Lehce osvětová přednáška o tom, proč by HTTPS mělo být úplně všude, nejen na přihlašovacím formuláři. A že šifrování není jenom o HTTPS. Jako obvykle si něco i ukážeme.
Bezpečnost webových aplikací Web Inkognito VŠE 05/2013
HTTPS (a šifrování) všude
1. HTTPS VŠUDEHTTPS VŠUDE
ANO, I TADY VANO, I TADY V ÚDOLÍ SMRTIÚDOLÍ SMRTI
Michal Špaček www.michalspacek.cz @spazef0rze
Ne příliš technická osvětová přednáška o HTTPS s několika doporučeními pro uživatele
mobilních zařízení i pro tvůrce aplikací a webů. Původní slajdy tyto poznámky neobsahují.
2. ENCRYPTION
&
AUTHENTICATION
HTTPS zajišťuje šifrování přenosu proti odposlechu i modifikaci a ověřuje protistranu,
uživatelé tak vědí s kým komunikují. Bylo by trochu hloupé, kdyby šifrovaná data posílali
mizerovi a ten si je v klidu rozšifroval a přečetl nebo změnil.
3. HTTP Secure
HTTP over SSL
To S v názvu neznamená SSL, ale Secure. Protokol SSL už by se používat neměl, jeho
poslední verze 3 je z roku 1996 a není úplně bezpečná. Místo SSL dnes používáme
protokol TLS. Je v tom trochu zmatek, spousta produktů totiž má v názvu jen SSL, ale
podporují i TLS, například knihovna OpenSSL, mod_ssl pro Apache apod.
4. HTTPS
=
How To Transfer Private Shit
Aby se vám to nepletlo, tak vám nabízím alternativní význam zkratky HTTPS. HTTPS slouží
k ochraně přenášených informací, jak z browseru na server, tak ze serveru do browseru. Co
je komu do toho, co si na daném webu čtu nebo jaká data na server odesílám.
5. https://twitter.com/jamespugjones/status/792161241821122560
Tento graf ukazuje počet načtených stránek přes HTTPS ve Firefoxu. Do konce roku 2016
prohlížeč načte zhruba polovinu všech stránek přes tento zabezpečený protokol. Google
statistiku načítání stránek po HTTPS v prohlížeči Chrome přidal do svého
Transparency Reportu. Jen v obou případech je to počet načtení jednotlivých stránek, není
to počet webů, těch je jen zhruba kolem 13 %.
6. Nemá cenu rozebírat, že šifrovaně by se měly přenášet minimálně přihlašovací údaje a že
po HTTPS by měl být načtený i samotný formulář, aby někdo po cestě nemohl změnit kam
se heslo má vlastně odeslat. Já vím, že to tak spousta služeb nemá, ale pojďme to vzít
jako fakt. Mělo by to tak být. Ale tahle přednáška se jmenuje HTTPS všude, nejenom na
přihlašovacím formuláři, že...
7. No, možná bychom to vlastně měli rozebírat. Stále jsou weby, které to jako samozřejmost
neberou. Třeba tady ta jedna nejmenovaná online lékárna, ta HTTPS na podzim roku 2016
nemá. Od ledna 2017 začne Chrome vedle adresy zobrazovat Not Secure, pokud na
stránce bude formulář s políčkem pro zadání hesla a ta stránka nebude načtená po
HTTPS, to by asi třeba zrovna tento web nechtěl. A asi ani žádnej jinej.
8. Pilulka.cz se naštěstí pochlapila a od počátku roku 2017 běží na HTTPS, dobrá práce, díky.
Web dokonce používá tzv. EV (Extended Validation) certifikát, který zobrazuje název firmy.
To návštěvníkům pomáhá ověřit si, že jsou na těch správných a pravých stránkách.
9. Toto je stránka na ruské Wikipedii, je o droze jménem Charas. Ruským cenzorům z úřadu
Roskomnadzor se článek nelíbil a chtěli ho znepřístupnit. Jenže namísto blokace pouze tohoto
nepohodlného článku zablokovali v srpnu celou Wikipedii. Wikipedie totiž běží na HTTPS
a cenzoři nemohou zjistit, kterou stránku si uživatel do prohlížeče stahuje. Blokace celé
Wikipedie tak vydržela jen pár hodin.
10. Už vás slyším, jak říkáte, že žijeme ve svobodné zemi, že tady přeci žádná cenzura nehrozí. V
ČR se ale chystá zákon, který takovou cenzuru v podstatě zavádí. Tyká se mj. online
hazardních her a ty které údajně nebudou mít licenci od ministerstva financí budou
poskytovatelé připojení muset blokovat. To znamená, že budou mít legální možnost, jak
sledovat všechno, co uživatelé na webu dělají a kam chodí.
11. Zmiňoval jsem, že HTTPS také zabrání změně obsahu. Na začátku července 2015 se díky
obrovskému úniku dat ukázalo, jak přesně funguje špehovací software od firmy Hacking Team.
Ten si pořídila i česká policie. Do zařízení se potichu nainstaluje například díky chybě ve
Flashi, kterou zneužije exploit vložený do stránky na úrovni poskytovatele. Slovenská policie
používá jiný špehovací software, FinFisher, ale ten bude fungovat podobně. Do HTTPS
provozu by takto jednoduše nic vložit nešlo.
12. Ale asi nikdo z nás tady není takový zloduch, aby po něm šla policie. Jenže do stránek se dají
vkládat i jiné věci, například reklama. Jednou jsem stál kdesi na benzínce a připojil se na
místní free Wi-Fi. Zjistil jsem, že do stránek na HTTP provozovatel vkládal bannery. Všimněte
si té reklamy na auto dole. Ta v původní stránce není, nacpal ji tam provozovatel Wi-Fi, aby
připojení k Internetu nemusel platit ze svého. Do stránek by mohl strkat třeba viry nebo
malware, to vydělává trochu víc, než reklama. (Aktualizace: kasa.cz již HTTPS podporuje.)
13. WiFi PineappleWiFi Pineapplewww.wifipineapple.com
Na free Wi-Fi se nepřipojujete, policie po vás nejde, žijete v zemi, kde není žádná cenzura, tak
jak by vás mohl někdo odposlouchávat? Třeba pomocí této krabičky kdokoliv, kdo jí má. Třeba
já. Tohle zařízení za $99.99 umí pomocí útoku nazvaného Karma přesvědčit vaše počítače
a telefony, aby se připojily na útočníkem ovládanou Wi-Fi. Tato krabička odpoví kladně na
dotaz, jestli náhodou nevysílá síť, kterou má váš počítač uloženou. A to i přesto, že takovou
síť vlastně nezná. Pokud se na podobnou krabičku připojíte, tak mizera může číst a měnit
veškerý nezašifrovaný provoz. Tedy data, která váš počítač nebo telefon stahuje a odesílá.
14. Vážení studenti,
v areálu VŠE se delší dobu pohybovala
cizí osoba…
Pro získání přístupových údajů používala
falešný přístupový bod, ze kterého vysílala
eduroam
Útoky využívající falešné přístupové body nejsou jen záležitostí mých vystoupení, ale jsou
vidět i v praxi. Na podzim 2016 někdo odchytával hesla na Vysoké škole ekonomické v Praze.
15. Jak to funguje, jak je to vůbec možné? Za normálních podmínek váš počítač a telefon
posílá na web nebo stahuje data ze serveru přes nějakou Wi-Fi, třeba nějak takhle.
16. Jen často nevíte, komu ta Wi-Fi patří a jaký má její majitel úmysly. Může to být klidně Wi-Fi
moje, nebo nějakého (jiného) mizery. A ten zloduch může odposlouchávat nebo měnit data
nebo do webu třeba vkládat vlastní reklamu, viz příklad dříve.
17. HTTPS
Pokud aplikace nebo web budou načítat stránky nebo obecně jakákoliv data po šifrovaném
protokolu HTTPS, tak má mizera smůlu. Data sice uvidí, ale budou šifrovaná a protože
nezná šifrovací klíče, tak je nemůže rozšifrovat. Může maximálně vidět, komu data posíláte.
18. HTTPS
Everywhere
Jedna z možností, jak se tomu bránit, je použít HTTPS naprosto všude, aby někdo nemohl
odposlouchávat a vkládat do stránek reklamu nebo viry. Ale to jako uživatelé na spoustě
webů neovlivníte. Weby zavedou HTTPS až ho zavedou, ale ani o minutu dříve. Pro mobilní
aplikace je HTTPS a obecně šifrování dat během přenosu naprostá nutnost. U nich naštěstí
ovládáte obě strany, jak aplikaci, tak server, takže v pohodě.
19. 1 2
Jenom HTTPS ale nestačí. Mizera může vaše zařízení přesvědčit, že místo původního
serveru má komunikovat s ním, zkrátka se za ten web bude vydávat. Zařízení mu pošle data
šifrovaná klíčem 1, mizera ho zná, data rozšifruje, přečte a zašifruje klíčem 2 a pošle na
původní server. To samé udělá, když server bude odpovídat. Win-win-win situace.
20. 1 2
Prohlížeč nebo mobilní aplikace takové spojení nesmí přijmout. Pozná ho podle toho, že
certifikát nejspíš nevystavila žádná důvěryhodná certifikační autorita. V prohlížeči se pak
zobrazí varování, v aplikaci musí vývojáři obranu (certificate pinning) implementovat sami.
21. A jak se můžete bránit jako uživatelé různých webů nebo aplikací, které na HTTPS prdí nebo
ho mají udělané blbě? Česká televize začátkem roku odvysílala reportáž o hackování Wi-Fi,
ale ona to byla reportáž spíš o hackování lidí, ani nebyla moc dobrá, spousta věcí byla
nafejkovaných, ale tak aspoň něco. Doporučovali v ní, ať se nepřipojujete k
nezabezpečeným Wi-Fi sítím, to jsou ty, co nechtějí žádné heslo pro připojení.
http://www.ceskatelevize.cz/ivysilani/1097181328-udalosti/215411000100117
22. U soudku WiFi
↓
U soudku WiFi FREE HIGH SPEED
Jenže mizera může v klidu přijít do hospody U soudku, obsluhy se zeptat na heslo k jejich
Wi-Fi a poté udělat vlastní Wi-Fi s lákavým názvem a nastavit tam stejné heslo. Návštěvníci
se raději připojí k síti, která se jmenuje U soudku WiFi FREE HIGH SPEED, protože FREE
a protože HIGH SPEED. To je to hackování lidí. Dobře udělaný útok na uživatele Wi-Fi v
podstatě nemáte šanci poznat.
23. VPNVirtual private network
Nejlepším řešením je VPN. Tu zkratku už možná znáte, pokud pracujete pro nějakou větší
firmu. Jen to pro vás možná bude jenom synonymum k „práce z domova“.
24. VPN funguje tak, že vytvoří jakýsi tunel mezi vaším zařízením a VPN serverem, ten tunel je
šifrovaný a všechno je uděláno správně a další spojení pak jdou až z toho VPN serveru. Takže
útočník na Wi-Fi v hospodě má smůlu. Mohl by sice útočit na spojení mezi VPN serverem
a cílovým webem, ale na to většinou nemá možnosti. Při používání VPN pro práci z domova je
VPN server u vás ve firmě ve vnitřní síti a má přístup k ostatním službám na firemní síti.
SERVER
25. Pokud nemáte žádnou firemní VPN nebo si nechcete na mobil žádnou VPN aplikaci
kupovat, můžete zkusit Orbot pro Android. Ta od října 2016 umí experimentálně fungovat
i jako VPN pro ostatní aplikace. Používá k tomu síť Tor.
26. Zdroj: http://www.flickr.com/photos/40852961@N04/5439723004/
Šifrovat byste měli nejenom web, ale i třeba přenášení emailů. Co se totiž stane, když se
připojíte na nějakou zákeřnou Wi-Fi? Váš telefon začne stahovat emaily a pokud nepoužíváte
šifrované spojení k poštovním serverům, tak majitel té zákeřné sítě má najednou vaše heslo k
emailu a to nechcete. Takže si nastavte vaše zařízení, aby se připojovala na IMAPS, POP3S
a SMTPS. Pokud používáte VPN, tak se může stát, že telefon se pokusí e-maily stáhnout ještě
dříve, než se VPN automaticky připojí.
27. Používejte VPN,
HTTPS a ověřujte certifikáty
Michal ŠpačekMichal Špaček
www.michalspacek.czwww.michalspacek.cz @spazef0rze@spazef0rze
VPN používejte nejen při práci z domova a pokud vytváříte nebo spravujete nějakou aplikaci
nebo web, tak je mějte jen na HTTPS a v aplikacích nezapomínejte ověřovat certifikáty.
Stay safe!
Notas do Editor
Tento graf ukazuje počet načtených stránek přes HTTPS ve firefoxu. Do konce roku to bude polovina všech stránek. Není to počet webů, těch je zhruba kolem 15 %
Ale ještě se k tomu vrátíme, ono to zas tak jasný není, třeba tady, online lékárna a nemají HTTPS. Od ledna příštího roku začne Chrome zobrazovat na stránce s přihlašovacím formulářem Not Secure, pokud nebude na HTTPS, to by asi třeba zrovna tento web nechtěl. A asi žádnej jinej.
Ale ještě se k tomu vrátíme, ono to zas tak jasný není, třeba tady, online lékárna a nemají HTTPS. Od ledna příštího roku začne Chrome zobrazovat na stránce s přihlašovacím formulářem Not Secure, pokud nebude na HTTPS, to by asi třeba zrovna tento web nechtěl. A asi žádnej jinej.
Pokud nemáte žádnou firemní VPN nebo si nechcete žádnou VPN appku kupovat, můžete zkusti Orbot, ten nově funguje jako VPN, která využívá síť Tor