Proč je první připojení k Eduroamu tak těžké, jak se chránit na veřejných sítích a phishingový trénink nakonec.
V tomto článku se nedozvíš, jak vymyslet silné heslo, který antivirus je nejlepší či kolik toho o tobě ví pan Zuckerberg. Pokud tě to zajímá, můžeš si o tom počíst třeba v technických sekcích známých zpravodajských serverů. Já se právě teď pokusím jednoduše vysvětlit zabezpečení sítě Eduroam, kterou na ZČU používáš v podstatě denně. Abys pochopil, proč je to tak důležité, zmíním, jak snadno lze na nezabezpečených sítích odposlouchávat komunikaci, tedy k čemu jsou dobré všechny ty bezpečnostní obstrukce. No a na závěr pozvánka k odběru nebezpečně se tvářících e-mailů z programu Phishingator.
Bezpečné připojení k síti
Jak se korektně připojit na Eduroam
Zažil to snad každý prvák v posledních letech. Nejprve nastavení síťového hesla, které by mělo být jiné než Orion heslo, pak zdlouhavá konfigurace zařízení pomocí poměrně složitých nástrojů. Proč nemůžu prostě jen zadat heslo tak, jako jsem zvyklý dělat to doma a všude jinde?
Důvodem je, že „pravý“ Eduroam dává svoji identitu najevo certifikáty. Výhodou těchto certifikátů je, že správně nakonfigurované zařízení se nikdy nepřipojí na „falešný“ Eduroam. To je například síť, kterou vytvoří tvůj zákeřný spolužák jako hotspot na svém notebooku a pojmenuje ji „eduroam“.
Správná funkčnost certifikátů je podmíněna právě konfiguračními nástroji (jde to udělat i ručně, ale do toho se raději nepouštěj). Pokud ses tedy připojil na svém telefonu jen tak přes ikonku WiFi, pravděpodobně certifikáty úplně ignoruješ! Když se pak podvržená síť ocitne v dosahu tvého špatně nakonfigurovaného zařízení, je vysoká pravděpodobnost, že se na ni tvoje zařízení bez tvého vědomí připojí. V tu chvíli má spolužák veškerou tvou síťovou komunikaci jako na dlani a navíc může odhalit tvůj login a heslo do skutečného Eduroamu.
Stejná situace může nastat i u sítí, jejichž jména se často opakují a lidé jsou zvyklí se na ně běžně připojovat (McDonald’s, CDWiFi, PLZEN Free Wi-Fi, …). Ty však běžně žádné certifikáty neposkytují, jsou to otevřené sítě určeny k jednorázovému a snadnému připojení a lidé musí počítat s riziky, která jim na těchto sítích hrozí.
Co je to zcu-mobile a otevřená síť?
Na síť zcu-mobile se sice přihlašuješ stejným síťovým heslem jako k Eduroamu, jedná se ale pouze o zabezpečení pomocí tzv. captive-portálu tak, aby se na síť nemohl připojit každý náhodný kolemjdoucí. Když už jsi ale připojený, komunikace probíhá nešifrovaně stejně jako v otevřených sítích. Rozhodně bys síť tedy neměl používat dlouhodobě.
Otevřené bezdrátové sítě běžně najdeš na veřejných místech, v restauracích, ve vlaku a podobně. Stačí kliknout a jsi online. Žádné heslo, žádné certifikáty, nic. Pro útočníka je však na těchto sítích velmi snadné odposlouchávat veškerý síťový provoz, neboť neprobíhá šifrovaně. To znamená, že pokud se například v Mekáči přihlašuješ do emailu, tvůj login a heslo letí volně vzduchem a týpek s laptopem, co tu sedí už podezřele dlouho, si ho klidně může přečíst a zneužít. Je to podobné, jako bys kolegovi poslal do práce pohlednici z dovolené, na kterou bys napsal, kde najde schovaný klíč od tvého kanclu. Na těchto sítích by ses tedy měl vyvarovat jakémukoliv zadávání citlivých údajů (platební karty, hesla, …).
Když už se musím připojit k otevřené síti…
Těmto útokům se dá naštěstí zamezit pomocí tzv. VPN sítí (Virtual Private Network), které jsou podrobněji popsány v článku o pomocnících pro home office. Existuje mnoho komerčních poskytovatelů VPN sítí, které nabízejí své služby zdarma či za peníze (mj. NordVPN, ExpressVPN, Betternet). Podle toho se pak odvíjí rychlost, možnost geografického umístění apod. Jakožto studentovi ZČU ti však doporučuji používat přímo ZČU VPN. Jak se připojit zjistíš v již zmíněném článku a na vpn.zcu.cz. Ve zkratce jde o to, že připojením k VPN vytvoříš šifrovaný tunel mezi tvým zařízením a poskytovatelem VPN služby (v tomto případě univerzitou). Útočník se tedy dostane pouze k šifrované formě dat, která je mu k ničemu.
„Já nemám co skrývat.“
Skutečně? A používáš Facebook, Instagram, WhatsApp či další služby? Co by se stalo, pokud by se tvého účtu zmocnil někdo, u koho by sis to rozhodně nepřál? Nejen, že člověk může vystupovat pod tvojí identitou, zneužívat tvůj účet k phishingu a kazit ti reputaci. Může si udělat kompletní obrázek o tom, kde bydlíš, co studuješ, kdo jsou tví nejbližší, kam často chodíš, kolik máš peněz nebo jaké máš auto. Tahle informace už stačí i k napáchání fyzické škody, nedej bože, máš-li v některém ze svých účtů uloženou platební kartu.
Phishing
Phishing je podvodný e-mail, který se tě buď snaží nalákat na něco neuvěřitelného (nový iPhone), snaží se ti vyhrožovat (podezřelé transakce z tvého bankovního účtu) nebo tě o něco žádá jménem instituce (zaplacení zásilky přepravní společnosti). Narozdíl od odposlouchávání popsaného v první části tento typ útoku vyžaduje přímou interakci uživatele a naopak tedy platí, že pokud nic neuděláš, nic nezkazíš. To však znamená, že nemůžeš spoléhat jen na bezpečnostní programy (antiviry, firewally atp.). Co je phishing, musíš umět poznat hlavně ty. Pokud o tomhle typu útoku nemáš ponětí, pak ti doporučuji přečíst si něco o technikách sociálního inženýrství, protože se jedná o aktuální hrozbu. Mrkni taky na odkazy na konci článku.
Vzorový phishingový e-mail s označenými nedůvěryhodnými prvky
Zdroj: Martin Šebela – Techniky sociálního inženýrství, phishing
Jak být ve střehu?
Dejme tomu, že víš, jak phishing funguje, ale nemáš si jak ověřit, že se jednoho dne skutečně nenecháš nachytat? Právě na to myslel Ing. Martin Šebela, absolvent FAVky nyní pracující na CIVu, který v rámci své bakalářské práce zpracoval systém pro rozesílání cvičných phishingových zpráv, jenž nazval Phishingator. Pokud se do programu zaregistruješ, jednou za čas ti přijde cvičný phishingový e-mail, který se až do poslední chvíle bude tvářit jako pravý, a uvidíš, zda jej odhalíš či nikoliv. Rozhodně se nemusíš bát, že bys přišel o nějaká soukromá data. Je to jen hra, kde se můžeš ze svých chyb poučit, případně do kolonky „heslo” napsat útočníkovi nějaký hezký vzkazík. Na grafu pak vidíš, kolik lidí se (i přes relativně nízkou sofistikovanost) nechalo nachytat. Více o projektu a přihlášení k odběru na phishingator.zcu.cz.
Reakce příjemců (z řad ZČU) na jeden ze cvičných phishingových e-mailů
Zdroj: Martin Šebela – Techniky sociálního inženýrství, phishing
Shrnutí a další odkazy
Ačkoli se povědomí o počítačové bezpečnosti v posledních letech zvyšuje, nemalá část lidí ji stále podceňuje. Přitom počítače a internet dnes využíváme u velké škály činností, včetně studia, a v posledním roce se to potvrdilo dvojnásob. Pokud tě článek zaujal a ocenil bys další články z odvětví kyberbezpečnosti podané stravitelnou formou, vyjádři se na Facebooku nebo Instagramu IPC ZČU. Jsme tu pro tebe a rádi přizpůsobíme nabídku poptávce.
Faktickou stránku ověřil Ing. Jan Švec, Ph.D. z Katedry kybernetiky FAV ZČU.
Phishing, pharming a další kybernetické útoky – krátké a věcné video od kolegů z Olomouce
Phishing z pohledu supportu ZČU
Prezentace Martina Šebely – Techniky sociálního inženýrství, phishing; SecFest 2021 (PDF)
Typy šifrování a autentizace u bezdrátových sítí (pro pokročilé, anglicky)
