Forum Debian Users Gang

Czyli jednak jest problem?

Bodzio napisał(-a):

trzeba sobie było zabezpieczyć wifi np o MAC sieciówki

Możesz rozwinąć?

azhag napisał(-a):

Ty pozwoliłeś spenetrować tej sieci — sam postanowiłeś się z nią połączyć.

Zgoda, ale dotychczas się z czymś takim nie zetknąłem, co najwyżej próbujesz połączyć się z siecią i dostajesz komunikat, że nie jest to możliwe. Czasami sieć ma w opisie informację, że jest zabezpieczona. Jeśli nie jest to sieć prywatna, to z reguły podany jest nr telefonu do kontaktu.

Mniemam, że sieć była skontruowana w następujący sposób: bez problemu wpuszcza każdego do ograniczonego środowiska, przekierowując dowolne zapytanie na stronę hotelową (masz ustawioną jakąś stronę startową, prawda?)...

Z reguły ustawiam pustą. To właśnie uznałem za niedopuszczalną ingerencję - przekierowanie do strony startowej...

bercik napisał(-a):

to nie jest ingerencja w Twoj system tylko falszowanie odpowiedzi DNS ... i nie widze w tym nic niewlasciwego .

ale teoretycznie mógł mnie przekierować na stronę z pornografią albo kancelarii prezydenta... bez mojej wiedzy i zgody!

Piotr3ks napisał(-a):

Mógł także przekierować na forum.dug.net.pl :-)

No na każdą

Tak samo mógł zrobić ISP do którego próbują sie podłączyć userzy z poza sieci. Osobiście nie widzę w tym nic dziwnego. Zabezpiecza to hotel przed niechcianymi goścmi w sieci.

Ja nie mam pretensji, że sieć jest zabezpieczona (swoją też zabezpieczam). Mnie to nie dziwi, że są rzeczy, za które się płaci :)

Niepokoi mnie to, że tak łatwo podmienić mi stronę startową w przeglądarce. A gdyby ktoś podmienił mi stronę banku?

Dla mnie wygląda to tak, jakby ktoś otworzył mi auto wytrychem i położył na siedzeniu ulotki reklamowe, po czym zamknął auto, nie czyniąc żadnych szkód.

Ale jednocześnie dał mi sygnał, że gdyby chciał....

Ostatnio edytowany przez ippo76 (2009-10-15 18:38:41)

ippo76 napisał(-a):

Niepokoi mnie to, że tak łatwo podmienić mi stronę startową w przeglądarce. A gdyby ktoś podmienił mi stronę banku?

Dla mnie wygląda to tak, jakby ktoś otworzył mi auto wytrychem i położył na siedzeniu ulotki reklamowe, po czym zamknął auto, nie czyniąc żadnych szkód.

To kiepskie porównanie. Lepszym byłoby coś pokroju „to tak jakbym zaprosił kogoś do mojego auta a on położył na siedzeniu ulotki reklamowe po czym poszedł, nie czyniąc żadnych szkód”. Nikt Ci nie kazał się z tą siecią łączyć.

Ponieważ ISP jest pośrednikiem pomiędzy Tobą a usługodawcą z którym chcesz się skontaktować (np. bankiem internetowym), jest on w idealnej sytuacji by móc przeprowadzić atak wg scenariusza „man in the middle”. Właśnie dlatego warto ISP zapłacić odpowiednią kwotę by upewnić się, że tego ataku nie dokona. I również z tego powodu nie warto łączyć się z ważnymi usługodawcami (jak wspomniany bank) z miejsc do których zaufania nie mamy — np. otwartych hot spotów w centrach handlowych lub — tym bardziej — źle zabezpieczonej sieci sąsiada z góry. Nigdy nie będziesz pewien czy kiepskie zabezpieczenie (lub jego brak) jest wynikiem zwykłej niewiedzy czy też celowym zabiegiem będącym pierwszym krokiem na żerowaniu na Twojej łatwowierności.

ippo76 napisał(-a):

Ale jednocześnie dał mi sygnał, że gdyby chciał....

Nożem można odkroić kromkę chleba albo poderżnąć komuś gardło.

bercik napisał(-a):

niezupelnie to Twoja przegladarka musiala wyslac zadanie HTTP (np. na skutek autoodswiezania urzywanego na niektorych stronach), a ze w odpowiedzi dostala nie to czego sie spodziewales to ... w Internecie tak juz jest :-)

No właśnie nie jest tak do końca. Uruchomiłem przeglądarkę, zawsze ustawiam pustą stronę startową. Przeszedłem na drugi pulpit i uruchomiłem wicd-client (nie dziwcie się, kto używał dwm/wmii/awesome wie dlaczego). Wykryłem sieć hotelową i spróbowałem się z nią połączyć. Wróciłem na pulpit z przeglądarką, a tam już wyświetlona była strona hotelu

ippo76 napisał(-a):

wlasnie po to sa certyfikaty SSL (i nalezy sprawdzac czy sa one poprawne) ... btw to jest jedna z form ataku na konta bankowe ...

Jasne, ale ta historia uzmysłowiła mi, że jest to w praktyce dość łatwe.

teoretyzujac to podlaczyles sie do jego sieci LAN a nie do Internetu i on jako wlasciel takowej sieci ma pelne prawo decydowac ze u niego www.google.pl to bedzie jego strona ...

Powiem szczerze, że to jest dla mnie nowość :) Wolę jednak ja decydować o tym, co mi się otwiera na moim kompie :) Chciałbym się przed tym zabezpieczyć. W tej sytuacji zasady były jasne i nie miałem zamiaru ich łamać: "możesz podłączyć się do sieci, pod warunkiem...". Ja uznałem, że warunek mi nie odpowiada i wyłączyłem wifi.

Iptables?

ippo76 napisał(-a):

Niepokoi mnie to, że tak łatwo podmienić mi stronę startową w przeglądarce. A gdyby ktoś podmienił mi stronę banku?

Bez względu na sytuację i porę dnia zawsze trzeba uważać :-)
No niestety zawsze istnieje ryzyko, szczególnie jak jesteśmy w jakimś miejscu, którego nie znamy. Na szczęście banki wprowadzają rózne sposoby logowania, weryfikacji dokonywania przelewów etc...

ippo76 napisał(-a):

bercik napisał(-a):

niezupelnie to Twoja przegladarka musiala wyslac zadanie HTTP (np. na skutek autoodswiezania urzywanego na niektorych stronach), a ze w odpowiedzi dostala nie to czego sie spodziewales to ... w Internecie tak juz jest :-)

No właśnie nie jest tak do końca. Uruchomiłem przeglądarkę, zawsze ustawiam pustą stronę startową. Przeszedłem na drugi pulpit i uruchomiłem wicd-client (nie dziwcie się, kto używał dwm/wmii/awesome wie dlaczego). Wykryłem sieć hotelową i spróbowałem się z nią połączyć. Wróciłem na pulpit z przeglądarką, a tam już wyświetlona była strona hotelu

cudow nie ma i to FF musial wygenerowac rzadanie HTTP ... moglo to byc zwiazane z mechanizmem sprawdzania aktualizacji lub czegos takiego ... jezeli nadal jestes w tym hotelu to mozesz sprobowac powtorzyc ten eksperyment logujac przy pomocy tcpdumpa wszystkie wchodzace i wychopdzace pakiety ...

ippo76 napisał(-a):

Powiem szczerze, że to jest dla mnie nowość :) Wolę jednak ja decydować o tym, co mi się otwiera na moim kompie :) Chciałbym się przed tym zabezpieczyć. W tej sytuacji zasady były jasne i nie miałem zamiaru ich łamać: "możesz podłączyć się do sieci, pod warunkiem...". Ja uznałem, że warunek mi nie odpowiada i wyłączyłem wifi.

Iptables?

jak pisalem wyzej rzadanie musialo wyjsc z Twojego FF ... wiec sprawdz kiedy generuje on rzadania bez Twojej wiedzy i mu tego zabron ... przed samym falszowaniem dns'u sie nie zabezpieczysz ... chyba ze wylaczysz ten mechanizm a wszystkie potrzebne adresy umiescisz w /etc/hosts ... tak po prostu dziala Siec ...

ippo76 napisał(-a):

Nożem można odkroić kromkę chleba albo poderżnąć komuś gardło.

Jasne, ale do tej pory nie miałem świadomości, że można tak łatwo podsunąć stronę w przeglądarce. Gdyby to byli ci źli...

Ach, zapomniałem Was jeszcze rozdrażnić przed udaniem się na spoczynek:
jesteście tendencyjni, bo sami jesteście adminami !!

zatem powinenes byc wdzieczny za uswiadomienie :-)

to skad sie laczysz nie ma to wiekszego znaczenia ... po drodze do banku czy tez serwera dns obslugujacego domene banku i tak jest zapewne kilkanascie routerow ...

co do bankow to najprostrzymi sposobami wydaje sie ... wlam przez telefon - gdy wiemy ze ktos korzysta z serwisu telefonicznego wpinamy sie do skrzynki telefonicznej ... przechywtujemy polaczenie i na podstawie zdobytych danych sami odbywamy stosowna rozmowe z bankiem ... potrzebne narzedzia - srobokret do otwarcia skrzynki, aparat telefoniczny, kilka metrow kabla, jeden przelacznik on-on dwusekcyjny ... polaczenia telefoniczne z bankiem nie sa w zaden sposob dodatkowo zabezpieczone, ich bezpieczenstwo opiera sie na sieci PSTN ... ktora czesto wyglada tak - http://forum.idg.pl/ogolne_telekomunikacja_i_sieci- … -t158560.html

Ostatnio edytowany przez bercik (2009-10-15 22:28:06)

sidjestgit napisał(-a):

Kiedys bawiac sie siduxem zlamalem prawo
chcialem sie polaczyc ze swoim punktem dostepowym (wifi)
uruchomilem ceni i cos zle kliknolem - po chwili okazalo sie ze mam dostep do internetu
ale przez punkt dostepowy jakiegos kowalskiego (niezabezpieczona siec)

TO nie było złamanie prawa, jak wejdziesz w zabezpieczoną siec nawet może być puste hasło ale musi być a jak nie to jest ogólnie dostępna.

Dzięki za wszystkie uwagi. Nie traktowałem tematu śmiertelnie poważnie, dlatego topic założyłem tu, a nie w Sieciach.

Dowiedziałem się sporo nowego, bo dotychczas nie wypuszczałem się za NAT

marcusdavidus napisał(-a):

autor topiku sie powaznie myli

primo : Autor topiku jest gosciem w sieci lan
secundo : wlasciciel sieci nie ingeruje w komputer autora topiku

to chyba oczywiste ze sieci lan maja ustawione przekierowania dns .

Może niezbyt poważnie to wygląda, ale nie było to dla mnie takie oczywiste.

Szukalem czegos ze swojego podworka ... (ale bylby? problem z tlumaczeniem itd)
.. i znalazlem cos z Kuchni Polskiej.

http://olgierd.bblog.pl/wpis,do%3B2%3Blat%3Bza%3Bpo … ow,17947.html

Na dziś moje stanowisko jest proste: czynem zabronionym podlegającym karze pozbawienia wolności do lat 2 jest każda forma pajęczarstwa, a zatem także korzystanie z dostępu do internetu poprzez cudze, choćby niezabezpieczone, hotspoty, chyba że zostaliśmy przez ich administratora upoważnieni do korzystania.

Jak znajde cos z mojego podworka w Języku Polskim to podlinkuje.

sidjestgit napisał(-a):

bredzisz kolego

Przepraszam za niewyparzony jezyk.

Ostatnio edytowany przez sidjestgit (2009-10-16 15:30:07)

bercik napisał(-a):

przed samym falszowaniem dns'u sie nie zabezpieczysz

Wymuszenie innego DNS niż chciałby ISP, nie załatwia sprawy?