Avast Omni: Krabička, která vám hackne síť a promění se v unikátní antivirus

Asi tak. Zapojit si do site blackbox, do kterého nevidim a ktery komunikuje s venkem aniz by to clovek mel pod kontrolou, to fakt ne..

Tak ani ten router nemá hodně lidí pod kontrolou. Ale ty se alespoň na štěstí dají přeinstalovat a doufat že výrobce neschoval do firmwaru nějaké "překvapení".

Víceméně celý trh s bezpečnosti je trh s důvěrou. Za Turrisem stojí správce domény CZ.NIC. Máme tady přes 1 375 000 .CZ domén a jedna doména stojí ročně 145 Kč. To nějakých 200 milionů korun. Vydělat to ročně normální firma, tak je majitel asi nadšený, ale CZ.NIC je neziskovka, takže to musí zase nějak smysluplně utratit. Spousta peněz teče právě přes projekty jako je Turris. moje.id a podobně. CZ.NICu věřím, že není jeho ekonomickým ani jiným zájmem mě nějak poškodit. Zdrojáky Turrise jsou na GitHubu, CZ.NIC jedná transparentně.BTW, #overenomojeid je pořád v chodu. Zaregistroval jsem se asi 20h po zveřejnění tohoto článku a můj klíč je zrovna někde na cestě.https://www.zive.cz/clanky/cznic-bezplatne-na...

Velice zajímavé. Mi bylo po vleklé diskusi řečeno, že klíče jsou nenárokovatelné a že noví uživatelé, kteří si založí účet kvůli klíče jsou automaticky vyřazeni... Ať slouží.

Tak já mám účet na mojeID od 2012. Teď jsem si zažádal jen o ten HW klíč.

A co je pocitac s Widnows? Co je chytra televize? Mobil od Apple a nebo Android, ktery neni cisty? Kdejaka chytra elektronika, kamery. Nebo i samotny router?
Do tech vidime jak? Proc tohle nejsou black box zarizeni?
Podle me je to jen o psychice. Pokud vyrobce tvrdi, ze krabicka skenuje a analyzuje sit, tak k tomu ma hromada lidi mnohem vetsi neduveru. Pritom o tom vime prd uplne stejne, jako o dalsich vecech, co mame v siti.

Tak ano, vsechno to muzou byt teoreticky "blackbox" zarizeni. Ale clovek to alespon kupuje za ucelem neceho jineho. Plus pro vyrobce muze byt celkem riziko, kdyz by se na to prislo... A ze je plno nadsencu, kteri by prisli na to, kdyby zarizeni generovala traffic v rozporu ze svym ucelem.
Kdezto tady si clovek opravdu porizuje dobrovolne monitoring na svoji sit a od firmy, ktera uz mela aferu s prodejem osobnich dat..

To sice jo, ale principem je to stejnej blackbox jako cokoliv jinyho.
Ano, je dost lidi, kteri jina zarizeni muzou zkoumat, ale podobne to muzou zkoumat i u tohoto zarizeni. Nevidim v tom tedy zadny extra velky rozdil. Pouze psychologicky to pusobi hur, protoze primo vyrobce tvrdi, ze to skenuje sit a provoz. Ale jestli to dela windows/televize/asistent/chytra zarovka/mobil a nebo proste jen nejaka aplikace na nejakem zarizeni,...to z nas taky nikdo poradne nevi.

Taky mi to neni uplne jasne. Ze jako pozna utok z určite ip adresy a te se ozve jako IP toho, na co utoci (napr pi3) ? Ale co puvodni pi3? To ma preci porad stejnou ip a mac? Router to preci jen vysle do site, co brani tomu, aby se pi3 ozvalo drive? Nebo je to postavene na tom, ze cast paketů skonci i pi3 a cast v blackboxu, takze komunikace od utocnika jako celek je nepouzitelna?

Avast pasivně odposlouchává veškerou komunikaci a v případě potřeby se přes ARP spoofing stane adresátem odpovědi místo routeru a tu odpověď "zahodí".Z článku nevyplývá, že by se na sebe snažil stáhnout komunikaci od routeru k zařízením v LAN.

Dobry den, delam pro Avast a na vyvoji Omni se vyrazne podilim. Pokud je zarizeni v ARP spoofing rezimu (default), skutecne se snazi analyzovat veskery provoz mezi LAN a Internetem (v obou smerech). Provoz mezi LAN zarizenimi inspektovan neni.

No to ono se ozve, mozna i driv, ale protoze porad dokola posilate ARP I-Am s vasi mac a IP (floodujete tu sit nepravdivimy informacemi o IP prirazene k MAC), tak si to ti ostatni na siti ulozi a pouzivaji to vase.

Jinak je to jak pisete, muze se stat nekolik neocekavatepnych veci, i kdyz nejsou zadouci. Behem floodingu muze dojit k tzv. DOSu - u horsich IP stacku se docela casto stavalo, ze crashly a veskera komunikace s danym strojem pak byla v kyblu. Muze se take stat co popisujete, ze jeden paketjde tam, druhy nekam jinam, coz pokud delam MITM utok je dost zasadni problem jak pro me, tak pro cil - nezmodifikuju nebo neuslisim vsechny pakety - v cili muze byt nevalidni / nakopnuta informace - opet DOS, kdy znemoznim komunikaci mezi hostem a serverem. Posledni a ne nepodstatny problem je, ze proste snizujete propustnost site tim, ze ji neustale zaplavujete velkym mnizstvim falsenych I-AM ARP paketu.

Dobry den, delam pro Avast a na vyvoji Omni se vyrazne podilim. Delat ARP spoofing dobre je veda, presne kvuli tomu, abyste nezahlcoval sit (a to ani tehdy, kdyz jsou tam stovky zarizeni, kdy nektere se chovaji divne apod.). Problem s tim, ze jeden z milionu packetu jde jinou cestou realne neni - v cili nikdy nakopnuta nebo neuplna informace nebude - jenom se na danem packetu neprovede inspekce. Propustnost site ARP zpravy nijak neomezuji (ve velkych sitich pujde o desitky KB/s) - realny limit je HW propustnost samotneho puku, ktera je nyni okolo 600Mbit/s.
Je dulezite zminit, ze pro pokrocile uzivatele je k dispozici DHCP mod, kdy se krabicka umi chovat jako DHCP server.

Dobry den,psal jsem spise obecne o spoofingu. Ne konkretne o vasi krabicce. Pokud se dela pouze inspekce, pak to samozejme nevadi, kdyz ale do toho trafficu saham (pripad MITM), muze se stat, ze jeden paket zmodifikuji a druhy protece kolem me, coz ma za nasledek nepredvidatelne stavy a situace, ktere mohou v nejhorsim pripade vest k DOSnuti sluzby. Kdybych takovou krabicku designoval ja, stavel bych ji spise jako transparentni proxy, tzn. switch s jednim uplinkem do routeru a ctyrmi (ci vice) porty. Do navodu bych napsal, ze pokud BFU zapoji neco jinam, nez do tohohle zarizeni, neni zaruceno, ze bude chranen.

Zdravim,
rozumim. Mate pravdu, pokud bychom do provozu aktivne sahali jinak, nez jenom na urovni jednoho packetu a pak konec (prepis DNS, posilani RST TCP packetu, generovani 302 na HTTP, to vse funguje), tak by to byl problem. To nastesti delat nemusime, protoze MITM v domaci siti na urovni sitove zarizeni prakticky nejde delat. A to ne z duvodu vykonu, ale kvuli tomu, ze dostat nove CA na vsechny klientske zarizeni prakticky nejde. IoT zarizeni (vcetne TV) nic takoveho nedovoluji, Android i IoS tuto moznost prakticky uzavrelo a na Windows uz mate AV.
Co se tyka HW zapojeni, ve skutecnosti jsme uvazovali o tom, ze by Omni melo vice portu. Jenomze samotne Ethernetove porty nic neresi, pokud byste mel zarizeni pripojeno na LAN strane routeru, protoze naprosta vetsina zarizeni je dneska pripojena pres Wifi. Takze potrebujete i Wifi. A timto se dostanete do situace, ze jste vlastne postavil router, coz je zarizeni vyrazne slozitejsi a cca 10x drazsi. Kdyz byste zapojoval tenhle "pass-through" na strane WAN routeru, tak narazite na to, ze vetsina routeru na WAN strane nema Ethernet, ale ADSL/Coax/Optiku...(krom toho, ze byste by default videl zarizeni za NATem).

Pokud byste to pojali pouze jako switch s Wifi, nebude to tak slozite, jak pisete, kazdopadne, bylo by to asi za jine penize, nez takto. Nize jsem vcera pridal i tu wifinu.

Aha, tak bud se prispevek neodeslal nebo nevim, kazdpoadne psal jsem, ze by to mela byt transparentni krabicka (klidne i s wifi), jen switch s monitoring portem pripojenym do interniho CPU, jeden uplink, vse do krabicky, resp. pres krabicku. Router byva i hardwarove slozitejsi (viz treba mikrotiiky), vetsinou je tam konfigurovatelny switch, bridge, nekdy i vlany, pak ten vlastni routing a firewalling - zase to prinasi spoustu moznosti, jak efektivne ten provoz ridit, ale uz to neni pro BFU. To co jsem navrhoval bylo v podstate standalone IDSko pro domaci pouziti BFUckem :)

No, je potreba rict, ze uz samotna wifi prinasi pomerne dost problemu, aby to bylo kvalitni. Dostavate se do jine kategorie HW. Jinymi slovy - pri navrhu bylo potreba rozhodnout, kde udelat "caru" a my ji udelali vedome tady.
A jeste dulezita informace: v Avastu aktivne pracujeme na integraci naseho SW i do routeru - coz je asi neoddiskutovatelne lepsi misto, kde inspekci delat. Mame dokonce i komercni nasazeni u jednoho vyznamenho ISP mimo CR. Uvidime, jestli se nam podari dostat na nejaky verejny dostupny router, ktery si pak muzete koupit kdekoliv a ne jen ho dostat skrz ISP. Integrace na routery ma take sve uskali, ale spise inzenyrskeho typu nez principialni problemy (ackoliv takova HW akcelerace je "sranda").
Jinak jeste poznamka - Omni traffic kontroluje aktivne, a ne pasivne. Tj. pokud se rozhodne, ze packet zablokuje, tak opravdu neprojde. Tj. je to IP(prevention)S a ne jenom ID(detection)S.

Celý problém je především, to, že se už dávno rezignovalo na nějakou bezpečnost. Všechny ty domácí krabičky jako TV, Google casty nebo Philips HUE apod totiž fungují jenom ve stejném segmentu sítě .. ptám se proč? Do prd...le to je takový problém do klienta pro lidi (kteří chtějí) prostě přidat možnost nastavení brány a sítě, kde jsou zařízení ... směrování IP protokolů tady máme desetiletí!!!!!
Kdo nechce (nebo neumí) to nechá ve stávajícím stavu ale kdo chce, si prostě všechny tyhle bazmeky nastrká do oddělené routované sítě a na routeru a firewalu si nastaví pravidla tak, aby případný nechtěný trafic z téhle nekontrolovatelné podsítě do té domácí nemohl..Jenže na tohle se rezignovalo a v důsledku toho se vytváří potom takové bazmeky, které maií "ambice" něco hlídat a jakože zabezpečit. Prostě rovnák na ohýbák a ještě blbý.-..

Ono to "pridat do klienta" byva prace navic a vyrobci to potrebuji prodat a vydelat - cokoli navic znamena, ze to bude stat vic a koupi si to mene lidi, tak proc tam delat neco, co realne vyuzije zlomek pokrocilejsich uzivatelu (ostani to bud neresi, nebo tomu nerozumeji) - bohuzel takova je realita, tak je to prakticky u vseho - proc do TV davat Gbit Eth. dame tam FE - je levnejsi a stejne to vetsina uzivatelu pripoji pres 802.11ac. Jinak zrovna treba TV se v zabezpeceni zlepsuji, vetsinou uz chteji alespon autorizaci pripojeni pres dalkac, nicmene stale je tu otazka co o Vas TV bude praskat vyrobci.
Nemluve o tom, ze asi ani nemuzete chtit od vyrobce/treba pracek/, aby tam bezpecnost vyresil spravne - on umi vyrabet pracky, to je tak vsechno.
Nemluve o "chytrych": grilech, postelich, budicich, atp. vsechny tyhle veci museji byt v dnesni dobe cenove dostupne, jinak je neprodate a proda je konkurence, ktera nekde usetrila - treba na tom, ze vyvoj app. stal mene, nebo na tom Fast Ethernetu.

Souhlas, vsechno je jen o penezich. V koncovych zarizenich, dokud tam nebude nejaky "standartni" OS nebo nejaky standartni "bezpecnostni" modul nebo alespon nejaka bezpecnostni certifikace, co tohle bude resit = spoustu lidi kolem = spoustu penez = vyssi naklady = drazsi zarizeni nebo nutnost placeni subskribce, tak bude bezpecnost takova, jaka je minimalni = po nejake dobe zadna. Staci se podivat na mobily. Tam je to relativne hodne standartni, ale stejne, pokud to neni Android One nebo iOS (kde to ale zase clovek zaplati 20x dopredu), tak proste vyrobce vyda max. jednu az dve aktualizace a tim to konci. No to proste bezpecne byt nemuze. Kdyz se clovek podiva, kolik stoji profi IDS/IPS (i jen treba pitoma licence do nejakeho sitoveho zarizeni), tak je jasne, ze tohle by si domu nikdo nekoupil. A pokud vim, tak krome Turise (ktery ma take sve mouchy - treba ze po aktualizaci firmware muzu cekat, ze neco prestane fungovat = pokazde to cele zkontrolovat = cas = penize) zadny "domaci" nebo "malofiremni" router/switch nema nic takoveho jako IDS/IPS, proxy s inspekci provozu, antivirovou kontrolu... Jednak tam chybi vykon a jednak ta prace s tim... Proste to je drahe.

Rozdelit sit na segmenty, nastavit VLANY, virtualni WIFI accesspointy, routing, firewalling, NAT, DHCP, DNS a pod. neni uplne jednoducha prace a clovek o tom neco musi vedet a hlavne mit zarizeni (Router/Switch), ktery tohle podporuje (Za me pro takove domaci vyuziti jedine Mikrotik)To koncove zarizeni si vetsinou vezme nastaveni z DHCP, takze nerozumim tomu, proc bych ji mel nastavovat rucne branu.Oddelit sit JEN logicky na zaklade nastaveni IP protokolu neresi vubec nic. Je opravdu zapotrebi mit bud virtualni LANy nebo fyzicky oddelene LANy (vcetne wifi) tak, aby na sebe ta zarizeni vubec nijak nevidela tzn. ani na ETH vrstve. Kdyz mam tohle, pak je nutne, aby kazda tahle oddelena LAN mela svuj vlastni IP segment s gateway IP adresou, idealne svuj vlastni DHCP server (resi se to jednim + agenty), ktery vsem zarizenim da, co si zaslouzi, abych to nemusel konfigurovat rucne a pak muzu provoz resit firewallem.

No a prave to oddeleni do ruznych VLAN muze byt problem, problem byva u App v mobilu ktera vetsinou nema moznost hledat zarizeni mimo svuj sitovy segment, cloveku pak nezbyva nez to bud vsechno dat do jednoho segmentu, nebo tim stravit dny kdy se to pokousi rozchodit, aby to pak vzdal a stejne vsechno dal na jednu VLAN.
Paradoxne jsou v tomhle "lespi" krabicky ktere si povidaji s cloudem - proste tomu dat jen pristup na Internet(idealne s jinou SNAT IP) a do zbytku site to nepustit.

Kolega vyse ale spis psal o trochu necem jinem, i kdyz tohle mel mozna taky na mysli.Jasny, holt ty broadcasty neprolezou... Leda mit vic wifin a pripojit se tim mobilem o te spravne, kde je to dane zarizeni. Jakekoliv jine reseni (krome toho cloudu) uz nema nic moc spolecneho s BFU :D (i kdyz ono nastaveni tech bridgu a wlanu a vlanu...) Ale ona bezpecnost (a proto ji nemam rad a prestal jsem to delat) je vzdycky draha, vzdycky jde proti efektivite prace a komfortu a vetsinou se resi, az kdyz nastane jenaky pruser. Kazdopadne bezpecne to bude jedine, kdyz to tam vubec nebude a kdyz nebudeme pripojeni k internetum :)

Ale to je to o čem jsem psal .. proč je takový problém u jakékoliv krabičky prostě nastavit (nechat nastavit z DHCP) adreesu v jedné síti a úplně v jiné síti do klienta (namísto broadcastů) prostě nastavit IP té krabičky? Tak jak to fungovalo vždycky "odjaktěživa" v IP sítích ... proč se rezignovalo na to, že jakákoliv taková krabička prostě je normální IP klient se vším všudy? Bude se argumentovat snadným nastavením pro BFU - dobře .. tak se k tomu úvodnímu nastavení použije ten slavný cloud .. krabička má IP , klient si sáhne pro její IP do cloudu a z uživatelského hlediska je to naprosto totéž, ale vezpečnost je úplně nekde jinde - nastavím si routování a FW tak, že z mé domácí sitě je provoz do té "nebezpečné" s krabičkami povolem ale naopak nikoliv .. ať se případné "hrozby" z těch neaktualizovaných a potenciálně velmi nebezpečných zařízení (uzavřene firmwre kde nikdo neví co to dělá) v nejhorším poperou mezi sebou v tom jednoom segmentu sítě, ale domácí síť s počítači a mobily je v bezpečí...

"Je opravdu zapotrebi mit bud virtualni LANy nebo fyzicky oddelene LANy (vcetne wifi)"
Tak tohle se snad rozumí úplně automaticky ... dvě nezávislé routované sítě, nejlépe přes děa fyzické eth rozhraní (při nejhorším VLANy oddělené následně na switchi) .. dát dva IP rozsahy do jedné fyzické sítě sice samozřejmě lze, ale je to úplně stajená prasárna jako ten spoofing...

Naprosto chapu, ze jste museli udelat nejaka rozhodnuti a vysledkem je to, o cem tu ted diskutujeme. Pokud byste sli jinou cestou, vyvoj by trval dele, bylo by to vice prototypovani, vice softwaru, testovani, ladeni, zkratka vice casu a hlane penez. Zkratka, prosli jste nejakym schvalovacim procesem a vypadl nejaky kompromis. Dulezite je, ze se shodneme na tom, ze spoofing neni uplne idealni reseni. Co me vsak prekvapilo, ze jste predtim psal (nebo v jinem vlakne), ze delate pouze monitoring a nyni pisete, ze aktivne zasahujete do sitoveho provozu :) Prave u toho spoofingu je tohle problematicke, protoze proste neco prolezt muze, neco nemusi, neco jde kolem a vubec nespadne do inspekce. Pri nekterych pentestech infrastruktur, ktere jsem provadel byly tyhle techniky leckdy zakazniky zakazane, protoze proste mohly mit neocekavane dopady na provoz. Jak jsem jiz psal, nektera "kvalitni" zarizeni maji velmi "kvalitni" IP stacky, ktere jsou schopne spadnout pri jakemkoliv i minimalnim nestandartnim chvoani. To same plati i o softwaru, ktery nad nimi bezi. Sam jste psal, ze leckdy vubec mate problem to odladit, protoze se to nechova podle RFCcek, takze vite, o cem mluvim. Na druhou stranu rozumim, ze bez toho by to bylo zbytecne.

Ano, spoofing je "hrozna vec" a naprosto chapu, ze technicke lidi to na prvni pohled drazdi. Ale pro dany ucel, s danymi omezenimi a v danem prostredi je to dle meho nejlepsi mozne reseni.
Neni to tak, ze by spoofing nedelal nikde problemy. Ve skutecnosti jsme nad vyvojem "spravneho" spoofingu stravili dost casu, dokonce kolem toho existuje i navrh na patent Zaroven ne uplne kazdy router na svete s tim funguje dobre. V zavislosti na zemi odhadujeme, ze cca 15% routeru neni s ARP spoofingem kompatibilnim a temto uzivatelum produkt momentalne nenabizime (stale muzou pouzit DHCP, ale to je pro vetsinu beznych uzivatelu prilis slozite).Ted si nejsem jisty, kde jsem psal, ze delame jenom monitoring - mozna si to pletetete s tim, ze jsem psal, ze nekontrolujeme LAN<->LAN komunikaci? Do provozu zasahujeme, pokud chceme zabranit hrozbe - jinak by cele reseni melo podstatne mensi hodnotu. Poslat uzivateli zpravu, ze nekdo se uz prolomil dovnitr, ma mensi hodnotu, nez mu napsat, ze se pokousel prolomit

Pouzil bych neco takoveho: https://www.microchip.com/wwwproducts/en/KSZ9896

Preposle je tam ta krabicka. Ona vlastne ukradne IP adresu tomu zarizeni. Ale jen na oko. Funguje to tak, ze nejdrive cmuchate na siti, jake IP adresy tam komunikuji (pripadne uz vite, na jake IP chcete utocit), pak si k nim zjistite MAC adresy a pak pomoci floodingu zaplnite sit falesnymi odpovedmi na ARP dotaz who-has, cimz vicemene vsem strojum na siti prepisete (otravite) zaznamy v ARP tabulkach, s kym maji fyzicky komunikovat. A oni pak misto na pravou cilovou fyzickou adresu poslou paket vam. Vy s nim neco provedete (nebo taky ne) a preposlete ho na tu cilovou fyzickou MAC adresu, kterou mate ulozenou ve vlastni neotravene arp tabulce.

Jo aha, ted uz tomu rozumim. Jasny, takze vlastne veskery traffic (a to logicky nejenom od routeru i mezi jednotlivymi prvky v siti), je presmerovany pres tuto krabicku pomoci neutichajicicho volani "poslete mi vsechno sem".Tak to by mne opravdu zajimaly zatezove testy, nejenom speed test, ale presuny dat z jednoho pc do druheho atd.. (i kdyz je pravda, ze tohle asi obycejna domacnost resit nemusi.. ale jestli si nekdo doma postavil 10GBs sit, nebo ma wifi6)

Takze i veskery ping (a tracert) skonci u tohoto zarizeni?

Ne, neskonci. Ale projde pres nej.

Zalezi, jaky hajzlik to zarizeni ma pod kontrolou ;) Ale v tomhle pripade to asi bude jak pisete.

Presne jak pisete. Za normalnich okolnosti to asi ani nepoznate, pokud zrovna netahate filmy sem a tam. Blby je, ze obcas se neco nemusi domluvit, obcas neco muze spadnout a takovy veci se hrozne blbe hledaji (nevite jestli to je SW problem, HW problem nebo problem takovyhohle boxu). Zkratka, resit to takhle je spatny, ale pro bezneho BFU zadna jina moznost moc neexistuje.

Dobry den, delam pro Avast a na vyvoji Omni se vyrazne podilim. Provoz mezi LAN zarizenimi se nefiltruje. Soucasny HW zvladne maximalne kolem 600Mbit provozu, tj. zprave z duvodu lokalnich siti, NAS komunikace apod. se kontroluje jenom provoz LAN<->router<->Internet.

Zneuziva to slabiny ve velmi starem protokolu, kdy spolu zarizeni na stejne IP siti (to se pozna podle zdrojove a cilove IP adresy a masky site - tj. treba te 255.255.255.0) nekomunikuji pomoci IP adres, ale pomoci MAC adres. Tj. musi existovat zpusob, jak v siti prevest neci IP adresu na jejich MAC adresu. A ten zpusob se jmenuje ARP (Address Resolution Protocol).Kdyz chce tvuj pocitac poslat nejaka data na router a dal do internetu, musi ze sve sitove karty poslat paket (resp. datagram) na router. A kdyz nevi MAC adresu routeru, musi ji zjistit. Takze posle vsem zarizenim v siti dotaz - "kdo ma IP adresu 192.168.0.1?" (nebo jinou, pochopitelne, podle adresy routeru, ktera je v domacnosti defaultni branou.Na tu pak router obvykle odpovi - "to jsem ja, MAC adresa pro IP adresu 192.168.0.1 je 00:11:de:ad:be:ef". A pak tvuj pocitac (nebo treba mobil) muze poslat data na tu MAC adresu. Takhle to funguje u vsech zarizeni v lokalni siti, zjednodusene "co je za jednim routerem", Tyhle ARP dotazy neprochazi routerem "na druhou stranu".No a ARP spoofing (ktery tohle zarizeni pouziva) funguje tak, ze to zarizeni ("utocnik") odpovi driv nez ten router (obvykle proste posila spousty nevyzadanych odpovedi uz predem) a tvrdi, ze MAC adresa pro 192.168.0.1 je ta jeho. Tj. misto aby data z tveho PC odesla primo na router, tak odejdou k utocnikovi (protoze tvoje PC si mysli, ze jeho MAC adresa patri k IP adrese routeru). Ten se pak na prichozi data podiva a nasledne je preposle dal na spravnou MAC adresu, kterou zna.Obdobne "podstrkuje" svou MAC adresu routeru, ktery chce poslat data tvemu PC, aby videl obraceny smer toku dat (od routeru k tvemu PC). Tj. router neumyslne podle data tomu "utocnikovi", misto aby je poslal tobe. A k tobe se dostanou od utocnika, az si je prohledne.Byla to celkem bezna, oblibena a uspecna technka utoku pred cca 15 lety, sam jsem ji mockrat pouzil. Dnes uz tak "nefrci", protoze sitova zarizeni se ji dokazi celkem efektivne branit a ve firemni sfere to je ta obrana casto zapnuta.

Takze je to tak, ze provoz v siti je presmerovan pres tuto krabicku? Takze kdyby napriklad uzivatel omylem tuto krabicku pripojil nekvalitnim kabelem, tak tim muze teoreticky zborit celou sit? Nebo napriklad pokud ma reseni 100 Mb/s router a pak 1Gb/s switch a tu krabicku zapoji primo do routeru, tak tim padem zpomali celou vnitrni sit na 100 Mb/s ?

Ano. Ale tohle zarizeni je urceno pro domacnosti, kde o siti nevedi nic a maji maximalne par beznych zarizeni pripojenych primo k routeru a par dalsich na WiFi (poskytovanou stejnym routerem). Tam to nevadi.Kdo resi veci jako NAS a VLAN, tak si to skoro urcite nekoupi.

Za největší zhovadilost považuju současnou "módu" všechny ty krabičky (TV, HUE, Chromecasty) připojovat do stejného segmentu sítě jako "ovladač" (mobil apod) aby to fungovalo .... někdo by jim měl vysvětlit, že IP prokokol se dá routovat a pár položek v klientovi navíc (gateway, cílový subnet nebo IP adresa toho zařízení) nikoho nezabije a bezpečnost domácí sítě by takovým routovaným subnetem za firewallem byla prakticky vyřešena.

Podive se nekdy do diskusi, kolik lidi ma problem napojit UniFi AP na controller, ktery neni ve stejnem sitovem segmentu. A to je u lidi, kteri jsou "sitari" a meli by alespon zaklady vedet.Taky mam doma oddelene site pro vse mozne. Ale kdyz vyrabis svuj produkt pro "zakaznika obecneho", nemuzes bohuzel cekat lepsi schopnosti a znalosti nez "zapojit a podivat se, jestli to blika". Pripadne jestli to automaticky najde aplikace na mobilu.

Ale to nastavení se dá udělat tak, že si ty krabičky a klienti budou povídat někde přes cloud .. to je v pohodě .. zapojíš krabičku, připojíš klienta a oni domluví nastavení IP/subnet a GW .. nic víc není potřeba ... pro uživatele se nic nemění a bezpečnost je úplně někde jinde (kdo chce nic neřeší a nechá to tak jak je to dnes) .obecně pokládám jakékoliv autokonfigurace přes něco jako naprosté zlo ... kdo provozuje elektrický spotřebič taky musí řešit počet fází a příkon .. kdo proozuje IP zařízení, měl by alespoň mít možnost to jako IP zařízení provozovat a nastavení IP a GW ovlivnit

Tak jen drobna otazka - jak se klient dozvi, ze ma z cloudu vytahnout IP adresu prave te tve konkretni krabicky? Podle vytisteneho stitku s unikatnim kodem na krabicce? Tim otviras dalsi zdroj problemu a musis udrzovat nejaky cloud (ktery mozna predtim nebyl potreba), resit bezpecnost, expiraci certifikatu, ...Ono to "jednoduche" obcas zacne byt slozite, kdyz se zahrabes do detailu a chces, aby se ta krabicka v nezmenene podobe prodavala jeste treba za 5 let.

"jak se klient dozvi, ze ma z cloudu vytahnout IP adresu prave te tve konkretni krabicky? Podle vytisteneho stitku s unikatnim kodem na krabicce?"
To je samozřejmě jedna z možností. Jednodušší a více user-friendly by to bylo například tak, že ten "cloud" prostě spáruje veřejnou IP nové krabičku (krabičky v nějakém objevovacím režimu - HUE např blikání minutu po stisknutí toho obr tlačítka) a veřejnou IP klienta který zrovna vyžaduje připojit k té krabičce .."kdyz se zahrabes do detailu a chces, aby se ta krabicka v nezmenene podobe prodavala jeste treba za 5 let."
To jistě ano ... ale výhoda toho je, že i za pět let - pokud to půjde nastavit zároveň i ručně (což by právě měl být ten úplný základ) - se bez toho cloudu případně tokážu obejít. HUE a podobné věci beztak cloud používají. U levných šuntů z číny za dolar je jasné, že tohle nikdo nebude řešit.

Verejna IP je Vam buhuzel na discovery v mnoha pripadech k nicemu, treba pokud jste za CG-NATem, coz uz je dneska u velkych ISP bezne. Rozhodne souhlasim s tim, ze mit moznost pridat tu krabicku do App rucne by melo byt dobrym zvykem. Ostatne presne tak funguje treba Kodi / Kore (Kodi remote), je tam autodiscovery, ale clovek muze zadat parametry i rucne, pak muze Kodi sedet v uplne jine siti, klidne za NATem a clovek si to proste nestavi podle sveho.

Ano, Kodi je nádherný příklad toho jak to lze udělat uživatelsky maximálně přívětivě a přitom ponechat možnost si to nastavit podle sebe.

Ono to slovo presmerovat neni v tomhle pripade uplne spravne (i kdyz cesky to tak v podstate je). Smeruje smerovac, tudiz router. Tady ta techika zadny router nepotrebuje. Staci etherentovy prepinac (switch) nebo opakovac (hub) - funguje to i na starych sitich typu token ring, kdy byly vsechny pocitace propojeny “jedinym pruchozim” kabelem. Tady nedochazi k presmerovani, ale k cilenemu napadeni vnuceni zmeny parametru harwaru nebo softwaru.

Spousta lidi (rekl bych valna vetsina) o jejich aferach nebo prezitosti software nema ani paru. Proto si muzou dovolit vyvinout a (hlavne) v Americe prodavat takovouhle vec. A vzhledem k tomu, ze se najde spousta lidi, co si da domu smiraka typu Alexa, je jim uplne jedno, ze tak maji nejakeho dalsiho. Krome toho, vsichni mame mobily a kdo vi, kolikrat nas poslouchaji, kolikrat poslouchaji provoz na wifi, analyzuji ho a preposilaji buh vi kam. Vzhledem k tomu, ze mam vecne vybitou baterku, tak mam pocit, ze nedelaji nic jineho :D

eset je ten nej odpad, ještě horší, než avast. v bejvalý práci měla baba na starosti finance, měla na win7 eseta, a ten ji jednoho dne při otevření bankovnictví(zabezpečenýho kartou) napsal: eset ochrání vaše bankovní blabla a otevíral dokola další okna prohlížeče. okamžitě šel do míči nehledě na ňáký licence.

KiLLa

Zadarmo jooo, treba by se to dalo na neco prestavet :)

A v cem je desktop s windows lepsi? Vidis do toho? Vis co a kam posila a jak komunikuje?

To je nutne zlo, kteremu se nevyhnete. Nebo jo, ale pak tu sit zruste rovnou celou :) Hlavne nezacinejte debatu o tom, jak je Mac nebo Linux lepsi...

Tak z hlediska pohledu dovnitř, co systém dělá je Linux určitě lepší v každém případě

Jasny, Linux je nejlepsi, nikam nic nebonzuje, nema zadny zranitelnosti, je uzivatelsky nejprivetivejsi, je kompletne dotazeny a vlastne tak nejak obecne, nema zadne neduhy ani problemy :)

Buď to dělá něco jinýho než za jakým účelem to je marketingovaný, a nebo jako ostatní produkty AVAST/AVG je to jenom past na hlupáky.

Protože https://haas.nic.cz/ a od Avastu dostaneš diplom: " Dobrák od kosti, ale je to i*d*i*o*t! ...

:D

Co jsem z toho pochopil tak oni míří na použití v domácnosti kde zákazníci moc bezpečnosti nerozumí. Většina lidí co znám tak nechávají nastavení od ISP a u nás v okolí neznám žádného ISP který by takhle zabezpečoval zákaznický router(myšleno normální klient,ve firmách je to už jiné) ,aby tohle nešlo použít.

Router pošle datagram do domácí sítě a stejně do té samé domácí sítě přijde odpověď .. no a když si někdo v té síti bude měnit MAC adresy a předstírat že je někdo jiný, tak ten datagram odchytne .. naštěstí tohle řeší obyčejný menežovatlný switch za pár korun (např. TP-LINK TL-SG105E za necelé pětikilo...)

A kolik BFU ma spravne nastaveny router / switch? Je to presne pro ty, kteri maji flat sit s defaultni konfiguraci gatewaye. BFU koupi u zelenyho zmrda v nedeli ve tri rano router, prinese ho domu, strci do nej kabel, zespodu se podiva na nazev Wifi a heslo a trada. A ja se tomu vlastne ani nedivim, proc by mel byt tlacen k cemukoliv jinemu? Ne kazdy je blazen, aby rozklikal nastaveni routeru/switche do posledni polozky :)

Mimochodem tohle neni ani tak moc o routeru, jako o switchi. Mininum lidi ma doma vice fyzicky nebo logicky oddelenych siti, kde je potreba routing (mimo ten do netu samozrejme)

Od jakživa platilo že za provoz (směrování) v síti je zodpovědný router a za blokování čehokoliv firewall s dobře nastavenou inspekcí... za tyhle prasárny kdy se vlastně uměle "rozbije" správná konfigurace sítě by se mělo věšet do průvanu - to si může dovolit ten, kdo přesně ví co dělá a proč to dělá a bude mít nad tím kontrolu...

No hlavne by to nemel pustit switch, tahle ochrana v tech lepsich samozrejme je. Oni totiz kdyz to v ty DARPe v tech 70 letech vymysleli, tak byli radi, ze jim to krasne a jednoduse funguje na koaxovem tokenringu. Netusili (i kdyz oni teda zrovna asi meli a mohli takovou vec odhadnout), ze se kolem 90tek a pozdeji tahle vec rozsiri do celyho sveta, do kazdy firmy a do kazdy domacnosti a hlavne, ze se najde dobytek, co to bude chtit nejak napadnout, aby to nejak zneuzil.

A vidite. Je to tu :D A s dobrym marketingem se to bude prodavat jak vino. BFU vi prd a je mu to jedno, jen se bude rozcilovat, ze to ma pomaly, ze mu tu a tam neco nefunguje a tak. A pak vam zavola, jestli byste se na to nemohl prijit podivat :D A po celodennim patrani po problemu probehne neco jako: A kde mas ten router? Jo tady, hm, to asi bude pekan sunka, kdyz ani reset do tovarniho nastaveni nepomohl.... Hm hm. A co je ten kram tamhle na tom druhem konci dratu schovany v komore? :D

Dobry den, rozumim tomu, ze ARP spoofing je kontroverzni tema. Ale mate napad, jak to pro BFU vyresit lepe a zaroven stejne jednoduse?
PS: V clanku to nepisi, ale pro pokrocile uzivatele lze Avast Omni prepnout do rezimu DHCP serveru, coz ARP spoofing zcela vypne.

Když už tak tohle má dělat ten router přes který ten veškerý provoz jde s nějakým rozumným vestavěným menežovatelným switchem (a ne s těmi čtyřmi nebo pěti porty switche které jsou dnes u většiny SOHO zařízení absolutně mimo kontrolu). Připojovat takové zařízení do segmentu sítě je holý nerozum.

Taky mám "router" od poskytovatele, který je úplně k ničemu, proto za ním mám ještě Turrise, na kterém si nastavím vše co chci.

router od UPC si prepni do rezimu bridge a za nej si dej poradny router, jako treba ten Turis. Sice prijdes o venkovni IPv6 adresu, ale ta je ti stejne k nicemu. A je po problemu.

Proc by mu IPv6 byla k nicemu? Naopak muze byt dost uzitecna.

Prispevatel si stezuje na router od UPC. Pokud chce neco lepsiho, pak bridge mode a zatim treba Turis je rozhodne, neco co vyresi jeho problem. Narozdil od IPv6 ztraty, kterou vpodstate nevyuzijete. O tom prispevek je, ne o IPv6 a kdo to na co ma nebo nema. Protoze v bridge modu na modemu od UPC nelze IPv6 provozovat. To je cele.

klasicka domaci sit je z venku neviditelna a nikdo se do ni nedostane\ musi se spustit sw uvnitr site , takze kdyz budete zapinat jen overene sw neni se ceho bat, naopak pokud mate verejnou sit nic vam nepomuze, snad jen ochrana od cloudflare https://www.cloudflare.com/en-au/security/ alemeli byste vzit i tu ddos ochranu

Vubec, posle to na analyzu do cloudu :D

Dobry den, disclaimer: pracuji pro Avast a na vyvoji Omni se podilim. Mate pravdu, ze sifrovani je industry-wide problem pro network security.
Libovolne zarizeni v siti urcene pro domaci siti vam desifrovani nemuze delat - musel byste donutit vsechny klientska zarizeni, aby verila certifikacni autorite na tom zarizeni, coz prakticky nelze.
Proto se MITM dela typicky jenom na endpointech, kde si to antivir muze dovolit (delaji to vsichni, protoze musi).
Proto je potreba divat se na metadata provozu a brat vse, co je dostupne - DNS, SSL hlavicky, atd.
Je potreba si uvedomit, ze krabicka neni urcena jako nahrada antiviru na vasem PC - to by byla hloupost. Ale je uzitecna pro zarizeni, ktera jinak, nez na siti, ochranit neumite (chytre hodinky).

Díky za odpověď.
Je mi jasné, jaké možnosti to zařízení má. Proto také ta moje skepse vůči zařízení - a jeho pozicování do role antiviru. To, že článek výslovně uvádí (hned ten bombastický nadpis) toto zařízení jako antivirus není problém váš a Avastu, ale redaktora.

To ovšem vůbec neřeší funkci antiviru, který má být dle článku hlavní funkcí té krabičky.

Zdravim, disclaimer: pracuji pro Avast a na vyvoji Omni se vyrazne podilim. Delat ARP spoofing "dobre" je docela veda tak, aby to fungovalo dobre, nezahlcovalo to sit a zaroven treba nevybijelo baterky mobilu pripojenych pres wifi. Realne se nespoleha na "race" v siti, to by nestacilo.
Jinak mate pravdu, JA3 otisky TLS handshaku a dalsi metadata informace jsou presne to, s cim je potreba pracovat.

Presne Pripomina mi to filtr kohoutkove vody, ktera sama o sobe splnuje nejprisnejsi normy, od Amway za 60 litru. Ktera je pry po prefiltrovani opravdu lahodna

Zdravim, disclaimer: pracuji pro Avast a na vyvoji Omni se vyrazne podilim. HW zarizeni je bohuzel pro ucely zabezpecni na urovni site (coz je nutne pro zarizeni, kam proste zadne zabezpeceni nedostanete, napriklad chytra pracka) nutne. Verte mi, ze kdyby se to jednoduse dalo delat bez toho, usetrili bychom si dost starosti
Z veci, na co vas Omni umi upozornit:
- safebrowsing (jak na urovni DNS, tak Host: headeru v HTTP ci SNI v HTTPS) a to na libovolnem portu komunikace.
- kontrola prichozich spojeni do vasi site (pokud mate port forwarding) dle casto aktualizovanych blacklistu
- bruteforce protection proti incomming spojeni z venku (divil byste se, kolik lidi ma SSH na svuj NAT povoleny do Internetu a ani o tom nevi)
- kontrola anomalii trafficu, zvlaste pro low-profile zarizeni typu IoT, ktere ma pomerne predvidatelny prubeh trafficu. Pokud vam nekdo hackne kameru a ta zacne utocit na zbytek Internetu, neni tezke to poznat.
- kontrola spojeni z vasi site smerem ven na zname CNC serverySamozrejme se pracuje na dalsich vecech typu kontrola UPnP provozu (divil byste se, kolik zarizeni si chce nechat povolit port forwarding), kontrolu stahovani payloadu po http (vetsina utoku na IoT zarizeni je stale bez sifrovani) a dalsi.Antivir vam to nenahradi, ale to neni cilovka.Krome security to cele umi i parental control featury typu "zakaz porno temhle zarizenim" a tak.

Turis smysl ma, tohle teda rozhodne ne, jak rikam ani zadarmo.

S takovym ultimatnim argumentem nema smysl polemizovat

Kolikpak v té vaší krabičce najdeme vykradeného open-source software?Co to vydat všechno jako open-source?

Zdravim vas, obavam se, ze dle dikce vasi konverzace vas zadna ma odpoved neuspokoji.Asi muzu prozradit, ze krabicka bezi na Linuxu. Nevim, jestli uz to povazujete za "vykradani opensource", kazdopadne vas muzu ubezpecit, ze zadnou open source licenci neporusujeme (ano, vime jaky je rozdil mezi GPL, LGPL atd.). Komunite se snazime prispivat zasilanim patchu problemu, na ktere prichazime.
Open sourcovat nas vlastni software bezici na zarizeni jsme uvazovali, v teto chvili to neplanujeme, povazujeme to za dulezitou soucast know-how.

Když se tp udělá dobře, opravdu by to mohlo být spouště BFu k užitku .. ale proč proboha tu inspekci a cpete do nějakého puku a komlikujete sobě i uživatelům život spoofingem když namísto "bezpečného puku" toho můžete prodávat "bezpečný router" a tu inspekci dělat tam ... bude mnohem čistší řešení, pro Vás o dost jednodušší s potenciálně mnohem vyššími možnostmi .. nechápu tohle řešení krabičky do sítě ...

Zdravim, podotykam, ze stejny software (bez arp spoofingu) dodavame i na routery skrze poskytovatele Internetu - bohuzel si to na OEM routeru koupit nemuzete.
Rekl bych, ze tech motivaci je vice. Vyvijet vlastni router je velmi tezka uloha a konkurovat zavedenym cinskym znackam je problem. Uprimne, udelat projekt typu Turrise je komercni nesmysl (pokud to nemate tezce dotovane) - na trhu je velmi malo lidi, kteri si to za ty penize koupi. S touhle krabickou muzete pokryt cca 80-85% routeru.
Technicky naprosto souhlasim, ze je router proste lepsi misto, kde delat sitovou bezpecnost. A myslenky na segmentaci site, ktere se daji na routeru vyrazne lepe, taky mame. Problem je, jak se dostat na trh (kde globalne, vetsina uzivatelu ma router od sveho ISP a staci jim to). Momentalne to zkousime pres ISP partnery.

Zdravim, disclaimer: pracuji pro Avast. Omni umi fungovat jenom v jednom IP segmentu site. Tj. pokud mate oddelene VLANy, nebo dokonce jenom IP rozsahy bez VLAN, musite si vybrat, jakou sit chcete chranit a podle toho Omni pripojit.

Dobry den,
na vyvoji Avast Omni jsem se vyrazne podilel a soucasne jsem za to, co se deje v krabicce technicky zodpovedny. S cim konkretne mate problem? Jsem ochotny to technicky probrat, ale bez mlaceni

Mám problém s tím, že se to bude prodávat lidem jako samospásné řešení, ale už se jim neřekne, že veškeré statistiky jejich komunikace, půjdou někam do firmy, co prodává osobní data svých klientů..Jaké to je, pracovat pro někoho, kdo prodává osobní data a přitom je má chránít? Stydíte se za sebe?

Dobry den,
necitim se uplne v pozici komentovat vas pomerne jasne vyhraneny nazor na kauzu Avastu s jeji divizi Jumpshot, ktera se na zaklade kauzy kompletne zavrela minuly rok.
Pokud byste mel zajem se na veci podivat i z jineho uhlu, zkuste si precist napriklad tento clanek: https://sparktoro.com/blog/avasts-shutdown-of-j...
Pokud mate technicke otazky, pokusim se odpovedet.

Clovek by se az skoro rozbrecel z nabyteho dojmu, ze to bez vas ani snad nemuze fungovat ta nebezpecna sit internet. Hrozny prodejci s teplou vodou. :)

Dobry den,
disclaimer: pracuji pro Avast a na vyvoji Omni se podilim (a tudiz vim presne, co se uvnitr deje). jestli jste cetl diskuzi pozorne, muzu se zeptat na zaklade ceho jste dosel k tomu, ze to je k nicemu a vlastne to nci nedela? Realne to totiz veci, jako Suricata IDS, dela (deep packet inspection, aplikovani politik, kontrola provozu vuci databazi spatnych domen, IPs, URLs...[aktualizovanych kazde 2-3 minuty]).
Diky za odpoved.