Bezpečnost Wi-Fi sítí v Praze je zatím tragická

Diskuze čtenářů k článku

jirka  |  14. 10. 2005 09:34

no teda nevím,ale když mám wifinou připojený 2 pc dětí v podkroví baráku,přes net nelezu do banky a v pc mám tak leda fotka mýho auta ,tchýně a učení do školy,můžete mi někdo říct,co by u mě kdo našel???? Mejly? ať si je přečte

Souhlasím  |  Nesouhlasím  |  Odpovědět
TM  |  14. 10. 2005 17:42

Pokud ti nevadí, že přes tvoje připojení = za tvoje peníze bude někdo jiný stahovat data z internetu... A třeba že ti tvůj počítač shodí,.. tak proč šifrovat. Ta šifra tam není pro utajení přenášených dat, ale proti "únosu spojení".
Mimochodem: pro prolomení WEPu stačí nasbírat asi 0,5GB dat + 5 sekund na lousknutí klíče. WPA je na tom líp, hlavně verze 2. ZATÍM.
TM

Souhlasím  |  Nesouhlasím  |  Odpovědět
ebola  |  16. 10. 2005 22:37

Wep jsem zkusil jednou, kdyz jsem videl to zpomaleni a zatizeni cpu, tak jsem to zase vypnul. A za dva roky jsem zazil jenom jednu lamu co to zkousela. Za to celkem uspesne, ale nakonec jsme ho nasli a vysvetlili mu to :).

Souhlasím  |  Nesouhlasím  |  Odpovědět
Paja  |  13. 10. 2005 09:00

aspon vam vypovidaci hodnota z nula nul nic stoupne na uplne o nicem.
Modra Lavicka - roh Opletalova a Ruzova ma free hotspot (primarne pro zakazniky restaurace - ale pochopitelne to sviti kousek do ulice). Ta je nezabezpecena zamerne.

Souhlasím  |  Nesouhlasím  |  Odpovědět
JeCh, JeCh  |  12. 10. 2005 20:53

O Wi-Fi moc nevim, ale chci si tohle připojení pořídit. Řekněte mi, v čem je nebezpečí nešifrovanýho přenosu po Wi-Fi. Přece každej program, kde trochu záleží na bezpečnosti, si vytvoří vlastní šifrovanej kanál, třeba pomocí SSL3 a přes ten komunikuje. Vždyť klasická linka se dá odposlouchávat úplně stejně. Neni tohle trochu paranoia?

Souhlasím  |  Nesouhlasím  |  Odpovědět
troolix  |  12. 10. 2005 21:53

Uplne s tebou souhlasim, wep klice se daji nabourat odposlouchanim komunikace po par hodinach (zalezi na poctu odchycenych paketu).
jedine SSL (a na stejnem principu podobne) jsou bezpecne metody.

Souhlasím  |  Nesouhlasím  |  Odpovědět
karci  |  13. 10. 2005 08:44

OK, ale na klasický Ethernet sa ti pripojí len ten kto si zapne kábel do tvojho routera. Na nezabezpečenú WiFi sieť sa ti pripojí každý. Mám doma AP a nechcel by som, aby mi po domácej LANke behal sused. Ak by som si aj filtroval MAC adresy, tak pri nešifrovanom prenose si ich každý vie prečítať a pripojiť sa so zmenenou MAC.

Souhlasím  |  Nesouhlasím  |  Odpovědět
obrbaz, obrbaz  |  12. 10. 2005 20:47

Mam doma router ap, mam zaplej 128 Bit WEP, na DHCP mam nastavenej rozsah pridelovani ip jen takovej aby to bylo akorat na pocet pripojenejch pc, ke kazdymu pc je prirazena jedna ip ktera se dava podle MAC adresy. Je to dostatecne zabespeceni?

Souhlasím  |  Nesouhlasím  |  Odpovědět
malcor  |  12. 10. 2005 12:37

Cau, nejsem zadnej odbornik na site ale nutnost me prinutila domu poridit wifi router od Asus WL-500g. Kdyz uz se tady mluvi o zapezpeceni, staci v jeho nastaveni nahodit pouziti WEP klice? Nebo se da zabezpecit i nejak vic? A nevite nahodou kde by se dalo najit nejaky info ohledne firewallu v tomhle routeru? Manual je zalostne strucnej :) Dik za rady

Souhlasím  |  Nesouhlasím  |  Odpovědět
sup  |  12. 10. 2005 15:59

http://wl500g.info/, firewall jsou tam normalne iptables, ale bez modernejsich vecicek jako je treba ipp2p a htb mi tak taky blblo, pro cokoliv pokrocilejsiho doporucuju OpenWRT: http://openwrt.org/

Souhlasím  |  Nesouhlasím  |  Odpovědět
Mispulin  |  12. 10. 2005 11:16

Takže jedna otázka. Když mám skryté SSID a mám nastavené MAC adresy, které se jako jedinné smějí připojit k routeru, je ještě nutné používat šifrování?

Souhlasím  |  Nesouhlasím  |  Odpovědět
lyon  |  12. 10. 2005 11:27

Jiste, protoze ten skryty ESSID zase neni tak uplne skryty a MAC si dokaze zmenit i dite materskou skolkou povinne.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Tomas  |  12. 10. 2005 12:00

samozřejmě. Nechtěl bych byt vašim klientem Do vasi site bych se naboural za 1hodin a to nejsem zadny expert a mel bych pristup ke vsem heslum (ftp,http,telnet,icq,pop3).

Souhlasím  |  Nesouhlasím  |  Odpovědět
Mispulin  |  12. 10. 2005 12:10

Zase jeden rozumbrada. Nejsem žádná firma. Mám takto propojený doma pro děti, které na tom hrajou hry. A když nevím, jako že jsem nevěděl, tak se raději zeptám.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Tomas  |  12. 10. 2005 12:45

OK.To jsi ale nenapsal.V tom pripade jestli to mas pro deti a mas skryte SSID a filtrovani pomoci MAC tak te moc chvalim.To se totiž jen tak nevidi

Souhlasím  |  Nesouhlasím  |  Odpovědět
mira  |  12. 10. 2005 13:56

ono i kdyz to ma takto zabezpecene firma co poskytuje internet tak to neni problem. Jednak dany "hacker" musi zjistit MAC adresu, kterou ma pouzit. Coz neni uplne trivialni. Ale ani tezke. No a pak taky musi spolehat na to , ze dany provider je imbecil a nepozna, ze ma dve stejne MAC adresy v jedne siti. Pak uz providerovi staci zamerit smerovkou. Nacez ma dve volby, bud monitoruje provoz a az "skoda" prekroci udanou hranici pro trestny cin, preda policii i s podklady. Nebo rovnou k "hackerovi" posle nekoho s fakturou. To obvykle zabira nejlip :o)

Souhlasím  |  Nesouhlasím  |  Odpovědět
Tomas  |  12. 10. 2005 14:24

Nevim jestli ma provider sanci sledovat MAC adresy lidi v sitich.Myslim ze moc ne.Jestli si myslis ze providerovi stacit zamerit smerovkou a najde hackera tak to se opravdu mylis.A o jaky tresny cin se podle tebe jedna to by me fakt zajimalo a myslim ze policie by to ani neumela resit

Souhlasím  |  Nesouhlasím  |  Odpovědět
Petr  |  12. 10. 2005 14:38

a pokud ten hacker co pulroku zmeni poskytovatele a kazdy tyden si zmeni MAC adresu (otazka 30sekund) je provider bezmocny navic zamerit nekoho smerovkou neni tak lechke jak si myslite.Policie je vetšinou bezmocna protoze povoleni k domovni prohlidce vetsinou nedostane bez povereni nejake statniho organu a bez domovni prohlidky policie nema vetsinou sanci.Takze tu spis jen mlzis.Nejlepsi je sifrovat to Hackery odradi znam to z vlastni zkusenosti.Prave ze Poskytovatele by meli mit nejakou odpovednost zato ze si nedokazi zabezpecit sit.Protoze pak neni problem se dostat k vasemu firemni mailu. Takze sifrovat,sifrovat,sifrovat !!!

Souhlasím  |  Nesouhlasím  |  Odpovědět
Tomáš  |  12. 10. 2005 09:42

je tragická ve všech aspektech. Máme to v práci a tam je to pomalý, nespolehlivý, 100 let než vám to přidělí IP adresu a deklaruje to nějakou ujetou teoretickou rychlost typu 34 MBps, ve skutečnosti to jede tak 0.5 MBps a to ještě ne vždy. To samé když jsme to chtěli doma, signál tak naprd, že to bylo nepoužitelné. Přihlásit s noťasem kdekoli kde deklarovali že je volná veřejná síť se mi nepodařilo. Jen tak dál.

Souhlasím  |  Nesouhlasím  |  Odpovědět
dan  |  12. 10. 2005 10:40

0,5MBps = 4Mbit/s je na wifi pro koncoveho uzivatele velmi vysoka rychlost, to zavidím, kdo ji má.

Souhlasím  |  Nesouhlasím  |  Odpovědět
doctor.x  |  12. 10. 2005 16:48

nevim kde jsi se docetl o 34Mbps (mozna nejakej wifi-mutant), a pokud vam to nejede, tak to mate rozesrany, pro B site je max rychlost do 0.7MB/s , pro G site je az 2.4MB/s . Provozuji wifi sit zatim pro 30pc a vsechno jede abs. bez jedineho problemu 24/7 . Na teoretickou rychlost zapomente, to je rychlost, jakou mezi sebou komunikuji wifiny, ale realny prenos dat je nekde jinde.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Rafter  |  12. 10. 2005 09:09

Napadlo nekoho, ze vetsina "verejnych" siti jako je CZFree je nezabezpecena umyslne? Proc mam sifrovat verejny hotspot, kdyz je tu od toho aby se kdokoliv mohl propojit???

Souhlasím  |  Nesouhlasím  |  Odpovědět
Tomas  |  12. 10. 2005 09:14

však jo mas pravdu.Ale u nas to nemaji zabezpeceni ani poskytovatele internetu pro ktere je to vlastne obziva.Maji tam jen MAC filtr a v dnešní dobe si MAC adresu dokaže změnit i 10lety dítě je to celkem na hovno

Souhlasím  |  Nesouhlasím  |  Odpovědět
J  |  12. 10. 2005 16:07

Taky si myslim, osobne mam taky nezabezpecene AP, nevidim duvod.

Souhlasím  |  Nesouhlasím  |  Odpovědět
instantni nudle u nosu  |  13. 10. 2005 23:48

Jsem na tom stejne.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Tomas  |  12. 10. 2005 08:46

56% nezabezpečených sítí!!!! tak to je jeste dobry u nas ve meste je asi 6 poskytovatelu a zabezpecene to ma jen jeden. Osobne mi to nevadi mam Z-COM XI-626 a alespon mam net zadarmo a neomezeny. Jo a ten jeden co to ma zabezpecene ma stejne jen WEP takze WIFI rulez!!!

Souhlasím  |  Nesouhlasím  |  Odpovědět
Tomas  |  12. 10. 2005 08:54

Pokud mate Z-COM XI-626 tak.....

.......Zkuste Commview for wifi.Je to super program na zjisteni vsech duležitych udaju.Nastaví kartu do RFMON modu (passive neboli monitor mód). Umožnuje tedy passivně čmuchat všechny okolní signály, ideální pro lámání WEP, detekci skrytých AP (hidden BSSID). Prostě takový servisní driver, který se hodí. Umožnuje defacto to samé co HostAP driver v monitor modu v Linuxu. Jediný " problém " je ten, že když se použije tento driver, tak s kartou nejde nic jiného dělat.Ten "specialni" driver na monitor mod pro prism chipset si muzete naprosto bez problemu stahnout i s programem na kompletni pasivni monitorovani Wifi tady http://www.tamos.com

ze vzduchu vytahne IPcka, MAC adresy, i cislo bot. WEP to necrackuje-na to jsou jine programy.

Pak staci ze zjistenych udaju nastavit wifi ve windows na lamani wep je dobry tohle...http://wepattack.sourceforge.net/

Souhlasím  |  Nesouhlasím  |  Odpovědět
hidden  |  12. 10. 2005 08:19

Ještě by sem mohli hodit odkaz na vyjádření firemního právníka E&Y, nakolik je tento výzkum legální a jaká právní rizika jsou s ním spojena. Dokonce by mě to zajímalo víc, než celý průzkum (který nebyl ničím jiným, než jedním z mnoha podobných průzkumů potvrzující to, co aspoň lidi pohybující se v oboru ví).

Souhlasím  |  Nesouhlasím  |  Odpovědět
Jan Šindelář  |  12. 10. 2005 12:15

Vzhledem k tomu, že se jednalo o pasivní výzkum, tedy v podstatě srovnatelný s laděním rádia, tak nechápu, jaká právní rizika máte na mysli? Jiná věc by byla, pokud by se v rámci výzkumu provádělo i připojování či dokonce průnik do cizích sítí, což se samozřejmě nedělo.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Pepa  |  12. 10. 2005 16:32

http://pes.eunet.cz/clanky/2005/10/46430_0_0_0.html

Souhlasím  |  Nesouhlasím  |  Odpovědět
Jiří Kuchta  |  12. 10. 2005 22:46

no a k čemu takový pasivní výzkum je? Soudit zabezpečení jen podle přítomnosti či nepřítomnosti šifry je dost neúplné. ABych se v dané síti někam dostal, musím dostat IP adresu (nebo si ji upirátit a tím riskovat že budu odhalen na duplicitě anebo že mne bonzne první switch co bude mít nastanevou kontrolu IP/MAC.) A pak ještě mne musí pustit firewall ke kterému se musím přihlásit.  To se při pasivním sledování zjistit nedá.

Souhlasím  |  Nesouhlasím  |  Odpovědět
ender  |  12. 10. 2005 07:06

Ono je to taky mozna tim ze lidi proste nepotrebuji pouzivat MAC a sifrovani protoze zabezpeceni je az na jiny urovni ..

Souhlasím  |  Nesouhlasím  |  Odpovědět
john.don  |  12. 10. 2005 07:43

Jojo VPN je nutná.
- kontrola neplatičů
- bezpečnost
- správa

Ale je fakt že zapínáme i WPA nebo alespoň děravoučký WEP.
Vypínáme SSID a MAC access taky zapínáme.

Ovšem u sítí jako je CZfree asi nemůžou jet přes MAC access protože ta správa by byla šílená.

Souhlasím  |  Nesouhlasím  |  Odpovědět
john.don  |  12. 10. 2005 07:44

Kde najdu jaké který výrobce používá MAC adresy?
Asi to není špatný nápad je měnit tak, aby se nedalo identifikovat zařízení :)

Dík za odkaz :)

Souhlasím  |  Nesouhlasím  |  Odpovědět
Lada Zajicek :)  |  12. 10. 2005 08:17

napriklad program netinfo to ma v sobe

Souhlasím  |  Nesouhlasím  |  Odpovědět
Martas  |  11. 11. 2005 13:15

No to by me taky zajimalo kde se daji MAC ADRESY najit a jak je menit!Poradte nekdo please

Souhlasím  |  Nesouhlasím  |  Odpovědět
Martas  |  11. 11. 2005 13:16

Jo moc dik za radu ale muzem mi napsat kde ty mac sdres najdu,nejsem moc zbehlej v pc.Dik

Souhlasím  |  Nesouhlasím  |  Odpovědět
diverman  |  12. 10. 2005 00:45

5,63% Z-Com znamená 5,63% pro linux nebo jiné unixy...

Souhlasím  |  Nesouhlasím  |  Odpovědět
john.don  |  12. 10. 2005 07:40

Ale prosímtě.
Není jen Zcom 626 :)
Zcom dělá i AP :)) Víš :)) ?

Souhlasím  |  Nesouhlasím  |  Odpovědět
jerry.hadr  |  12. 10. 2005 08:37

a ze jsem tak smely, smim se zeptat, co asi tak bezi v APcku jako firmware? nevim o tom, ze by treba apple delal nejaky AP OS, ani jsem nevidel windows .11 edition. na apckcach se AFAIK pouziva nejaka mini distro linuxu. takze 100%

Souhlasím  |  Nesouhlasím  |  Odpovědět
MeX  |  12. 10. 2005 08:44

.. alebo skor nejaka odnoz BSD, co skor kvoli lepsej bussines-friendly licencii

Souhlasím  |  Nesouhlasím  |  Odpovědět
Kryspin  |  12. 10. 2005 10:38

Kdepak, pouziva se hlavne Linux 2.4.* a na GPL se jednoduse haze bobek. To ze se vyrobce dostane do gpl-violators.org je firmam opravnene vcelku jedno.

Souhlasím  |  Nesouhlasím  |  Odpovědět
john.don  |  12. 10. 2005 10:27

Firmware a s linuxem to nemá nic společného.
Věř mi, protože pár těch Zcomů jsem měl v ruce.
A linux v tom rozhodně nebyl.

Na světě není jen Linux.
V pračce taky není Windows XP.
Ani Linux.

Prostě tam je nějaký zákaznický firmware.
Tak tu neplaš malý děti.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Franta Jetel  |  12. 10. 2005 08:57

Troufam si odhadovat, ze naprosta vetsina tech ZComu jsou sitove karty XI-626 v nejakem PC s Linuxem a s ovladacem "hostap". vicemene je to dnes "standard" pro AP, postavene na bazi PC. Hardwarovych AP od ZComu se u nas pouziva minimum. Dale bych si troufal odhadovat, ze i v AP jinych vyrobcu bezi velmi casto Linux - takove AP jsou bezne na trhu, spousta lameru je ma doma a ani o tom nevi.
Jinak se vysledkum nedivim . Lide dnes zachazeji s vecmi, o nichz nemaji ani tuseni jak funguji a podle toho pak zabezpeceni vypada.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Tomas  |  12. 10. 2005 09:03

tak tak svata prauda.Taky mam XI-626.Ve spojeni s hostap Je to velice spolehlive,prakticke a levne reseni

Souhlasím  |  Nesouhlasím  |  Odpovědět
neregistrovaný  |  12. 10. 2005 13:31

Přesně tak jsem to myslel.

Souhlasím  |  Nesouhlasím  |  Odpovědět
troolix  |  12. 10. 2005 21:22

Kdyz spoctes kolik elektriky sezere pcdlo a kolik hw apcko, tak to moc levne reseni neni.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Franta Jetel  |  13. 10. 2005 08:53

Zalezi na tom, jake mate potreby.
To PC totiz zpravidla jeste plni funkci postovniho serveru, WWW serveru, DNS serveru, PROXY, stavoveho firewallu, VPN brany a nekdy (vetsinou u lidi z CZFreenetu) i dynamickeho OSPF ci dokonce i BGP routeru(coz jednoduche AP vetsinou nezvladaji).
Samozrejme, pokud nekdo doma potrebuje pripojit 2 PC do Internetu pres nejaky NAT a jine potreby nema, je lepsi jednoduche AP.

Souhlasím  |  Nesouhlasím  |  Odpovědět
goodoldalex  |  12. 10. 2005 23:27

A Apple ma 4,14%, ty vole brutalne trhove podiely

Souhlasím  |  Nesouhlasím  |  Odpovědět
hyperion  |  12. 10. 2005 00:45

bezpecnost soucasnych wi-fi siti OBECNE je tragicka. a "sifrovat" (WEP a WPA v soucasne podobe jsou k nicemu) si pritom muzete, jak chcete. viz. napr. nedavna velice pekna prednaska na Java foru http://cz.sun.com/javaforum/sekce3.html
ponauceni? nepouzivejte wi-fi nebo sifrujte veskery prenos..pokud vam ovsem o neco jde.

Souhlasím  |  Nesouhlasím  |  Odpovědět
KRiZKiN, KRiZKiN  |  12. 10. 2005 00:37

-- LOL, ale 56% nezabezpečených sítí, to jsem fakt nečekal
Jo, autor by mohl opravit překlep: "Není žádný důvod si myslel"

Souhlasím  |  Nesouhlasím  |  Odpovědět
p  |  12. 10. 2005 08:32

Ja som teda osobne cakal ovela viac nezabezpecenych sieti. Toto je dost prijemne prekvapenie.

K bezpecnosti, preco sa vsetci otierate o nebezpecnost WPA (pod tym asi vsetci myslite WPA-PSK), ktore je dostatocne bezpece pre bezne pouzitie. Samozrejme ak si myslite ze vam potom staci 5 pismenovy passphrase tak sa mylite, ale pokial viem tak WPA sa neda rozbit inac ako slovnikovym utokom.

A cloveku co nizsie radi nasadit VPN na lepsiu bezpecnost. HAHA, mozem sa len pousmiat. Hlavne ked RADIUS splna vsetky jeho poziadavky. Ak je niekto taky paraniodny na neveri TKIP, tak nie je problem zapnut CCMP, ktory sa podla mna v pohode vyrovna PPTP aj L2TP/IPSec. Navyse setup VPN tunelu je zalostne pomaly, tak aj mate ak len trochu horsiu kvalitu WiFi spojenia tak je QoS uplne v srackach.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Zasílat názory e-mailem: Zasílat názory Můj názor