Přechod na menu, Přechod na obsah, Přechod na patičku
   

8.3.4 Odposlech

Útočník se také může zaměřit na probíhající komunikaci mezi svými cíli, například mezi uživatelem a jeho bankou. Pro provedení tohoto útoku potřebuje útočník přístup ke komunikačnímu kanálu, který může získat například napadením lokální sítě z počítače ovládnutého pomocí viru, odposlechem bezdrátové komunikace, napadením sítě poskytovatele připojení k internetu a tak dále. Útočník má dvě možnosti: komunikaci může buď jen pasivně odposlouchávat, nebo se může pokusit stát se aktivním prostředníkem, který komunikaci zprostředkovává. Proti oběma typům útoku se lze bránit pomocí použití zabezpečených komunikačních protokolů, jako například HTTPS.[35] .

8.3.4.1 HTTPS protokol

Běžný provoz na internetu mezi uživatelem a webovým serverem je realizován protokolem HTTP. Ten není nijak šifrován a data putují sítí ve snadno čitelné podobě. Pro výměnu citlivých dat (přihlášení do autentizovaných sekcí, webmail, ebanking, ...) se používá zabezpečená varianta HTTPS. Nicméně bez ověření identity serveru veškeré šifrování ztrácí smysl — kdokoliv by se mohl vydávat za bankovní server a bylo by možné nalákat uživatele na zadání svých přihlašovacích údajů na podvržené stránce. Proto je využito certifikátu vázaného na konkrétní adresu. Certifikáty vydává a podepisuje centrální důvěryhodná autorita a pokud se tedy server prokáže správným certifikátem, lze důvěřovat jeho Moderní prohlížeče tyto certifikáty umí ověřit a uživatele varují, pokud není v pořádku.

Pro přístup na citlivé služby (mail, ebanking, IS, ...) je nezbytné využívat HTTPS variantu, pokud je serverem nabízena a před přihlášením zkontrolovat, že je v pořádku certifikát.

Obrázek 8.2 Signalizace korektního HTTPS spojení v prohlížeči Google Chrome

https_screenshot.png

Obrázek 8.3 Varování při pokusu o navázání HTTPS spojení bez důvěryhodného certifikátu

https_cert_fail.png

Obrázek 8.4 Nastavení HTTPS jako jediného způsobu komunikace v Google Gmail.

always_ssl.png

8.3.4.2 šifrovaná WiFi

Na rozdíl od pevné (drátové) sítě nelze fyzicky omezit přístup k bezdrátové síti. Pokud se nejedná o veřejný přípojný bod, je tedy nutné omezit přihlášení k síti jinak. Navíc není možné zjistit, zda probíhající komunikaci někdo nesleduje (a nenahrává). Z těchto důvodů se zavádí autentizace (přihlašování) při připojení síti a šifrování provozu přihlášených uživatelů.

Poslouchající útočník:

  • není možné jeho aktivitu zjistit

  • v případě nešifrované (nebo slabě šifrované — WEP) vidí veškerou komunikaci vedenou mimo zabezpečené protokoly (např. HTTPS)

    • může sledovat například osobní údaje, stahované dokumenty a další data putující sítí, které mu umožní vést přímé útoky: vydávání se za uživatele (krádež identity), získání přístupu přes fingovanou ztrátu hesla a pod.

Aktivní útočník:

  • v případě slabého šifrování může získat klíč pro vstup do sítě (WEP)

  • může získat přístup k nastavení přípojného bodu (a využít jej např. ke sledování aktivity na síti)

  • po získání přístupu do sítě útočit na jednotlivé počítače (i tak jednoduše, jako vyhledávání nevědomky sdílených složek)

  • vytvořit volně přístupný přípojný bod, na kterém bude sledovat veškerou komunikaci

Zásady pro užívání bezdrátových sítí

  • jako uživatel

    • nepřipojujte se k nedůvěryhodným přípojným bodům

    • vždy pro přihlašování k webovým službám používejte zabezpečený protokol HTTPS

    • mějte zapnutý firewall

    • na nešifrovaných sítích omezte veškerou komunikaci na zabezpečený protokol HTTPS

  • při nastavení domácí sítě

    • změňte výchozí hodnoty pro název sítě a heslo pro administraci

    • vyberte šifrování provozu pomocí WPA, WEP varianta je dnes již považována za slabou

    • zvolte dostatečně silné heslo (viz výše)


[35] v angličtině tento typ útoku označujeme jako Man-in-the-middle

← Předchozí 
 
 Následující →
OPVK logolink