Mám na routeru OpenWRT. Z WiFi sítě se dá dostat odo LAN na disky, kde jsou třeba slouvy, manželčino účetniství a podobně. Doteď jsem používal firewall směrem ven, teď stačí jedna kamarádka s widlema a mám síť prakticky bez hesla. s widlema.
Rozdělení na dvě WLAN (návštěvy a vnitřní) už mám, uvnitř běhá jenom Linux, problém bude ale s návštěvou, když bude přetahovat fotky a podobně (přístup do vnitřní sítě). Co bude lepší, vázat přihlášení na MAC adresu, jednorázový hesla, nebo používat nějaký certifikáty?
M$ jsou fakt idioti. Od kdy se jakýkoliv heslo sdílí veřejně? Příště bude sdílený heslo k účtu na PC (steně se dá dostat k datům online) a skončí to přístupem k mýmu bankovnímu účtu pro každýho, kdo nainstaluje Skype :Q
Lael ať si s tou agitkou trhne nohou.
Já chci jenom mít kontrolu, kdo se dostane do soukromé sítě.
Protože návštěva sice heslo v plaintextu neuvidí, ale k tomu, aby obešla firewall, stačí noťas s W10, účet na xichtknížce a umět si vybrat, ke které se připojit WiFině.
Ani člověk nemusí být hacker. Takový útok typu "přidám si sousedovu inkoustovou fototiskárnu a celý zásobník papírů mu potisknu vztyčenýma prostředníčkama v barvách a nejvyšší kvalitě" dá i normální BFU!
A to Lael neokecá, ani kdyby se na ocas stavěl.
(A to říkali, že jsem paranoidní, když ve vnitřní síti montuju disky pomocí SSHFS)
1. Pokud chcete aby vaše návštěvy z contact listu (FB friends, Outlook contacts) dostali automaticky heslo k vaší WiFi, můžete použít Wi-Fi Sense. Nikdo vás k tomu ale nenutí.
2. Pokud někomu dáte heslo ke své síti na papírku, ta osoba ho může vědomě sdílet s dalšími lidmi. Podobně když používá Wi-Fi sense, může při zadávání hesla zaškrtnout, že ho chce sdílet s přáteli.
3. Existují i jiné programy pro sdílení WiFi hesel. Například Passpoint.
4. Pokud chcete explicitně zakázat, aby někdo z návštěv vaše heslo přes Wi-Fi Sense sdílel s přáteli, stačí použít v SSID suffix "_optout". Tím jim samozřejmě nezabráníte, aby to heslo někomu řekli osobně, nebo ho třeba načmárali fixou na dveře toalety v baru :)
5. Pokud jste zdravě paradoidní, tak udržujte oddělené SSID pro návštěvy.
Podle mého názoru hledáte problém tam kde žádný není.
Problém je vždycky, když se jakýkoliv moje heslo bez mýho vědomí dostane k neznámé osobě.
Sice oddělený SSID pro návštěvy mám, ale i tak se občas nevyhnu tomu, že potřebuju cizí stroj ve své síti. Posledně potřebovala manželčina kamarádka překopat kompl s Widlema a jak udělat zálohu dat, když nebyl zrovna volný dost velký USB HDD? Dočasně na NASu, jedině tam bylo místo... Pokud ale hned po startu vyběhne Skype a vykecá heslo, je problém.
Holt budu muset buďto známý posílat s desítkama do pr..., nebo kupovat další USB HDD na podobný opičárny :Q
Ne, odtáhl jsem si stroj k sobě do pracovny, heslo nastavil a potom smazal. Ale v desítkách je tady riziko, pokud tam ten checkbox nebude, že člověk bude předpokládat vypnutý sdílení v globále a ono houby, jenom den předem přišel update a někdo v Redmondu zase rozhodl, co je pro bližní jejich uživatelů nejlepší...
Nevíte, co je na tom notebooku za havěť. Takže to heslo je možná vyzrazené už v okamžiku, kdy notebook do té sítě připojíte (protože ho zaznamenal keylogger a v okamžiku připojení k internetu ho odeslal). A možná vám ten neznámý software na neznámém počítači dělá v té vaší privátní síti i jinou neplechu, než jenom odesílání hesla. Třeba už zkouší různé zranitelnosti a instaluje vám nějaký backdoor na router nebo NAS.
Vám vlastně vadí jenom to, že o té funkci Windows 10 víte. Kdybyste o ní nevěděl, stejně jako nevíte o virech, byl byste asi spokojen.
Máte i nemáte pravdu. Máte ji v tom, že pokud někomu dám heslo, může ho vykecat komukoli v okolí. Striktně technicky vzato v tom rozdíl opravdu není.
Na druhou stranu je ale vhodné si uvědomit, že lidská blbost roste tváří v tvář Facebooku nade všechny meze. Takže tam, kde sdělit heslo by naprostou většinu lidí ani nenapadlo, sdílet ho klidně budou. Vždyť kdyby se to nemělo, tak to nebude ten program nabízet, ne?
To je ale chyba v tom, že připojujete neznámé uživatele do WiFi, která má přístup k citlivým datům. Windows 10 v tomhle nepřinášejí žádnou novou hrozbu, akorát vy jste si uvědomil hrozbu, kterou jste dříve neviděl. Přece už dřív nic nebránilo tomu pojišťovákovi, aby vaše heslo zveřejnil – nebo mohl být dokonce zavirované zařízení, které to heslo zjistilo a předalo někam dál, a ten pojišťovák o tom ani nemusel vědět. Takže nikdo neví, kdo všechno to heslo má, a nevěděl to ani dříve.
Pokud na WiFi nikoho nepouštíte, nikdo nepovolaný to heslo nezná a to se tak nemůže šířit. Nechápu tu poznámku o manželce – připojil jste jí počítač k WiFi, nepovolil jste sdílení hesla k té síti. Manželka heslo ani nemusí znát. Tak v čem je problém?
Microsoft z toho žádnou metrovou díru nedělá. Pokud máte díru v zabezpečení sítě, je to pořád stejná díra, bez ohledu na to, kolik různých aplikací ji dokáže „zneužít“. Windows 10 zdaleka nejsou první systém, který to sdílení hesel dělá.
"Pokud na WiFi nikoho nepouštíte, nikdo nepovolaný to heslo nezná a to se tak nemůže šířit."
Nepsal jsi předtím, že heslo může ukradnout malware? Tak jak je to?
"Pokud máte díru v zabezpečení sítě, je to pořád stejná díra, bez ohledu na to, kolik různých aplikací ji dokáže „zneužít“."
To je jak argumentovat, že pokud máte 100% bezpečný systém, tak vám z něho nikdo žádná data neukradne. A když 100% bezpečný není, tak je jedno, kolik těch děr tam je. Klidně ať přidají další vektory na útok.
Sdílením hesla se zvyšuje počet možných útočníků, kteří, ač v osobitní VLANě, můžou teď využít specifickou zranitelnost routru (a že jich není málo).
"Windows 10 zdaleka nejsou první systém, který to sdílení hesel dělá."
Jsme snad ve školce, že argumentujeme "on to dělá taky"?
Ad Sdílením hesla se zvyšuje počet možných útočníků, kteří, ač v osobitní VLANě, můžou teď využít specifickou zranitelnost routru (a že jich není málo) - možnost připojení (nikoliv heslo) dostanu jen kontakty osoby, která ho sdílela, a jen pokud to ta osoba explicitně povolí. Samozřejmě vaše návštěvy by neměly přístup k vaší WiFi sdílet, stejně jako by neměly například nechávat na dveřích vašeho domu heslo, které od vás dostaly na papíru.
Už tomu tak bude, jednou souhlasím s Laelem. Větší díru do zabezpečení to o moc neudělá, ve výsledku to umožní lepší sdílení, kde je to žádoucí. Kde to není žádoucí to jen zbavuje naivních iluzí.
Dokud nebude možné se do sítě přihlašovat async pomocí certifikátu (a teď myslím obecné, rozšířitelné řešení i pro soho+bfu použití), tak jsou všechna zabezpečení polovičatá.
Nelíbí se mi ale trend, který M$ posunul pouze dál - vše v cloudu, navíc v takovém, kdy nemám krom prohlášení, kterému nevěřím, žádné informace o tom, jak jsou má data zabezpečená. S eulou w10 nesouhlasím, tak nemám zájem ani zadarmo.
Logika je jiná – když to nechráníte, může to zjistit nejen malware.
Mohl byste popsat, jak byste si to představoval vy? Současná situace je taková, že nějaká aplikace se může zeptat uživatele na heslo k WiFi síti, pak se ho zeptá, zda to heslo může sdílet, a pokud to uživatel odsouhlasí, sdílí heslo s lidmi, kteří používají stejnou aplikaci a uživatel je má v kontaktech. Shodou okolností je autorem jedné takové aplikace Microsoft a ta aplikace je součástí Windows 10. Jak by to bylo správně podle vás? Nemá tu aplikaci dělat Microsoft, ale jiní mohou? Nebo se má zákonem zakázat dělat takové aplikace? Nestačí předpoklad, že když uživatel zná heslo k WiFi síti, je natolik svéprávný, aby dokázal rozhodnout o tom, zda to heslo má nebo nemá sdílet?
Správně je hesla nesdílet. Že tomu nelze úplně zamezit, je samozřejmé, ale to neznamená, že je OK tvořit aplikace s defaultně zapnutým automatickým sdílením. Masově nasazené a bundlované s majoritním operačním systémem.
Navíc, kdo nemá v seznamu kontaktů někoho, s kým heslo sdílet nechce?
"Nestačí předpoklad, že když uživatel zná heslo k WiFi síti, je natolik svéprávný, aby dokázal rozhodnout o tom, zda to heslo má nebo nemá sdílet?"
Tak to je hodně špatný předpoklad. Jednak je to opt-out (nic se nepotvrzuje, oběť nemusí o tom vůbec vědět), druhak "svéprávných" lidí se spoustou toolbarů a crapware je taky mraky. Svéprávný != rozumí IT bezpečnosti.
Jste ochotný podepsat u notáře, že pokud během životnosti W10 nepřijde M$ s tím, že přihlašovací dialog je moc složitý a nevyhodí ten check box, dostaku od vás 10 000Kč? Ne? Tak neargumentujte, že teď je v té aplikaci checkbox. Co je dneska, nemusí být zítra. Aby to nedopadlo jako s vypínáním JS, Javy nebo Flashe v některých prohlížečích...
S tímhle přístupem máte problém vyřešen, protože žádné počítače ani nepoužíváte. Protože jste jistě kdysi u notáře podepsal, že nikdy během existence počítačů nevznikne operační systém, který by v některé ze svých budoucích verzí mohl mít dobrovolnou funkci na sdílení přístupu k WiFi sítím, která by se v některé z dalších verzí mohla stát povinnou.
To, že je teď v té aplikaci checkbox, je argument dostatečný. Protože vůbec netušíte, co tam bude zítra, takže se na to nemůžete nijak připravit.
Mate dve moznosti, nahravat porno na externi disk a prenaset ho rucne, nebo poskytnout navsteve kable kde prestrihnete RX a je hotovo. Ja napr. s oblibou presmerovavam stranky na verejne casti wifi z xichtsesitu nebo majkrosoft na nejake hodne peprne porno, vetsina lidi pak nevi na co internet pouzivat :D A kdyz uz tak si nastavte nejake OTP a hotovo, windows bude sdilet tolik hesel kolik mamte kamaradu ;)
Už jsem psal, že tam povětšinou mám disky po SSHFS, takže bez roota kvůli nalití certifikátu se těžko připojuje.
Ale třeba tiskárnu, HDD v SAT receiveru apod. jinak než přes SMB prostě nenasdílím :( DLNA se taky docela blbě šifruje,... Navíc je WiFi za firewallem a dává prostor pro útoky na konfigurační rozhraní routeru atd., což by normálně firewall nepustil.
Ale jde hlavně o princip. Heslo neí veřejná věc, jinak ztrácí smysl.
(A to ještě nevíme, jestli po obdržení hesla stačí sednout na lavečku před domem, připojit se a během tomu poslat heslo další bandě neznámých lidí).
Mate celkem dost moznosti:
- Zavest treti sit pro pojistovaky apod., omezit pasmo, zivot zneprijemnit casove omezenymi kody, fw pravidly atd.
- Zprovoznit 802.1X s Radius serverem, nejlepe s certifikaty, jen hodne stesti s mobily ;-)
- Nechat si zasilat notifikace o novych autorizacich
Vymyslet se toho da jeste o dost vic, prilisna kreativita v zasade muze skoncit i rozvodem, pak by stacila i jedina vlan. A nebo se domluvit s manzelkou, pokud to po tech experimentech jeste pujde :-)
Řešit to extra nebudu, ale s..e mě to jako jakákoliv jiná bezpečnostní díra ve wilích. O to víc, že tahle je implementovaná schválně.
Zatím bylo přijato opatření proti tchýni s Widlema, pro případ, že by upgradovala. Ta už se během návštěvy do vnitřní sítě na fotky z výletu holt nepodívá... ;)
Uživatel musí u jedné každé sítě její sdílení s ostatními výslovně povolit.
Funkce je sice ve výchozím nastavení povolená, ale to neznamená, že by se sítě automaticky sdílely. Znamená to jenom, že je celý subsystém nabízení a zároveň přijímání nabídek od kontaktů vůbec k dispozici.
Heslo se sdílí veřejně zcela běžně, když k nám přijde návštěva, tak jí ho řekneme, ne? Nebo v restauracích a hotelech.