Názory k článku Postřehy z bezpečnosti: nestrkejte hlavu do písku!

S těmi otevřenými wifi sítěmi tomu nějak nerozumím.

Předpokládám, že ke službám uváděným v článku (např. moje banka) přistupuji po https. Pokud ne, tak mám asi problém i jinde - nejen na veřejné wifi.

Pokud tedy přistupuji po HTTPS, tak jsem buďto v bezpečí, nebo mám opět potenciální problém i na své domácí či pracovní síti - jen u té veřejné wifi bude možná o něco větší pravděpodobnost, že k útoku dojde. Nebo se mýlím?

Navrhované řešení (použít nějakou VPN) znamená, že neznámým provozovatelům VPN věřím víc, než neznámým uživatelům té veřejné wifi. To mě pocitem sucha a bezpečí také nenaplňuje - tedy pokud to není VPN do mé domácí nebo pracovní sítě a tedy provozovatel VPN je mi známý (a věřím mu).

Uniká mi něco?

>Navrhované řešení (použít nějakou VPN) znamená, že neznámým provozovatelům VPN věřím víc,

Tým je asi myslena VPN do firmy nie nejaká bezplatná..

>S těmi otevřenými wifi sítěmi tomu nějak nerozumím.

Ono je to pomerne veľký problém ak firma má dve SSID pre Wifi
1. pre zamestnancov s prístupom k Windows doméne
2. pre hostí bez prístupu k doméne ale s prístupom k Internetu..

> Tým je asi myslena VPN do firmy nie nejaká bezplatná..

Článek explicitně propaguje nějakou komerční službu. Mimochodem píše o ní:

> BullGuard VPN for instance uses military grade encryption which would take more than a lifetime to crack.

Červené světýlko. Neexistuje nic jako „military grade“, minimálně od ukončení omezení na 40/56bit klíče.

Souhlas.

Stejny FUD ale k propagaci sve VPN pouziva i cesky Avast. Zkousel jsem je stiznosti u zivnostenskeho uradu presvedcit, at to nedelaji, ale co ja mala ryba zmuzu proti gigantovi... Zjevne se sesli s pani uredni pravnickou (ktera slovo https zahledla tak mozna z vlaku, a to nikoli ceskeho, ale spis TGV), vysvetlili ji to, jak potrebovali, a ona pak smetla moji stiznost jako vadnou, nebot se pry utocnici opravdu muzou dozvedet, co kde kupuju, i kdyz brouzdam jen po https...

Ano, autor má děti. Bod za dobrý postřeh.

Taky mi to udrelo do oci. Po prve to bylo vtipne, po druhe taky ale priste uz bych radeji s vtipnymi narazkami radeji setril.

Já bych si s dovolením tipla, že to psal Radoslav Bodó. Sice vůbec nevím, jestli imá děti, ale připomíná mi to vsuvky, kterými probouzí publikum na svých seminářích a proto je mám naopak velice ráda.

Mám pravdu s autorem?

Bohužel ne, tentokrát je to bez bodu.

Adresa 188.119.12.154 je od roku 2011 registrovana na turecky TurkNet z Istambulu. Jak dosel autor k tomu, ze to nasvedcuje tomu, ze utocnik pochazel z Ruska?

Tak po jednom dni napjate cekam, jestli je to fakenews vyrobena CESNET CERTS a root.cz, nebo jestli ve zduvodneni ruske stopy nechybi jen nejaka dulezita premisa, kterou zamlceli. Predpokladam, ze ani v CESNET CERTS ani root.cz nesedi uplni diletanti, aby si nedokazali overit tok smerovany pres AS do Turecka. Neni treba v te IP adrese preklep?

Není třeba z toho dělat žádnou konspiraci. Odpověď je v tomto screenshotu na originálním zdroji – Steam má zřejmě špatná data v GeoIP databázi. Bohužel to neověřil ani autor původního článku, ani autor tohoto vydání postřehů.

Neni to spise vase konspirace, ze je v mem objektivnim postoji konspirace? :)

Ted ovsem zacinam chapat, proc za drtivou vetsinou sitovych neplech muzou tajemni rusove (nepopiram, ze jsou nekteri z nich skutecne vynikajici). Jestli na podobne urovni jako CESNET CERTS pracuji i experti v tajnych sluzbach, kteri o AS mozna dosud neslyseli a zahranicni "spratelene" zdroje si overuji stylem Ctrl-C Ctrl-V, tak se jiste dockame dalsich uletu.

Co kdyby to aspon redaktor root.cz upravil v samotnem textu? Nebo se uz tady nehledi na vecnou spravnost informaci?

No vidíte a ona to nakonec není chyba v GeoIP databázi steamu, ale překlep v článku na BleepingComputer. Pokud se na screenshot podíváte pozorněji, uvidíte, že IP adresa má v sobě jednu trojku navíc a jako taková už je skutečně právoplatně registrovaná do datacentra v Rusku.

27. 8. 2019, 13:46 editováno autorem komentáře

> Díky soumraku, který se stahuje nad EV certifikáty, bude možná tato kontrola brzy téměř nemožná a autoři podobných scamů se tedy budou moci jen smát.

#wat

Autoři podobných scamů se smějí již dnes, a to je přesně ten důvod, proč se na EV certifikáty stahují mračna. EV certifikáty normálnímu koncovému uživateli nepřinášejí vůbec nic pozitivního, jen větší zmatek. EV certifikáty byly od začátku ten největší scam ze všech...

Zrovna u domény steamcommunity.com těžko hádat, co je to vlastně zač, a jedině z EV certifikátu se dozvím, že je to opravdu oficiální doména Valve a ne nějaká stránka např. fanouškovské komunity.

To byste se dozvěděl i z OV certifikátu. EV na to nemá žádný vliv.

Nicméně pořád platí, že lidí, kteří si všimnou, jestli je nahoře EV nebo OV nebo DV certifikát a zároveň ví, jaký typ certifikátu tam má být bude pod 1%. EV certifikáty nijak nezabraňují downgrade útokům, a stejně tak vůbec netušíte, jestli https://steamcommunity-a.akamaihd.net také patří Valve.

A teď mi mimochodem bez koukání řekněte, jestli má EV certifikát tumblr.com a komu aktuálně patří ...

To byste se dozvěděl i z OV certifikátu. EV na to nemá žádný vliv.
Který prohlížeč zobrazuje jméno z certifikátu v adresním řádku u OV certifikátů? Podle mne to všechny prohlížeče dělají jenom u EV certifikátů. Pokud budou prohlížeče zobrazovat jméno i u OV certifikátů, je to za mne v pořádku – ale nevím o tom, že by se něco takového chystalo (zejména když se odstranění jména u EV certifikátů odůvodňuje ušetřením místa v adresním řádku).

Nicméně pořád platí, že lidí, kteří si všimnou, jestli je nahoře EV nebo OV nebo DV certifikát a zároveň ví, jaký typ certifikátu tam má být bude pod 1%.
Což bude plus minus stejně, jako množství lidí, kteří vědí, že by komunikace měla být šifrovaná…

EV certifikáty nijak nezabraňují downgrade útokům
Nezabraňují. Ale když do prohlížeče naťukám mojebanka.cz a v adresním řádku rovnou vidím, že je to ta správná moje banka (KB), nemusím to dál řešit. Pokud tam uvidím jenom doménu, musím nějak jinak zjišťovat, komu že to ta doména vlastně patří. Jistě, 99 % lidí to zjišťovat nebude, ale proč tomu zbývajícímu jednu procentu, které bere bezpečnost vážně, házet klacky pod nohy? Pořád mi připadá lepší situace, když si alespoň 1 % lidí ověří, že komunikují skutečně se svojí bankou, než když si to neověří vůbec nikdo.

stejně tak vůbec netušíte, jestli https://steamcommunity-a.akamaihd.net také patří Valve
Netuším, ale právě pro to, že to rychle neuvidím v certifikátu, budu ostražitý. U Steamu mi to asi bude jedno, ale u banky nebo PayPalu si to zkontroluju. Zvlášť když mají všichni potřebu pojmenovávat domény jinak, než jak se jmenuje služba i firma.

A teď mi mimochodem bez koukání řekněte, jestli má EV certifikát tumblr.com a komu aktuálně patří ...
Nevím a u tumblr.com je mi to celkem jedno, navíc tu službu znám pod jejím doménovým jménem. Kdybych měl účet u Komerční banky, chci při používání internetového bankovnictví vědět, že komunikuju s Komerční bankou. To z domény mojebanka.cz fakt nepoznám. A adresa steamcommunity.com je stejně hloupá. Kdybych používal Steam, je jistá šance, že bych si pamatoval, že mají EV certifikát. Bez něj si budu pamatovat akorát to, že mají nějakou divnou doménu – takže to heslo klidně zadám na steamcommunity-a.akamaihd.net (já teda ne, protože mi ho správce hesel pro tu doménu nenabídne, ale většina uživatelů ano).

Zobrazovat jméno certifikátu v adresním řádku prohlížeče samozřejmě není 100% ochrana, ale to nikdo netvrdil. Ale pořád lepší chránit alespoň to 1 % uživatelů, než nechránit vůbec nikoho – když nemáme žádný jiný způsob ochrany.

To se mi stalo už několikrát, že nějaká známá instituce (dejme tomu ČSOB) se známou doménou (dejme tomu csob.cz) najednou třeba pošle e-mail z mě neznámé domény (třeba pruzkumcsob.cz).

Zaprvé by mě zajímalo, jakou mají instituce motivaci to dělat? Proč to dělá Steam? Nebylo by lepší tu samou věc mít na community.steam.com ?

Zadruhé bych chtěl jakožto lama v tomto podoboru vědět, co mám v takovém případě na různých *V certifikátech zkoumat, abych si mohl být aspoň trochu jistý, že stále komunikuju s danou institucí...?

Děkuji :)

Uplne suhlasim.
Odstranenie zobrazovania EV certifikatov je pdola mna velka chyba, lebo potom ich stvia na uroven obcajnych certifikatov, co rozhodne nie su.

V případě steamcommunity.com se v adresním řádku v EV certifikátu ve Firefoxu zobrazuje "Valve Corp (US)", ale firma se jmenuje "Valve Corporation". Tj. u uvedeného 1% uživatelů by to mělo vyvolat nedůvěru.

> > stejně tak vůbec netušíte, jestli https://steamcommunity-a.akamaihd.net také patří Valve
> Netuším, ale právě pro to, že to rychle neuvidím v certifikátu, budu ostražitý.

Nebudete, protože z této domény se stahují extra zdroje pro stránku https://steamcommunity.com/, takže ten hezký zelený rámeček v address baru je teda naprosto super, až na to, že nemá vůbec žádnou hodnotu.