Přednáška online

📃 http://www.slideshare.net/spaze/https-a-sifrovani-vsude-nejen-na-webu

Detail přednášky

Lehce osvětová přednáška o tom, proč by HTTPS mělo být úplně všude, nejen na přihlašovacím formuláři. A že šifrování není jenom o HTTPS. Jako obvykle si něco i ukážeme.

Pokud byste vás HTTPS zajímalo trochu víc do hloubky, podívejte se na moji přednášku o přechodu na HTTPS. Doporučuji také přednášku věnovanou jen HTTP Strict Transport Security, tedy tématu, které s HTTPS úzce souvisí.

O HTTPS a obecně o vývoji bezpečných webových aplikací se dozvíte také na školení Bezpečnost webových aplikací (13. 12. 2017 Praha), přijďte.

Datum a akce

19. 11. 2015, F5 fórum


Přepis poznámek

  1. HTTPS všude, ano, i tady v Údolí smrti

    Ne příliš technická osvětová přednáška o HTTPS s několika doporučeními pro uživatele mobilních zařízení i pro tvůrce aplikací a webů. Původní slajdy tyto poznámky neobsahují.

  2. Encryption & authentication

    HTTPS zajišťuje šifrování přenosu proti odposlechu i modifikaci a ověřuje protistranu, uživatelé tak vědí s kým komunikují. Bylo by trochu hloupé, kdyby šifrovaná data posílali mizerovi a ten si je v klidu rozšifroval a přečetl nebo změnil.

  3. HTTP Secure, ne HTTP over SSL

    To S v názvu neznamená SSL, ale Secure. Protokol SSL už by se používat neměl, jeho poslední verze 3 je z roku 1996 a není úplně bezpečná. Místo SSL dnes používáme protokol TLS. Je v tom trochu zmatek, spousta produktů totiž má v názvu jen SSL, ale podporují i TLS, například knihovna OpenSSL, mod_ssl pro Apache apod.

  4. HTTPS = How To Transfer Private S…tuff

    Aby se vám to nepletlo, tak vám nabízím alternativní význam zkratky HTTPS. HTTPS slouží k ochraně přenášených informací, jak z browseru na server, tak ze serveru do browseru. Co je komu do toho, co si na daném webu čtu nebo jaká data na server odesílám.

  5. Percentage of Web Pages Loaded by Firefox Using HTTPS

    Tento graf ukazuje počet načtených stránek přes HTTPS ve Firefoxu. Do konce roku 2016 prohlížeč načte zhruba polovinu všech stránek přes tento zabezpečený protokol. Google statistiku načítání stránek po HTTPS v prohlížeči Chrome přidal do svého Transparency Reportu. Jen v obou případech je to počet načtení jednotlivých stránek, není to počet webů, těch je jen zhruba kolem 13 %.

  6. Přihlásit se

    Nemá cenu rozebírat, že šifrovaně by se měly přenášet minimálně přihlašovací údaje a že po HTTPS by měl být načtený i samotný formulář, aby někdo po cestě nemohl změnit kam se heslo má vlastně odeslat. Já vím, že to tak spousta služeb nemá, ale pojďme to vzít jako fakt. Mělo by to tak být. Ale tahle přednáška se jmenuje HTTPS všude, nejenom na přihlašovacím formuláři, že…

  7. Not Secure

    No, možná bychom to vlastně měli rozebírat. Stále jsou weby, které to jako samozřejmost neberou. Třeba tady ta jedna nejmenovaná online lékárna, ta HTTPS na podzim roku 2016 nemá. Od ledna 2017 začne Chrome vedle adresy zobrazovat Not Secure, pokud na stránce bude formulář s políčkem pro zadání hesla a ta stránka nebude načtená po HTTPS, to by asi třeba zrovna tento web nechtěl. A asi ani žádnej jinej.

  8. Pilulka Distribuce s.r.o. [CZ]

    Pilulka.cz se naštěstí pochlapila a od počátku roku 2017 běží na HTTPS, dobrá práce, díky. Web dokonce používá tzv. EV (Extended Validation) certifikát, který zobrazuje název firmy. To návštěvníkům pomáhá ověřit si, že jsou na těch správných a pravých stránkách.

  9. Чарас

    Toto je stránka na ruské Wikipedii, je o droze jménem Charas. Ruským cenzorům z úřadu Roskomnadzor se článek nelíbil a chtěli ho znepřístupnit. Jenže namísto blokace pouze tohoto nepohodlného článku zablokovali v srpnu celou Wikipedii. Wikipedie totiž běží na HTTPS a cenzoři nemohou zjistit, kterou stránku si uživatel do prohlížeče stahuje. Blokace celé Wikipedie tak vydržela jen pár hodin.

  10. Blokace nepovolených internetových her

    Už vás slyším, jak říkáte, že žijeme ve svobodné zemi, že tady přeci žádná cenzura nehrozí. V ČR se ale chystá zákon, který takovou cenzuru v podstatě zavádí. Tyká se mj. online hazardních her a ty které údajně nebudou mít licenci od ministerstva financí budou poskytovatelé připojení muset blokovat. To znamená, že budou mít legální možnost, jak sledovat všechno, co uživatelé na webu dělají a kam chodí.

  11. Exploit the target transparently by injecting a browser based exploit while he's surfing the web

    Zmiňoval jsem, že HTTPS také zabrání změně obsahu. Na začátku července 2015 se díky obrovskému úniku dat ukázalo, jak přesně funguje špehovací software od firmy Hacking Team. Ten si pořídila i česká policie. Do zařízení se potichu nainstaluje například díky chybě ve Flashi, kterou zneužije exploit vložený do stránky na úrovni poskytovatele. Slovenská policie používá jiný špehovací software, FinFisher, ale ten bude fungovat podobně. Do HTTPS provozu by takto jednoduše nic vložit nešlo.

  12. Kasa a cizí banner

    Ale asi nikdo z nás tady není takový zloduch, aby po něm šla policie. Jenže do stránek se dají vkládat i jiné věci, například reklama. Jednou jsem stál kdesi na benzínce a připojil se na místní free Wi-Fi. Zjistil jsem, že do stránek na HTTP provozovatel vkládal bannery. Všimněte si té reklamy na auto dole. Ta v původní stránce není, nacpal ji tam provozovatel Wi-Fi, aby připojení k Internetu nemusel platit ze svého. Do stránek by mohl strkat třeba viry nebo malware, to vydělává trochu víc, než reklama. (Aktualizace: kasa.cz již HTTPS podporuje.)

  13. WiFi Pineapple

    Na free Wi-Fi se nepřipojujete, policie po vás nejde, žijete v zemi, kde není žádná cenzura, tak jak by vás mohl někdo odposlouchávat? Třeba pomocí této krabičky kdokoliv, kdo jí má. Třeba já. Tohle zařízení za $99.99 umí pomocí útoku nazvaného Karma přesvědčit vaše počítače a telefony, aby se připojily na útočníkem ovládanou Wi-Fi. Tato krabička odpoví kladně na dotaz, jestli náhodou nevysílá síť, kterou má váš počítač uloženou. A to i přesto, že takovou síť vlastně nezná. Pokud se na podobnou krabičku připojíte, tak mizera může číst a měnit veškerý nezašifrovaný provoz. Tedy data, která váš počítač nebo telefon stahuje a odesílá.

  14. Vážení studenti, v areálu VŠE se delší dobu pohybovala cizí osoba… Pro získání přístupových údajů používala falešný přístupový bod, ze kterého vysílala eduroam

    Útoky využívající falešné přístupové body nejsou jen záležitostí mých vystoupení, ale jsou vidět i v praxi. Na podzim 2016 někdo odchytával hesla na Vysoké škole ekonomické v Praze.

  15. App ↔ Wi-Fi ↔ web

    Jak to funguje, jak je to vůbec možné? Za normálních podmínek váš počítač a telefon posílá na web nebo stahuje data ze serveru přes nějakou Wi-Fi, třeba nějak takhle.

  16. App ↔ mizera ↔ web

    Jen často nevíte, komu ta Wi-Fi patří a jaký má její majitel úmysly. Může to být klidně Wi-Fi moje, nebo nějakého (jiného) mizery. A ten zloduch může odposlouchávat nebo měnit data nebo do webu třeba vkládat vlastní reklamu, viz příklad dříve.

  17. App ↔ HTTPS ↔ web

    Pokud aplikace nebo web budou načítat stránky nebo obecně jakákoliv data po šifrovaném protokolu HTTPS, tak má mizera smůlu. Data sice uvidí, ale budou šifrovaná a protože nezná šifrovací klíče, tak je nemůže rozšifrovat. Může maximálně vidět, komu data posíláte.

  18. HTTPS Everywhere

    Jedna z možností, jak se tomu bránit, je použít HTTPS naprosto všude, aby někdo nemohl odposlouchávat a vkládat do stránek reklamu nebo viry. Ale to jako uživatelé na spoustě webů neovlivníte. Weby zavedou HTTPS až ho zavedou, ale ani o minutu dříve. Pro mobilní aplikace je HTTPS a obecně šifrování dat během přenosu naprostá nutnost. U nich naštěstí ovládáte obě strany, jak aplikaci, tak server, takže v pohodě.

  19. App ↔ HTTPS ↔ mizera ↔ HTTPS ↔ web

    Jenom HTTPS ale nestačí. Mizera může vaše zařízení přesvědčit, že místo původního serveru má komunikovat s ním, zkrátka se za ten web bude vydávat. Zařízení mu pošle data šifrovaná klíčem 1, mizera ho zná, data rozšifruje, přečte a zašifruje klíčem 2 a pošle na původní server. To samé udělá, když server bude odpovídat. Win-win-win situace.

  20. Nope ↔ HTTPS ↔ mizera ↔ HTTPS ↔ web

    Prohlížeč nebo mobilní aplikace takové spojení nesmí přijmout. Pozná ho podle toho, že certifikát nejspíš nevystavila žádná důvěryhodná certifikační autorita. V prohlížeči se pak zobrazí varování, v aplikaci musí vývojáři obranu (certificate pinning) implementovat sami.

  21. „Vidím jeho e-mail a heslo.“

    A jak se můžete bránit jako uživatelé různých webů nebo aplikací, které na HTTPS prdí nebo ho mají udělané blbě? Česká televize začátkem roku odvysílala reportážhackování Wi-Fi, ale ona to byla reportáž spíš o hackování lidí, ani nebyla moc dobrá, spousta věcí byla nafejkovaných, ale tak aspoň něco. Doporučovali v ní, ať se nepřipojujete k nezabezpečeným Wi-Fi sítím, to jsou ty, co nechtějí žádné heslo pro připojení.

  22. U soudku WiFi → U soudku WiFi FREE HIGH SPEED

    Jenže mizera může v klidu přijít do hospody U soudku, obsluhy se zeptat na heslo k jejich Wi-Fi a poté udělat vlastní Wi-Fi s lákavým názvem a nastavit tam stejné heslo. Návštěvníci se raději připojí k síti, která se jmenuje U soudku WiFi FREE HIGH SPEED, protože FREE a protože HIGH SPEED. To je to hackování lidí. Dobře udělaný útok na uživatele Wi-Fi v podstatě nemáte šanci poznat.

  23. VPN – Virtual private network

    Nejlepším řešením je VPN. Tu zkratku už možná znáte, pokud pracujete pro nějakou větší firmu. Jen to pro vás možná bude jenom synonymum k „práce z domova“.

  24. App ↔ tunel ↔ VPN server ↔ web

    VPN funguje tak, že vytvoří jakýsi tunel mezi vaším zařízením a VPN serverem, ten tunel je šifrovaný a všechno je uděláno správně a další spojení pak jdou až z toho VPN serveru. Takže útočník na Wi-Fi v hospodě má smůlu. Mohl by sice útočit na spojení mezi VPN serverem a cílovým webem, ale na to většinou nemá možnosti. Při používání VPN pro práci z domova je VPN server u vás ve firmě ve vnitřní síti a má přístup k ostatním službám na firemní síti.

  25. Orbot: Proxy with Tor

    Pokud nemáte žádnou firemní VPN nebo si nechcete na mobil žádnou VPN aplikaci kupovat, můžete zkusit Orbot pro Android. Ta od října 2016 umí experimentálně fungovat i jako VPN pro ostatní aplikace. Používá k tomu síť Tor.

  26. ←@→

    Šifrovat byste měli nejenom web, ale i třeba přenášení emailů. Co se totiž stane, když se připojíte na nějakou zákeřnou Wi-Fi? Váš telefon začne stahovat emaily a pokud nepoužíváte šifrované spojení k poštovním serverům, tak majitel té zákeřné sítě má najednou vaše heslo k emailu a to nechcete. Takže si nastavte vaše zařízení, aby se připojovala na IMAPS, POP3S a SMTPS. Pokud používáte VPN, tak se může stát, že telefon se pokusí e-maily stáhnout ještě dříve, než se VPN automaticky připojí.

  27. Používejte VPN, HTTPS a ověřujte certifikáty

    VPN používejte nejen při práci z domova a pokud vytváříte nebo spravujete nějakou aplikaci nebo web, tak je mějte jen na HTTPS a v aplikacích nezapomínejte ověřovat certifikáty. Stay safe!

English