Názory k článku
Chyba ve standardu 802.11n ohrožuje Wi-Fi sítě
-
Článek je starý, nové názory již nelze přidávat.
-
Lol Phirae (neregistrovaný)
To je stejně jedno. Microsoft hodlá šířit hesla k WiFi přes sociální sítě včetně Fejsbůůůku, takže to rovnou můžem nechat nezaheslované a ať si každý řádí, jak umí.
http://www.theregister.co.uk/2015/06/30/windows_10_wi_fi_sense/
-
Lael Ophir (neregistrovaný)
Wi-Fi Sense má dobrý smysl pro některé koncové uživatele. Když k vám přijdou přátelé na návštěvu, mohou se připojit k vaší WiFi. Samozřejmě se to dá vypnout (já to mám vypnuté), a samozřejmě se to dá zakázat v policy, což se hodí ve firmě.
Navíc Windows 10 nejsou ještě hotové, takže není jasné jestli se do nich Wi-Fi Sense vůbec dostane, jestli bude by default zapnutý, případně ve kterých edicích bude by default zapnutý. Například ve Windows Phone 8.1 je Wi-Fi Sense by default vypnuté.
-
Lael Ophir (neregistrovaný)
To jsme mohli i před příchodem Windows Phone 8.1 (kde MS zavedl Wi-Fi Sense). Ale bylo potřeba každému dávat heslo. Pokud máte na WiFi heslo 12345, tak to není problém. Pokud je to něco trochu složitějšího, je to dost otrava, takže návštěvy většinou přístup na WiFi nedostanou.
-
Lael Ophir (neregistrovaný)
Ještě dvě věci:
- Vaši přátelé, kterým přes Wi-Fi Sense nasdílíte síť, její heslo nevidí. Tím pádem ho nemohou šířit.
- Pokud sdílíte síť přes Wi-Fi Sense, máte možnost používat také WiFi vašich přátel používajících Wi-Fi Sense. Na myšlence rozdělit se zcela bezpracně s návštěvami o konektivitu, a použít na návštěvě naopak jejich konektivitu, mi nepřijde nic hrozného. -
Karel (neregistrovaný)
Tedy pokud za aplikaci nepovažujete ovladač wifi karty. Ten se to samozřejmě dozví, navíc v plaintextu. U Windows Phone velmi nepravděpodobný vektor útoku, ale u PC to bude jednoduchá věc. Asi jako oblíbený MAC spoofing. Správně to ovladače vůbec neměly dovolit, ale řada výrobců wifi karet to běžně podporovala.
-
Sten (neregistrovaný)
Ano, Windows používají NTLM, takže se nedozvíte původní heslo. Ale na druhou stranu vám pro ověřování v sítích Windows stačí ten hash, takže to původní heslo vlastně vůbec nepotřebujete.
-
Lael Ophir (neregistrovaný)
To, drahý Jeronýmku, fakt netuším. Mimochodem ještě pořád je na Linuxu zbytečné louskat hesla, protože po bootu z CD je možné triviálně přidat uživatele do jakékoliv skupiny?
https://help.ubuntu.com/community/LiveCdRecoveryZkušení totiž vědí, že když má útočník přístup k vašemu HW, tak systém není v bezpečí. Do značné míry tomu dokáže předejít BitLocker s TPM. Detaily ale zrovna vám asi nemá smysl vysvětlovat.
-
Sten (neregistrovaný)
Zkušení totiž vědí, že když má útočník přístup k vašemu HW, tak systém není v bezpečí
A proto není v bezpečí ani heslo k Wi-Fi v něm uložené, které musí být získatelné v plaintextu, protože hashe nejsou použít v AES. Tedy jdou, ale pak vám stačí ten hash a vůbec nepotřebujete původní heslo. Přesně jako to mají windowsí sítě s NTLM ;-)
-
Lael Ophir (neregistrovaný)
Wi-Fi Sense ukládá hesla šifrovaně. Vzhledem k tomu že binárky s nižším integrity level nemohou hrabat do těch s vyšším integrity level, a drivery musí být digitálně podepsané, tak bude dolování hesla dost obtížné. A zcela jistě o několik řádů obtížnější, než získat od Franty papírek, na kterém jste mu dal heslo k WiFi.
Když jsme u toho, tak se stejnému riziku vystavujete i když Frantovi napíšete heslo do jeho telefonu nebo notebooku.
Ovšem nejhorší scénář je ten, že váš známý získá heslo k vaší WiFi, a může se pak připojit k inetu. Hesla k vašim zařízením nezískal, takže není důvod házet flintu do žita.
-
Sten (neregistrovaný)
A zcela jistě o několik řádů obtížnější, než získat od Franty papírek, na kterém jste mu dal heslo k WiFi.
Momentálně ano, protože Windows Phone má tak mizerný market share a nezajímavá zařízení, že to asi nikdo ani nezkouší.
Když jsme u toho, tak se stejnému riziku vystavujete i když Frantovi napíšete heslo do jeho telefonu nebo notebooku.
Samozřejmě. Ale u toho papírku alespoň nikdo netvrdí: Vaši přátelé, kterým přes Wi-Fi Sense nasdílíte síť, její heslo nevidí. Tím pádem ho nemohou šířit.
-
Lol Phirae (neregistrovaný)
Mimochodem ještě pořád je na Linuxu zbytečné louskat hesla, protože po bootu z CD je možné triviálně přidat uživatele do jakékoliv skupiny?
Reset your Windows Sever 2008 / R2 Domain Controller administrator password.
Až tuhle megadíru v té accessibility sračce někdo hackne, tak to bude velká paráda!!!
-
Lael Ophir (neregistrovaný)
Ad Reset your Windows Sever 2008 / R2 Domain Controller administrator password - přesně jak jsem psal: Zkušení totiž vědí, že když má útočník přístup k vašemu HW, tak systém není v bezpečí. Do značné míry tomu dokáže předejít BitLocker s TPM.
Ad Až tuhle megadíru v té accessibility sračce někdo hackne, tak to bude velká paráda - jakou megadíru? Jak jsem psal, když dáte kamarádům heslo na papírku, jsou rizika daleko větší. Když jim heslo zadáte do telefonu nebo notebooku, můžete je dostat úplně stejně. Když někdo hackne stroje které mají uložená hesla k WiFi, opět je to má úplně stejný výsledek.
A jak už jsem psal, nejhorší scénář je ten, že vaši známí získají heslo k vaší WiFi síti. To jim ovšem ještě nedává přístup k vašemu počítači.
-
Lol Phirae (neregistrovaný)
Jakou megadíru? Jak jsem psal, když dáte kamarádům heslo na papírku, jsou rizika daleko větší.
Až tu vaši mrdku umožňující zadat nové heslo bez zadání předchozího někdo spustí přes prohlížeč, třeba. Nebo přes ten genitální Adobe Flash, který je defaultně nainstalován i na Windows serveru, protože to je přece základ každého serveru, viď.
-
Lael Ophir (neregistrovaný)
Ad zadat nové heslo bez zadání předchozího - na Linuxu neumíte uživateli změnit heslo bez znalosti předchozího? Zrovna na Linuxu jde o řádek v texťáku, stačí vygenerovat nové heslo a zapsat ho. To bude nářez, až se to povede prostřelit z browseru :)
Ad genitální Adobe Flash, který je defaultně nainstalován i na Windows serveru - fakt? Mám tu Windows 2012 a 2012 R2, a Flash tam by default není.
Ad tu vaši mrdku - ehm, běžte si vypustit do nějaké ovce, a netahejte to do diskuse.
-
nobody (neregistrovaný)
ROZHODNE radeji at vidi heslo moji pratele, nez aby se(spolecne s tel.cislo, jmeno a email) odesilalo na servery nepritele(microsoft)... z ktereho se odesle zpatky do zarizeni toho kdo sedi stejne jako ja vedle meho wifi routeru...
to ze se to navic smeruje k povoleni ne jednotlivejm pratelum ale cele skupine/sluzbe napr. outlook.com, skype, facebook pratel je taky inteligentni jak wokna ;) -
Lol Phirae (neregistrovaný)
Ale bylo potřeba každému dávat heslo. Pokud máte na WiFi heslo 12345, tak to není problém. Pokud je to něco trochu složitějšího, je to dost otrava, takže návštěvy většinou přístup na WiFi nedostanou.
Hele, Lael - já ti to řeknu takhle, pak se ti možná rozbřeskne: pokud dám heslo k wifi Frantovi, tak to NEznamená, že ho chci dát eště taky Mařeně, kterou Franta aktuálně po večerech brousí, Pepovi, se kterym Máňa Frantovi občas zahejbá, ani Jirkovi s Honzou, se kterejma chodí Franta na pivo, vo Jitce a Hance (který zase píglujou Jirka s Honzou) a jejich 30 kámoškách ani nemluvě. Jasný?!
A skutečně si nepřeju, aby to za mě dělal někdo jinej, např. nějaká chorá mozkovna z Redmondu. Upřímně řečeno to považuju za nelegální. Pokud bych snad měl podobné charitativní touhy, tak si tam udělám nezaheslovanou guest wifi, neco captive portál, nebo bych něco sám aktivně udělal. Ne, aby mě nějaký chorý MS mozek nutil cpát do SSID krávoviny typu _optout. Kdyby tohle udělal každý, za chvíli bude to SSID vypadat asi takhle: mojewifina_optout_nomap_noshare_ireallymeanit_notpublic_nofacebook_goaway_nosocial_donottouch
O třešničce na dortu, kdy tahle krávovina "inteligentně" za uživatele vyplňuje a odsouhlasuje podmínky, ani nemluvě. To se u vás právníci praštili do palice, nebo jim o tom ještě nikdo neráčil říct?
-
Lael Ophir (neregistrovaný)
Ad pokud dám heslo k wifi Frantovi, tak to NEznamená, že ho chci dát eště taky... - zjevně jste něco nepochopil. Když dáte heslo ke své WiFi Frantovi na kusu papíru, ten ho může dát komu chce. Naopak když použijete Wi-Fi Sense, tak se k vaší WiFi dostanou jen VAŠE kontakty. Ty heslo NESDÍLEJÍ se svými kontakty, ani nemají možnost to heslo vidět. Plus si samozřejmě pro každou síť můžete vybrat, jestli ji budete se svými kontakty sdílet.
Ad tahle krávovina "inteligentně" za uživatele vyplňuje a odsouhlasuje podmínky - některé hotspoty vyžadují zadání údajů. Wi-Fi Sense vám umožní ty informace zadat automaticky, takže vám WiFi prostě funguje. Samozřejmě jde o informace které jste si sám nastavil v nastavení Wi-Fi Sense. By default je nastaveno telefonní číslo 206-555-0123, jméno Name, emailová adresa someone@example.com.
Navíc celý Wi-Fi Sense je čistě dobrovolný. Uživatel ho nemusí používat, nebo může používat jen jeho část (sdílení sítí, automatické přihlašování).
Když to shrnu, tak se jedná o "standardní" bouři ve sklenici vody, plynoucí z neznalosti.
Zdroj:
https://www.windowsphone.com/en-us/how-to/wp8/connectivity/use-wi-fi-sense-to-get-connected
https://www.windowsphone.com/en-us/how-to/wp8/connectivity/wi-fi-sense-faq -
Lol Phirae (neregistrovaný)
Když dáte heslo ke své WiFi Frantovi na kusu papíru, ten ho může dát komu chce.
Ano, to jistě může. Až tak učiní, tak heslo změním a Frantu místo připojení na WiFi kopnu u dveří do prdele. Rozhodně nemám potřebu předávat to heslo někomu tak důvěryhodnému", jako je MS proto, aby se tam připojil Franta. Na to vážně nejsem zvědavej. JASNÝ?!
tak se k vaší WiFi dostanou jen VAŠE kontakty. Ty heslo NESDÍLEJÍ se svými kontakty
Tak určitě. Na tohle bude spoleh až do doby, než to nějaký prudce inteilgentní hotfix změní. Stejný spoleh je na to, že cokoliv, co se na nějakou ichtylní sociální síť dostane, bude dřív nebo později veřejné.http://mattmckeon.com/facebook-privacy/
-
Lael Ophir (neregistrovaný)
Ad nemám potřebu předávat to heslo někomu tak důvěryhodnému", jako je MS - nikdo vás k tomu přece nenutí. Nicméně pokud nechcete aby heslo k vaší WiFi dostala Mařena, kterou Franta aktuálně po večerech brousí, Pepa, se kterym Máňa Frantovi občas zahejbá, ani Jirkova s Honzou, se kterejma chodí Franta na pivo, vo Jitce a Hance (který zase píglujou Jirka s Honzou) a jejich 30 kámoškách ani nemluvě, tak bych na vašem místě věřil spíš MS než Frantovi :)
Ad heslo NESDÍLEJÍ se svými kontakty; spoleh až do doby, než to nějaký prudce inteilgentní hotfix změní - to by byl dost zásadní bezpečnostní problém, a MS by tím Wi-Fi Sense prakticky odepsal. V takovém případě ale můžete triviálně změnit heslo své WiFi.
Osobně mám Windows Phone, a Wi-Fi Sense nepoužívám. Nicméně na rozdíl od vás nemám nutkání kritizovat možnost dobrovolně sdílet WiFi se svými kontakty. Navíc existují jiné podobné projekty, které dělají prakticky totéž. Namátkou Instabridge a InstaWifi pro Android. Není to pro vás? Nepoužívejte to.
-
Lol Phirae (neregistrovaný)
tak bych na vašem místě věřil spíš MS než Frantovi :)
Rozhodně. Na MS je přece spoleh. Všechna data jsou přísně důvěrná, až tak, že si v nich NSA brouzdá, kdy se jim zachce (viz Skype).
to by byl dost zásadní bezpečnostní problém ... Nicméně na rozdíl od vás nemám nutkání kritizovat možnost dobrovolně sdílet WiFi se svými kontakty.
To je dost zásadní bezpečnostní problém už teď. Protože já nemám absolutně žádnou kontrolu nad tím, jestli Franta náhodou tuhle krávovinu nezapomněl vypnout, takže když mu to heslo normálním způsobem dám, tak ho rázem má taky Mařena, Jirka, Honza a zbytek Frantovejch kontaktů, kterým jsem ho dobrovolně rozhodně neposkytl.
-
Lael Ophir (neregistrovaný)
Ad Všechna data jsou přísně důvěrná, až tak, že si v nich NSA brouzdá, kdy se jim zachce (viz Skype) - samozřejmě, na základě soudního příkazu. Ovšem na základě soudního příkazu můžete být nasazen i odposlech, do firmy i do bytu.
Ad absolutně žádnou kontrolu nad tím, jestli Franta náhodou tuhle krávovinu nezapomněl vypnout - to musí vědět Franta. A myslím že to nepřehlédne:
http://thepockettech.com/wp-content/uploads/2014/04/WiFi-Sense.png -
Lol Phirae (neregistrovaný)
samozřejmě, na základě soudního příkazu.
Tak určitě...
http://www.theguardian.com/world/2013/jul/11/microsoft-nsa-collaboration-user-data
-
Lael Ophir (neregistrovaný)
Z článku: we only ever comply with orders about specific accounts or identifiers, and we would not respond to the kind of blanket orders discussed in the press over the past few weeks
Je otázka, která tvrzení Snowdena se zakládají na faktech. Některá jistě ano, ale rozhodně bych mu nevěřil víc než komukoliv jinému.
-
Lol Phirae (neregistrovaný)
Z téhož článku: An entry dated 8 April 2013 describes how the company worked "for many months" with the FBI – which acts as the liaison between the intelligence agencies and Silicon Valley on Prism – to allow Prism access without separate authorization to its cloud storage service SkyDrive. The document describes how this access "means that analysts will no longer have to make a special request to SSO for this – a process step that many analysts may not have known about". The NSA explained that "this new capability will result in a much more complete and timely collection response". It continued: "This success is the result of the FBI working for many months with Microsoft to get this tasking and collection solution established."
Jinak přirozeně PR žvástům uklidňujícím ovečky MS určitě nesmírně věřím... :-P
-
Lael Ophir (neregistrovaný)
Z téhož článku: Finally when we upgrade or update products legal obligations may in some circumstances require that we maintain the ability to provide information in response to a law enforcement or national security request. There are aspects of this debate that we wish we were able to discuss more freely.
-
Kaacz (neregistrovaný)
Kromě toho, že na tom drátu mohou být vlany (u dražších AP) ..
Zcela běžně toto druhé public/free SSID přiděluje lokální IP z jiného subnetu než je domácí síť a má povolen prostup pouze na internet. Nic do lokální domácí sítě a dokonce se většinou dá zakázat i provoz mezi klienty na tomto public SSID. A také se jim dá limitovat rychlost. Tohle umí halda AP pod tisícovku.
Oddělení těchto klientů od domácí sítě fakt nebývá problém.
-
Jenda (neregistrovaný)
> Microsoft also adds that Wi-Fi Sense will only provide internet access, and block connections to other things on the wireless LAN
Jak to funguje? Přece když někomu dám PSK, tak může všude. WiFi neumí omezovat v rámci sítě přístup bez nějaké extra podpory z AP.
> a samozřejmě se to dá zakázat v policy, což se hodí ve firmě
Jak mi to firma zakáže na mém osobním zařízení?
Jinak já to nevidím jako takovou tragédii, už teď jsem mohl to heslo vzít a zveřejnit ho, že jo…
-
Lael Ophir (neregistrovaný)
Ad Wi-Fi Sense will only provide internet access - MS nepopisuje že by přístup k ostatním zařízením blokoval, alespoň ve Windows Phone 8. Z howto:
When you share network access, your contacts get Internet access only. For example, if you share your home Wi-Fi network, your contacts won't have access to other computers, devices, or files stored on your home network.Jinými slovy vaše kontakty dostanou přístup jen k WiFi (a ani tam nevidí heslo). Heslo k vašemu počítači nedostanou, tím pádem se přes WiFi dostanou jen na inet.
Ad Jak mi to firma zakáže na mém osobním zařízení - Enterprise networks that use 802.1X can't be shared. If you connect to one of these enterprise networks at work or somewhere else, those network credentials won't be shared with any of your contacts. Pokud PNAC vaše firma nepoužívá, zakáže vám sdílení firemního WiFi přes Wi-Fi Sense stejně jako u hesla které jste dostal na papíře: interní směrnicí.
-
Cohen (neregistrovaný)
Ad 1) takze to je v podstate lez, napr. tiskarna nebo otevrenej NAS je k dispozici.
Ad 2) skoda, ze 802.1x se skoro nepouziva, resp. i ve vetsich spolecnostech se vidi pomerne vyjimecne. A pritom je to fakt pekna technologie, a to nejen na wifi. Nicmene tyto technologie sdileni hesel ukazuji na jedine - ze je potreba dalsi autentizace na vyssi vrstve.
-
Petr (neregistrovaný)
Nuda:
Encryption must be disabled. In other words, the AP is an
open network (e.g. hotspot, internet cafe, airport, or
other open AP).Na otevrene AP jsou mnohem zajimavejsi utoky. Vyhoda je, ze to funguje z WAN,dokaze penetrovat NAT a firewall APcka, ale klient ktery se v otevrene wireless siti chova jako by byl v trusted zone je stejne ztracen i bez tohohle utoku.
