Je wifi v bytovom dome bezpečné?

[jaroh]

Priatelia, bol som oslovený známym vo veci, v ktorej sa vôbec nevyznám :

Prenajal si byt v bytovom dome, V cene prenájmu je aj internet. Keď byt prevzal, tak je tam dostupná wifi. Majiteľ bytu mu dal heslo s tým, že to je heslo iba pre tento byt. je takéto pripojenie bezpečné? napríklad pre internet banking a pod.

Router zatiaľ nikde nenašiel.

V byte je aj vyvedený ethernet kábel, takže zrejme by bolo možné zapojiť router a spraviť si vlastnú wifi, teda nie tú, čo poskytol majiteľ. Samozrejme, vlastná wifi s vlastným heslom. Bolo by takéto pripojenie v niečom bezpečnejšie ako tá existujúca wifi?

[Emil Pastelka]

Je to stejné, jako jakákoliv jiná veřejná WiFi v kavárně a podobně. Připojení k bance má víceúrovňové zabezpečení a probíhá šifrovaně, zde se nemusíte obávat, že by případná otevřená WiFi byla více nebezpečná, než jakákoliv jiná WiFi.
Těch uzlů, kterými dané připojení probíhá je několik a jejich bezpečnost už neřešíte. Ten Ethernet kabel vede kdovíkam, proto můžete stejné pochybnosti vrhnout i tímto směrem.
Jediné potenciální riziko by byl přímý průnik do domácí sítě a následné čtení/zápis přímo na PC. Bylo by tak možno vzdáleně nainstalovat nějaký podvodný SW či odposlouchávat klávesnici. Nicméně to je pravděpodobné zhruba stejně, jako jakákoliv jiná virová nákaza.
A neposledně, i kdyby měl vlastní WiFi, prolomit WPA2 je při výpočtu s trochu silnější grafickou kartou otázka maximálně desítek minut. Proto hlavně klid a všeho s mírou

[JirkaVejrazka]

Tech par desitek minut pro WPA2 bych docela chtel videt

[jaroh]

@Emil Pastelka, tiež nevidím problém v prieniku do banky ako takom, ale v nejakom keyloggeri. Ja som v tomto naozaj laik, ale skrátka si predstavujem, že keď sa niekto k tej wifi pripojí (napríklad ak pozná heslo), tak potom ľahko môže buď nahrať do pripojeného počítača nahrať keylogger alebo nejako inak odchytávať stlačené klávesy (?).
Káblové pripojenie je zrejme predsa len bezpečnejšie (?). Keby sa chcel chuligán nejako pripojiť ku káblu, tak to iste možné je, ale asi to nie je také jednoduché - musí mať niekde k nemu prístup a nejako fyzicky sa naň pripojiť a s tým sa mu dajme tomu neoplatí babrať a zrejme by to niekde na chodbe domu aj bolo o kus nápadnejšie... ale je fakt, že si to predstavujem ako Hurvínek válku, tak netuším, čo je naozaj možné a čo nie.

[Geniál]

Je úplně jedno, jestli je to wifi nebo kabel. Pokud jsou to zařízení v lokální síti, vidí například ve Windows složku Shared ze všech Windows zařízení v lokální síti. Což minimálně potencionálnímu útočníkovi na dané zařízení dává výhodu.

Nicméně sdílený modem znamená že cokoli nezabezpečeného a nešifrovaného může být čitelné, minimálně kompletní webová historie všech navštívených webů. Zda je to kabel nebo wifi, vede přeci do stejného zařízení...

Takže konspirační teorie by bylo skryté zařízení připojené do stejné sítě (minimálně tedy ihned změnit heslo pokud je to jen Vaše a ne sdíleno s dalšími byty). Ještě méně pravděpodobná konspirace by byla, že wifi nevysílá komerční modem, ale Arduino přes které by tekly všechna data. Konspirace přitažená za vlasy je pak, že by někdo upravil firmware daného modemu .

Conclusion: sniffing dat je stejně v dnešní době utopie, komunikace jsou šifrované a weby používají certifikáty; změnit heslo a neřešit. Zkontrolovat firmware modemu že jde o nejnovější verzi. Keylogger je nesmysl, muselo by být infikované přímo dané zařízení

prolomit wpa2 se dá, desítky minut leda s primitivním heslem, ale do měsíce s neomezeným časem asi jo... Umožňují to i některé linuxové distribuce s minimální technickou zdatností

[jaroh]

OK, díky, overím teda, či je to v zdieľanej sieti.
Zmena hesla by ma ukľudnila , ale zatiaľ sa zdá, že to nebude úplne jednoduché, lebo zatiaľ nepoznáme prístupové heslo k routeru a majiteľ bytu zatiaľ na maily nereaguje a nakoniec on to tiež berie iba od nejakého dodávateľa, tak zatiaľ ani nevieme, či má vôbec prístupové dáta k routeru. Ale v prípade, že by sme nevedeli zmeniť heslo k wifine, tak by aspoň trochu pomohlo napojiť na ten kábel vlastný router ... či?

Inak, tipujem, že v celom nájomnom bytovom hádam iba tento môj známy toto rieši. Tipujem, že bežní ľudia dostanú heslo k wifine a sú radi a veselo internetbankujú. kreditkujú ...

[Geniál]

no jasně, tím vytvoříte další zabezpečený okruh sítě a bariéru firewallu. Nicméně historie procházení webu se nezbavíte a nezabezpečená komunikace bude čitelná.

[jaroh]

"Nezanezpečená komunikácia" je taká, čo nejde cez https, hej? Ak ide cez https, tak to je "zabezpečená komunikácia"?

[Geniál]

Přesně tak. To se ale týká veškeré komunikace, včetně komunikátorů a dalších programů. Skype, Thunderbird a většina populárních nástrojů jsou naštěstí šifrované. I když některé dlouho nebyly a někde se profláklo (možná kachna, nevím) že třeba i Skype odposlouchával chat... Ještě že už končí a nedoporučuje se používat... Teď má Mrkvosoft Teams

[jaroh]

OK, ďakujem.
Uvidím, ako to vyriešime, prípadne sa ešte opýtam, čo bude treba

[jaroh]

Nakoniec to dopadlo tak, že sme spravili taký hybrid

Originálny router sa objavil, schovaný v skrinke s poistkami:-). Je dosť neprístupný, vysoko a musel by kvôli nemu skrinku s poistkami rozobrať a nie je ani vidieť, či do neho ide jeden (in) alebo dva káble (in&out). Tiež nie je vidieť, či je tam ešte nejaký iný sieťový prvok .

Takže sme napojili vlastný router na ethernetový kábel, ktorý je v byte tiež k dispozícii a ten teraz slúži ako domáca wifi (teda má vlastné heslo k routru aj k wifi). Pôvodnú wifi sme nevypli, pretože sa k routru nedá ľahko dostať, ale podľa monitora pripojení (v Esete) k nej nie je nič pripojené.

Neviem, či je takéto riešenie v niečom lepšie ako pôvodné, keď tak aspoň máme dobrý pocit .

Ešte otázka: Ako to zvyčajne býva? Do bytu ide "kábel s internetom" a v byte je k dispozícii funkčný ethernetový kábel. Býva wifi router zapojený vzhľadom ku kablovému pripojeniu "do série" alebo "paralelne"? Inými slovami, keby sme vypli ten router (a teda pôvodnú wifi), tak vypneme aj internet v ethernetovom kábli?

[JirkaVejrazka]

Pokud bys vypnul ten router v pojiskove skrini, nepujde ti nic (pokud neprepojis kabely, ale to evidentne nijak jednoduse nejde).

[Doggg]

Aby to tak mohlo fungovat Musely by tam ty kabely vést dva (jeden pro kabel a druhý pro router). Teoreticky to možné je, prakticky proč by to někdo dělal.

Vzhledem k podmínkám je tvoje řešení asi nejlepší možné . Máš oddělenou síť na kterou máš nějakou kontrolu. Zbylá rizika neseme všichni kdo mají nějakou formu takového internetové připojení stejnou.

[jaroh]

Ďakujem. Ako som napísal - aspoň máme popri tej paranoji lepší pocit .

Díky.

[Papadimo]

každá síť, kterou nemáš pod kontrolou je potenciálně nebezpečná. (myšleno tak, že manipulovat a koukat do ní může ten, komu patří) (a ano, do důsledku je svým způsobem nebezpečný internet)
To ale neznamená , že šifrování nepomůže. Ale může se stát, že si budeš šifrovaně povídat s nějakým proxy útočníkem. Proto je třeba ověřovat a prověřovat a ano a ne důvěřovat (ano certifikátům a autoritám, ale ne IP adresám a doménovým jménům)


Prolomit WPA do desítky minut, natož deseti je nemožné i na high end kartě, maximálně tak 8 číslic... Schválně si spočti k^n / kadencí, která je kolem 100000. Možná sada FPGA do zrychlí 100krát.
Slovníkový útok a kombinační je jiné kafe, ale kdo má vědět okruh pro slovník nebo délku slova případě pattern (slovo_cislo, Slovo, SLOVO, slovo!, sslovo, 1Slovo), nakonec to vyjde opět do miliard