4/ipv6, ale jen a pouze v implementaci TLS a DNS.
jako provider vidím DNS, takže díky vlastnosti co host to jiná adresa
Jenže tahle vlastnost právě neplatí.
že to bude hostované na nějakém freehostingu s certem *.example.org
Nebo to bude placený hosting, nebo CDN… Třeba Cloudflare má na jednom certifikátu 40 různých jmen.
Jinak realističtěji třeba nepoznám root.cz od wiki.root.cz, ale poznám root od vitality, takže kategorizace funguje vesele dál.
Což je dané velikostí webů, kdyby Internet Info bylo menší, ty weby by klidně běžely na jedné IP adrese.
ztracené info z SNI mi bohatě nahradí 1:1 mapování z DNS
Jenže DNS právě není 1:1.
Ta chyba opravdu není ve svaté válce ipv4/ipv6
Nejde o žádnou svatou válku. Prostě nedostatek IPv4 adres způsobil, že se požadované hostname dodatečně přidalo do protokolu HTTP a posléze i do TLS, protože IPv4 adres je nedostatek a bylo potřeba začít provozovat více webů na jedné IPv4 adrese.
https ma bezpecneni diru jak doprdele a hostname posila nesifrovane ... protoze misto toho, aby se vynutilo sifrovani uz na ipcku, tak se bastli nad jednotlivejma protokolama. A tudiz nemas jinou moznost, jak serveru sdelit na kterej web chces vlastne lizt a tim padem jakej klic ma pro to sifrovani vlastne pouzit.
Nic se na tom nezmeni ani s ipv6, protoze i z jejich specifikaci poviny sifrovani vyhodili. Uplne stejne si muze kdokoli poslouchat tvuj dns provoz a resit se to bude uplne stejne - bastlenim sifrovani do dns.
Jop, u toho https to muzes vypnout, ale pak se asi na dost webu vubec nedostanes.
"Naopak nejnovější verze Windows už přichází bez podpory SMBv1."
Toto není pravda, SMBv1 je pouze ve výchozím stavu vypnutý (od 1709), to ale neznamená že ho nelze provozovat, viz "SMBv1 can still be reinstalled in all editions of Windows 10 and Windows Server 2016."
https://support.microsoft.com/en-us/help/4034314/smbv1-is-not-installed-windows-10-and-windows-server-version-1709