Stránky

Výpis článků se štítkem bezpečnost.

Hloupý úvod do asymetrického šifrování

Asymetrické bych přeložil jako nesouměrné.

Běžné šifrování (symetrické) funguje zhruba takhle:

  1. Mám zprávu a heslo.
  2. Pomocí hesla změním zprávu k nepoznání a nepřečtení.
  3. Pošlu zašifrovanou zprávu Adresátovi.
  4. On si ji pomocí hesla převede zpět…
  5. …a přečte.

To má praktické nevýhody - vlastně jednu velikou - jak se adresát dozví to heslo? Asi těžko mu ho můžem poslat předem a nebo přiložit ke zprávě - to by bylo jako napsat si PIN fixkou na kreditku.

Asymetrické šifrování je ale jinačí. Odesíleatel i Adresát mají každý dva klíče - jeden soukromý a druhý veřejný. Soukromý je tajný a mají ho bezpečně uložený každý u sebe, nikdy ho nedají z ruky. Druhý je veřejný a ten můžou rozdávat. (Oba dva klíče jsou ve skutečnosti něco jako skaradlouhá hesla - kusy textu.) Nějaká kouzelná matematika (které nerozumím, ale jde v ní o odmocniny a prvočísla) pak umožňuje následující:

  1. Odesílatel má zprávu.
  2. Pomocí kombinace svého soukromého klíče (tajného) a Adresátova veřejného klíče, který si předem opatří - třeba z netu nebo z předchozí komunikace, zprávu zašifruje.
  3. Pošle hromadu textu.
  4. Adresát si pomocí veřejného klíče Odesílatele a svého tajného soukromého klíče, zprávu rozšifruje a přečte.

Je to magie, ale ani jedna strana nemusí dávat svoje tajemství z ruky - soukromé klíče jsou pořád v kapse :-) Jediný chyták je v předání veřejného klíče druhé straně - Odesílatel si musí být jistý, že opravdu šifruje správnému Adresátovi a že mu nikdo nepodstrčil svůj klíč, pak by si mohl číst jejich poštu - to se řeší tak, že si třeba zavolaj a poví si něco jako:

O: Hele přišel mi mail s tvým privátním klíčem, je opravdu od tebe a je ...(takový a makový)...?
A: Jj to sedí, můžeš si ho uložit a používat ho k šifrování zpráv pro mě, kdybych měnil klíče, dám vědět. Pá

A nebo se "optaj" někoho už ověřeného jako:

O: Hele, mám tu veřejný klíč XY, je to opravdu klíč pro Adresáta?
Autorita: Jj, to sedí a furt je platný.

Asymterické šifrování se používá hodně, a používáme ho všichni, při aktualizaci Widows, přihlašování do mailu nebo internetového bankovnictví - často o tom ani nevíme, protože to za nás pořeší počítače, ale je dobré mít přehled, pak se dá použít i pro šifrování emailů, podepisování dokumentů a podobně.

Tento článek je jen jeden z podkladů pro články budoucí. Rád přijmu připomínky a případně ho upřesním.

Soukromí v emailu

„Soukromí všichni očekáváme, ale nikdo si ho neváží.“

Překvapivě málo nám vadí stále častěji dokazovaé případy sledování našich emailů, zapisování, archivace a analýza našeho pohybu po internetu a úniky osobních dat. Shrňme si to: všechny informace o nás, které má google, youtube, yahoo, microsoft a další velcí hráči jsou i do rukou vládám - nejčastěji vládě USA. Ta si je ukládá a třídí.

„Ale já si tam nic tajného neposílám.“ Nemusíte zrovna posílat plány na konstrukci bomb z autobaterií, pro někoho by jistě byla zajímavá i korespondence s rodinou, osobním bankéřem, výpisy z bankovího účtu, faktury z eshopů nebo dopisy obchodním partnerům. A to, že nikoho nezajímají teď, se můžu snadno změnit, pokud se stanete někým důležitým.

Už teď umíme zašifrovat email tak, aby ho dokázal přečíst jen adresát, rozšířené jsou dvě technologie:

S/MIME

V případě S/MIME vám nějaká autorita - velká bezpečnostní firma, neziskovka nebo např. česká pošta vystaví doklad o tom, že jste vlastníkem emailu - součástí toho dokladu jsou dva klíče (jsou to dlouhá hesla - opravdu dlouhá), Váš email a občas i Vaše jméno a příjmení. Jeden z klíčů je veřejný a druhý je soukromý. Soukromým klíčem můžete podepsat email a pokud má adresát vašeho emailu rozumný program - zobrazí se mu, že správa byla podpesána a autorem zprávy jste skutečně vy, za to se zaručí ta autorita, která certifikát vydala.

Pokud má Váš adresát taky S/MIME, pak pokocí kombinace svého soukromého klíče a jeho veřejného, můžete email zašifrovat tak, že nikdo krom něj si ho prostě nepřečte.

PGP

Druhou možností je PGP, ta vypadá podobně, taky máte dva klíče (soukromý a veřejný), taky můžete podepisovat a nebo rovnou šifrovat, ale za Vaši identitu a neporušenost zprávy se nikdo nezaručí. Klíče si vygenerujete sami přímo v mailovém klientovi a lidem, kterým chcete posílat bezpečné emaily, dáte váš veřený klíč třeba na papírku - oni si ho pak přidají do adresáře veřejných klíčů a budou moct otevírat zašifrované zprávy od Vás.

Zajímaly by Vás články a návody na podobná témata? Já bych o tom rád psal, ale nevím moc jak to uchopit.. :\ Budu rád za konkrétní náměty do komentářů.

Tipy pro Duplicati

Milí,

pro zálohování používám a doporučuji Duplicati, není to ideál, ale lepší program jsem nenašel.

Co mi vadí:

  • Celý program vypadá jako průvodce (ang. wizzard) spíše než jako program. Podle mě by bylo nesrovnatelně přehlednější mít něco jako kontrolní panel zobrazující stav jednotlivých úkolů a průvodce použít volitelně pouze při zakládání zálohy a obnovení.
  • Program dělí soubory do balíků po několika MB (lze nastavit), mrzí mě že není možné zadat, aby se tyto balíky chovali pružněji a např. když mám 20MB fotku, tak ji nedávali do balíků po 1 a půl fotce, ale raději po dvou fotkách i za cenu překočení velikosti.

Co je důležité:

Nastavte si raději více menších záloh než jednu zálohu mnoha adresářů => např. zálohujte raději Fotky, Lightroom katalog, Dokumenty, Maily a Účetnictví než "domácí pc", kde navolíte všechny tyhle složky.

Vždy když volíte kdy se má dělat plná záloha a kdy jen inkrementální a kolik plných se má nechávat na serveru myslete na to že:

  • Vždy mějte alespoň dvě plné zálohy, duplicati obsahuje chybu a může vymazat plnou zálohu než založí novou, což je fatální pokud by byla zároveň tou poslední, protože inkrementální zálohy jsou bez počáteční plné zálohy k ničemu.
  • Plná záloha se nahrává velmi dlouho, protože se všechno znovu tlačí někam na internet.
  • Pokud obnovujete data potřebujete všechny inkrementální zálohy od včera do minulosti až po poslední plnou => to všechno se stahuje do počítače, rozšifruje a rozbalí.

Cítím, že nejsem s Duplicati spokojený... podle mě není dobré na takové objemy... tlačit cca 100GB každý měsíc na web je na dlouho a pruda :-/

Budoucnost je nejspíš v ZFS a jeho fantastickém snapshotingu - ale nejsem si jistý, jestli mu chci už svěřit svoje zálohy :D (navíc vyžaduje silnější mašinu než aktuálně používám pro svůj sevrer) Pokud bych ho nasadil, tak bych jen jednosměrně synchronizoval svoje adresáře se serverem a zálohoval až tam třeba 3x denně bez jakékoli práce navíc.

Bohužel zde vznikají další komplikace, jako instalace rsync na windows, řešení šifrování a podobně.. což je dost pruda.

Článek není nic moc... ale ty tři tipy uprostřed jsou fajn, ne? :D

Jak šifrovat soubor před nahráním na uložto.cz

Milí, na internet unikl seznam dobrovolných hasičů. Je to trapas, ale není to nic divného. Soubor byl nejspíš příliš velký na odeslání emailem:

A tak se uživatel rozhodl použít sdílecí server... a udělal úplně správně. Jen s jednou malou chybičkou: soubor nezašifroval.

Kudy tedy do toho?

Mě se líbí AxCrypt, jde o program, který se integruje do Windows a pak můžete šifrovat stejně jednoduše, jako děláte archivy (zipy) - přes druhé myšítko.

Jak to tedy mělo být správně?


Uživatel sepíše dokument, chce ho odeslt kolegovi, ale zjistí, že mailu se nechce, tak ho zašifruje, nahraje na uložto, uschovnu, czshare, edisk, minus nebo na web, brnkne nebo pošle smskou heslo a mailem odkaz na soubor. Po stažení soubor odmázne - zbytečné nechat to válet na netu zbytečně dlouho.

Tak by dosáhl poměrně rozumného poměru námaha/bezpečnost, ale samozřejmě pokud někdo pracuje pravidleně z tolika osobními údaji hodilo by se mít stanovená nějaká úpravidla: bezpečnostní politiku, která by stanovila např. širování disku, způsob záloh, jakým způsobem je možné data vydat, pravidla skartace a podobně.

O jednom hacknutém Wordpressu

Našel jsem na disku v práci uložený web, který jsem před nedávnem odhackovával :-) Tak o tom napíšu článek:

Začátek

Ozvala se mi kamarádka, že prej jí přišlo upozornění od webhostingu, že je prý něco špatně s jejich reklamou na webu a jestli to nenapraví, tak jí prý vypnou web. A jen tak mimochodem mi povídala, že prej když jde její maminka z googlu, tak se tam nedostane.

Začal jsem tedy řešit reklamy a všechno vypadalo jako obvykle... hmm, tak kde je potíž.. Tak jsem začal obecnou kontrolou.. obvykle začínám od .htaccess, protože to je první soubor na řadě poté, když uživatel přijde na web.

Našel jsem tam prapodivný kód, (který už nemám), který uživatele, co přišli z googlu, yahoo, asku a dalších vyhledávačů posílal zpět :-) Prostě lidi, kteří si vyhledali web na googlu odpálkoval zpátky. ($$$) A odtušil jsem že je něco špatně.

Záloha

I nakažený web je lepší než žádný web, takže jsem začal stahovat komplet web přes FTPS na můj počítač. Trvalo to velmi dlouho… hmm :-\ Ok zkontroloval jsem soubory, instalaci Wordpressu už celkem znám a soubory jako san.php nebo che.php nemaj v hlavním adresáři co dělat, ale vzhledem k tomu, že tyhle soubory kyžtak přepíšu, nechal jsem je zatím tam a hledal pročpak stahování tak trvá.

Proč to tak trvalo? V jedné složce bylo nacpaných 1700 php souborů… malých webovek, které zobrazovaly kombinace 400 pornofotek z další složky webu mé kamarádky. Někdo zkrátka použil její web jako multihosting pro celou řadu pornostránek!

Takže pro shrnutí: Kdo si chctěl vyhledat její web, měl smůlu, místo toho její stránky fungovaly jako 1600 malých webů s klíčovými slovy jako "free harde porno movie" "europe under age porn" "father and little daughter porn" ... zajímalo by mě, jak by se český zákon stavěl k vině/nevině kdyby tam bylo něco prudce nelegálního.. (autorská práva se přeci jen zatím u porna moc neřeší).

To ale není vešchno.

Virus také vložil do všech stránek reklamu na jakési kasíno, která vedla na web, který mi okamžitě zakázal můj antivir :-) Takže i nakažení počítačů čtenářů webu => hrozilo, že se pejkařský web dostane na černé listiny prohlížečů.

Pro zajímavost, k nakažení všech článků stačil 35 řádkový skriptík, který si zjistil heslo k DB, jméno tabulky a končil:

UPDATE $tb
    SET post_content = CONCAT(
       post_content,
       '".base64_decode('PGEgaHJlZj0iaHR0cD...aWE8L2E+')."'
       )"

Base64_decode je levný trik jak skrýt obsah... ve skutečosti se pod ním skrývá odkaz na "Online Casino Australia".

To ale ještě není všechno.

Dneska. když jsem si znovu zběžně prohlížel soubory toho nakaženého webu jsem v něm našel zip archiv "london.zip" :D a v něm můj antivir našel 2 viry.. :) takže zvědavý nezvaný čtenář, si mohl i odnést něco napamátku :-)

To ale ještě není všechno.

Už mě napadá jen poslední věc, které bych se na internetu nechtěl účastnit a to je rozesílání spamu… ano i to! Na jedné adrese kamarádčina webu se objevil mazaný formulář na rozesílání spamu… stačilo aby se na něj kdokoli připojil a mohl odeslat hromadu mailů pod falečnými adresami, u kterých ale bylo možno dohledat odkud přišly => ano ano, web mohl spandout i do spamových blacklistů…

Spamerovi se nakonec ještě objevila veselá hláška:

Jak to dopadlo?

Web jsem přemazal, přeinstaloval, změnili jsme hesla. Zjistil jsem že hackovací robot přišel nejspíše přes zákeřný nebo neaktualizovaný doplněk Wordpressu. Odkazy z článků si odstranila kamarádka sama.

Jak se tomu vyhnout?

  • Nenasazovat WP tam, kde není třeba.
  • Instalovat jen pluginy, které jsou nezbytné.
  • Pluginy a šablony, které nepoužíváte vymazat, ne jen deaktivovat.
  • Pravidelně aktualizovat úplně všechno (Wordpress, doplňky i šablony).
  • Sledovat svůj web a divné věci zkoumat.
  • Sehnat si hosting s pravidleným zálohováním (s bezplatnou obnovou), vrátit se o dva dny zpět je obvykle snazší než čistit nakažený web.

Držím nám palce, ať je zase dlouho klid!

Štítky

Profily

Další odkazy